Die versteckte Angriffsfläche bei der ausgelagerten Spieleproduktion
Die Auslagerung der Spieleproduktion schafft enorme kreative Möglichkeiten, doch jedes externe Studio, jeder Tool- und Content-Anbieter vergrößert stillschweigend Ihre Angriffsfläche. Daher benötigen Sie eine realistische Methode, um dieses zusätzliche Risiko zu erkennen und zu priorisieren. Eine übersichtliche Darstellung, wer auf welche Assets mit welchen Tools und in welchen Umgebungen zugreift, ermöglicht es Ihnen, Ihre begrenzte Zeit auf die Beziehungen zu konzentrieren, die Ihrer Marke, Ihrem Umsatz oder der Einhaltung von Vorschriften tatsächlich schaden könnten.
Wenn Sie in einem Spielestudio oder -publisher für Sicherheit, Produktion oder Lieferantenmanagement verantwortlich sind, richtet sich dieser Text an Sie. Er bietet allgemeine Hinweise und stellt keine Rechts- oder Regulierungsberatung dar. Ihr Unternehmen sollte sich vor Entscheidungen zur Einhaltung von Vorschriften qualifiziert beraten lassen. Der Ansatz basiert auf Erfahrungen, die ISMS.online bei der Unterstützung von Teams beim Aufbau ISO 27001-konformer Lieferantenprogramme in verschiedenen Studios und bei Dienstleistern gesammelt hat.
Outsourcing funktioniert nur dann wirklich, wenn Vertrauen mit jedem Asset und jedem Projekt einhergeht.
Erfassen Sie jeden Kontaktpunkt mit Anbietern.
Das Sicherheitsrisiko von Spielestudios und Content-Lieferanten lässt sich erst dann beherrschen, wenn man jeden einzelnen Punkt kennt, an dem sie mit dem eigenen Code, den Inhalten und den Daten in Berührung kommen. Das bedeutet, weit über Vertragsnamen hinauszugehen und reale Arbeitsabläufe abzubilden: Wer sieht welche Assets, mit welchen Tools und in welchen Umgebungen und an welchen Orten?
Beginnen Sie mit der Erstellung einer schonungslos ehrlichen Karte Ihrer tatsächlichen Lieferkette. Listen Sie jedes Co-Entwicklungsstudio, Portierungshaus, jeden Grafik- und Audioanbieter, jeden Qualitätssicherungsdienstleister, jede Backend- oder Live-Ops-Plattform, jedes Analysetool und jedes Lokalisierungsbüro auf, das mit einem der folgenden Schritte in Berührung kommt:
- Spielquellcode oder Engine-Zweige
- Build-Systeme, Entwicklerkits und interne Tools
- unveröffentlichte Grafiken, Filmsequenzen, Erzähltexte oder Marketingmaterialien
- Testumgebungen mit Spieler- oder Testkontodaten
- Produktionsdienstleistungen wie Spielzusammenstellung, Telemetrie, Zahlungen, Anti-Cheat-Systeme oder Kundensupportdaten
Erfassen Sie für jede Geschäftsbeziehung, was die Partner sehen oder ändern können, nicht nur, wie ihre Arbeit im Vertrag beschrieben wird. Ein kleines Kunststudio mit VPN-Zugriff auf Ihre interne Quellcodeverwaltung kann ein höheres Risiko darstellen als ein großer Cloud-Anbieter, bei dem Sie lediglich einen eingeschränkten Managed Service nutzen.
Visuell: ein einfaches Diagramm mit Ihrem Kernstudio im Zentrum und den Anbieter-„Speichen“, die entsprechend ihrer Sicht- und Änderungsmöglichkeiten beschriftet sind.
Anbieter nach Einfluss und Unsicherheit einordnen
Sobald Sie erfasst haben, wer an Ihren Spielen beteiligt ist, erzielt ISO 27001 die besten Ergebnisse, wenn Sie diese Studios und Zulieferer nach Einfluss und Unsicherheit einstufen. So können Sie gezielt tiefergehende Analysen durchführen, die das Risiko tatsächlich reduzieren. Eine einfache, gemeinsame Übersicht über Anbieter mit hohem, niedrigem und geringem Einfluss ist hilfreicher als eine lange, unstrukturierte Liste.
Erstellen Sie anhand Ihrer Karte eine schnelle Bedrohungsskizze. Fragen Sie sich, wo ein Datenleck, eine Kontoübernahme oder eine Kompromittierung der Datenpipeline höchstwahrscheinlich beginnen würde und wie es sich über gemeinsam genutzte Tools, Branches und Zugangsdaten ausbreiten würde. Sie benötigen keinen formellen Workshop zur Bedrohungsmodellierung; es genügt ein ausreichendes gemeinsames Verständnis, dem die Bereiche Sicherheit, Produktion, Recht und Beschaffung zustimmen.
- welche Anbieter haben wirklich einen hohen Einfluss?
- die zwar geringe Auswirkungen haben, aber zahlreich sind
- welche niemand so recht versteht
Genau diesen Kontext sollten ISO 27001 und Anhang A unterstützen. Ohne ihn ist jede Checkliste entweder übertrieben für die falschen Lieferanten oder blendet die Bereiche aus, in denen Sie am stärksten gefährdet sind. Anhang A wird somit zur praktischen, gemeinsamen Sprache, um diese Risiken mit internen Teams und externen Studios zu besprechen.
Wenn Sie für die Sicherheit der Anbieter in Ihrem Studio verantwortlich sind, betrachten Sie diese erste Zuordnung und Rangfolge als Ihre grundlegende Vorgehensweise und aktualisieren Sie sie regelmäßig, wenn sich Projekte, Plattformen und Partner ändern.
KontaktVerwendung von ISO 27001 Annex A als gemeinsame Sprache mit Studios
ISO 27001:2022 enthält Anhang A, einen Katalog mit 93 Informationssicherheitskontrollen, die in vier Themenbereiche unterteilt sind. Diese können als gemeinsame Sprache für die Bewertung von Spielestudios und Content-Anbietern dienen. Wenn Sie diese Kontrollen als flexibles Menü und nicht als starre Checkliste betrachten, können Sie zunächst interne Erwartungen abstimmen und diese dann fair auf Ihr Lieferantennetzwerk ausweiten.
Teams, die Annex A erfolgreich in der Spieleentwicklung implementiert haben, kombinieren in der Regel die Struktur des Standards mit wertvoller praktischer Erfahrung. ISMS.online beispielsweise unterstützt Studios dabei, die relevanten Kontrollen ihres Informationssicherheitsmanagementsystems (ISMS) zu dokumentieren und diese Entscheidungen anschließend einheitlich auf interne Teams und Lieferanten anzuwenden.
Betrachten Sie Anhang A als flexibles Menü, nicht als starre Checkliste.
Anhang A ist am effektivsten, wenn Sie zunächst intern festlegen, welche Aspekte Ihnen wichtig sind, die relevanten Kontrollen in Ihrem ISMS und Ihrer Anwendbarkeitserklärung dokumentieren und diese Grundlage dann proportional auf Spielestudios und Content-Anbieter anwenden, anstatt alle 93 Kontrollen jedem Lieferanten aufzuzwingen. Dadurch bleiben die Bewertungen auf reale Risiken fokussiert und die Gespräche mit Partnern wirken weniger wie reine Pflichterfüllung.
Intern sollte Anhang A als eine Art Menü dienen, aus dem Sie risikobasiert auswählen. Sie wenden nicht jede Kontrolle auf jeden Lieferanten an. Ihr ISMS definiert vielmehr, welche Kontrollen für Ihr Unternehmen relevant sind und wie sie implementiert werden. Diese Auswahl wird in Ihrer Lieferantenbewertung festgehalten, die als Grundlage für Ihre Lieferantenbewertungen dient.
Wenn Sie beispielsweise entschieden haben, dass Kontrollen für Zugriffsmanagement, Informationsklassifizierung, sichere Entwicklung und Lieferantenbeziehungen für Ihre eigene Umgebung relevant sind, liegt der nächste logische Schritt darin, diese Erwartungen auch auf die Studios und Lieferanten auszuweiten, die mit dieser Umgebung zusammenarbeiten. So stellen Sie eine einheitliche Kommunikation sicher: Was in Ihrem Studio als „gut genug“ gilt, gilt im gleichen Maße auch für die Teams, die mit Ihnen zusammenarbeiten.
Übersetzen Sie die Themen aus Anhang A in die Spielsprache.
Produzenten, Kreativchefs und kleinere Studios reagieren wesentlich besser, wenn die vier Themenbereiche von Anhang A – Organisation, Personal, physische Infrastruktur und Technologie – in einer Sprache ausgedrückt werden, die die reale Spieleproduktion und den Live-Betrieb widerspiegelt. Man übersetzt sie also in Begriffe, die sich in diesem Kontext natürlich anfühlen, und verwendet ISO 27001 lediglich als den grundlegenden Standard, der diese Erwartungen unterstützt.
Die vier Themenbereiche von Anhang A sagen den meisten Produzenten oder externen Partnern wenig. Man macht sie nutzbar, indem man sie in eine Sprache übersetzt, die sich im Kontext der Spieleproduktion oder des laufenden Betriebs natürlich anfühlt, und ISO 27001 dann einfach als den Standard verwendet, der diesen Erwartungen zugrunde liegt.
Um Anhang A auch außerhalb des Sicherheitsteams nutzbar zu machen, formulieren Sie die vier Themen wie folgt um:
- Organisation: Richtlinien, Rollen, Risikomanagement und Lieferantensteuerung
- Personal: Einstellungsprüfungen, Schulungen, Vertraulichkeit und Disziplinarverfahren
- Physisch: Büro- und Studiosicherheit, Geräteschutz, Besucherkontrollen
- Technologisch: Zugriffskontrolle, Protokollierung, sichere Konfiguration, Entwicklung und Betrieb
Wenn Sie die Produktion briefen oder mit Lieferanten sprechen, verwenden Sie diese Begriffe zuerst und erwähnen Sie ISO 27001:2022 als die zugrunde liegende Norm. Dadurch wird Anhang A zu einem neutralen Bezugspunkt und nicht zu einem „Lieblingsrahmenwerk der Sicherheitsbranche“ oder einer unnötigen zusätzlichen Hürde.
Sobald Sie mit dieser gemeinsamen Sprache vertrauter geworden sind, können Sie damit beginnen, Prioritäten zu setzen, welche Kontrollbereiche des Anhangs A für verschiedene Arten von Spieleanbietern, von Co-Entwicklungsstudios bis hin zu Backend-Plattformen, am wichtigsten sein sollten.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Die in Anhang A aufgeführten Kontrollbereiche, die für Spieleanbieter am wichtigsten sind
Sie benötigen selten alle 93 Kontrollen des Anhangs A, um ein Spielestudio oder einen Zulieferer effektiv zu bewerten; stattdessen nutzen Sie die Struktur des Anhangs A, um sich auf die Kontrollbereiche zu konzentrieren, die Ihren wichtigsten ausgelagerten Assets und Services am nächsten stehen, sodass Sie beispielsweise sagen können: „Da Sie unveröffentlichte Inhalte und Branch X unserer Engine sehen, sind diese spezifischen Kontrollen am wichtigsten.“
Anhang A gibt Ihnen die Struktur vor; Sie wählen die Teile aus, die Ihrer Spielentwicklung und -ausführung entsprechen. Studios, die diesen Schritt wagen, stellen oft fest, dass die Kommunikation mit Anbietern klarer und weniger konfrontativ wird. Anstatt über den gesamten Standard zu streiten, können Sie sich auf die wenigen Kontrollpunkte konzentrieren, die wirklich beschreiben, was für die Arbeit jedes Partners „gut genug“ bedeutet.
Priorisieren Sie Kontrollthemen rund um geistiges Eigentum, Live-Dienste und Daten.
Ihre wertvollsten Spielressourcen und -dienstleistungen sollten die Prioritäten für die in Anhang A aufgeführten Themenbereiche für Studios und Lieferanten bestimmen, damit Sie sich auf Kontrollmechanismen für die Verwaltung von Lieferanten, die Zugangsregelung, den Umgang mit sensiblen Informationen, die Sicherung der Entwicklung, die Überwachung des Betriebs und die Aufrechterhaltung des Betriebs bei Störungen konzentrieren, wo immer Anbieter Code, Inhalte oder den Live-Betrieb verwalten.
Die wichtigsten Bereiche von Anhang A für Spieleanbieter sind diejenigen, die Ihren kritischen Assets am nächsten liegen. Dazu gehören Kontrollmechanismen für das Lieferantenmanagement, die Zugriffsverwaltung, den Umgang mit sensiblen Daten, die Sicherung der Entwicklung, die Überwachung des Betriebs und die Aufrechterhaltung der Dienste bei Störungen. Die genaue Zusammensetzung hängt davon ab, welche Leistungen die einzelnen Anbieter für Sie erbringen und wie sie sich in Ihre Tools und Services integrieren.
Typische, für Spieleanbieter in Anhang A aufgeführte Themen mit hoher Priorität sind:
- Lieferantenbeziehungen und Cloud-Dienste: – Sicherheitsanforderungen an Lieferanten definieren, diese in Verträge aufnehmen und die Einhaltung im Laufe der Zeit überwachen.
- Zugriffskontrolle und Identitätsmanagement: – eindeutige Benutzerkonten, Prinzip der minimalen Berechtigungen, starke Authentifizierung, Prozesse für Beitritt, Wechsel und Austritt sowie regelmäßige Überprüfungen kritischer Systeme.
- Informationsklassifizierung und -verarbeitung: – Regeln für die Kennzeichnung, Speicherung, Übermittlung und Vernichtung sensibler Daten wie unveröffentlichter Inhalte und Spielerdaten.
- Sichere Entwicklung und sicheres Änderungsmanagement: – Erwartungen an die Art und Weise, wie Code geschrieben, überprüft, getestet und zwischen verschiedenen Umgebungen, einschließlich externer Mitwirkender, weitergegeben wird.
- Betriebssicherheit, Protokollierung und Überwachung: – Härtung, kontrollierte Änderungen und Protokolle, die überprüft werden, damit Missbrauch oder Kompromittierung erkannt und untersucht werden können.
- Geschäftskontinuität und Vorfallmanagement: – klare Verantwortlichkeiten und Handlungsanweisungen für den Fall, dass die Umgebung eines Anbieters ausfällt oder kompromittiert wird.
Diese Themen werden je nach Anbieterkategorie unterschiedlich gewichtet. Ein Co-Entwicklungsstudio mit vollem Zugriff auf die Engine-Branches erfordert eine eingehende Prüfung hinsichtlich sicherer Entwicklung und Zugriffskontrolle, selbst wenn dort keine Produktionsdaten eingesehen werden. Ein Analyseanbieter, der Telemetriedaten von Nutzern in der Cloud verarbeitet, benötigt mehr Aufmerksamkeit für Datenschutz, Protokollierung und Reaktion auf Sicherheitsvorfälle.
Die Erwartungen sollten je nach Anbieterstufe und Art des Anbieters angepasst werden.
Sobald Sie wissen, welche Kontrollthemen wirklich wichtig sind und wie sie mit Ihren größten Risiken zusammenhängen, können Sie daraus konkrete Erwartungen je nach Anbieterkategorie und -typ ableiten. So werden Studios mit hohem Risiko einer eingehenderen Prüfung unterzogen, während für kleinere, weniger kritische Anbieter weniger strenge und fairere Anforderungen gelten. Dies beugt einer Überforderung durch wiederholte Prüfungen vor und sorgt dafür, dass Ihre Sicherheitsanforderungen in Ihrem gesamten ausgelagerten Spiele-Ökosystem angemessen und transparent erscheinen.
Sobald Sie die in Anhang A aufgeführten Themen identifiziert haben, die Ihren größten Risiken entsprechen, können Sie daraus konkrete Erwartungen an jede Lieferantenebene ableiten. So vermeiden Sie Zeitverschwendung mit Lieferanten mit geringem Einfluss und stellen gleichzeitig sicher, dass Partner, die mit Ihren sensibelsten Daten arbeiten, höheren und klareren Anforderungen genügen müssen.
Nehmen Sie sich die Zeit, in einfacher Sprache aufzuschreiben, welche Kontrollbereiche es sind:
- nicht verhandelbar: für jeden Partner, der Ihr geistiges Eigentum oder Ihre Spieler berührt.
- Wichtig für Hochrisiko-Lieferanten: , wo Sie eine starke Ausrichtung erwarten
- „gut zu haben“: wo sie existieren, aber keine Voraussetzung sind
Dies bildet die Grundlage Ihrer Bewertungscheckliste und Ihrer Verhandlungsstrategie. Wenn ein Studio oder Dienstleister versteht, welche Kontrollmechanismen unerlässlich sind und warum, können Sie produktivere Gespräche darüber führen, wie sie aktuell arbeiten und was sich ändern muss.
Behandeln Sie diese Kontrollmatrix als ein dynamisches Dokument. Wenn Sie für die Sicherheit der Lieferanten oder die rechtliche Genehmigung verantwortlich sind, überprüfen Sie sie mindestens vierteljährlich, da neue Plattformen, Monetarisierungsmodelle und regulatorische Vorgaben das Risikoprofil verschiedener Lieferantenkategorien verändern.
Umwandlung von Anhang A in einen Lieferantenfragebogen und eine Checkliste
Sobald Sie wissen, welche Kontrollen der ISO 27001 am wichtigsten sind, benötigen Sie eine einfache, wiederholbare Methode, um Spielestudios und Content-Anbieter in einer für sie verständlichen Sprache danach zu befragen. Ein an Anhang A ausgerichteter Fragebogen und eine Checkliste wandeln abstrakte Kontrollziele in konkrete Fragen und Nachweise um, mit denen auch Nicht-Fachleute arbeiten können.
Teams, die dies erfolgreich umsetzen, einigen sich in der Regel auf einen prägnanten Kernfragenkatalog, der für Lieferanten mit höherem Risiko erweitert werden kann. Plattformen wie ISMS.online tragen dazu bei, dies in strukturierte Arbeitsabläufe zu standardisieren, sodass Antworten, Nachweise und Bewertungen über viele Anbieter hinweg einheitlich und nachvollziehbar sind.
Entwerfen Sie einen einfachen, an Anhang A ausgerichteten Fragensatz
Ein guter Fragebogen für Studios und Content-Lieferanten geht von dem aus, was man sich wünscht, arbeitet sich dann rückwärts zu beobachtbarer Praxis und schließlich zu Fragen, die echte Menschen beantworten können. Ein prägnanter, strukturierter Fragenkatalog, der eng an die Themen von Anhang A und Ihre eigenen Baselines angelehnt ist, ist für die Anbieter leichter auszufüllen und für Ihre Teams leichter auszuwerten, ohne endlose Nachfragen oder vage Zusicherungen.
Ein prägnanter, strukturierter Fragenkatalog ist für Anbieter leichter zu beantworten und für Ihre Teams einfacher auszuwerten. Gehen Sie vom Kontrollziel aus, berücksichtigen Sie beobachtbare Anzeichen und formulieren Sie die Fragen so, dass sie auch von Mitarbeitern eines Studios oder Lieferanten verstanden und ehrlich beantwortet werden können, selbst wenn diese keine Sicherheitsexperten sind.
Eine einfache Methode funktioniert gut:
Schritt 1: Formulieren Sie das Kontrollziel in Ihren eigenen Worten
Formulieren Sie in einfacher Sprache, was gelten soll. Zum Beispiel: „Nur autorisierte Personen haben Zugriff auf unsere Quellcode-Repositories, und ihr Zugriff entspricht ihrer Rolle.“
Schritt 2: Beobachtbare Praktiken oder Artefakte auflisten
Ermitteln Sie, welche Art von Nachweisen Ihnen Vertrauen geben würden. Richtlinien, Prozessbeschreibungen, Zugriffslisten, Diagramme und Beispielprotokolle sind hilfreich. Sie wollen den Anbieter nicht umfassend prüfen; Sie benötigen lediglich genügend Anhaltspunkte, um festzustellen, ob seine Vorgehensweise Ihren Erwartungen entspricht.
Schritt 3: Formulieren Sie einige gezielte Fragen
Erstellen Sie pro Kontrollpunkt ein bis drei Fragen, die ein Mitarbeiter des Anbieters beantworten kann. Kombinieren Sie geschlossene Fragen mit Antwortmöglichkeiten (zur Bewertung) und wenigen offenen Fragen, wenn Sie Kontext benötigen. Vermeiden Sie Fachjargon: Fragen Sie beispielsweise „Wer kann den Zugriff auf unseren Code genehmigen?“ anstatt „Beschreiben Sie Ihr Rahmenwerk für die Verwaltung privilegierter Zugriffe.“
Gruppieren Sie die Fragen in Abschnitte, die der Denkweise Ihrer internen Teams entsprechen, zum Beispiel:
- Unternehmensprofil und Unternehmensführung
- Informationssicherheitsmanagement (Richtlinien, Risiken, Rollen)
- Personen- und Personalsicherheit
- physische und Studiosicherheit
- technische Kontrollen (Zugriff, Protokollierung, Konfiguration)
- Sicherheit von Code und Build-Pipeline
- Inhalts- und IP-Verwaltung
- Datenschutz und Privatsphäre
- Vorfallreaktion und Geschäftskontinuität
Machen Sie von vornherein deutlich, dass eine Zertifizierung zwar hilfreich, aber nicht ausreichend ist. Ein Studio, das Ihnen ein Zertifikat ausstellt, muss dennoch nachweisen, dass die relevanten Teile seines Leistungsumfangs die Arbeiten abdecken, die es für Sie ausführen wird. Umgekehrt kann ein kleinerer Anbieter von Kunst- oder Audioprodukten ohne Zertifikat dennoch über sinnvolle Kontrollmechanismen verfügen und lediglich einen kürzeren, zielgerichteten Fragebogen benötigen.
Tier-Anbieter und integrierte Scoring- und Skip-Logik
Durch die Einteilung in Stufen und die Anwendung von Sprunglogik wird sichergestellt, dass die Zeit der Beteiligten respektiert wird, indem nur die Fragen gestellt werden, die tatsächlich für die Rolle und das Risikoniveau eines Anbieters relevant sind. So bleibt Ihr Prozess auch bei zunehmender Größe praktikabel, während die Grundsätze der ISO 27001 in allen Studios und bei allen Lieferanten konsequent angewendet werden.
Selbst ein gut formulierter Fragebogen kann zu unnötiger Arbeit führen, wenn jeder Anbieter jede Frage beantworten muss. Durch die Verwendung von Stufen- und Sprunglogik bleibt der Prozess praktikabel und Sie können sich auf das Wesentliche konzentrieren, während die Prinzipien der ISO 27001 konsequent angewendet werden.
Um den Prozess verhältnismäßig zu gestalten:
- Definieren Sie die Anbieterkategorien im Voraus (z. B. kritisch, wichtig und geringes Risiko) basierend auf Ihrer zuvor erstellten Angriffsflächenanalyse.
- Jeder Stufe sollte eine unterschiedliche Tiefe der Befragung und der Nachweise zugewiesen werden; Anbieter mit geringem Risiko beantworten möglicherweise nur einen kurzen Kernfragenkatalog.
- Integrieren Sie eine Sprunglogik in den Fragebogen, sodass den Anbietern nur Fragen angezeigt werden, die sich auf ihre tatsächlichen Leistungen für Sie beziehen.
Definieren Sie abschließend einen einfachen Bewertungsbogen, damit verschiedene Gutachter die Antworten einheitlich interpretieren. Eine vierstufige Skala von „nicht vorhanden“ über „geplant“ und „teilweise vorhanden“ bis hin zu „vorhanden, getestet und nachgewiesen“ eignet sich gut und entspricht dem Fokus von Anhang A auf implementierte und wirksame Kontrollmaßnahmen.
Bei der Auswertung der Antworten werden Sie schnell Muster erkennen, die direkt damit zusammenhängen, wie Anbieter in Ihre Systeme integriert werden, Pipelines und Content-Workflows erstellen – genau hier muss Anhang A in der Praxis verankert werden. Wenn Sie für die Durchführung dieses Prozesses verantwortlich sind, betrachten Sie den ersten Durchgang als Pilotprojekt, optimieren Sie Ihre Fragen und die Bewertungskriterien und legen Sie diese anschließend als Standardvorgehen fest.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Anwendung von Steuerelementen auf Engines, Build-Pipelines und Content-Workflows
Anhang A gewinnt nur dann das Vertrauen von Ingenieuren und Content-Teams, wenn Sie aufzeigen können, wie seine allgemein formulierten Kontrollen die realen Praktiken in den Engines, Repositories, Build-Pipelines, Content-Tools und Cloud-Umgebungen prägen, die Ihre Studios und Lieferanten tatsächlich verwenden, indem Sie abstrakte Erwartungen in konkrete Regeln übersetzen, wie diese auf die für Ihre Spiele wichtigen Dinge zugreifen, sie ändern und hosten.
Anhang A beschreibt Kontrollen in allgemeinen Begriffen, doch Ihre Anbieter arbeiten mit Engines, Repositories, Build-Pipelines, Content-Tools und Cloud-Umgebungen. Damit ISO 27001 für sie verständlich wird, müssen Sie abstrakte Kontrollen in konkrete Erwartungen übersetzen, wie sie auf die für Ihre Spiele relevanten Daten zugreifen, diese ändern und hosten.
Studios, denen diese Übersetzung gut gelingt, konzentrieren sich oft zunächst auf einige wenige Vorzeigeprojekte und risikoreiche Partner und verallgemeinern dann die gewonnenen Erkenntnisse. ISMS.online kann hierbei helfen, indem es Kontrollaussagen und Nachweise mit spezifischen Systemen und Arbeitsabläufen verknüpft, anstatt sie als allgemeinen Richtlinientext zu belassen.
Map Annex A controls into code and build pipelines
Für Anbieter, die Zugriff auf Ihren Code und Ihre Build-Systeme haben, sollten die Kontrollen gemäß Anhang A eher wie vernünftige technische Hygiene als wie externe Bürokratie wirken und sich klar auf die alltäglichen Praktiken in den von ihnen verwendeten Engines, Branches und Build-Tools abbilden lassen, sodass Sie eindeutige Identitäten, eine klare Trennung der Aufgaben, eine definierte Änderungskontrolle und Protokolle sehen, die bei einer Untersuchung tatsächlich hilfreich wären.
Für Co-Entwicklungsstudios, Portierungspartner oder Tool-Anbieter, die sich in Ihre Codebasis und Build-Systeme integrieren, lassen sich die Steuerelemente von Anhang A nahtlos in die alltägliche Entwicklungspraxis integrieren. Indem Sie Fragen in Bezug auf Engines, Branches und Build-Tools formulieren, erleichtern Sie es technischen Projektleitern zu verstehen, was „gut genug“ bedeutet.
Prüfen Sie bei Code- und Build-Pipelines, wie die Steuerelemente mit Ihrer Toolchain übereinstimmen:
- Zugriffskontrolle und Identität: – eindeutige Konten für jede Person und jeden Dienst, starke Authentifizierung und rollenbasierte Berechtigungen für Repositories, Projektboards und Build-Systeme
- Änderungskontrolle: – klar definierte Branching-Strategien, Anforderungen an Code-Reviews, geschützte Branches sowie Build- und Release-Genehmigungen
- sichere Konfiguration: – gehärtete und gepatchte Build-Agenten, standardisierte Pipeline-Definitionen und Entfernung unnötiger Tools und Dienste
- Protokollierung und Überwachung: – Protokolle über Zugriffe und wichtige Aktionen in Repositories und Build-Tools, mit einem Prozess zur Überprüfung ungewöhnlicher Aktivitäten
- Abgrenzung: – klare Trennung zwischen Entwicklungs-, Test- und Produktionsumgebungen sowie zwischen den Arbeitsbereichen der Anbieter und Ihrer Kerninfrastruktur
Bei der Bewertung eines Anbieters sollten Sie ihn bitten, darzulegen, wie diese Praktiken überall dort Anwendung finden, wo sie Ihren Code oder Ihre Pipelines berühren. Sie fordern ihn nicht auf, seine gesamte Technologieinfrastruktur von Grund auf neu zu entwickeln; Sie prüfen lediglich, ob die Komponenten, die mit Ihren Ressourcen interagieren, einen vereinbarten Mindeststandard erfüllen.
Übertragen Sie diese Denkweise auf Content-Workflows und die Cloud.
Content-Pipelines und Cloud-Umgebungen bergen unterschiedliche Risiken, aber die gleichen Ideen aus Anhang A gelten weiterhin, wenn man sie in Bezug auf die beteiligten Tools, Standorte und Personen ausdrückt: weitläufige Workflows für Kunst, Audio und Lokalisierung in Heimnetzwerken und Dateiaustauschdiensten sowie konzentrierte Risiken in Cloud-basierten Backends und Analyseplattformen, wo eine solide Konfiguration und Überwachung von größter Bedeutung sind.
Content-Pipelines und Cloud-Umgebungen bergen unterschiedliche, aber miteinander verbundene Risiken. Workflows für Grafik, Audio und Lokalisierung erstrecken sich oft über verschiedene Tools, Heimnetzwerke und Dateiaustauschdienste, während Cloud-basierte Backends und Analyseplattformen das Risiko auf wenige leistungsstarke Systeme konzentrieren. Anhang A bleibt weiterhin gültig; die Kontrollkonzepte werden lediglich etwas anders formuliert.
Für Content-Workflows sollte ein ähnliches Vorgehen angewendet werden:
- Segmentierte Asset-Bibliotheken mit projekt- und rollenbasiertem Zugriff.
- Exportoptionen kontrollieren und, wo möglich, mit Wasserzeichen versehene oder verschleierte Vorabversionen verwenden.
- Statt spontaner Dateifreigabe oder persönlicher Cloud-Konten sollten genehmigte Kollaborationstools mit durchgesetzten Zugriffskontrollen verwendet werden.
- Legen Sie klare Regeln für die Arbeit im Homeoffice fest, insbesondere in Bezug auf lokale Kopien, gemeinsam genutzte Geräte und die Privatsphäre am physischen Arbeitsplatz.
Die Cloud fügt eine weitere Ebene hinzu. Viele Studios und Dienstleister arbeiten in ihrer eigenen Domäne; manche nutzen eine von Ihnen bereitgestellte Umgebung. In jedem Fall muss klar definiert sein, wer für Folgendes verantwortlich ist:
- Konfiguration der Identitäts- und Zugriffsverwaltung
- Auswahl von Regionen und Verfügbarkeitsoptionen
- Härtung und Patching von virtuellen Maschinen, Containern und Managed Services
- Konfiguration von Protokollierung, Aufbewahrung und Benachrichtigungen
Sie prüfen nicht deren gesamte IT-Infrastruktur, benötigen aber ausreichende Gewissheit, dass die Teile ihrer Umgebung, die Ihre Assets verwalten, Ihren vereinbarten Kontrollstandards entsprechen. In der Praxis bedeutet dies eine Kombination aus Fragebogenfragen, gezielten Nachweisen (z. B. einem anonymisierten Screenshot der Zugriffseinstellungen) und, bei Anbietern mit höherem Risiko, dem Recht, Einstellungen detaillierter zu besprechen oder zu überprüfen.
Sobald Sie konkrete Erwartungen darüber haben, wie Kontrollen auf reale Werkzeuge und Arbeitsabläufe anzuwenden sind, können Sie viel genauer festlegen, welche Nachweise Sie benötigen und wie Sie diese bewerten.
Nachweise, Bewertung und Steuerung des Studio- und Lieferantenrisikos
Bei der Bewertung von Spielestudios und Inhaltsanbietern führen Fragebögen ohne Belege, Bewertungskriterien und Governance-Strukturen lediglich zu unnötigem Papierkram. Um Ihre auf Annex A basierenden Bewertungen aussagekräftig zu gestalten, benötigen Sie klare Nachweiserwartungen je nach Anbieterstufe, einfache Bewertungsregeln und einen Governance-Kreislauf, der Antworten in Entscheidungen und Folgemaßnahmen umsetzt.
Ein Fragebogen ohne Belege ist nichts weiter als eine Ansammlung von Behauptungen. Damit Ihre Bewertungen gemäß Anhang A aussagekräftig sind, müssen Sie klar definieren, welche Nachweise Sie von den Anbietern erwarten, wie Sie diese bewerten und wie die Ergebnisse in konkrete Entscheidungen über Ihre Geschäftspartner und deren Bedingungen einfließen.
Studios, die dies ernst nehmen, definieren in der Regel einen Mindeststandard an Nachweisen pro Stufe und vereinbaren im Voraus, was passiert, wenn die Bewertung eines Anbieters unter diesen Standard fällt. Das reduziert spätere Streitigkeiten und sorgt dafür, dass sich Einkauf, Sicherheit und Rechtsabteilung wie ein Team und nicht wie drei konkurrierende Kontrollinstanzen anfühlen.
Definition der Nachweisanforderungen nach Anbieterebene
Die Anforderungen an die Nachweise sollten mit dem Risiko steigen. Daher verlangt man von kritischen Anbietern, die mit Code, Live-Diensten oder Spielerdaten arbeiten, mehr als von kleinen Anbietern, die mit einfachen Assets arbeiten. Wenn man diese Erwartungen im Voraus dokumentiert, wissen die Anbieter, was auf sie zukommt, und die internen Prüfer bleiben einheitlich.
Die Anforderungen an die Nachweise sollten dem Risiko angemessen sein. Kritische Studios und Live-Service-Anbieter rechtfertigen eine genauere Prüfung als Anbieter mit geringem Risiko, die lediglich mit Wasserzeichen versehene Marketingmaterialien verarbeiten. Klare Erwartungen im Vorfeld erleichtern die Arbeit für die Anbieter und reduzieren spätere Streitigkeiten.
Definieren Sie zunächst einen Mindestumfang an Nachweisen pro Anbieterstufe. Zum Beispiel:
- Kritische Lieferanten: – den Umfang ihres ISMS, ihrer Zugriffskontrollrichtlinien, ihres Vorgehens bei Sicherheitsvorfällen und ihrer starken Authentifizierung auf Schlüsselsystemen aufzeigen.
- Wichtige, aber nicht kritische Lieferanten: – Erläutern Sie, wie der Zugriff auf Ihre Assets verwaltet wird, wo diese Assets gespeichert werden und bestätigen Sie grundlegende Sicherheitsvorkehrungen wie z. B. Datensicherungen.
- Lieferanten mit geringem Risiko: – Beschreiben Sie, wie Ihre Dateien gespeichert und weitergegeben werden, und geben Sie alle bestehenden Bestätigungen oder Richtlinien an, die bereits gelten.
Eine übersichtliche Tabelle hilft Ihnen, die verschiedenen Stufen auf einen Blick zu vergleichen. Sie fasst die Mindestanforderungen zusammen und listet nicht jedes mögliche Dokument auf, das Ihnen vorgelegt werden könnte.
| Anbieterebene | Typische Arbeit | Fokus auf minimale Beweisführung |
|---|---|---|
| Kritische | Code, Live-Dienste, Spielerdaten | ISMS-Geltungsbereich, Richtlinien, Diagramme, Vorfälle |
| Wichtig | Sensible Daten, interne Tools | Zugriff, Speicherorte, Datensicherungen |
| Niedriges Risiko | Flache oder öffentlichkeitsähnliche Materialien | Speicher- und Freigabeansatz |
Diese Tabelle hilft Ihnen, den Stakeholdern bei alltäglichen Entscheidungen zu erklären, warum Sie von einem kleinen Anbieter zwei kurze Antworten verlangen, während Sie von einem großen Co-Entwicklungspartner die Bereitstellung von Diagrammen, Richtlinien und Beispielen für Vorfälle fordern.
Kombinieren Sie die Ergebnisse der Fragebögen und die nachgewiesene Vertrauenswürdigkeit zu einem einfachen Bewertungsmodell. Gewichten Sie Kontrollen stärker, wenn ein Fehler direkt Quellcode, unveröffentlichte Inhalte, Produktionsdienste oder Spielerdaten offenlegen würde. Berechnen Sie ein Gesamtrisikoniveau, aber berücksichtigen Sie auch Muster: Ein Anbieter mit starken technischen Kontrollen, aber ohne Vorfallsmanagementprozess, könnte unter bestimmten Bedingungen akzeptabel sein; ein Anbieter mit guten Richtlinien, aber schwachen Zugriffspraktiken auf Repositories muss dies möglicherweise beheben, bevor die Arbeit beginnt.
Ratings in Governance, Sanierungsmaßnahmen und Neubewertung umwandeln
Bewertungsnoten sind nur dann nützlich, wenn sie Entscheidungen beeinflussen. Daher müssen Sie die Bewertungen an klare Schwellenwerte, Bedingungen und Folgemaßnahmen knüpfen, die definieren, was die verschiedenen Noten bedeuten, wie Sie mit Ergebnissen umgehen, die unter „Bedingungen erfüllt“ stehen, und wie sich die Leistung des Anbieters auf Verträge, Projektentscheidungen und zukünftige Arbeiten für die gemeinsam entwickelten Spiele auswirkt.
Bewertungen sind nur dann sinnvoll, wenn sie Entscheidungen beeinflussen. Governance definiert die Bedeutung der verschiedenen Punktzahlen, den Umgang mit Ergebnissen, die unter bestimmten Bedingungen erzielt werden, und wie die Leistung von Anbietern in Verträge, Projektentscheidungen und zukünftige Arbeiten einfließt.
Im Voraus entscheiden:
- Welche Risikostufen sind für welche Arten von Arbeiten akzeptabel?
