Logo der activeMind AG

ISO 27002Kapitel 5.22 Verwaltung von Lieferantenbeziehungen

Die Überwachung, Überprüfung und das Änderungsmanagement von Lieferanten bzw. der von diesen erbrachten Dienstleistungen sind entscheidend, um sicherzustellen, dass die Informationssicherheitsbedingungen wie vereinbart eingehalten werden, Vorfälle und Probleme im Bereich der Informationssicherheit ordnungsgemäß gehandhabt werden und Änderungen beim Lieferanten oder seines Geschäftsstatus die bezogenen Dienstleistungen nicht beeinträchtigen. In diesem Artikel werden einige Maßnahmen für die Verwaltung von Lieferantenbeziehungen gemäß den Anforderungen der ISO 27002 aufgezeigt.

 

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Technische und organisatorische Maßnahmen bei der Verwaltung von Lieferantenbeziehungen

Lieferantenbewertung

Organisationen sollten das Leistungsniveau ihrer Lieferanten überprüfen und sämtliche Änderungen überwachen. Dies umfasst neben der Überprüfung der Sicherheitsmaßnahmen und -richtlinien des Lieferanten insbesondere auch Änderungen des Dienstleistungsangebots oder der eingesetzten Infrastruktur auch die Einführung von neuen Produkten oder Systemen.

Regelmäßige Überprüfung der Sicherheitsmaßnahmen

Es ist wichtig, regelmäßige Überprüfungen der Sicherheitsmaßnahmen bei Lieferanten durchzuführen. Dies kann durch interne oder externe Audits erfolgen, um sicherzustellen, dass die Sicherheitskontrollen angemessen implementiert und effektiv sind. Die Ergebnisse dieser Überprüfungen sollten dokumentiert werden und in Absprache mit dem Lieferanten sollten ggf entsprechende Maßnahmen zur Verbesserung durchgesetzt werden.

Änderungsmanagement

Organisationen sollten ein effektives Änderungsmanagement implementieren, um sicherzustellen, dass alle relevanten Änderungen an den Lieferdiensten ordnungsgemäß geplant, überwacht und überprüft werden. Dies beinhaltet die Einführung eines formellen Änderungsmanagementprozesses, der sicherstellt, dass Änderungen dokumentiert, genehmigt und getestet werden, bevor sie umgesetzt werden.

 

Es empfiehlt sich zudem, die Verantwortung für die Verwaltung der Lieferantenbeziehung einer bestimmten Person oder einem bestimmten Team zuzuweisen. Die verantwortliche Stelle sollte über ausreichende Fachkunde und Ressourcen verfügen, um die erforderliche Überwachung der Lieferanten sicherzustellen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind stellt Ihren Mandanten ein maßgeschneidertes Lieferantenkonzept, ein Prozess für der Changemanagement, Vorlagen für die Lieferantenbewertung zur Verfügung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.