ISO 27001 - Anhang A.15: Lieferantenbeziehungen

Was ist das Ziel von Anhang A.15.1?

In Anhang A.15.1 geht es um die Informationssicherheit in Lieferantenbeziehungen. Das Ziel hierbei ist der Schutz der wertvollen Vermögenswerte der Organisation, die für Lieferanten zugänglich oder von diesen betroffen sind.

Wir empfehlen Ihnen auch, hier auch andere wichtige Beziehungen zu berücksichtigen, beispielsweise Partner, wenn diese keine Lieferanten sind, aber auch Auswirkungen auf Ihr Vermögen haben, die möglicherweise nicht allein durch einen Vertrag abgedeckt sind.

A.15.1.1 Informationssicherheitsrichtlinie für Lieferantenbeziehungen

Lieferanten werden aus zwei Hauptgründen eingesetzt; Erstens: Sie möchten, dass sie Arbeiten erledigen, die Sie nicht intern erledigen möchten, oder; Zweitens: Sie können die Arbeit nicht einfach so gut oder kostengünstig erledigen wie die Lieferanten.

Bei der Auswahl und dem Management von Lieferanten sind viele wichtige Dinge zu berücksichtigen, aber es gibt keine Einheitslösung, und einige Lieferanten sind wichtiger als andere. Daher sollten Ihre Kontrollen und Richtlinien dies ebenfalls widerspiegeln, und eine Segmentierung der Lieferkette ist sinnvoll. Wir empfehlen vier Kategorien von Lieferanten, basierend auf dem Wert und dem Risiko der Beziehung. Diese reichen von geschäftskritischen Anbietern bis hin zu anderen Anbietern, die keinen wesentlichen Einfluss auf Ihr Unternehmen haben.

Einige Lieferanten sind auch mächtiger als ihre Kunden (stellen Sie sich vor, Sie sagen Amazon, was zu tun ist, wenn Sie seine AWS-Dienste für das Hosting nutzen), daher ist es sinnlos, Kontrollen und Richtlinien zu haben, die die Lieferanten nicht einhalten. Daher ist es wahrscheinlicher, sich auf ihre Standardrichtlinien, Kontrollen und Vereinbarungen zu verlassen – was bedeutet, dass die Lieferantenauswahl und das Risikomanagement noch wichtiger werden.

Um einen fortschrittlicheren Ansatz zur Informationssicherheit in der Lieferkette mit den strategischeren Lieferanten (hoher Wert/höheres Risiko) zu verfolgen, sollten Unternehmen auch binäre „Comply or Die“-Risikoübertragungspraktiken vermeiden, z. B. schreckliche Verträge, die eine gute Zusammenarbeit verhindern. Stattdessen empfehlen wir ihnen, engere Arbeitsbeziehungen mit den Lieferanten aufzubauen, bei denen wertvolle Informationen und Vermögenswerte gefährdet sind oder die Ihren Informationsbestand auf (positive) Weise erweitern. Dies dürfte zu besseren Arbeitsbeziehungen und damit auch zu besseren Geschäftsergebnissen führen.

Eine gute Richtlinie beschreibt die Segmentierung, Auswahl, Verwaltung und den Ausstieg von Lieferanten sowie die Art und Weise, wie Informationsbestände rund um Lieferanten kontrolliert werden, um die damit verbundenen Risiken zu mindern und dennoch das Erreichen der Geschäftsziele zu ermöglichen. Kluge Unternehmen werden ihre Informationssicherheitsrichtlinien für Lieferanten in einen umfassenderen Beziehungsrahmen integrieren und sich nicht nur auf die Sicherheit an sich konzentrieren, sondern auch die anderen Aspekte berücksichtigen.

Eine Organisation möchte möglicherweise, dass Lieferanten auf bestimmte hochwertige Informationsbestände zugreifen und zu ihnen beitragen (z. B. Entwicklung von Softwarecode, Informationen zur Gehaltsabrechnung in der Buchhaltung). Sie müssten daher klare Vereinbarungen darüber treffen, welchen Zugriff sie ihnen genau gewähren, damit sie die damit verbundene Sicherheit kontrollieren können. Dies ist besonders wichtig, da immer mehr Informationsmanagement-, Verarbeitungs- und Technologiedienstleistungen ausgelagert werden. Das bedeutet, dass es einen Ort gibt, an dem man zeigen kann, wie die Beziehung verwaltet wird. Verträge, Kontakte, Vorfälle, Beziehungsaktivitäten und Risikomanagement usw. Wenn der Lieferant ebenfalls eng in die Organisation eingebunden ist, aber möglicherweise nicht über ein eigenes zertifiziertes ISMS verfügt, stellen Sie sicher, dass die Mitarbeiter des Lieferanten geschult und sicherheitsbewusst sind und in Ihren Richtlinien usw. geschult sind Es lohnt sich auch, Compliance zu demonstrieren.