- Was bedeutet „unter bestimmten Bedingungen“ in der Praxis, z. B. die Aktivierung der Multi-Faktor-Authentifizierung für die Quellcodeverwaltung innerhalb eines festgelegten Zeitraums oder die Beschränkung des Zugriffs auf bestimmte Zweige?
- wie Ergebnisse in Vertragsklauseln wie Sicherheitspläne, Service-Levels, Prüfrechte und Kündigungsrechte einfließen
- Wer ist für die Nachverfolgung von Sanierungsmaßnahmen und Neubewertungen zuständig?
Integrieren Sie diese Kontrollpunkte in Ihren Lieferantenlebenszyklus: bei der Lieferantenauswahl, im Rahmen von Angebotsanfragen, vor Vertragsunterzeichnung, bei wichtigen Projektmeilensteinen und bei Vertragsverlängerungen. Führen Sie umfassende Bewertungen in festgelegten Abständen für kritische Lieferanten durch und wiederholen Sie diese, wenn sich etwas Wichtiges ändert, wie beispielsweise der Wechsel zu einer neuen Plattform oder eine wesentliche Erweiterung des Leistungsumfangs.
Wenn Sie diese Schritte als festen Bestandteil Ihrer Auswahl und Ihres Managements von Studios und Lieferanten betrachten, anstatt sie nur einmal jährlich zur Erfüllung der Vorschriften durchzuführen, wird sich Ihr auf Anhang A basierender Ansatz viel eher wie eine Unterstützung für die Produktion als wie ein Hindernis anfühlen. Wenn Sie diesen Prozess über eine dedizierte ISMS-Plattform durchführen, erhalten Sie zudem Transparenz, wenn Prüfer oder Vorstandsmitglieder nachfragen, wie Sie die Sicherheit eines bestimmten Partners beurteilt haben.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Zusammenarbeit mit Partnern, die sich an den Standards von ISO 27001 orientieren, und kontinuierliche Verbesserung im Laufe der Zeit
Wenn ein Spielestudio oder ein Inhaltsanbieter behauptet, „ISO 27001-konform“ zu sein, sollten Sie dies als nützliches Signal für weitere Untersuchungen betrachten und nicht als alleiniges Urteil, das Sie annehmen oder ablehnen müssen. Denn dieses Label kann alles umfassen, von einem gut geführten, aber nicht zertifizierten ISMS bis hin zu einer Handvoll übernommener Vorlagen. Anhang A hilft Ihnen dabei, die Behauptung in beobachtbare Praxis umzusetzen und gegebenenfalls einen realistischen Verbesserungsplan zu entwickeln.
Sie werden vielen Anbietern begegnen, die angeben, „ISO 27001-konform“ zu sein oder „auf eine Zertifizierung hinzuarbeiten“. Diese Formulierungen können ein breites Spektrum abdecken – von einem gut geführten, aber nicht zertifizierten ISMS bis hin zu einigen übernommenen Vorlagen und improvisierten Vorgehensweisen. Anhang A bietet Ihnen die Möglichkeit, diese Aussagen konstruktiv zu überprüfen und sie in einen Fahrplan für gemeinsame Verbesserungen umzuwandeln, anstatt sie einfach als bestanden oder nicht bestanden zu bewerten.
Studios und Zulieferer, die wirklich in eine enge Zusammenarbeit investieren, begrüßen in der Regel gezielte Fragen und klare Erwartungen. Wer sich hingegen auf das Label als Marketinginstrument verlässt, wird Schwierigkeiten haben, Umfang, Risiken und Kontrollmöglichkeiten praxisnah zu erläutern.
Betrachten Sie „ISO 27001-konform“ als Ausgangspunkt, nicht als Urteil.
„ISO 27001-konform“ bedeutet oft „wir verstehen den Standard und haben bereits damit begonnen, etwas zu unternehmen“. Ihr Ziel sollte es daher sein zu verstehen, wie sich das konkret in den Systemen und Arbeitsabläufen darstellt, die Ihre Spiele betreffen, und wie nahe diese dem Niveau einer strukturierten, risikobasierten Kontrolle kommen, das Sie erwarten.
Wenn ein Studio oder ein Lieferant angibt, ISO 27001-konform zu sein, ist dies in der Regel ein Zeichen dafür, dass er den Standard anerkennt und zumindest einige Schritte in Richtung strukturierter Sicherheit unternommen hat. Ihre Aufgabe ist es, zu verstehen, was dies in der Praxis für die Systeme und Arbeitsabläufe bedeutet, die Ihre Assets betreffen, und wie nah diese dem von Ihnen erwarteten Kontrollniveau kommen.
Betrachten Sie diese Behauptungen als Ausgangspunkt, nicht als Gütesiegel. Bitten Sie sie um eine praktische Erklärung:
- was ihr Informationssicherheitsbereich ist
- wie sie Risiken identifizieren und bewerten
- wie sie Kontrollen auswählen und implementieren
- wie sie Kontrollen überwachen und sich im Laufe der Zeit verbessern
Nutzen Sie anschließend Ihren auf Anhang A basierenden Fragebogen, um zu prüfen, ob sich diese Antworten in der Praxis der für Sie relevanten Systeme und Prozesse widerspiegeln. Sollten Lücken bei kritischen Kontrollen bestehen, müssen Sie die Zusammenarbeit nicht sofort beenden; Sie können einen Sanierungsplan mit realistischen Meilensteinen und klaren Bedingungen für die zu erbringenden Leistungen vereinbaren.
Die Ergebnisse von Anhang A als Grundlage für realistische Sanierungsmaßnahmen nutzen
Anhang A ist am wirkungsvollsten, wenn er es Ihnen ermöglicht, von „Das fühlt sich schwach an“ zu „Hier ist genau, was sich ändern muss und wann“ zu gelangen. Indem Sie Erkenntnisse mit konkreten Kontrollen in Bezug auf Zugriff, Vorfallsbearbeitung oder Entwicklung verknüpfen, können Sie vage Bedenken in konkrete, verhandelbare Änderungen und Zeitpläne umwandeln, die beide Seiten schützen und Ihre ausgelagerte Spieleentwicklung auf Kurs halten.
Anhang A hilft Ihnen dabei, von vagen Bedenken zu konkreten, verhandelbaren Änderungen zu gelangen. Anstatt zu sagen „Ihre Sicherheit ist schwach“, können Sie beispielsweise sagen „Wir benötigen eine stärkere Zugriffskontrolle auf Ihre Quellcode-Repositories“ oder „Wir benötigen mehr Klarheit darüber, wie Sie auf Vorfälle mit unseren Daten reagieren“ und messbare Erwartungen und Zeitpläne festlegen.
Sie werden auch Kompromisse eingehen müssen. Manche Kontrollmaßnahmen sind unerlässlich, wenn Ihre geistigen Eigentumsrechte oder Spielerdaten betroffen sind, unabhängig von der Größe oder dem Budget des Anbieters. Andere lassen sich durch Ausgleichsmaßnahmen wie einen engeren Geltungsbereich, zusätzliche Überwachung Ihrerseits oder strengere vertragliche Verpflichtungen kompensieren. Dokumentieren Sie diese Entscheidungen und überprüfen Sie sie regelmäßig, wenn sich Ihre Risikobereitschaft, das regulatorische Umfeld oder Ihre Partnerlandschaft ändern.
Mit der Zeit können Sie die Ergebnisse Ihrer Bewertungen nutzen, um Ihr eigenes Programm zu optimieren. Fassen Sie die häufigsten Kontrolllücken, Verbesserungspotenziale und Vorfallsmuster Ihrer Lieferanten zusammen. Nutzen Sie diese Erkenntnisse, um Ihre Ausgangswerte anzupassen, Fragebögen zu aktualisieren, die Gewichtung der Bewertung zu verfeinern und interne Investitionen zu steuern.
Mit zunehmender Reife dieses Zyklus entwickelt sich Anhang A von einer reinen Kontrollliste zu einem praktischen Rahmen für kontinuierliche Verbesserungen in Ihrem gesamten Outsourcing-Ökosystem. Wenn Sie für die Sicherheit Ihrer Lieferanten in Ihrem Unternehmen verantwortlich sind, sollten Sie diesen Verbesserungsprozess als festen Bestandteil der regulären Planung Ihres Teams und nicht als nachträgliche Überlegung betrachten.
Buchen Sie noch heute eine Demo mit ISMS.online
ISMS.online hilft Ihnen dabei, all diese Leitlinien in ein praktisches, ISO 27001-konformes Lieferantensicherheitsprogramm umzusetzen, das der tatsächlichen Arbeitsweise von Spielestudios und Content-Anbietern entspricht. So geht es bei der Bewertung von Spielestudios und Content-Lieferanten nach ISO 27001:2022 weniger darum, alle dem gleichen Audit zu unterziehen, sondern vielmehr darum, einen konsistenten, risikobasierten Prozess durchzuführen, der von Ihrer tatsächlichen ausgelagerten Angriffsfläche ausgeht, Anhang A als gemeinsame Sprache verwendet und angemessene Kontrollen, Nachweise und Governance auf die wichtigsten Beziehungen anwendet.
Wenn man diese Elemente zusammenfügt, geht es bei der Bewertung von Spielestudios und Content-Lieferanten nach ISO 27001:2022 weniger darum, alle dem gleichen Audit zu unterziehen, sondern vielmehr darum, einen konsistenten, risikobasierten Prozess durchzuführen. Man geht von der tatsächlichen Angriffsfläche der ausgelagerten Unternehmen aus, verwendet Anhang A als gemeinsame Sprache und wendet dann angemessene Kontrollen, Nachweise und Governance-Strukturen auf die wichtigsten Beziehungen an.
Entwickeln Sie ein wiederholbares, spielbezogenes Lieferantensicherheitsprogramm
Ein praxisorientiertes Programm bietet Ihnen einen klaren Überblick über Ihre Outsourcing-Risiken und eine strukturierte Entscheidungsfindung – anstelle eines unübersichtlichen Fragebogens. Das bedeutet: eine aktuelle, spielbezogene Übersicht Ihrer Dienstleister, gemäß Anhang A angepasste Kontrollvorgaben für verschiedene Ebenen und einen Bewertungs-Workflow, den alle Mitarbeiter Ihres Studios verstehen und anwenden können.
Sie streben typischerweise Folgendes an:
- eine aktuelle, spielbezogene Karte Ihrer ausgelagerten Angriffsfläche
- eine dokumentierte, an Anhang A ausgerichtete Kontrollbasislinie für verschiedene Lieferantenstufen
- ein Fragebogen und eine Checkliste mit Nachweisen, die von Nicht-Fachleuten ausgefüllt und von Gutachtern bewertet werden können.
- Ein einfaches Bewertungsmodell, das detaillierte Antworten in klare „Ja“, „Ja unter Auflagen“ oder „Nein“-Entscheidungen umwandelt.
- ein Steuerungskreislauf, der die Ergebnisse mit Verträgen, Abhilfemaßnahmen und Neubewertung verknüpft
Viele Teams verwalten die Anfangsphase mit Tabellenkalkulationen und gemeinsam genutzten Ordnern. Mit steigender Anzahl an Lieferanten, wiederholten Bewertungen und der Notwendigkeit, Nachweise für Audits oder Berichte an den Vorstand wiederzuverwenden, wird dies schnell unübersichtlich. An diesem Punkt kann eine ISMS-Plattform, die ISO 27001 bereits unterstützt und Lieferantenbewertungen durchführt, viel manuelle Arbeit ersparen und Ihnen eine nachvollziehbare Dokumentation für interne und externe Stakeholder bieten.
Fang klein an, lerne schnell und mache die Sicherheit von Anbietern zu einem Bestandteil deines Auslieferungsprozesses für Spiele.
Sie benötigen nicht von Anfang an einen perfekten, unternehmensweiten Prozess; Sie brauchen etwas Kleines, Fokussiertes und Wiederholbares, das Sie optimieren können. Indem Sie Ihren Ansatz mit einigen risikoreichen Studios und Zulieferern testen, lernen Sie schnell und gewinnen interne Unterstützung, bevor Sie ihn auf Ihr gesamtes Ökosystem ausweiten.
Ein praktischer Einstieg wäre:
- Teilen Sie Ihre wichtigsten Lieferanten in einige wenige risikobasierte Kategorien ein.
- Führen Sie eine erste Runde von Bewertungen gemäß Anhang A für diese Auswahlliste durch.
- Passen Sie Ihren Fragebogen, Ihre Erwartungen an die Nachweise und Ihr Bewertungsmodell anhand der Ergebnisse an.
Von dort aus können Sie den Ansatz schrittweise auf weitere Anbieter ausweiten, Prüfpunkte für die Bewertung in die Beschaffung und Vertragsverlängerung integrieren und die Verknüpfung zwischen Bewertungsergebnissen und Produktionsentscheidungen stärken. Je mehr Sie die Anbietersicherheit als integralen Bestandteil der Entwicklung, des Aufbaus und des Betriebs von Spielen betrachten – und nicht als nachträgliche Compliance-Aufgabe –, desto selbstverständlicher wird ISO 27001 für Ihre Teams und Partner.
Letztendlich ist das Ziel einfach: eine strukturierte, wiederholbare Methode, um die Sicherheitslage der Studios und Zulieferer, auf die Sie beim Veröffentlichen und Betreiben Ihrer Spiele angewiesen sind, zu verstehen, zu vergleichen und zu verbessern. Sobald Sie dies erreicht haben, stellt ISO 27001 keine Hürde mehr dar, sondern wird Teil der kreativen Infrastruktur, die es Ihnen ermöglicht, ambitionierte Welten mit Zuversicht zu erschaffen.
Wenn Sie möchten, dass sich die nach ISO 27001 konforme Lieferantensicherheit wie ein integraler Bestandteil Ihres Produktionsablaufs anfühlt und nicht wie eine zusätzliche Belastung, dann wählen Sie ISMS.online, wenn Sie Struktur, Transparenz und eine nachvollziehbare Dokumentation über alle Ihre Studios und Lieferanten hinweg benötigen.
KontaktHäufig gestellte Fragen (FAQ)
Wie kann ich Lieferantenbewertungen nach ISO 27001 auf einer einzigen Folie Nicht-Sicherheitsakteuren erklären?
Erläutern Sie die auf ISO 27001 basierenden Lieferantenbewertungen als Eine einfache Möglichkeit, Lecks, Ausfälle und Datenprobleme von Ihrem Spiel fernzuhalten, indem Sie sicherere Partner auswählen., nicht als Lektion in Sachen Standards.
Verankern Sie alles in drei bekannten Risiken
Nicht-sicherheitsrelevante Akteure befürchten bereits jetzt eine kurze Liste möglicher Folgen:
- Undichtigkeiten: – unveröffentlichte Story-Beats, Aufbauten oder Grafiken, die vor dem Start durchgesickert sind
- Ausfälle: – Veröffentlichungstermine verschieben sich, Live-Dienste fallen aus, Bewertungen sinken
- Datenproblem: – schwierige Fragen von Plattformen, Kunden oder Regulierungsbehörden zum Umgang mit Spielerdaten
Beginnen Sie Ihre Folie mit einem Satz, der diese Risiken miteinander verbindet:
Durch unsere Lieferantenbewertung minimieren wir das Risiko von Datenlecks, Ausfällen und Datenproblemen bei der Zusammenarbeit mit unseren Partnern.
Sie haben ISO 27001 nun als Instrument zum Schutz dargestellt. Veröffentlichungen, Reputation und Umsatz, was für Produzenten, Marketing und Finanzen bereits relevant ist.
Übersetzen Sie die Themen der ISO 27001 in vier alltägliche Prüfpunkte
Anstatt Anhang A oder Klauselnummern zu erwähnen, zeigen Sie eine kleine zweispaltige Ansicht, die wie Studiosprache klingt:
| Was wir prüfen | Was das wirklich für dieses Spiel bedeutet |
|---|---|
| Wer kann rein | Wer hat Zugriff auf unsere Repositories, Build-Systeme, Tools und Inhalte? |
| Wie die Arbeit erledigt wird | Wo Dateien, Screenshots und Dokumente gespeichert und geteilt werden |
| Wie mit Vorfällen umgegangen wird | Wie schnell Partner Probleme erkennen, eindämmen und uns darüber informieren |
| Wie sich ihre Lieferanten verhalten | Wie sie ihre eigenen Subunternehmer und Cloud-Dienste verwalten |
Man kann dann sagen:
Unser Fragebogen besteht im Wesentlichen aus diesen vier Ideen, formuliert in einfache Fragen, und einer kurzen Überprüfung der Nachweise für jeden Partner.
Jetzt die Informationssicherheits-Managementsystem (ISMS) Hinter den Kulissen wirkt es eher wie strukturierter, gesunder Menschenverstand als wie ein persönliches Projekt.
Zeigen Sie eine klare Entscheidung, nicht die Sanitäranlagen.
Die meisten Führungskräfte wollen drei Dinge wissen: Können wir diesen Partner nutzen? Unter welchen Bedingungen? Was könnte noch schiefgehen? Verwenden Sie eine einfache Ampelansicht:
- Grün: – sicher für diesen Bereich
- Bernstein: – nutzbar unter klaren Bedingungen (z. B.: Nur-Lese-Zugriff, zusätzliche Überwachung, Meilensteine für Verbesserungen)
- Rot: – derzeit nicht für diese Art von Arbeit geeignet
Fügen Sie unter jeder Farbe eine kurze Zeile pro Lieferant hinzu:
- Wo ihre Stärken liegen
- Was könnte noch schiefgehen?
- Was Sie empfehlen (z. B. „Nur für künstlerische Zwecke verwenden; kein Zugriff auf Code oder Builds“)
So dargestellt, wird Ihre ISO 27001-konforme Bewertung zu eine Entscheidungshilfe zum Schutz von Startskeine Checkliste, die sie ausbremst.
Verwenden Sie für jede Lenkungsausschusssitzung ein und dasselbe visuelle Element wieder.
Ein einziger sauberer Wisch von links nach rechts funktioniert gut:
Ergebnis (Leck / Ausfall / Datenproblem) → Risiko für dieses Spiel oder die Spieler → Was wir überprüfen (wer Zutritt erhält, wie die Arbeit abgewickelt wird, Vorfälle, deren Lieferanten) → 3–5 einfache Fragen pro Anbieter → Grün / Gelb / Rot + nächste Schritte
Wenn Sie diese Prüfungen, Fragen und Schwellenwerte in einem Informationssicherheitsmanagementsystem wie ISMS.online verwalten, können Sie diese Folie immer dann generieren, wenn jemand fragt: „Sind unsere Partner sicher genug für diese Version?“ Mit der Zeit werden Sie zu der Person, die „Sicherheitsformulare“ unauffällig in … verwandelt. schnellere, sicherere Anbieterentscheidungen für jedes Spiel.
Welche Arten von Spieleanbietern sollten bei der Bewertung nach ISO 27001 Anhang A Priorität haben?
Sie sollten die Lieferanten für die ISO 27001 Annex A-Bewertung priorisieren. Welchen Schaden könnte ein Kompromiss mit diesem Partner Ihrem Spiel oder den Spielern zufügen?nicht nach ihrer Mitarbeiterzahl oder ihrem Tagessatz.
Erstellen Sie ein dreistufiges Modell, das sich jeder merken kann.
Eine einfache, wirkungsorientierte Einteilung trägt dazu bei, dass Sicherheit, Produktion und Beschaffung aufeinander abgestimmt bleiben:
- Tier 1 – Kritische Partner:
Co-Entwicklungsstudios mit Zugriff auf Quellcode oder Build-Systeme, Live-Ops-Plattformen, Backend- und Analyseanbieter, Zahlungsabwicklung, Anti-Cheat-Systeme, Authentifizierungssysteme und Spielersupport. Eine Schwachstelle in diesem Bereich kann einen Launch verhindern oder Spieler direkt beeinträchtigen.
- Tier 2 – Wichtige Partner:
Anbieter von Grafiken, Audioinhalten, Lokalisierung, Qualitätssicherung und Tools, die sensible Assets, interne Tools oder Testumgebungen verwalten, aber nicht selbstständig Code in die Produktion überführen können.
- Stufe 3 – Partner mit geringerer Auswirkung:
Agenturen und Lieferanten, die ausschließlich genehmigte Marketingmaterialien, stark mit Wasserzeichen versehene Assets oder anonymisierte Datensätze zu Gesicht bekommen.
Sobald diese Hierarchie vereinbart ist, lässt sich viel leichter begründen, warum ein Tier-1-Co-Entwicklungsstudio mehr Fragen aus Anhang A beantwortet als eine Tier-3-Traileragentur.
Anhang A zur Tiefe der Ebene
Sie skalieren dann Ihre Beurteilungen, anstatt einen einzigen riesigen Fragebogen für alle zu verwenden:
- Stufe 1 – Vertiefende Beurteilung:
Besonderer Fokus liegt auf Zugriffskontrolle, sicherer Entwicklung, Betrieb, Protokollierung, Überwachung, Reaktion auf Sicherheitsvorfälle, Geschäftskontinuität und dem Umgang mit den eigenen Lieferanten.
- Stufe 2 – Fokussierte Beurteilung:
Besonderes Augenmerk sollte auf Informationsverarbeitung, Fernarbeit und physische Sicherheit, grundlegende Zugangskontrollen und die Trennung Ihrer Daten von denen anderer Kunden gelegt werden.
- Stufe 3 – Leichtgewicht-Basislinie:
Eine kurze Bestätigung darüber, wo Ihre Dateien gespeichert sind, wer sie einsehen kann und wie sie nach Abschluss der Arbeiten gelöscht werden.
Diese einfache Regel – mehr Wirkung, mehr ISO 27001-Tiefe – lässt sich in Greenlight- und Roadmap-Meetings leicht erklären.
Stufenkonzepte in eine gemeinsame Sprache im gesamten Studio umwandeln
Wenn Produzenten verstehen, dass ein Co-Entwicklungsstudio zur Kategorie 1 gehört, weil es Code liefern kann, während eine Marketingagentur zur Kategorie 3 gehört, weil sie nur mit freigegebenem Material arbeitet, hören sie in der Regel auf, darüber zu streiten, dass „die Sicherheitsvorkehrungen für manche Anbieter schwieriger sind“.
Wenn Sie diese Einstufung und die entsprechenden Prüfungen gemäß Anhang A in einem integrierten Managementsystem (IMS) gemäß Anhang L wie ISMS.online verwalten, können durch die Kennzeichnung eines Anbieters als Stufe 1, 2 oder 3 automatisch die richtigen Fragen und Nachweisanforderungen abgerufen werden. Dadurch haben Sie mehr Zeit, wichtige Partner bei der Verbesserung ihrer Prozesse zu unterstützen, und weniger Zeit für die Neuerstellung von Formularen.
Wie formuliere ich die Kontrollkriterien des ISO 27001 Annex A so, dass Spielehersteller sie auch tatsächlich beantworten können?
Sie machen ISO 27001 Anhang A nutzbar, indem Sie jede Kontrolle in Folgendes umwandeln: Ein einzeiliges Ziel, eine Handvoll beobachtbarer Verhaltensweisen und ein paar kurze Fragen in einfacher Sprache.
Formulieren Sie jedes Steuerelement als klares Ziel in Studiobegriffen neu.
Beginnen Sie damit, den formellen Text in eine Sprache zu übersetzen, die Ihre Kollegen tatsächlich verwenden könnten. Zum Beispiel:
- Aus: „Der Zugriff auf Informationen und Anwendungssystemfunktionen wird gemäß der Zugriffskontrollrichtlinie eingeschränkt.“
- An: „Nur die richtigen Personen haben Zugriff auf unsere Quellcode-Branches, Build-Systeme und unveröffentlichten Inhalte, und wir entfernen den Zugriff schnell, sobald er nicht mehr benötigt wird.“
Gruppieren Sie diese Ziele in spielfreundliche Bereiche wie zum Beispiel:
- Führung und Eigentum
- Menschen, Geräte und Büros
- Code, Builds und Pipelines
- Inhalte und geistiges Eigentum
- Spieler- und Geschäftsdaten
- Vorfälle und Wiederherstellung
Ihr ISMS (z. B. ISMS.online) kann die Rückverfolgbarkeit bis zu jeder einzelnen Kontrolle gemäß Anhang A gewährleisten, während Ihre Teams mit der einfacheren Formulierung arbeiten.
Entscheiden Sie, welche Verhaltensweisen Sie tatsächlich beobachten können.
Nennen Sie für jedes Ziel drei bis fünf Signale im Alltagsverhalten, Zum Beispiel:
- Individuelle Logins statt gemeinsam genutzter Konten
- Multifaktor-Authentifizierung für Repositories und kritische Tools
- Dokumentierte Prozesse für Eintritt / Versetzung / Austritt
- Regelmäßige Zugriffsüberprüfungen mit Nachweis, dass Konten entfernt werden
Diese Herangehensweise sorgt dafür, dass die Diskussion auf überprüfbare Dinge fokussiert bleibt, anstatt auf vage Behauptungen über „Reife“.
Verhaltensweisen in kurze, direkte Fragen umwandeln
Sobald man die Verhaltensweisen kennt, wird das Formulieren von Fragen viel einfacher:
- „Wie verwalten Sie die einzelnen Benutzerkonten für unsere Repositories und Build-Tools?“
- „Wird die Multi-Faktor-Authentifizierung für alle Personen mit Zugriff auf unseren Code oder unveröffentlichte Inhalte erzwungen?“
- „Wie oft überprüfen und entfernen Sie die Zugriffsrechte für Mitarbeiter und Auftragnehmer, die diese nicht mehr benötigen?“
Vermeiden Sie Fachjargon aus Normen, Paragraphennummern oder Verweise auf „Anhang A“ in den Fragen selbst. Diese gehören in den Hintergrund Ihres ISMS, nicht vor ein kleines Dienstleistungsstudio oder einen Art Lead, der Ihr Formular ausfüllt.
Verwenden Sie eine einheitliche Bewertungsskala für alle Partner.
Eine gemeinsame Skala von 0–3 oder 0–5 sorgt für eine einheitliche Bewertung:
- 0 – nicht vorhanden
- 1 – teilweise vorhanden
- 2 – vorhanden, aber nicht nachgewiesen
- 3 – vorhanden und nachgewiesen
Erfassen Sie kurze Beispiele für jede Stufe, damit zwei Gutachter mit ähnlichen Antworten ähnliche Punktzahlen erreichen. Wenn Ihre Fragenbank und Bewertungskriterien für Anhang A in einer Plattform wie ISMS.online integriert sind, können Sie diese projekt- und standortübergreifend wiederverwenden. Dadurch werden Lieferantenbewertungen schneller, transparenter und leichter nachvollziehbar.
Welche Nachweise sollte ich von einem Anbieter anfordern, um dessen ISO 27001-Konformität zu bestätigen, ohne ihn damit zu überfordern?
Fragen Sie die Verkäufer nach ein kleiner, gezielter Satz von Dokumenten oder Screenshots, die beweisen, dass wichtige Kontrollmechanismen in der Realität funktionieren., angepasst an ihren Zertifizierungsstatus und ihre Risikostufe, anstatt die Hälfte ihres ISMS zu übernehmen.
Nutzen Sie den Zertifizierungsstatus als Ausgangspunkt.
Beginnen wir mit dem aktuellen Stand des Anbieters:
- Wenn sie nach ISO 27001 zertifiziert sind:
Fordern Sie deren aktuelles Zertifikat an, bestätigen Sie, dass der Geltungsbereich die von Ihnen genutzten Dienste und Standorte abdeckt, und bitten Sie, falls die Zertifizierungsstelle zustimmt, um eine kurze Zusammenfassung etwaiger kürzlich durchgeführter Überwachungs- oder Rezertifizierungsmaßnahmen. So können Sie auf die Arbeit der Zertifizierungsstelle zurückgreifen.
- Wenn sie behaupten, „ausgerichtet“ zu sein oder auf eine Zertifizierung hinzuarbeiten:
Bitten Sie um eine kurze Informationssicherheitsrichtlinie, eine Beschreibung, wie der Zugriff auf Ihre Assets kontrolliert wird, eine Übersicht oder ein Diagramm, das zeigt, wo Ihre Daten und Inhalte gespeichert sind, sowie ein oder zwei anonymisierte Beispiele dafür, wie im letzten Jahr ein Vorfall bewältigt oder eine Wiederherstellung durchgeführt wurde.
- Wenn sie für Sie Code ausführen oder Live-Dienste bereitstellen:
Fügen Sie eine kleine Anzahl anonymisierter Screenshots oder Konfigurationsausschnitte hinzu, aus denen hervorgeht, wer Zugriff auf Repositories, Build-Systeme und Live-Umgebungen hat, ob eine Multi-Faktor-Authentifizierung erzwungen wird und welche Protokollierungs- und Überwachungssysteme Systeme abdecken, die mit Ihrem Spiel in Berührung kommen.
Positionieren Sie dies als Nachweise dafür, dass ihre tägliche Praxis den Erwartungen der ISO 27001 entspricht.nicht als Versuch, deren gesamtes ISMS zu kopieren.
Skalieren Sie die Evidenztiefe nach Anbieterstufe und erläutern Sie den Unterschied.
Verknüpfen Sie Ihre Forderung mit Ihrer internen Stufenstruktur:
- Tier-1-Anbieter: detailliertere Konfigurationsinformationen, Prozessbeschreibungen und Beispiele für Vorfälle.
- Tier-2-Anbieter: eine kleinere Gruppe, die sich auf die Lagerung, Handhabung und Löschung Ihres Materials konzentriert.
- Tier-3-Anbieter: ein paar klare Antworten darauf, wo die Dateien gespeichert werden, wer sie einsehen kann und wie sie am Ende gelöscht werden.
Sie können dies in einer einfachen Matrix erfassen und während des Onboardings teilen, damit Partner wissen, was sie erwartet und warum. Wenn Sie diese Erwartungen, Nachweisarten und Zuordnungen zu Anhang A in einem integrierten Managementsystem wie ISMS.online verwalten, kann Ihr Team auf einen Blick erkennen, welche Kontrollen abgedeckt sind, wo noch Lücken bestehen und welche Nachfassaktionen noch offen sind.
Wie kann ich verschiedene Spielestudios anhand von ISO 27001-konformen Kriterien bewerten und vergleichen?
Man vergleicht Spielestudios fair, indem man ihre Antworten und Beweise umwandelt in gewichtete Bewertungen, die die spezifischen Risiken der Arbeit widerspiegeln, die sie für Sie leistenund diese Ergebnisse dann in klare Annahme-/bedingte/Ablehnungsentscheidungen umzuwandeln.
Verwenden Sie eine einheitliche Bewertungsskala für alle Kontrollbereiche.
Beginnen Sie mit einem einfachen, wiederholbaren Modell:
- 0 – nicht vorhanden
- 1 – teilweise vorhanden
- 2 – vorhanden, aber nicht nachgewiesen
- 3 – vorhanden und nachgewiesen
Fügen Sie jeder Stufe kurze Beispiele hinzu (z. B. „3 = MFA wird für alle Repositories, die Ihren Code hosten, erzwungen, mit Screenshots oder Auszügen aus den Richtlinien als Nachweis“). Die Speicherung dieser Informationen in Ihrem ISMS hilft den Prüfern, eine einheitliche Bewertung vorzunehmen.
Gewichten Sie die Themen, die für jeden Partnertyp am wichtigsten sind.
Unterschiedliche Partner setzen Sie unterschiedlichen Gefahren aus:
- Co-Entwicklungsstudios: – mehr Gewicht auf den Zugriff auf das Repository, Build- und Deployment-Pipelines, sichere Entwicklungspraktiken und den Schutz von Inhalten und geistigem Eigentum legen.
- Anbieter von Kunst, Audio und Lokalisierung: – Schwerpunkt auf Informationsverarbeitung, Kontrollmöglichkeiten für Fernarbeit, Gerätesicherheit und physischen Schutzmaßnahmen im Büro.
- Live-Ops- und Backend-Anbieter: – Priorisierung von Protokollierung, Überwachung, Reaktion auf Vorfälle und Geschäftskontinuität.
Multiplizieren Sie die Punktzahlen in Bereichen mit hohem Einfluss mit höheren Gewichtungen, sodass ein fehlender Kontrollpunkt in einem Bereich, in dem ein Studio eng mit Ihrem Spiel verbunden ist, das Gesamtergebnis viel stärker beeinflusst als eine kleine Lücke in einem Bereich mit geringem Einfluss.
Wandeln Sie Ergebnisse in Entscheidungen um, auf die Ihre Stakeholder reagieren können.
Definieren Sie drei klare Bereiche:
- Akzeptabel: – Für den angeforderten Anwendungsbereich sicher.
- Unter bestimmten Bedingungen akzeptabel: – geeignet, wenn Sie Sicherheitsvorkehrungen wie Lesezugriff, Trennung, engmaschigere Überwachung oder Verbesserungsmeilensteine hinzufügen.
- Nicht akzeptabel: – zu riskant für die Art der angeforderten Arbeit oder den angeforderten Zugriff.
Fassen Sie jedes Studio in zwei bis drei Zeilen zusammen:
- Ihre größten Stärken
- Die wichtigsten Lücken
- Die von Ihnen vorgeschlagene Maßnahme
Wenn Sie diese gewichteten Bewertungen in Ihrem Informationssicherheitsmanagementsystem im Zeitverlauf verfolgen, können Sie Muster nach Franchise, Plattform oder Region erkennen. Das hilft Ihnen bei der Argumentation für gemeinsame Härtungsarbeiten, wie beispielsweise eine standardisierte sichere Build-Pipeline oder eine Mindestgrundlage für die Fernarbeit aller Co-Entwicklungspartner, anstatt die gleichen Fehler in jedem Studio einzeln zu beheben.
Wie soll ich mit Anbietern umgehen, die behaupten, „ISO 27001-konform“ zu sein, aber kein Zertifikat besitzen?
„ISO 27001-konform“ behandeln als Ein nützliches Signal zur Untersuchung, aber kein eigenständiger Beweis.und führen Sie Ihre übliche Bewertung gemäß Anhang A durch, um zu sehen, wie weit die Behauptung in der Praxis reicht.
Fragen Sie konkret, was „ausgerichtet“ in ihrer Welt bedeutet.
Beginnen Sie mit einigen offenen Fragen, die konkrete Antworten erzwingen:
- „Verfügen Sie über ein Informationssicherheitsmanagementsystem mit einem definierten Geltungsbereich?“
- „Wie oft führen Sie formale Risikobewertungen durch und wie dokumentieren Sie diese?“
- „Welche Kontrollgebiete gemäß Anhang A haben namentlich genannte Eigentümer, und wie lassen sich Änderungen nachverfolgen?“
- „Wie sieht für Sie eine Verbesserung im Vergleich zu einem typischen Jahr aus?“
Partner, die sich tatsächlich an ISO 27001 orientieren, können in der Regel Angaben zu Geltungsbereich, Zeitplan, Verantwortlichen und Beispielen kürzlich erfolgter Änderungen machen. Diejenigen, die den Begriff zu Marketingzwecken verwenden, greifen oft auf einige wenige allgemeine Richtlinien zurück.
Wenden Sie Ihre übliche Beurteilung nach Anhang A an, angepasst an deren Rolle.
Verwenden Sie denselben Fragebogen, dieselbe Bewertung und dieselben Nachweisanforderungen, die Sie auch für jeden anderen vergleichbaren Anbieter verwenden würden:
- Wenn sie in Schlüsselbereichen wie Zugriffsmanagement, Informationsverarbeitung, Reaktion auf Sicherheitsvorfälle und Lieferantenmanagement gute Leistungen erbringen, können Sie sie für einen klar definierten Aufgabenbereich einsetzen und dabei vermerken, dass sie noch nicht unabhängig zertifiziert sind.
- Wenn sie zwar Absicht zeigen, aber auch sichtbare Lücken aufweisen, können Sie ihren Umfang einschränken, im Vertrag Meilensteine für die Verbesserung definieren und einen festen Überprüfungstermin festlegen.
- Sind die Grundlagen schwach, insbesondere bei einer Position mit hohem Einfluss, ist es möglicherweise sicherer, abzulehnen oder die Beteiligung auf eine risikoärmere Ebene zu verlagern.
Der wichtige Punkt ist, dass Eine solche Ausrichtung mag Ihr Interesse steigern, senkt aber nicht Ihre Schwellenwerte.Die Entscheidungen basieren weiterhin auf denselben, an ISO 27001 ausgerichteten Kriterien, die Sie auch bei zertifizierten Partnern anwenden.
Halten Sie fest, wie Sie zu Ihrer Entscheidung gelangt sind, damit diese später Bestand hat.
Erfassen Sie vier Elemente:
- Was der Anbieter mit „ausgerichtet“ meinte, in seinen eigenen Worten
- Wie sie im Hinblick auf Ihre wichtigsten Themen aus Anhang A abgeschnitten haben
- Ihre Entscheidung (Teilnahme, Teilnahme unter Auflagen oder Absage) und Ihre Gründe
- Vereinbarte Verbesserungen, Fristen und Folgekontrollen
Wenn Sie diesen Datensatz in Ihrem Informationssicherheitsmanagementsystem, wie z. B. ISMS.online, speichern, können Sie Plattformen, Aufsichtsbehörden und internen Stakeholdern leicht nachweisen, dass Sie die erforderlichen Maßnahmen ergriffen haben. eine strukturierte, risikobasierte Beurteilung anstatt eine Bezeichnung unreflektiert zu übernehmenDas bedeutet auch, dass Sie, wenn derselbe Lieferant später zurückkehrt und um eine größere Rolle bittet, mit Ihrer letzten Bewertung beginnen können, anstatt von vorne anzufangen.
