Logo der activeMind AG

ISO 27002Kapitel 5.21 IKT-Lieferkette

Die Sicherheit der Informationstechnologie (Informations- und Kommunikationstechnologie, IKT) ist ein wesentlicher Aspekt für Unternehmen, um ihre sensiblen Daten zu schützen und deren Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen. Die IKT-Lieferkette kann ggf. eine Vielzahl von Lieferanten und Dienstleistern umfassen, und darf hierbei nicht übersehen werden. Die ISO/IEC 27002 befasst sich in Abschnitt 5.21 mit der Informationssicherheit speziell in der IKT-Lieferkette und definiert eine Reihe von Maßnahmen, die Organisationen ergreifen sollten.

 

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Technische und organisatorische Maßnahmen

Etablierung von Sicherheitsanforderungen

Organisationen sollten klare Sicherheitsanforderungen für IKT-Produkte und -dienstleistungen definieren. Diese Anforderungen sollten während des gesamten Beschaffungsprozesses kommuniziert und überprüft werden.

Auswahl vertrauenswürdiger Lieferanten

Es ist wichtig, Lieferanten sorgfältig auszuwählen und auf ihre Vertrauenswürdigkeit zu prüfen. Hierbei können Zertifizierungen und Bewertungen von Drittanbietern hilfreich sein. Außerdem sollte regelmäßig überprüft werden, ob die Lieferanten die vereinbarten Sicherheitsstandards nachweislich einhalten.

Risikobewertung der Lieferkette

Unternehmen sollten eine umfassende Risikobewertung ihrer IKT-Lieferkette durchführen und dabei mögliche Schwachstellen und Bedrohungen identifizieren und bewerten. Basierend auf den Ergebnissen der Risikobewertung können entsprechende Schutzmaßnahmen ergriffen werden. Die Bewertung ist ggf. regelmäßig zu wiederholen.

Vertragsgestaltung

In Verträgen mit Lieferanten sollten Sicherheitsklauseln und -vereinbarungen enthalten sein. Diese Klauseln können Anforderungen an die Informationssicherheit, Haftung und Compliance umfassen. Es ist wichtig, diese Vereinbarungen regelmäßig zu überprüfen und zu aktualisieren.

Überwachung und Audit

Organisationen sollten die Lieferkette kontinuierlich überwachen und regelmäßige Audits durchführen. Dadurch können mögliche Sicherheitsverletzungen oder Compliance-Verstöße frühzeitig erkannt und behoben werden. Es ist wichtig, sicherzustellen, dass alle Beteiligten in der Lieferkette ihre Sicherheitsverpflichtungen erfüllen.

IKT-Lieferketten in der ISO 27002

Diese organisatorischen Lösungen dienen dazu, die Informationssicherheit in der IKT-Lieferkette zu gewährleisten und Risiken zu minimieren. Durch die Umsetzung dieser Maßnahmen können Unternehmen ihre Abhängigkeit von externen Partnern besser steuern und potenzielle Schwachstellen proaktiv adressieren.

Es ist jedoch zu beachten, dass jede Organisation individuelle Anforderungen und Risiken hat. Daher sollten die oben genannten Lösungen an die spezifischen Bedürfnisse und Gegebenheiten eines Unternehmens angepasst werden.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind stellt Ihren Mandanten ein maßgeschneidertes Lieferantenkonzept für den Bereich IKT zur Verfügung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.