A.15.1.2 Berücksichtigung der Sicherheit in Lieferantenvereinbarungen

Alle relevanten Informationssicherheitsanforderungen müssen bei jedem Lieferanten vorhanden sein, der Zugriff auf die Informationen der Organisation (oder Vermögenswerte, die diese verarbeiten) hat oder diese beeinflussen kann. Auch hier sollte es sich nicht um eine Einheitslösung handeln, sondern Sie sollten einen risikobasierten Ansatz für die verschiedenen Arten von beteiligten Lieferanten und deren Arbeit wählen. Es ist eine sehr gute Idee, mit Lieferanten zusammenzuarbeiten, die bereits den Großteil der Informationssicherheitsanforderungen Ihres Unternehmens für die von ihnen bereitgestellten Dienstleistungen erfüllen und über eine gute Erfolgsbilanz im verantwortungsvollen Umgang mit Informationssicherheitsbedenken verfügen – da dies alle diese Prozesse erheblich vereinfacht.

Vereinfacht ausgedrückt: Suchen Sie nach Lieferanten, die selbst bereits eine unabhängige ISO 27001-Zertifizierung oder eine gleichwertige Zertifizierung erhalten haben. Es ist auch wichtig sicherzustellen, dass die Lieferanten über alle Änderungen am ISMS informiert und einbezogen werden oder sich speziell auf die Teile konzentrieren, die sich auf ihre Dienstleistungen auswirken. Ihr Auditor wird dies bewiesen sehen wollen. Wenn Sie dies also in Ihren Lieferanten-Onboarding-Projekten oder jährlichen Überprüfungen dokumentieren, ist dies ganz einfach.

Im Lieferumfang und in den Vereinbarungen sind im Allgemeinen Folgendes enthalten: die Arbeit und ihr Umfang; gefährdete Informationen und Klassifizierung; gesetzliche und behördliche Anforderungen, z. B. Einhaltung der DSGVO und/oder anderer anwendbarer Gesetze; Berichterstattung und Rezensionen; Geheimhaltung; Rechte des geistigen Eigentums; Vorfallmanagement; spezifische Richtlinien, die eingehalten werden müssen, wenn sie für die Vereinbarung wichtig sind; Verpflichtungen gegenüber Subunternehmern; Überprüfung des Personals usw.

Ein guter Standardvertrag regelt diese Punkte, aber wie oben beschrieben, ist er manchmal nicht erforderlich und könnte für die Art der Lieferung weit übertrieben sein, oder es ist möglicherweise nicht möglich, einen Lieferanten zu zwingen, Ihrer Vorstellung von bewährten Praktiken zu folgen . Gehen Sie pragmatisch und risikoorientiert vor. Dieses Kontrollziel knüpft auch eng an Anhang A.13.2.4 an, in dem Vertraulichkeit und Geheimhaltungsvereinbarungen im Mittelpunkt stehen.

A.15.1.3 Lieferkette der Informations- und Kommunikationstechnologie

Eine gute Kontrolle baut auf A.15.1.2 auf und konzentriert sich auf die IKT-Lieferanten, die möglicherweise etwas zusätzlich oder anstelle des Standardansatzes benötigen. ISO 27002 befürwortet zahlreiche Bereiche für die Umsetzung, und obwohl diese alle gut sind, ist auch ein gewisses Maß an Pragmatismus erforderlich. Die Organisation sollte sich erneut ihrer Größe im Vergleich zu einigen der sehr großen Anbieter bewusst sein, mit denen sie manchmal zusammenarbeitet (z. B. Rechenzentren und Hosting-Dienste, Banken usw.), wodurch möglicherweise ihre Fähigkeit eingeschränkt wird, Praktiken weiter in der Lieferkette zu beeinflussen. Die Organisation sollte sorgfältig abwägen, welche Risiken je nach Art der bereitgestellten Informations- und Kommunikationstechnologiedienste bestehen können. Wenn der Lieferant beispielsweise ein Anbieter kritischer Infrastrukturdienste ist und Zugang zu sensiblen Informationen hat (z. B. Quellcode für den Flaggschiff-Softwaredienst), sollte er einen größeren Schutz gewährleisten, als wenn der Lieferant lediglich öffentlich zugänglichen Informationen ausgesetzt ist (z. B eine einfache Website).

Was ist das Ziel von Anhang A.15.2?

In Anhang A.15.2 geht es um das Lieferantenservice-Entwicklungsmanagement. Das Ziel dieser Anhang-A-Kontrolle besteht darin, sicherzustellen, dass ein vereinbartes Maß an Informationssicherheit und Servicebereitstellung im Einklang mit den Lieferantenvereinbarungen aufrechterhalten wird.

A.15.2.1 Überwachung und Überprüfung der Lieferantendienstleistungen
Eine gute Kontrolle baut auf A15.1 auf und beschreibt, wie Organisationen die Bereitstellung ihrer Lieferantendienstleistungen regelmäßig überwachen, überprüfen und prüfen. Die Durchführung von Überprüfungen und Überwachungen erfolgt am besten auf der Grundlage der gefährdeten Informationen – da ein einheitlicher Ansatz nicht für alle geeignet ist. Die Organisation sollte darauf abzielen, ihre Überprüfungen im Einklang mit der vorgeschlagenen Segmentierung der Lieferanten durchzuführen, um so ihre Ressourcen zu optimieren und sicherzustellen, dass sie ihre Bemühungen auf die Überwachung und Überprüfung dort konzentrieren, wo sie die größte Wirkung erzielen. Wie bei A15.1 ist manchmal Pragmatismus erforderlich – wenn Sie eine sehr kleine Organisation sind, werden Sie bei AWS nicht unbedingt ein Audit, eine Überprüfung der menschlichen Beziehungen und dedizierte Serviceverbesserungen erhalten. Sie können jedoch beispielsweise überprüfen, ob die jährlich veröffentlichten SOC II-Berichte und Sicherheitszertifizierungen für Ihren Zweck geeignet sind.

Der Überwachungsnachweis sollte auf der Grundlage Ihrer Macht, Risiken und Ihres Wertes erstellt werden, sodass Ihr Prüfer erkennen kann, dass die Überwachung abgeschlossen wurde und alle erforderlichen Änderungen durch einen formellen Änderungskontrollprozess verwaltet wurden.

A.15.2.2 Verwalten von Änderungen an Lieferantendienstleistungen

Eine gute Kontrolle beschreibt, wie alle Änderungen an der Bereitstellung von Dienstleistungen durch Lieferanten, einschließlich der Aufrechterhaltung und Verbesserung bestehender Informationssicherheitsrichtlinien, -verfahren und -kontrollen, verwaltet werden. Dabei werden die Kritikalität der Geschäftsinformationen, die Art der Änderung, die betroffenen Lieferantentypen, die beteiligten Systeme und Prozesse sowie eine Neubewertung der Risiken berücksichtigt. Änderungen an den Dienstleistungen des Lieferanten sollten auch die Intimität der Beziehung und die Fähigkeit der Organisation berücksichtigen, Änderungen beim Lieferanten zu beeinflussen oder zu kontrollieren.

Wie hilft ISMS.online bei Lieferantenbeziehungen?

ISMS.online hat dieses Kontrollziel sehr einfach gemacht, indem es den Nachweis erbracht hat, dass Ihre Beziehungen sorgfältig ausgewählt und im Leben gut verwaltet werden, einschließlich Überwachung und Überprüfung. Unser benutzerfreundlicher Bereich „Kontenbeziehungen“ (z. B. Lieferanten) leistet genau das. Die Arbeitsbereiche für kollaborative Projekte eignen sich hervorragend für das Onboarding wichtiger Lieferanten, gemeinsame Initiativen, Offboarding usw., die der Prüfer bei Bedarf auch problemlos einsehen kann.

ISMS.online hat auch dieses Kontrollziel für Ihr Unternehmen erleichtert, indem es Ihnen ermöglicht, den Nachweis zu erbringen, dass sich der Lieferant offiziell zur Einhaltung der Anforderungen verpflichtet und seine Verantwortung für die Informationssicherheit durch unsere Richtlinienpakete verstanden hat. Richtlinienpakete sind ideal, wenn die Organisation über spezifische Richtlinien und Kontrollen verfügt, die die Mitarbeiter ihrer Lieferanten befolgen und darauf vertrauen sollen, dass sie diese gelesen und sich zur Einhaltung verpflichtet haben – über die umfassenderen Vereinbarungen zwischen Kunde und Lieferant hinaus.