Lieferanten-Checkliste zur Informationssicherheit (ISO 27001)

Hier finden Sie die Lieferanten-Checkliste zur Informationssicherheit, um sich besser auf die ISO 27001 Zertifizierung vorzubereiten. Beim externen Audit werden die verschiedenen Kapitel der ISO 27001:2022 Norm abgeprüft. Dazu muss der Auditor der Zertifizierungsstelle ggf. auch die Verfahren zum Umgang mit Lieferanten überprüfen.

Wie überprüft man Lieferanten auf den Informationssicherheitsstatus?

Viele Unternehmen lagern organisatorische oder technische Aufgaben an externe Organisationen. Die Auslagerung der Buchhaltung an eine Buchführungsdienstleister oder die Auslagerung der IT an einen externen EDV Dienstleister.

Wenn Ihr Unternehmen Aufgaben, Prozesse oder Teilbereiche an Lieferanten auslagert, werden sensible Daten und Informationen vom Lieferanten verarbeitet. Auftraggeber haben die Verantwortung für die beim Lieferanten verarbeiteten Daten. Immer mehr Unternehmen fordern von ihren Dienstleistern eine ISO 27001 Zertifizierung. So will man eine gesetzeskonforme Datenverarbeitung sicher stellen. Bei neuen Geschäftsbeziehungen fragen Auftraggeber immer häufiger den Informationssicherheitsstatus des potentiellen Lieferanten ab.

Ziele und Umfang eines Statusberichts definieren

Bei der Überprüfung von Lieferanten müssen alle gesammelten Erkenntnisse in einen Statusbericht fließen. Dieser Statusbericht gibt einen Überblick über die aktuellen Sicherheitspraktiken und Maßnahmen des Unternehmens gemäß ISO 27001. Der Bericht deckt die Informationssicherheit in der gesamten Organisation des Lieferanten ab. Alle relevanten Abteilungen und Systeme müssen im Lieferantenaudit überprüft werden. Diese Vorgehensweise ist in der Automobilindustrie besonders etabliert.

Braucht man unbedingt ein Supplier Security and Privacy Assurance?

SSPA ist eine Partnerschaft zwischen der Einkaufsabteilung, der Rechtsabteilung und Unternehmenssicherheit eines Konzerns. Dabei soll  sichergestellt werden, dass Lieferanten die Datenschutz- und Sicherheitsprinzipien der Konzernorganisation einhalten. Eine SSPA umfasst alle Lieferanten, die personenbezogene Daten oder vertrauliche Konzerndaten verarbeiten. Lieferanten müssen Sicherheits- und Datenschutzkontrollen implementieren, bevor sie mit dem Konzern eine vertragliche Vereinbarung eingehen können. Alle Lieferanten bestätigen jährlich die Einhaltung der Sicherheits- und Datenschutzvorgaben.

Lieferantenmanagement - Best Practice

Es ist empfehlenswert eine qualifiziertes Lieferantenmanagements auf Basis von 5 Risikogruppen zu organisieren. Jeder Lieferant muss der für ihn zutreffenden Risikogruppen zugordnet werden. Der risikobasierten Ansatz ist der am nachhaltigste Weg, um ein Lieferantenmanagement mit den Anforderungen der ISO 270001 Norm und den gesetzlichen Vorgaben aus NIS 2.0 in Einklang zu bringen.

Dies erfolgt durch folgende Maßnahmen:

  • Internes Assessment von Lieferanteninformationen
  • Lieferantenselbstauskunft und Fragebogen
  • Lieferantenaudits
  • Externe Lieferantenbewertung

Internes Assessment von Lieferanteninformationen

Das interne Assessment erfolgt über die Abfrage und Auswertung von Lieferanteninformationen. Dies erfolgt mit einer standardisierten Vorgehensweise. Hieraus wird eine Cyber-Risikobewertung abgeleitet. Mögliche Bedrohungen oder Schwachstellen sollen dabei für die Eigenheiten des Lieferanten berücksichtigt werden. Eine Checkliste der Lieferantenrisiken hilft bei der systematischen Vorgehensweise.

Lieferantenselbstauskunft und Fragebogen

Der Lieferant füllt einen Fragebogen (Selbstauskunft) aus. Dadurch wird die Informationssicherheitsleitlinie und etablierte Rahmenbedingungen dokumentiert. Entsprechend der Risikogruppe erhalten Lieferanten weitere Fragen zur Umsetzung von Informationssicherheitsanforderungen. Die Auswertung der Antworten ergibt ein Gesamtbild der Cyber-Resilienz des Lieferanten.

Lieferantenaudits

Im Rahmen von Lieferantenaudits prüfen Großkunden ihre Lieferanten. Hierzu werden eigene Auditoren oder spezialisierte Dienstleister beauftragt. Lieferantenaudits tragen zur Zuverlässigkeit der Informationssicherheit in der Lieferkette bei. Zwischen Großkunde und Lieferant wird so ein vertrauensvolles Verhältnis aufrecht erhalten. Dabei sollen Risiken identifiziert und rechtzeitig minimiert werden. Risikobehaftete Lieferanten machen solche Lieferantenaudits zwingend erforderlich. Bei einem Vor-Ort-Audit prüft ein Auditteam die Prozesse, Aufzeichnungen und die Einhaltung vertraglicher sowie gesetzlicher Anforderungen. 

Externe Lieferantenbewertung

Lieferanten in der höchsten Risikogruppe machen eine vertiefte Prüfung erforderlich. Externe Bewertungen durch externe Dienstleister helfen diese Risikogruppe im Detail zu untersuchen. Dabei kommen standardisierte Assessments und Risiko Rating Scores zum Einsatz.  So wird eine Transparenz und Vergleichbarkeit erzielt. Lieferanten können hilfreiche Hinweise zur Umsetzung von Maßnahmen erhalten.

Das interne Audit ist ein wichtiger Teil der Management System Dokumentation

Kostenlose ISO 27001 Lieferantencheckliste

Ähnliche Artikel und weitere interessante Informationen