Aufbau stabiler und sicherer Lieferantenbeziehungen mit ISO 27001

Wenn Sie Mark Graham, unseren Leiter für ISO-Standards, nach den Vorteilen von fragen ISO 27001 , es gibt einen Punkt, den er am Ende immer anspricht. Bei ISO 27001 und eigentlich bei der gesamten ISO 27000-Familie geht es um weit mehr als nur Informationssicherheit. Sie helfen Ihnen:

  • Führen Sie Ihre Organisation gut
  • Denken Sie über alles nach, was Sie daran hindern könnte, Ihre Organisation gut zu führen

Natürlich ist das nicht immer offensichtlich. Aber manchmal springt es einem einfach ins Auge. Anhang A.15 von ISO 27001 ist einer dieser Momente. Es geht um die Sicherung und Stärkung Ihrer Organisation Lieferantenbeziehungen.

Ein Lieferant vermasselt also. Was könnte schlimmstenfalls passieren?

Im Jahr 2017 brach das IT-System einer großen Fluggesellschaft zusammen. 75,000 Kunden waren gestrandet. Flugzeuge blieben in der Luft kreisen. Die Fluggesellschaft verlor 170 Millionen Pfund und musste eine Entschädigungsrechnung von mehr als 150 Millionen Pfund zahlen. Und es war eine Reputationskatastrophe.

Die Hauptursache des Vorfalls war ein interner Stromausfall. Gut informierte Beobachter gehen davon aus, dass es zu einer Katastrophe kam, weil die Fluggesellschaft kürzlich einen Teil ihrer IT-Abläufe ausgelagert hatte. Ihr neuer Lieferant hat sie im Stich gelassen und ihre Disaster Recovery-Plan gescheitert.

Niemand erinnert sich an den Lieferanten. Die meisten Menschen wissen nicht einmal, dass es sie gibt. Doch dadurch erlitt die Fluggesellschaft schwere Reputations- und Finanzschäden. Das ist die Art von Schaden, die die meisten Unternehmen weitestgehend vermeiden würden. Dabei hilft Ihnen Anhang A.15.

Stärkung Ihrer Lieferantenbeziehungen

Anhang A.15 ist recht kurz, kann aber eine sehr große Wirkung haben. Sie müssen Folgendes sicherstellen:

  • Sie schützen alle Informationsbestände, auf die Ihre Lieferanten zugreifen können
  • Sie werden weiterhin alle Dienstleistungen erbringen, denen sie zugestimmt haben, egal was passiert

Sie können sehen, wie das unserer in Schwierigkeiten geratenen Fluggesellschaft geholfen hätte! Und selbst wenn Sie es nicht sind ISO 27001-konform oder zertifiziert, können Sie Anhang A.15 verwenden, um einige sehr wichtige Lieferantenprüfungen durchzuführen.

Schutz Ihrer Informationsbestände

Möglicherweise teilen Sie Informationsressourcen mit Ihren Lieferanten. Wenn das der Fall ist, sollten Sie:

  • Finden Sie heraus, wie Ihre Lieferanten sicher auf Ihre Informationsbestände zugreifen können
  • Stimmen Sie diesen Prozess mit ihnen ab und stellen Sie sicher, dass sie jeden Teil davon verstehen
  • Dokumentieren Sie den Prozess so, dass er für Sie und andere leicht zugänglich ist
  • Nehmen Sie Ihre Informationssicherheitsanforderungen in Ihre formellen Vereinbarungen mit ihnen auf

Und wie bei der Fluggesellschaft werden Sie wahrscheinlich Organisationen haben Bereitstellung von IKT Produkte oder Dienstleistungen. Sie müssen sicherstellen, dass das, was sie anbieten, auch Ihren Informationssicherheitsanforderungen entspricht.

Stellen Sie sicher, dass Ihre Lieferanten immer liefern

Bei ISO 27001 geht es wirklich darum Risikomanagement. Und Ihre Lieferanten können ein Hauptrisiko darstellen. Gehen Sie am besten davon aus, dass einige von ihnen Sie irgendwann im Stich lassen werden. Um dies auszugleichen, verlangt die Norm von Ihnen, sie genau im Auge zu behalten. Du solltest:

  • Behalten Sie sie stets im Auge
  • Überprüfen Sie regelmäßig, ob die Lieferung pünktlich und vollständig erfolgt
  • Bewerten Sie sie von Zeit zu Zeit richtig anhand Ihrer:
    • Bestehende Vereinbarung mit ihnen
    • Veränderte Bedürfnisse und andere Umstände

Das könnte zu Veränderungen in Ihrer Beziehung zu ihnen führen. ISO 27001 empfiehlt Ihnen, über einen klaren Prozess für die Durchführung und Verwaltung dieser Änderungen zu verfügen. Konzentrieren Sie sich insbesondere auf:

  • Halten Sie Ihre Infosec-Richtlinien, Verfahren und Kontrollen auf dem neuesten Stand
  • Betroffene kritisch aufrechterhalten Geschäftsinformationen, Systeme und Prozesse
  • Stellen Sie sicher, dass Sie alle Risiken, auf die sich Ihre Änderungen auswirken, neu bewerten

Das mag wie ein sehr einfacher Ratschlag mit gesundem Menschenverstand erscheinen. Aber es kann Ihnen und Ihrem Unternehmen viel Zeit, Geld, Reputationsschäden und Frustration ersparen. Schließlich ist der gesunde Menschenverstand nicht immer so verbreitet, wie man denkt.

Sichern Sie Ihre Lieferkette und Ihren Ruf

Der Ruf Ihres Unternehmens ist eines seiner wichtigsten Vermögenswerte. Es wird wahrscheinlich hart daran arbeiten, es zu verteidigen und aufzubauen. Doch schon eine kurze Unachtsamkeit seitens einer Person, die überhaupt nichts mit Ihrer Organisation zu tun hat, kann diese beschädigen oder sogar zerstören.

Deshalb müssen Sie Ihre Lieferanten genau im Auge behalten. Und es wird auch gut für sie sein. Sie möchten, dass Sie sicher sein können, dass sie den bestmöglichen Service auf die bestmögliche Weise bieten. Und wenn nicht, ist das wahrscheinlich Ihr Anlass, sich nach jemand anderem umzusehen.

Wir hoffen, dass die oben zusammengefassten ISO 27001-Anleitungen Ihnen bei diesem gesamten Prozess helfen werden. Und wir hoffen, dass es Ihnen geholfen hat, den Standard ein wenig besser zu verstehen und zu erkennen, wie er Ihrer Organisation einige sehr praktische Vorteile bringen kann.

« So entwickeln Sie ein Asset-Inventar für ISO 27001

Was beinhaltet ein ISO 27001-Audit? »

Letzte Bearbeitung: 2. Februar 2022
Autor

Al Robertson

Al ist ein professioneller Autor und veröffentlichter Autor, der eine Reihe von Themen abdeckt. Er hat eine Reihe von Artikeln zum Thema Compliance und insbesondere zur Informationssicherheit verfasst und erläutert, wie die ISO 27001-Zertifizierung Unternehmen beim Wachstum unterstützen kann.

Alle Beiträge von Al Robertson anzeigen

Zusammenhängende Posts

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren