Warum MSP-Verträge ein Brennpunkt der ISO 27001:2022-Norm sind
MSP-Verträge stehen im Fokus der ISO 27001:2022, da Auditoren Lieferantenvereinbarungen mittlerweile als primären Nachweis dafür betrachten, wie sich Ihre Kontrollen auf die gesamte Lieferkette erstrecken. Sie erwarten schriftliche Verpflichtungen, Rollen und Vorfallsprozesse, die belegen, dass Ihr ISMS auch die von Ihnen bezogenen und bereitgestellten Dienstleistungen umfasst – und nicht nur interne Diagramme oder Richtlinien. Kommentare und Implementierungsleitfäden zur ISO/IEC 27001:2022 betonen, dass Organisationen nachweisen müssen, wie Kontrollen auf relevante Lieferanten angewendet werden, und Zertifizierungsstellen nutzen Verträge üblicherweise als Teil dieses Nachweises. Für Managed Service Provider dienen alltägliche Geschäftsverträge somit gleichzeitig als Sicherheitsdokumente, die die Zertifizierung und das Kundenvertrauen stärken oder schwächen können.
MSP-Verträge sind nicht mehr nur kommerzielle Instrumente, sondern integraler Bestandteil Ihrer Sicherheitsstrategie. ISO 27001:2022 fordert, dass Sicherheitsverpflichtungen, Verantwortlichkeiten und der Umgang mit Sicherheitsvorfällen in Verträgen und zugehörigen Dokumenten festgehalten werden. In vielen Organisationen umfassen diese Rahmenverträge (MSAs), Leistungsbeschreibungen (SoWs), Service-Level-Agreements (SLAs), Datenverarbeitungsvereinbarungen (DPAs) und Sicherheitspläne, auch wenn die Norm keine spezifischen Dokumentenbezeichnungen vorschreibt. Fehlen diese Elemente oder sind sie unklar formuliert, wird es für Auditoren schwierig, die Wirksamkeit Ihrer Kontrollmaßnahmen gemäß Anhang A in der Praxis nachzuvollziehen.
Die hier bereitgestellten Informationen sind allgemeiner Natur und stellen keine Rechtsberatung dar; vertragliche Entscheidungen erfordern die Beratung durch einen qualifizierten Rechtsanwalt.
Wie ISO 27001:2022 MSP-Verträge in den Anwendungsbereich einbezieht
ISO 27001:2022 bezieht MSP-Verträge in den Geltungsbereich ein, indem sie die Sicherheit von Anbietern als vertragliche Verantwortung definiert, die schriftlich festgelegt und vereinbart werden muss. Die Norm verlangt, dass Sie in Ihren Verträgen darlegen, wie die Verantwortlichkeiten für Informationssicherheit, die Regeln für den Umgang mit Daten und die Prozesse bei Sicherheitsvorfällen zwischen Kunde, MSP und vorgelagerten Anbietern aufgeteilt sind. Diese Änderung lenkt die Aufmerksamkeit der Audits direkt auf die Verträge, auf die Ihr Unternehmen angewiesen ist.
In der ISMS.online-Umfrage „State of Information Security 2025“ nannten rund 41 % der Unternehmen die Bewältigung von Drittparteirisiken und die Überwachung der Lieferantenkonformität als eine der größten Herausforderungen im Bereich der Informationssicherheit.
Managed Service Provider (MSPs) befinden sich im Zentrum langer Lieferketten. Sie sind abhängig von Cloud-Plattformen, Rechenzentren, Sicherheitstools und spezialisierten SaaS-Lösungen, und Ihre Kunden sind auf Sie angewiesen. Wenn sich Vorfälle entlang dieser Ketten ausbreiten, beobachten Ermittler immer wieder dasselbe Muster: Die kommerziellen Bedingungen waren detailliert, doch Sicherheitsrollen, Datenverarbeitung, Reaktion auf Vorfälle und Aufsicht blieben in den Verträgen vage oder fehlten ganz. Untersuchungen von Lieferkettenangriffen im Cloud- und Outsourcing-Bereich zeigen häufig, dass der Fokus der Verträge auf Preis und Serviceleistungen lag, während die Sicherheitsverantwortung implizit blieb. Dies schränkte die Handlungsfähigkeit im Fehlerfall erheblich ein. Werden Erwartungen nur implizit formuliert, anstatt schriftlich festgehalten zu werden, hat man im Schadensfall kaum Handlungsspielraum.
Die Studie „State of Information Security 2025“ ergab, dass die Mehrheit der Organisationen im Vorjahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen war.
Aufsichtsbehörden und Kunden haben mit deutlich schärferen Fragen reagiert. Aussagen wie „Wir sind ISO-konform“ oder „Unsere Lieferanten halten sich an Branchenstandards“ reichen nicht mehr aus. Käufer wollen wissen, wie die Verantwortlichkeiten aufgeteilt sind, wie schnell sie über Probleme informiert werden, wie Unterauftragnehmer kontrolliert werden und was mit den Daten nach Beendigung der Geschäftsbeziehung geschieht. Die Aufsichtsleitlinien vieler Branchen verweisen nun explizit auf schriftliche Outsourcing-Vereinbarungen und erwarten von Unternehmen den Nachweis, wie sie Dritte überwachen. Daher prüfen Wirtschaftsprüfer diese Vereinbarungen routinemäßig stichprobenartig, um die Wirksamkeit der Kontrollen zu beurteilen. In Bereichen wie der operativen Resilienz im Finanzdienstleistungssektor und dem Outsourcing beispielsweise schreiben die Aufsichtsregeln dokumentierte Verantwortlichkeiten, Meldepflichten und Ausstiegsklauseln in Outsourcing-Verträgen vor. Diese Denkweise findet zunehmend Eingang in die breitere Praxis des Drittparteienrisikomanagements.
Für Managed Service Provider (MSPs) bedeutet dies, dass Verträge nun Teil der Angriffsfläche und der Beweismittel sind. Sind Sicherheitsanforderungen, Service-Levels, Vorfallsprozesse und Prüfrechte nicht dokumentiert, werden Prüfer bezweifeln, ob die Kontrollen gemäß Anhang A tatsächlich die gesamte Lieferkette umfassen. Noch wichtiger ist, dass Sie möglicherweise die Möglichkeit verlieren, auf Abhilfe oder Kooperation zu bestehen, wenn ein vorgelagerter Dienstleister ausfällt oder sich einer Überprüfung widersetzt.
Eine Plattform wie ISMS.online kann dabei helfen, indem sie Lieferantendatensätze, Risikobewertungen und Vertragsnachweise an einem Ort verknüpft. Ausgangspunkt ist jedoch ein klares Verständnis davon, was gemäß Anhang A.5.20 in Ihren Vereinbarungen enthalten sein muss.
Klare Verträge wandeln übernommene Sicherheiten in einklagbare Verantwortlichkeiten um.
Warum dies für MSP-Audits und das Kundenvertrauen wichtig ist
Klare, sicherheitsorientierte Verträge erleichtern MSP-Audits und stärken das Vertrauen Ihrer Kunden in Ihre Dienstleistungen. Wenn Vereinbarungen klarstellen, wer für wichtige Kontrollmechanismen verantwortlich ist, wie Vorfälle behandelt werden und wie Daten geschützt werden, wirken Ihre Erklärungen bei Audits und Verkaufsgesprächen präziser und weniger defensiv.
Laut der ISMS.online-Umfrage 2025 erwarten Kunden zunehmend, dass ihre Lieferanten sich an formale Rahmenwerke wie ISO 27001, ISO 27701, DSGVO, Cyber Essentials, SOC 2 und neue KI-Standards anpassen.
Die Behandlung von Verträgen als Sicherheitsdokumente verändert die Wahrnehmung Ihrer Audits und die Bewertung durch Ihre Kunden. Auditoren können Risiken bis zu den Verpflichtungen zurückverfolgen; Kunden erkennen, dass Sicherheit integraler Bestandteil Ihrer Geschäftsprozesse ist und nicht erst im Nachhinein berücksichtigt wird. Fehlen diese Elemente, müssen beide Seiten raten, was Sie gemeint haben, und diese Unsicherheit untergräbt das Vertrauen.
Für Managed Service Provider (MSPs) ist der praktische Effekt einfach: Jede Vertragsverhandlung oder -verlängerung stärkt oder schwächt Ihre Sicherheitslage. Standardisierte, aussagekräftige Klauseln, die konsequent angewendet werden, schaffen eine solide Grundlage, die Zertifizierungsaudits, Ausschreibungen und behördlichen Prüfungen standhält. Unstrukturierte Formulierungen hingegen erzeugen Variabilität, die genau dann sichtbar wird, wenn Sie Vorhersagbarkeit und Kontrolle am dringendsten benötigen.
KontaktWas ISO 27001:2022 A.5.20 tatsächlich verlangt
ISO 27001:2022 A.5.20 fordert, dass Sie für jede Lieferantenbeziehung Informationssicherheitsanforderungen festlegen und diese in rechtsverbindlichen Verträgen verankern. Immer wenn ein Lieferant die Vertraulichkeit, Integrität oder Verfügbarkeit Ihrer Informationen oder Dienstleistungen beeinträchtigen kann, müssen Sie Ihre Erwartungen an ihn in Verträgen oder gleichwertigen Dokumenten definieren, die beide Seiten verstehen und auf deren Grundlage sie handeln können. Dies entspricht der Formulierung von Anhang A.5.20 der ISO/IEC 27001:2022, der die Festlegung von Informationssicherheitsanforderungen für Lieferantenbeziehungen und deren Umsetzung in Verträgen fordert, sodass diese schriftlichen Erwartungen Bestandteil Ihrer Auditnachweise werden.
In der Praxis verlagert Anhang A.5.20 die Sicherheitsanforderungen von internen Dokumenten hin zu den Verträgen, die die Leistungserbringung regeln. Für Managed Service Provider (MSPs) bedeutet dies, dass Kundenverträge und Verträge mit vorgelagerten Lieferanten darlegen müssen, wie die Sicherheitsverantwortung aufgeteilt, Daten verarbeitet und Sicherheitsvorfälle gemanagt werden. Prüfer achten auf diesen nachvollziehbaren Zusammenhang zwischen Lieferantenrisiken, internen Kontrollen und Vertragstexten.
Abgrenzung von A.5.20 von anderen Lieferantenkontrollen
A.5.20 unterscheidet sich von den Kontrollen benachbarter Lieferanten, da sie sich auf den Vertragsinhalt konzentriert und nicht auf die Auswahl oder Überwachung der Lieferanten. Dieses Verständnis hilft Ihnen, die richtigen Nachweise für jede Kontrolle zu erstellen und zu vermeiden, alles als eine einzige, unklare Anforderung zu behandeln.
A.5.19, „Informationssicherheit in Lieferantenbeziehungen“, konzentriert sich auf den gesamten Lebenszyklus: Lieferantenauswahl, Risikobewertung, Leistungsüberwachung und Änderungsmanagement. A.5.21, „Management der Informationssicherheit in der IKT-Lieferkette“, betont komplexe Lieferketten, Unterlieferanten und Risiken für Datenschutz und personenbezogene Daten, insbesondere wenn mehrere Anbieter gemeinsam eine Dienstleistung erbringen. Übersichten zu ISO/IEC 27001:2022 und zugehörige Leitlinien stellen A.5.19 einheitlich als Kontrollmaßnahme für die Lebenszyklussteuerung und A.5.21 als spezifische Kontrollmaßnahme für die IKT-Lieferkette dar. Dies unterstützt die Verwendung beider Normen zusammen mit A.5.20, anstatt sie als Duplikate zu betrachten. Gemeinsam beschreiben sie, wie Sie das Risiko von Drittanbietern im Zeitverlauf steuern.
Anhang A.5.20, „Informationssicherheit in Lieferantenverträgen“, konzentriert sich auf den Inhalt: Was steht in Verträgen, Zeitplänen und Bedingungen? Prüfer stellen häufig eine solide Umsetzung von A.5.19 (Lieferantenregister, Risikobewertungen, Due-Diligence-Fragebögen) fest, jedoch eine mangelhafte Umsetzung von A.5.20, wo Verträge oft kaum mehr als die Aussage enthalten, dass „der Lieferant die geltenden Gesetze und Branchenstandards einhalten wird“. Solche Formulierungen zeigen selten, dass konkrete Risiken in durchsetzbare und überprüfbare Verpflichtungen übersetzt wurden.
Kernverpflichtungen, die A.5.20 MSP-Vereinbarungen auferlegt.
A.5.20 legt mehrere Kernverpflichtungen für MSP-Verträge fest, die sich auf die Dokumentation klarer Verantwortlichkeiten und Mindestanforderungen an die Sicherheit konzentrieren. Für jeden Lieferanten, der Ihr ISMS beeinflusst, sollten Sie nachweisen können, wo Rollen, Regeln für den Umgang mit Daten, Prozesse bei Sicherheitsvorfällen, regulatorische Pflichten und Kontrollmechanismen definiert und von beiden Parteien akzeptiert wurden.
Konkret erwartet A.5.20 von Ihnen Folgendes:
- Definieren Sie sicherheitsrelevante Rollen und Verantwortlichkeiten zwischen Ihnen und jedem Lieferanten in einfacher Sprache.
- Legen Sie fest, wie Informationen von diesem Anbieter abgerufen, verarbeitet, gespeichert, übermittelt und gelöscht werden können.
- Erfassung der Anforderungen an die Meldung von Vorfällen und die Zusammenarbeit, einschließlich Zeitplanung und Kommunikationskanäle.
- Relevante regulatorische Verpflichtungen, insbesondere in Bezug auf personenbezogene Daten und Outsourcing-Regelungen, sind zu berücksichtigen.
- Sorgen Sie für Überwachungs-, Überprüfungs- und gegebenenfalls Prüfungs- oder unabhängige Kontrollmechanismen.
Für Managed Service Provider (MSPs) sollte der Begriff „Lieferant“ weit ausgelegt werden. Cloud-Plattformen, Konnektivitätsanbieter, Ticketing-Systeme, Fernüberwachungssoftware, SOC-Partner, Subunternehmer und bestimmte Strategieberater können alle in den Anwendungsbereich fallen, sofern sie den Kundenservice beeinträchtigen oder sensible Daten verarbeiten. Der Standard geht nicht davon aus, dass nur große, offensichtliche Outsourcing-Partner relevant sind.
Entscheidend ist die Rückverfolgbarkeit. Für jedes wichtige Lieferantenrisiko, das Sie in Ihrem ISMS erfassen, möchte ein Auditor wissen, wo dieses Risiko berücksichtigt wird: in technischen Kontrollen, in operativen Prozessen und in Vertragsklauseln. In Abschnitt A.5.20 werden Ihre internen Erwartungen zu externen Verpflichtungen, die für Kunden, Aufsichtsbehörden und Auditoren einsehbar sind.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Übersetzung von A.5.20 in konkrete MSP-Vertragsthemen
Die Übersetzung von A.5.20 in konkrete MSP-Vertragsthemen bedeutet, allgemeine Sicherheitsanforderungen in eine kurze, wiederholbare Liste von Klauselbereichen zu überführen. Wenn jede wichtige Lieferantenvereinbarung diese Bereiche in angemessener Detailtiefe abdeckt, wird der Großteil der Kontrollziele erreicht und Audits sowie Vertragsverlängerungen werden vereinfacht.
Für Managed Service Provider (MSPs) liegt der Vorteil eines themenbasierten Ansatzes in der Konsistenz. Sobald festgelegt ist, welche Themen in nahezu jedem Vertrag enthalten sein müssen, können Ihre Rechts-, Sicherheits- und Vertriebsteams mit einer gemeinsamen Checkliste arbeiten, anstatt die Formulierungen von Fall zu Fall zu improvisieren. Dadurch lassen sich Verträge leichter vergleichen, Lücken aufdecken und Ihr Vorgehen gegenüber Auditoren und Kunden erläutern.
Grundlegende Themen, die jeder Vertrag mit einem MSP-Anbieter abdecken sollte
Die grundlegenden Vertragsthemen sind die wiederkehrenden Themen, die in nahezu jeder Lieferantenvereinbarung, die Ihr ISMS berührt, enthalten sein sollten. Sie bieten Ihren Teams eine praxisorientierte Checkliste für die Überprüfung und helfen Ihnen, den Auditoren zu zeigen, dass spezifische Risiken in einer einheitlichen und verständlichen Sprache und nicht in verstreuten Einzelklauseln behandelt wurden.
Eine praktikable Basislinie umfasst in der Regel mindestens Folgendes:
- Umfang und Verwendung der Informationen: – autorisierte Daten und Systeme, zulässige Verwendungen, verbotene Verwendungen.
- Erwartungen an die Zugangskontrolle: – Authentifizierungsmethoden, Zugriff nach dem Prinzip der minimalen Berechtigungen, Fernzugriff und Regeln für den Kontolebenszyklus.
- Protokollierung und Überwachung: – erforderliche Protokolle, Aufbewahrungsfristen und Verfügbarkeit von Aufzeichnungen während der Ermittlungen.
- Schwachstellenmanagement und Patching: – Verantwortung für die Ermittlung, Bewertung und Behebung von Problemen, einschließlich festgelegter Zeitrahmen für risikoreiche Sachverhalte.
- Vorfallerkennung und -benachrichtigung: – was als Sicherheitsvorfall gilt, wie schnell Sie informiert werden und wie die Zusammenarbeit abläuft.
- Geschäftskontinuität und Notfallwiederherstellung: – Mindestverfügbarkeit, Wiederherstellungsziele und gegebenenfalls Teilnahme an Tests.
- Unterauftragnehmer und Unterauftragnehmer: – wann sie verwendet werden dürfen, wie Sie darüber informiert werden oder Ihre Zustimmung erteilen und wie die Verpflichtungen weitergegeben werden.
- Datenschutz und Privatsphäre: – Bedingungen für die Verarbeitung personenbezogener Daten, Standorte, Übermittlungsmechanismen, Vertraulichkeit und Unterstützung der Rechte der betroffenen Personen.
- Datenaufbewahrung, -rückgabe und -löschung: – Aufbewahrungsfristen, Rückgabeformate beim Verlassen des Geräts und wie die sichere Löschung nachgewiesen wird.
- Sicherheit und Aufsicht: – Berichte, Zertifizierungen, Fragebögen oder vereinbarte Audits, auf die Sie sich verlassen können, und wann diese bereitgestellt werden.
Diese Themen erfordern nicht alle lange Klauseln, sollten aber in Ihren Standardverträgen und Verträgen mit hohem Risiko erkennbar sein. Nach der Durchsicht einiger Beispielverträge sollten Sie die Frage sicher beantworten können: „Wo werden die einzelnen Punkte behandelt, und wie unterscheidet sich das je nach Lieferantenkategorie?“
Für Managed Service Provider (MSPs), die personenbezogene Daten im Auftrag von Kunden verarbeiten, müssen die Datenschutzbestimmungen mit diesen Sicherheitsklauseln übereinstimmen. Verarbeitungsanweisungen, Vertraulichkeitszusagen, Regelungen für Unterauftragnehmer und Prüfrechte sollten Ihre übergeordneten Sicherheitsanforderungen unterstützen und nicht mit ihnen in Konflikt stehen. Dadurch wird vermieden, dass die Vereinbarung zur Datenverarbeitung etwas anderes besagt als der Sicherheitsplan und keines von beiden mit den in Ihrem Informationssicherheitsmanagementsystem (ISMS) beschriebenen Kontrollen übereinstimmt.
Verknüpfung von Vertragsthemen mit internen ISMS-Fragen
Die Verknüpfung von Vertragsthemen mit internen ISMS-Fragen bedeutet, dass jede Klauselgruppe eine klare Risikofrage beantwortet, die Sie bereits erfassen. Wenn Ihre Risikoregister, Kontrollen und Verträge dasselbe Denkmodell verwenden, wird es deutlich einfacher, den Prüfern zu erläutern, wie Sie Ihr Lieferantenmanagement durchgängig gestalten.
Eine kurze Tabelle kann Ihnen dabei helfen, diese Themen mit Ihren internen Fragen in Einklang zu bringen:
| Vertragsthema | Die wichtigste Frage, die es zu beantworten gilt | Typischer Dokumentenstandort |
|---|---|---|
| Zugriffskontrolle | Wer hat Zugriff auf welche Daten und wie wird der Zugriff gewährt oder entzogen? | Sicherheitsplan / Leistungsbeschreibung |
| Vorfallmeldung | Wann und wie werden Sie über Vorfälle informiert? | Sicherheitsplan / Service-Level-Vereinbarung |
| Subprozessoren | Wer ist sonst noch beteiligt und wer genehmigt die Maßnahmen? | Datenverarbeitungsvereinbarung / Unterauftragsvergabeklausel |
| Datenrückgabe und Löschung | Was geschieht mit den Daten, wenn die Beziehung endet? | Ausstiegs- oder Kündigungsbestimmungen |
| Prüfung und Zusicherung | Wie lässt sich überprüfen, ob die Sicherheitsmaßnahmen wie vereinbart funktionieren? | Prüfungsrechte oder Abschnitt zur Gewährleistung |
Sobald diese Zusammenhänge klar sind, können Sie für jeden wichtigen Lieferanten dokumentieren, wo spezifische Risiken angegangen werden. Das gibt den Prüfern die Gewissheit, dass Sie sich nicht auf allgemeine Formulierungen verlassen, und bietet Kunden eine konsistente Darstellung, wenn sie nach Ihrem Umgang mit Outsourcing-Risiken fragen.
Entwicklung einer wiederverwendbaren MSP-Vertragsgrundlage
Die Entwicklung einer wiederverwendbaren MSP-Vertragsgrundlage bedeutet, eine Standardstruktur und einen Standardklauselnsatz zu erstellen, der für viele Verträge mit risikobasierten Anpassungen geeignet ist. Anstatt die Formulierungen jedes Mal neu zu erfinden, pflegen Sie eine kontrollierte Grundlage und passen deren Umfang und Stärke je nach den Auswirkungen des Anbieters auf Ihre Dienstleistungen und Kunden an.
Eine wiederverwendbare Basislinie wandelt eine lange Liste von Themen in eine praktische Vertragsstruktur um, die Sie in Ihrem gesamten Portfolio einsetzen können. Ziel ist es, nicht mehr bei jedem Geschäft von Grund auf neu entwerfen zu müssen und stattdessen einheitliche Positionen zu pflegen, die Sie risikobasiert anpassen können, ohne die Konsistenz zu beeinträchtigen.
Aufbau einer modularen Vertragsstruktur für Managed Service Provider
Eine modulare Vertragsstruktur ermöglicht es Ihnen, eine einheitliche Grundlage zu schaffen und gleichzeitig den Rechts-, Vertriebs- und Technikteams klare Verantwortlichkeiten für ihre jeweiligen Bereiche zuzuweisen. Durch die Trennung von Leistungsbeschreibungen, juristischen Standardklauseln und Sicherheitsinhalten vereinfachen Sie Aktualisierungen und reduzieren das Risiko, dass eine Änderung in einem Bereich versehentlich einen anderen schwächt.
Die meisten Managed Service Provider (MSPs) bevorzugen eine modulare Struktur, da sich so einzelne Teile aktualisieren lassen, ohne alles neu schreiben zu müssen. Die klare Trennung zwischen rechtlichen Standardtexten, Leistungsbeschreibungen und Sicherheitsanforderungen trägt außerdem dazu bei, dass verschiedene Teams ihre jeweiligen Bereiche eigenverantwortlich betreuen können.
Typische Komponenten sind:
- A Master Service Agreement (MSA) enthält zentrale juristische Begriffe und übergeordnete Verantwortlichkeiten.
- Ein oder mehrere Leistungsbeschreibungen (SoWs) Beschreibung spezifischer Dienstleistungen, Anlagen und Standorte.
- A Anhang zum Servicelevel Definition von Verfügbarkeits-, Reaktions- und Lösungszielen, Berichterstattung und Servicegutschriften.
- A Sicherheitsplan Konzentration auf die in A.5.19–A.5.21 geforderten Informationssicherheits- und Datenschutzverpflichtungen.
- Wenn personenbezogene Daten verarbeitet werden, Auftragsverarbeitungsvertrag (AVV) abgestimmt auf den Sicherheitsplan.
Innerhalb dieser Struktur dient der Sicherheitsplan als zentrales Instrument für A.5.20. Er muss nicht lang sein, sollte aber die Kernthemen des vorherigen Abschnitts systematisch abdecken. Kurze, nummerierte Absätze oder Tabellen anstelle verstreuter Verweise erleichtern beiden Seiten das Verständnis und die langfristige Pflege der Inhalte.
Verwandeln Sie Ihre Basislinie in eine lebendige Klauselbibliothek
Indem Sie Ihre Basisklausel in eine dynamische Klauselbibliothek umwandeln, erfassen Sie wiederverwendbare Formulierungen, verknüpfen diese mit Kontrollmechanismen und erleichtern es Teams, die passende Variante anzuwenden. Ihr Ziel ist es, vereinzelte Formulierungen in alten Verträgen zu vermeiden und stattdessen einen sorgfältig zusammengestellten Satz von Klauseln zu pflegen, der sich mit Ihrer Risikobereitschaft und den regulatorischen Rahmenbedingungen weiterentwickelt.
Um von der Theorie in die Praxis zu gelangen, benötigen Sie Formulierungen, die technologieunabhängig sind, sich auf Kontrollen zurückführen lassen und sich leicht an unterschiedliche Risikostufen anpassen lassen. So können Sie dieselben Kernpunkte für Hosting, SOC, SaaS und professionelle Dienstleistungen anwenden und gleichzeitig deren unterschiedliche Risikoprofile berücksichtigen.
Um eine Ausgangsbasis zu schaffen, können Sie Folgendes tun:
Schritt 1 – Beginnen Sie mit Ihrem ISMS
Beginnen Sie damit, die Kontrollmechanismen und Richtlinien zu ermitteln, die Lieferanten einhalten müssen, wie z. B. Passwortstandards, Anforderungen an die Verschlüsselung, Protokollierung und Reaktionszeiten bei Sicherheitsvorfällen, damit Sie wissen, welche Anforderungen in den Verträgen enthalten sein müssen.
Schritt 2 – Anforderungen in Vertragsthemen gruppieren
Gruppieren Sie jede Erwartung in einen Klauselbereich wie Zugriffskontrolle, Vorfallmanagement, Kontinuität oder Datenverarbeitung, um Doppelarbeit zu vermeiden und schnell zu erkennen, wo Lücken in Vertragsentwürfen bestehen.
Schritt 3 – Entwurfsneutrale, ergebnisorientierte Formulierung
Formulieren Sie Klauseln, die Verantwortlichkeiten und Ergebnisse beschreiben, nicht spezifische Tools oder Konfigurationen, damit Ihre Formulierungen auch bei technologischen Veränderungen Bestand haben und für verschiedene Lieferantentypen relevant bleiben.
Schritt 4 – Kennzeichnungsklauseln für interne ISO-Kontrollen
Halten Sie in Ihrer internen Dokumentation fest, welche ISO 27001-Normen und zugehörigen Kontrollen von den einzelnen Klauseln unterstützt werden, um die Erläuterungen im Audit zu vereinfachen, die Kontrollprüfung zu unterstützen und etwaige Überschneidungen oder Konflikte hervorzuheben.
Schritt 5 – Standard- und erweiterte Varianten definieren
Erstellen Sie eine Standardklausel sowie strengere Versionen für Situationen mit höherem Risiko, wie z. B. kürzere Fristen für die Bearbeitung von Vorfällen oder stärkere Prüfrechte für kritische Dienste, damit die Verhandlungsführer wissen, von welcher Position sie ausgehen und wann sie eskalieren müssen.
Die Einführung der Basisvereinbarung stellt an sich schon ein Veränderungsprogramm dar. Üblicherweise wird die Basisvereinbarung auf alle neuen Kunden- und Lieferantenverträge angewendet, Vertragsverlängerungen und wesentliche Änderungen werden genutzt, um bestehende risikoreiche Verträge zu verbessern, und es wird ein Ausnahmeregister geführt, in dem schwächere Bedingungen mit dokumentierten Gründen und kompensierenden Kontrollmechanismen akzeptiert werden.
ISMS.online unterstützt dies durch die Speicherung Ihrer Klauselbibliothek, die Verknüpfung jeder Klausel mit Kontrollen und Lieferanten sowie die Protokollierung der jeweils verwendeten Basisversion jedes Vertrags. Dies reduziert den Verwaltungsaufwand und erleichtert die Beantwortung von Fragen wie: „Welche Hosting-Anbieter verwenden noch den älteren Standard für die Meldung von Datenschutzverletzungen?“
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Zusammenführung von A.5.19, A.5.20 und A.5.21 zu „Always-on“-Klauseln
Die Zusammenführung von A.5.19, A.5.20 und A.5.21 zu „immer gültigen“ Klauseln bedeutet, eine kleine Anzahl von Klauselgruppen zu entwickeln, die gemeinsam die Steuerung des Lieferantenlebenszyklus, Vertragsinhalte und Risiken der IKT-Lieferkette abdecken. Anstatt die drei Kontrollmechanismen als separate Projekte zu behandeln, verwendet man wiederverwendbare Formulierungen, die alle drei Bereiche gemeinsam abdecken, sofern das Risikoprofil dies erfordert.
Wenn man A.5.19, A.5.20 und A.5.21 als drei voneinander unabhängige Checklisten betrachtet, wird das Lieferantenmanagement schnell komplex und schwer verständlich. Aufsichts- und operationelle Risikostandards in Branchen wie dem Finanzdienstleistungssektor haben sich von fragmentierten Anforderungslisten hin zu integrierten Outsourcing- und Drittanbieter-Rahmenwerken entwickelt. Dieselbe Logik gilt für die Gestaltung von Kontrollen für Lieferantenklauseln gemäß ISO 27001. Die Entwicklung von Klauselfamilien, die Lieferanten vom Onboarding bis zum Outboarding begleiten, liefert eine einheitliche Darstellung: Wie Sie Lieferanten auswählen, wie Sie Verträge mit ihnen abschließen und wie Sie deren Sicherheit während der gesamten Geschäftsbeziehung gewährleisten.
Die meisten Organisationen, die an der Studie „State of Information Security 2025“ teilnahmen, gaben an, ihr Drittparteien-Risikomanagement bereits gestärkt zu haben und weitere Investitionen darin zu planen.
Klauselfamilien, die A.5.19, A.5.20 und A.5.21 gemeinsam erfüllen
Klauselgruppen sind Gruppen zusammengehöriger Verpflichtungen, die sich auf die Lieferantenauswahl, die Vertragsgestaltung und die laufende Überwachung erstrecken. Indem Sie diese einmal definieren und über den gesamten Lebenszyklus hinweg anwenden, gestalten Sie Ihren Ansatz verständlicher, verhandlungsfreundlicher und widerstandsfähiger bei Personal- oder Lieferantenwechseln.
Nützliche Familien sind beispielsweise:
- Onboarding und Due Diligence: – Offenlegung wichtiger Sicherheitsinformationen während der Auswahl, Annahme Ihrer Basislinie und Bestätigung relevanter Zertifizierungen oder Berichte.
- Leistungs- und Sicherheitsprüfung: – regelmäßige Treffen, Kennzahlen, Meldung von Vorfällen und Schwachstellen sowie das Recht, Abhilfemaßnahmen anzufordern.
- Änderungsmanagement: – Benachrichtigung über wesentliche Änderungen an der Infrastruktur, Unterauftragnehmern, Standorten oder Sicherheitskontrollen im Voraus sowie das Recht, Einspruch zu erheben oder das Risiko neu zu bewerten.
- Steuerung der Unterlieferanten: – Transparenz hinsichtlich der Lieferkette des Lieferanten, vorherige Genehmigung neuer Unterauftragnehmer und Weitergabe der Mindestverpflichtungen.
- Ausstieg und Übergang: – Sicherheitsbewusste Kündigungsklauseln, die eine kontrollierte Übergabe, Datenrückgabe oder -vernichtung sowie den Entzug des Zugriffs gewährleisten.
Diese Klauselfamilien ermöglichen die Umsetzung der Lebenszyklussteuerung gemäß A.5.19 (Auswahl, Überwachung, Änderung, Beendigung), der Vertragsinhalte gemäß A.5.20 und des Fokus auf komplexe IKT-Lieferketten gemäß A.5.21, ohne dass drei separate Klauselsätze erstellt werden müssen. Sie beschreiben den Lebenszyklus einmalig und passen die Intensität anschließend je nach Lieferantenstufe an, anstatt die Struktur jedes Mal neu zu erfinden.
Risikobasierte Einstufung von Lieferantenverträgen
Risikobasierte Stufen für Lieferantenverträge bedeuten, dass Klauselgruppen je nach potenziellem Schadensausfall des jeweiligen Lieferanten unterschiedlich stark angewendet werden. Durch die frühzeitige Definition von Stufen und entsprechenden Erwartungen vermeiden Sie Einzelfallentscheidungen und können Prüfern erläutern, warum manche Verträge strengere Anforderungen stellen als andere.
Die risikobasierte Einstufung verfeinert Klauselgruppen, sodass kritische Lieferanten strengere Verpflichtungen tragen, während reguläre Anbieter weiterhin einen Mindeststandard erfüllen. Dies hilft Ihnen, gegenüber Prüfern und Kunden zu erläutern, warum die Sicherheitserwartungen variieren, und zeigt, dass diese Variation beabsichtigt und nicht zufällig ist.
Zum Beispiel könnten Sie Folgendes definieren:
- Tier 1 – Kritische Lieferanten: wie beispielsweise primäre Hosting- oder SOC-Partner mit Vor-Ort-Prüfrechten, kürzeren Meldefristen für Vorfälle, stärkeren Verpflichtungen zur Aufrechterhaltung des Betriebs und detaillierterer Berichterstattung.
- Tier 2 – Wichtige Lieferanten: wie beispielsweise Anbieter von Branchensoftware (SaaS), die auf unabhängige Prüfberichte sowie gezielte Fragebögen und standardisierte Benachrichtigungsfristen setzen.
- Tier 3 – Standardlieferanten: wie z. B. kleinere Werkzeuge, unter Verwendung einer vereinfachten Basislinie mit nicht verhandelbaren Klauseln zur Vertraulichkeit, zur Meldung von Vorfällen und zu Subunternehmern.
Auf allen Ebenen sollten bestimmte Erwartungen stets gelten: Vertraulichkeit, ein klar definierter Verarbeitungsbereich, minimale Kooperation bei Vorfällen und die Verpflichtung, die Klassifizierungs- und Handhabungsregeln für sensible Informationen einzuhalten. Die Einteilung in Stufen dient somit der Stärkung, nicht der Abschaffung dieser Grundlagen.
Durch die Gestaltung von Klauseln auf diese Weise können Sie Prüfern und Kunden zeigen, dass die Lieferantenüberwachung strukturiert und nicht willkürlich erfolgt und dass die vertraglichen Erwartungen mit dem Risiko steigen. Zudem erleichtert es die Entscheidung, wo Korrekturmaßnahmen anzusetzen sind, wenn Sie Schwächen in bestehenden Vereinbarungen feststellen.
Häufige Prüfungslücken in MSP-Verträgen und ihre Folgen
Häufige Prüfungslücken in MSP-Verträgen treten auf, wenn wichtige Sicherheitsthemen fehlen, unklar oder in den verschiedenen Vereinbarungen inkonsistent formuliert sind. Prüfer und Kunden erkennen schnell Muster wie unzureichende Zeitangaben zu Vorfällen, fehlende Bestimmungen für Subunternehmer und ungenügende Prüfrechte. Diese Lücken führen oft zu Beanstandungen, Maßnahmen zur Behebung von Sicherheitslücken oder verpassten Geschäftschancen.
Bei der Prüfung von MSP-Verträgen anhand von A.5.20 durch Zertifizierungsstellen und Kunden stoßen sie immer wieder auf ähnliche Schwächen. Auch regulatorische Leitlinien zu Cloud- und Outsourcing-Vereinbarungen dokumentieren wiederkehrende Probleme wie unklare Sicherheitsbestimmungen, mangelnde Transparenz bei Subunternehmern und schwache Prüfrechte. Dies deckt sich mit den Beobachtungen vieler Prüfer bei Stichproben von MSP-Verträgen. Werden diese Muster frühzeitig erkannt, lassen sie sich leichter beheben, bevor sie zu Abweichungen, regulatorischen Fragen oder Vertragsstreitigkeiten führen.
Muster, die Prüfer und Kunden in MSP-Vereinbarungen feststellen
Die von Prüfern und Kunden in MSP-Verträgen festgestellten Mängel konzentrieren sich häufig auf unklare Formulierungen in wenigen wiederkehrenden Bereichen. Wenn Stichprobenverträge dieselbe schwammige Sprache in Bezug auf Vorfälle, Subunternehmer, Prüfungsrechte und regulatorische Pflichten aufweisen, hinterfragen Prüfer schnell, ob die Risikobasis Ihres Lieferanten für Ihre Situation ausreichend ist.
Auditoren beginnen üblicherweise mit der Stichprobenprüfung einiger weniger Verträge, um die praktische Anwendung Ihrer Basisvorgaben zu überprüfen. Zeigen diese Stichproben unklare Verpflichtungen und fehlende Themen, können sie schnell zu allgemeinen Bedenken hinsichtlich Ihrer Lieferantenaufsicht führen. Konformitätsbewertungs- und interne Auditstandards unterscheiden in der Regel zwischen geringfügigen und schwerwiegenden Feststellungen, basierend auf deren Schweregrad und Umfang. Schwache Klauseln können daher je nach ihrer Verbreitung und dem potenziellen Schaden unterschiedlich eingestuft werden.
Typische Lücken sind:
- Vage Sicherheitsversprechen: wobei Formulierungen wie „branchenübliche Sicherheit“ keine konkreten Angaben zu Zugriffskontrolle, Protokollierung oder Reaktion auf Sicherheitsvorfälle enthalten.
- Unbestimmte Zeitabläufe des Vorfalls: wobei die Lieferanten zwar versprechen, „unverzüglich“ zu berichten, aber kein Zeitrahmen für die erste Benachrichtigung oder Aktualisierungen festgelegt wird.
- Keine Erwähnung von Subunternehmern: Man kann also nicht sehen, ob der Lieferant Unterauftragnehmer einsetzt oder wie Verpflichtungen weitergegeben werden.
- Fehlende oder schwache Prüfrechte: Dadurch bleibt Ihnen keine zuverlässige Möglichkeit, zu überprüfen, ob die Steuerung wie erwartet funktioniert.
- Fehlende regulatorische Pflichten: wo Verträge branchenspezifische Outsourcing- oder Datenschutzbestimmungen auslassen, die für Sie gelten.
Wenn Prüfer solche Muster feststellen, stufen sie diese je nach Schweregrad und Umfang als geringfügige oder schwerwiegende Abweichungen ein. Kunden, insbesondere in regulierten Branchen, können ähnliche Abweichungen als Grundlage für die Forderung nach Korrekturmaßnahmen, strengeren Vertragsbedingungen oder in manchen Fällen sogar für einen Anbieterwechsel nutzen.
Wie schwache Klauseln zu Feststellungen, Streitigkeiten und Vertrauensverlust führen
Schwache Vertragsklauseln führen zu Feststellungen, Streitigkeiten und Vertrauensverlust, wenn Vorfälle oder Meinungsverschiedenheiten die Lücken in Ihren vertraglichen Erwartungen aufdecken. Ohne klare Verantwortlichkeiten, Fristen und Eskalationswege riskieren Sie langsame Reaktionen, strittige Verpflichtungen und eine Darstellung, die das Vertrauen von Kunden und Aufsichtsbehörden untergräbt.
Ein einfacher Vergleich verdeutlicht, warum Details wichtig sind:
| Gebiet | Beispiel für einen schwachen Nebensatz | Beispiel für eine starke Klausel |
|---|---|---|
| Vorfallmeldung | „Unverzüglich benachrichtigen.“ | „Benachrichtigung innerhalb von vier Stunden nach Erkennung, danach tägliche Aktualisierungen.“ |
| Subprozessoren | Keine Erwähnung. | „Alle Unterauftragnehmer identifizieren, deren Genehmigung einholen und sie binden.“ |
| Prüfung und Zusicherung | „Berichte sind, soweit möglich, auf Anfrage vorzulegen.“ | „Jährliche Prüfberichte vorlegen und bei Überprüfungen mitwirken.“ |
Verzögerte oder unvollständige Meldungen können dazu führen, dass Sie einen Vorfall erst durch die Presse oder Ihre Kunden erfahren, anstatt von Ihrem Lieferanten. Dies beeinträchtigt Ihre Fähigkeit, glaubwürdig zu reagieren und zu kommunizieren. Leitlinien zum Drittparteienrisiko in regulierten Branchen dokumentieren Fälle, in denen unzureichende Meldepflichten dazu führten, dass Unternehmen Probleme erst durch externe Quellen und nicht durch ihre Lieferanten erfuhren – genau das Szenario, das Sie vermeiden sollten. Unklare Verantwortlichkeiten führen zu gegenseitigen Schuldzuweisungen im denkbar ungünstigsten Moment. Fehlende Prüfrechte erschweren es, Abhilfemaßnahmen durchzusetzen oder deren Wirksamkeit zu überprüfen, insbesondere wenn Aufsichtsbehörden oder Kunden die Vorgänge beobachten.
Der Vorteil ist, dass sich die festgestellten Mängel in diesem Bereich in der Regel beheben lassen. Indem man sie in ein strukturiertes Verbesserungsprogramm umwandelt – beispielsweise durch die Aktualisierung von Basisvorlagen, die Nachschulung von Verhandlungsführern und die gezielte Behebung von Schwachstellen in den risikoreichsten Verträgen – erhält man eine klare Fortschrittsübersicht für das nächste Audit oder die nächste Kundenbesprechung. ISMS.online unterstützt Sie bei der Priorisierung dieses Programms, indem es aufzeigt, wo noch ältere Klauseln oder schwächere Positionen bestehen und wie diese den Risikostufen der Lieferanten zugeordnet sind.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Governance: Sicherstellen, dass Ihre Ausgangslage einheitlich und überprüfbar ist
Durch eine klare Governance wird die A.5.20-Basislinie konsistent und auditierbar gehalten, indem Verantwortlichkeiten, Prüfzyklen und Nachweise für Lieferantensicherheitsklauseln definiert werden. Ohne eine eindeutige Governance kann selbst eine gut konzipierte Klauselbibliothek im Laufe der Zeit an Aktualität verlieren und so unbemerkte Lücken zwischen Ihrer definierten Risikobereitschaft, Ihren Verträgen und Ihrer operativen Realität schaffen.
Im Bericht „State of Information Security 2025“ gaben rund zwei Drittel der Organisationen an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung der Vorschriften zunehmend erschweren.
Eine Vertragsgrundlage ist nur dann wertvoll, wenn sie gepflegt und konsequent angewendet wird. Governance bildet die Schnittstelle zwischen Ihrer Klauselbibliothek und den täglichen Entscheidungen, den Lieferantenbeziehungen und den Prüfungsnachweisen und ist oft der entscheidende Faktor zwischen einer einmaligen Bereinigung und einer nachhaltigen Implementierung von A.5.20.
Zuweisung der Zuständigkeit für Lieferantensicherheitsverträge
Die Zuweisung von Verantwortlichkeiten für Lieferantensicherheitsverträge erfordert, dass klar definiert wird, wer die Erwartungen festlegt, wer die Vertragstexte aushandelt, wer die Leistung überwacht und wer die Einhaltung der Vorgaben prüft. Sind diese Verantwortlichkeiten eindeutig geklärt, ist es deutlich unwahrscheinlicher, dass wichtige Klauseln durch Nebenabsprachen abgeschwächt oder umgangen werden.
Ein einfaches Modell beginnt oft mit:
- Informationssicherheit: Definition von Kontrollerwartungen, Risikobereitschaft und nicht verhandelbaren Positionen.
- Rechts- und Vertragsabteilung: Diese in rechtsverbindliche Formulierungen zu übersetzen und die Verhandlungen zu führen.
- Service- und Lieferantenmanager: Überwachung der Leistung, Kontrolle der Einhaltung von Verpflichtungen und Erfassung von Beweismitteln.
- Interne Revision oder eine gleichwertige Funktion: regelmäßig prüfen, ob Verträge und Vorgehensweisen übereinstimmen.
Die Verknüpfung von Überprüfungen der Ausgangslage mit Ihren ISMS-Prozessen hält diese aktuell. Wenn Risikoanalysen neue Bedrohungen aufzeigen, schwerwiegende Vorfälle eintreten oder sich Vorschriften ändern, sollten diese Auslöser in die geplanten Überprüfungen der Vorlage einfließen. Management-Reviews können dann prüfen, ob die Vertragsklauseln noch der Risikosituation des Unternehmens entsprechen und ob weitere Anpassungen erforderlich sind.
Tools und Überprüfungen, die die A.5.20-Nachweise auf dem neuesten Stand halten
Tools und Prüfungen halten die A.5.20-Nachweise aktuell, indem sie Ihnen Einblick in die Vertragsklauseln und Abweichungen gewähren. So können Sie Aktualisierungen priorisieren, Verhandlungen unterstützen und den Prüfern transparent darlegen, wie die Lieferantenerwartungen im Laufe der Zeit erfüllt werden.
Governance wird einfacher, wenn auf einen Blick ersichtlich ist, welche Verträge welche Klauseln verwenden und wo Ausnahmen gelten. Diese Transparenz unterstützt sowohl operative Entscheidungen als auch die Auditvorbereitung, insbesondere in MSP-Umgebungen mit vielen Kunden und Lieferanten. Praktiken aus der Versionskontrolle und dem Änderungsmanagement zeigen, dass die Nachverfolgung, welche Dokumentversionen in welchen Kontexten gelten, ein wesentlicher Bestandteil des Kontrollnachweises ist. Dasselbe Prinzip gilt für Vertragsgrundlagen und -abweichungen.
Ein praktisches Instrumentarium für gute Regierungsführung umfasst häufig Folgendes:
- A Vertrags- und Lieferantenregister Die Tabelle zeigt an, welche Basisversion für jede Beziehung verwendet wird, die Risikostufe, wichtige Termine und alle genehmigten Abweichungen.
- A Abweichungsprozess Dokumentation, wer Ausnahmen von der Basislinie genehmigen kann, aus welchen Gründen und mit welchen kompensierenden Kontrollmaßnahmen.
- Schulung und Anleitung: für Vertriebs-, Einkaufs- und Rechtsteams, damit diese verstehen, welche Sicherheitspositionen nicht verhandelbar sind und wie sie diese zu erläutern haben.
- Beispielprüfung: durch interne Revision, bei der eine Auswahl von Verträgen mit den Basis- und A.5.20-Anforderungen verglichen und geprüft wird, ob die operative Realität den Vereinbarungen entspricht.
Die Verwendung eines Systems anstelle von Tabellenkalkulationen vereinfacht diesen Prozess erheblich. Eine ISMS-Plattform kann Lieferantenbestände verwalten, diese mit Verträgen und Kontrollen verknüpfen und Prüfungen sowie Genehmigungen nachverfolgen. ISMS.online kann beispielsweise erfassen, welche Lieferanten welcher Risikostufe angehören, welche Klauseln gelten und wo Ausnahmen genehmigt wurden. Dies sorgt für eine lückenlose Nachverfolgbarkeit und verringert das Risiko, dass eine unbemerkte Vertragsänderung Ihre Sicherheitslage beeinträchtigt.
Mit der Einführung einer entsprechenden Governance-Struktur wird Ihre A.5.20-Implementierung nicht länger eine einmalige Sanierungsmaßnahme, sondern ein nachhaltiger Bestandteil Ihres Managements von Drittparteirisiken und der Art und Weise, wie Sie Kunden und Wirtschaftsprüfern Sicherheit vermitteln.
Buchen Sie noch heute eine Demo mit ISMS.online
ISMS.online unterstützt Sie dabei, ISO 27001 A.5.20 in eine wiederholbare MSP-Vertragsgrundlage zu verwandeln, die Ihre Lieferantenvereinbarungen sicher, konsistent und auditierbar macht. Durch die zentrale Speicherung von Lieferantendaten, Klauselbibliotheken, Kontrollzuordnungen und Nachweisen erleichtert die Plattform den Nachweis, dass die Anforderungen an die Informationssicherheit in den Verträgen berücksichtigt und im täglichen Geschäftsbetrieb umgesetzt werden.
Ihre A.5.20-Baseline in einem realen ISMS im Einsatz sehen
Wenn Sie Ihre A.5.20-Baseline in einem realen ISMS in Aktion sehen, können Sie Lieferanten, Risiken, Verträge und Kontrollen in einer einzigen Umgebung nachverfolgen. Dadurch verlagern sich die Gespräche mit Auditoren und Kunden von der Dokumentensuche hin zur Erläuterung Ihrer Lieferanten-Governance und des Umgangs mit Ausnahmefällen.
Wenn Sie Lieferanten, Risiken, Verträge und die Kontrollen gemäß Anhang A zentral verknüpfen können, werden Gespräche mit Wirtschaftsprüfern und Kunden einfacher und vertrauensvoller. Anstatt in Dateifreigaben und Postfächern zu suchen, erhalten Sie eine einzige Ansicht, die anzeigt, welche Basisversion für welche Geschäftsbeziehung gilt, welche Ausnahmen bestehen und wie diese Entscheidungen begründet wurden.
ISMS.online unterstützt Sie in einer zentralen Umgebung dabei, Lieferanten mit Risikobewertungen, Verträgen und Kontrollsystemen zu verknüpfen. So erkennen Sie leichter, welche Vereinbarungen welche Bereiche Ihres ISMS unterstützen. Workflows erleichtern Prüfungen, Genehmigungen und Verlängerungen und stellen sicher, dass neue Verträge die Basisstandards erfüllen und risikoreiche Verträge priorisiert aktualisiert werden. Dashboards bieten der Führungsebene einen schnellen Überblick über die Lieferantenabdeckung, offene Aufgaben und anstehende Verlängerungszeiträume.
Was Sie bei der Erkundung von ISMS.online erwartet
Auf ISMS.online können Sie die Funktionsweise von strukturiertem Lieferantenmanagement und A.5.20-Vertragsgrundlagen in einem realen ISMS-System erleben – nicht nur in der Theorie. Im Fokus steht, wie Ihre bestehenden Verträge, Risiken und Kontrollen in einem einheitlichen, nachvollziehbaren Gesamtbild organisiert werden können, um den manuellen Aufwand zu reduzieren und das Vertrauen zu stärken.
Bei ISMS.online geht es darum, zu sehen, wie sich Ihr bestehendes Lieferantenmanagement in ein strukturiertes, auditierbares System weiterentwickeln lässt, anstatt ein weiteres Tool einzuführen. Sie können Beispielklauseln, Mappings und Berichte gemäß A.5.20 einsehen, die speziell auf Managed Service Provider zugeschnitten sind, und testen, wie diese zu Ihren bestehenden Verträgen und Prozessen passen.
Für Informationssicherheitsbeauftragte, Rechtsabteilungen und Managed Service Provider (MSPs) verkürzt diese Kombination aus Struktur und Transparenz die Auditvorbereitung, reduziert Verhandlungsschwierigkeiten und stärkt die Qualitätssicherung. ISMS.online ist die richtige Wahl, wenn Ihre Lieferantenverträge Ihre ISO 27001-Zertifizierung unterstützen, Sie Ihren Kunden die Kontrolle über Ihre IT-Systeme nachweisen und das Risiko von Drittanbietern minimieren möchten, ohne unnötige Komplexität hinzuzufügen. Wenn Ihnen diese Ergebnisse wichtig sind, ist es ein logischer nächster Schritt, die Plattform in Aktion zu erleben.
KontaktHäufig gestellte Fragen (FAQ)
Wie sollte ein Managed Service Provider (MSP) ISO 27001:2022 A.5.20 im alltäglichen Umgang mit Lieferanten und Kunden interpretieren?
Sie sollten A.5.20 als Voraussetzung für spezifische, überprüfbare Sicherheitsverpflichtungen in Ihren Verträgen, keine beruhigenden, sondern vage Aussagen über „robuste“ oder „branchenübliche“ Sicherheit.
Wenn ein Wirtschaftsprüfer, ein wichtiger Kunde oder eine Aufsichtsbehörde Ihre Verträge liest, sollte sie erkennen können, wer für welche Kontrollen verantwortlich ist, wie ein „gutes“ Ergebnis aussieht und wie Sie überprüfen, ob dies auch tatsächlich der Fall ist.
Wie sehen „klare und nachvollziehbare Sicherheitsklauseln“ in der Praxis aus?
Für einen Managed Service Provider (MSP) ist A.5.20 erfüllt, wenn Lieferanten- und Kundenverträge übereinstimmen:
- Sicherheitsverantwortlichkeiten zuweisen:
Legen Sie genau fest, wer für Patching, Endpoint Protection, Backups, Identitäts- und Zugriffsmanagement, Monitoring und Incident Triage zuständig ist – einschließlich aller geteilten Verantwortlichkeiten.
- Beschreiben Sie, wie mit Informationen umgegangen wird:
Beschreiben Sie in einer für einen nicht-technischen Gutachter verständlichen Sprache, wie auf die relevanten Daten zugegriffen, diese verarbeitet, gespeichert, übertragen, gesichert, aufbewahrt und gelöscht werden.
- Regeln für die Meldung von Vorfällen und die Zusammenarbeit definieren:
Verwenden Sie konkrete Auslöser („bestätigte Kompromittierung von Kundendaten“, „Dienstausfall > X Minuten“), Zeitpläne („erste Warnung innerhalb von X Stunden“), benannte Kontaktwege und Erwartungen für gemeinsame Untersuchungen und Kommunikation.
- Anwendbare Vorschriften und Branchenregeln berücksichtigen:
Nehmen Sie Datenschutz, Outsourcing, Resilienz oder branchenspezifische Verpflichtungen in die Vereinbarung auf, anstatt sich nur auf Richtlinien oder informelle Zusicherungen zu verlassen.
- Geeignete Kontroll- und Aufsichtsmechanismen einbeziehen:
Sie erhalten das Recht, Nachweise (ISO 27001-Zertifikate, SOC 2-Berichte, Zusammenfassungen von Penetrationstests, gezielte Fragebögen) in einem vereinbarten Rhythmus einzusehen und gegebenenfalls Nachforschungen anzustellen.
Ein schneller Selbsttest, der bei Wirtschaftsprüfern Anklang findet, ist:
Könnten wir allein mit diesem Vertrag beweisen, dass unsere Informationssicherheitsanforderungen definiert, risikobasiert und durchsetzbar sind – oder würden wir die Lücken mit dem füllen, was ohnehin jeder weiß, dass wir gemeint haben?
Wenn die Antwort eher der letzteren entspricht, sollte Ihr ISMS dies als Schwäche protokollieren und eine Änderung der Formulierungen, Vorlagen oder Genehmigungsregeln nach sich ziehen.
Eine Plattform wie ISMS.online erleichtert dies erheblich. Sie können jede Vertragsklausel mit den zugehörigen Risiken und Kontrollen verknüpfen und anhand realer Vereinbarungen zeigen, wie A.5.20 umgesetzt wird, anstatt sich auf Erinnerungen oder informelle Notizen zu verlassen.
Wie passt A.5.20 zu A.5.19 und A.5.21 für ein MSP?
Die drei Bedienelemente bilden eine Sicherheitslebenszyklus eines einzelnen Drittanbieters: Mit wem Sie zusammenarbeiten, welche schriftlichen Anforderungen Sie stellen und wie Sie die mehrstufige Lieferkette managen, die Ihre Dienstleistungen erbringt.
Wie sollte ein MSP die Kette A.5.19–A.5.21 betrachten?
Bei den meisten Managed Service Providern (MSPs) sieht das Muster folgendermaßen aus:
- A.5.19 – Lieferantenlebenszyklus:
Wie Sie Lieferanten auswählen, bewerten, genehmigen, einbinden, überwachen und gegebenenfalls wieder ausscheiden – einschließlich Kriterien, Sorgfaltsprüfung und regelmäßiger Überprüfungen.
- A.5.20 – Vertragsinformationssicherheit:
Wo diese Erwartungen in verbindliche Verpflichtungen in Rahmenverträgen (Master Service Agreements, MSAs), Leistungsbeschreibungen (Statement of Work, SoWs), Service-Level-Agreements (SLAs), Data Protection Agreements (DPAs) und Sicherheitsplänen umgewandelt werden.
- A.5.21 – IKT-Lieferkette und Datenschutzrisiko:
Wie Sie die verschiedenen Anbieterebenen – Cloud-Plattformen, Spezialtools, Subunternehmer – kontrollieren und überwachen und wie diese mit personenbezogenen und sensiblen Daten umgehen.
Im täglichen Betrieb ist A.5.20 die Brücke zwischen Ihrer Risikoeinschätzung und Ihrer Rechtsposition:
- Ihr Lieferantenregister und Risikobewertungen (A.5.19) Beschreiben Sie das Risiko und die Kontrollmaßnahmen, auf die Sie sich verlassen möchten.
- Ihr Verträge (A.5.20) festlegen, wer diese Kontrollen durchführen muss und was passiert, wenn dies nicht geschieht.
- Ihr Überwachung der Lieferkette (A.5.21) prüft, ob die Realität sowohl dem ISMS als auch dem Vertrag entspricht, einschließlich Datenflüssen und Unterlieferanten.
Prüfer und Großkunden werden diese Punkte natürlich vergleichen. Wenn in Ihrem Risikoregister ein Cloud-Anbieter als „kritisch und risikoreich“ eingestuft wird, der Vertrag aber nur allgemeine Formulierungen zu „angemessener Sicherheit“ enthält, werden sie dies beanstanden.
Mit ISMS.online können Sie all diese Informationen an einem Ort zusammenführen: Lieferantendatensätze, verknüpft mit Risiken, Kontrollen und spezifischen Vertragsklauseln. Das bedeutet: Wenn Sie gefragt werden: „Wie verwalten Sie Ihre Unterauftragnehmer gemäß A.5.21?“, können Sie Lieferanten, Verträge, Kontrollen und den Prüfzyklus zusammenfassend darstellen, anstatt aus dem Gedächtnis zu antworten.
Wie lassen sich die Themen der ISO 27001 A.5.20 in einen praktischen Katalog von MSP-Vertragsklauseln umsetzen?
Sie setzen A.5.20 in die Praxis um, indem Sie einer Vereinbarung zustimmen kurze, nicht verhandelbare Checkliste von Sicherheitsthemen Das muss stets berücksichtigt werden, bevor entschieden wird, wo die einzelnen Themen üblicherweise in den Vertragsunterlagen ihren Platz finden.
Dadurch wird jeder neue Vertrag oder jede Vertragsverlängerung zu einer Übung in der Anwendung eines Musters, anstatt unter Zeitdruck neue Formulierungen zu erfinden.
Was gehört auf die Standard-Checkliste A.5.20 eines Managed Service Providers (MSP)?
Die meisten Managed Service Provider (MSPs) verwenden am Ende eine Kernliste, die in etwa so aussieht:
- Geltungsbereich und zulässige Verwendung: – welche Dienstleistungen, Systeme und Daten in den Geltungsbereich fallen; was die andere Partei tun darf und was nicht; etwaige geografische oder regulatorische Grenzen.
- Zugangskontrolle: – wie Identitäten und Konten erstellt, genehmigt, überprüft und entfernt werden; Umgang mit privilegierten Zugriffen; Erwartungen an die Multi-Faktor-Authentifizierung.
- Protokollierung und Überwachung: – Mindestanforderungen an die Protokollierung, Aufbewahrungsfristen und wie Sie Protokolle für Untersuchungen oder Audits erhalten können.
- Schwachstellen- und Änderungsmanagement: – Erwartungen an das Patchen und die Offenlegung von Sicherheitslücken; Vorankündigung wesentlicher Änderungen, die sich auf die Sicherheit oder Verfügbarkeit auswirken können.
- Vorfallmanagement: – was als Vorfall gilt, Auslöser und Fristen für Benachrichtigungen, erforderliche Inhalte für Benachrichtigungen, Eskalationswege und Erwartungen an die gemeinsame Untersuchung.
- Geschäftskontinuität und Notfallwiederherstellung: – anwendbare RTO/RPOs, Backup-Frequenz und Tests, Failover-Erwartungen, wenn es wirklich auf Verfügbarkeit ankommt.
- Unterlieferanten: – wann weitere Anbieter eingesetzt werden dürfen, was offengelegt oder genehmigt werden muss und wie diese Ihre Sicherheits- und Datenschutzanforderungen übernehmen müssen.
- Datenschutz und Privatsphäre: – Verarbeitungsanweisungen, Datenkategorien, Standorte und Übermittlungen, Unterstützung bei Betroffenenrechten und Meldungen von Datenschutzverletzungen.
- Datenaufbewahrung, -rückgabe und -löschung: – wie lange Daten gespeichert werden, was beim Löschen geschieht, wie die sichere Löschung durchgeführt und dokumentiert wird.
- Sicherheit und Aufsicht: – die Nachweise, die Sie tatsächlich anfordern und auf die Sie sich verlassen können (Bescheinigungen, Berichte, Bestätigungsschreiben, Antworten auf gezielte Fragebögen) und wie häufig.
Es hilft, einen einfachen Überblick darüber zu gewinnen, wo diese Tiere üblicherweise leben:
| Themenbereich | Typisches Vertragshaus für einen MSP |
|---|---|
| Geltungsbereich, zulässige Nutzung | MSA / SoW |
| Zugriff, Protokollierung, Überwachung | Sicherheitsplan / Technischer Anhang |
| Schwachstellen, Veränderungen, Vorfälle | Sicherheitsplan / SLA |
| Kontinuität, DR | Sicherheitsplan / SLA |
| Unterlieferanten, Datenschutz | Sicherheitsplan + Datenschutz-Grundverordnung |
| Aufbewahrung, Rückgabe, Löschung | Sicherheitsplan + Ausstiegsbestimmungen im MSA |
| Sicherstellung und Aufsicht | Sicherheitsplan / Governance-Abschnitte |
Sobald dieses Muster festgelegt ist, können Sie interne Checklisten erstellen und die einzelnen Schritte darauf abstimmen. ISMS.online verknüpft dann jedes Thema mit den relevanten Lieferanten, Risiken und Kontrollen, sodass Sie beispielsweise bei einem Risiko im Zusammenhang mit der Meldung von Vorfällen automatisch zu den relevanten Klauseln und betroffenen Verträgen zurückgeführt werden.
Wie kann ein Managed Service Provider (MSP) eine wiederverwendbare A.5.20-Vertragsgrundlage entwerfen, die auch in realen Verhandlungen Bestand hat?
Ein praktikabler Ansatz ist der Aufbau eines modulare Vertragsstruktur und pflege a Bibliothek mit getaggten Klauseln das neben Ihrem ISMS existiert und klare Regeln darüber enthält, wann und wie Sie Formulierungen variieren können.
Ziel ist es, auch nach schwierigen Verhandlungen konsequent erklären zu können, warum Ihre Verträge so aussehen, wie sie aussehen, und wie sie Ihre Risikoposition unterstützen.
Wie sieht eine modulare A.5.20-Baseline für MSPs aus?
Viele Managed Service Provider (MSPs) tendieren zu einer Struktur wie dieser:
- A Rahmenvertrag (MSA) für übergeordnete rechtliche Bestimmungen, Haftung, Eigentumsverhältnisse und Verantwortlichkeiten auf höchster Ebene.
- Leistungsbeschreibungen (SoWs): die Dienstleistungen, die relevanten Systeme und Daten, Standorte sowie alle kundenspezifischen Anforderungen oder Abweichungen definieren.
- A Anhang zum Servicelevel Festlegung von Verfügbarkeits-, Reaktions- und Lösungszielen, einschließlich solcher, bei denen diese die Sicherheit unterstützen (z. B. Reaktionszeiten bei Sicherheitsvorfällen).
- Ein dedizierter Sicherheitsplan Dadurch werden die Themen A.5.19–A.5.21 an einem Ort mit ergebnisorientierter Sprache zusammengeführt, sodass Sie die Erwartungen aktualisieren können, ohne den gesamten MSA neu schreiben zu müssen.
- Wenn personenbezogene Daten verarbeitet werden, Auftragsverarbeitungsvertrag (AVV) das sich auf den Sicherheitsplan bezieht und mit ihm übereinstimmt, anstatt ihn zu duplizieren oder ihm zu widersprechen.
Hinter dieser Struktur bewahren Sie eine interne Klauselbibliothek wobei jede Klausel mit Folgendem gekennzeichnet ist:
- Die Sicherheitsthema Es behandelt beispielsweise Zugriffsüberprüfungen, Zeitabläufe von Vorfällen und die Offenlegung von Unterlieferanten.
- Die ISO 27001 und zugehörige Kontrollen Es unterstützt insbesondere A.5.19, A.5.20 und A.5.21.
- Ein oder mehrere Risikostufen – zum Beispiel Standard-, wichtige und kritische Dienstleistungen oder Kunden.
Das gibt Ihnen drei wichtige Hebel:
- Eine Menge von minimale Basispositionen dass Sie diese Werte nur selten unterschreiten (z. B. maximale Verzögerungen bei der Meldung von Vorfällen).
- Eine Menge von verbesserte Varianten Bereit für Situationen mit höherem Risiko, damit Sie Verträge für kritische Dienstleistungen stärken können, ohne improvisieren zu müssen.
- Eine Menge von Ausnahmeregelneinschließlich der Frage, wer Abweichungen von der Ausgangslage genehmigen kann, welche Ausgleichsmaßnahmen Sie erwarten und wann diese Entscheidungen überprüft werden.
Wenn diese Klauselbibliothek und der Genehmigungspfad in einer Plattform wie ISMS.online gespeichert sind und mit Ihrem Risikoregister und Ihren Lieferantendatensätzen verknüpft sind, können Sie nachweisen, dass Aktualisierungen Ihrer A.5.20-Basislinie auf realen Änderungen – neuen Bedrohungen, Vorfällen, regulatorischen Vorgaben – beruhen und nicht auf Ad-hoc-Änderungen.
In Verhandlungen trägt diese Struktur auch zu einer weniger persönlichen Gesprächsführung bei. Anstatt über den Formulierungsstil zu streiten, können Sie und Ihr Verhandlungspartner aus klar definierten Varianten wählen, die an ein vereinbartes Risikoprofil gekoppelt sind, und Sie können genau dokumentieren, warum eine stärkere oder schwächere Option gewählt wurde.
Welche Anforderungen an die Informationssicherheit sollten gemäß A.5.20 fast immer in MSP-Lieferantenverträgen enthalten sein?
Manche Anforderungen sind so grundlegend, dass sie dazu gehören Fast jede Die Vereinbarung mit dem im Geltungsbereich stehenden Lieferanten gilt unabhängig vom Vertragswert oder der Leistungskategorie. Diese „immer aktiven“ Elemente bilden die Grundlage Ihrer A.5.20-Implementierung.
Was gehört typischerweise in die „Always-on“-A.5.20-Schicht eines MSP?
Die meisten Managed Service Provider (MSPs) einigen sich auf eine kurze Liste, die nur in Ausnahmefällen und mit klarer Begründung variiert wird:
- Vertraulichkeit und zulässige Nutzung:
Pflichten zum Schutz Ihrer Daten und Kundendaten sowie anschauliche Beispiele für verbotenes Verhalten wie unbefugtes Kopieren, Weitergeben oder Data-Mining.
- Übereinstimmung mit Ihren wichtigsten Richtlinien:
Die Verpflichtung, festgelegte Richtlinien zur Informationssicherheit, zur akzeptablen Nutzung und, soweit relevant, zur sicheren Entwicklung einzuhalten, die Sie über Ihr ISMS veröffentlichen und pflegen.
- Zugriffs- und Identitätskontrolle:
Erwartungen hinsichtlich der Verwendung starker Authentifizierung, der Durchsetzung des Prinzips der minimalen Berechtigungen, der Überprüfung des Zugriffs in einem festgelegten Rhythmus und des unverzüglichen Widerrufs, wenn er nicht mehr benötigt wird.
- Meldung von Vorfällen und Zusammenarbeit:
Klare Kriterien für die Meldepflichten, Fristen für Erst- und Folgemeldungen, Mindestinhalte (Zeitleiste, Auswirkungen, betroffene Daten, Eindämmungsmaßnahmen) und die Vorgehensweise bei gemeinsamen Untersuchungen und der externen Kommunikation.
- Transparenz der Unterlieferanten:
Verpflichtungen zur Offenlegung wesentlicher Unterlieferanten, zur Vorankündigung wesentlicher Änderungen und zur Weitergabe im Wesentlichen gleicher Sicherheits- und Datenschutzbestimmungen an diese Parteien.
- Datenschutzbestimmungen:
Sofern es sich um personenbezogene Daten handelt, gelten Bedingungen, die mit Ihren gesetzlichen Verpflichtungen (z. B. gemäß DSGVO oder CCPA) und Ihren eigenen Datenschutz- und Aufbewahrungsrichtlinien übereinstimmen.
- Datenrückgabe und sichere Löschung:
Anweisungen, wie Daten am Ende der Geschäftsbeziehung oder Dienstleistung zurückgegeben, übertragen oder sicher gelöscht werden, sowie eine begründete Erwartung, dass ein Nachweis über die erfolgte Löschung erbracht wird.
- Sicherungsmechanismen:
Vereinbarte Methoden zur Überwachung Ihres Sicherheitsstatus – wie z. B. ISO 27001-Zertifikate, SOC 2-Berichte, kurze Fragebögen oder formelle Bestätigungen – und wie häufig Sie diese erhalten.
Eine hilfreiche Frage, die man sich stellen sollte, ist:
Wenn es bei diesem Lieferanten heute Abend zu einem schwerwiegenden Vorfall käme, bietet uns dieser Vertrag genügend Möglichkeiten, schnell zu handeln, auf angemessene Abhilfemaßnahmen zu bestehen und unsere Aufsicht gegenüber Kunden oder Aufsichtsbehörden zu erläutern?
Wenn Sie zögern, fehlt möglicherweise einer dieser stets relevanten Bereiche oder ist zu schwach ausgeprägt. Indem Sie diese Bereiche als Teil Ihrer Basislinie erfassen und in Standardvorlagen integrieren, reduzieren Sie die Abhängigkeit vom individuellen Verhandlungsgeschick und bieten Prüfern und Kunden eine klare Darstellung.
ISMS.online kann dies weiter stärken, indem diese Basisklauseln mit Lieferanteneinträgen, Risiken und Managementbewertungen verknüpft werden, sodass Sie nachweisen können, dass die grundlegende Ebene vorhanden ist, angewendet wird und bei veränderten Umständen überprüft wird.
Wie kann ein Managed Service Provider (MSP) seine A.5.20-Vertragsbasislinie mit dem ISMS in Einklang bringen und die Nachweisbarkeit über die Zeit hinweg gewährleisten?
Sie halten die Vorgaben von A.5.20 ein, indem Sie Vertragstexte als solche behandeln. Teil Ihrer Sicherheitsgovernance, mit benannten Eigentümern, geplanten Überprüfungen und klaren Verbindungen zum Lieferantenmanagement und Risikomanagement, anstatt einer separaten juristischen Angelegenheit, die sich im Laufe der Zeit verliert.
Wie sieht eine nachhaltige A.5.20-Governance für einen MSP aus?
Selbst bei kleineren Managed Service Providern (MSPs) macht ein einfaches Governance-Modell einen großen Unterschied:
- Informationssicherheit:
Definiert Sicherheitserwartungen, Always-On-Elemente und nicht verhandelbare Positionen in einfacher Sprache, abgebildet auf ISO 27001-Kontrollen und andere Frameworks, auf die Sie sich verlassen.
- Rechts- oder Vertragsabteilung:
Verantwortet die genaue Formulierung, berät bei Verhandlungen und dokumentiert, wo die Ausgangswerte überschritten oder gelockert werden, einschließlich der Begründung und etwaiger Ausgleichsmaßnahmen.
- Lieferantenmanager oder Dienstleistungsinhaber:
Überwachen Sie, ob die Lieferanten ihren Verpflichtungen in der Praxis nachkommen, sammeln Sie Nachweise (Zertifikate, Berichte, Antworten) und machen Sie auf Probleme aufmerksam, wenn die Erwartungen nicht erfüllt werden.
- Interne Revision oder gleichwertige Qualifikation:
Prüft regelmäßig Stichproben aus einer Reihe von Verträgen, vergleicht diese mit Ihren Basisdaten, dem Lieferantenregister und den Risikoaufzeichnungen und empfiehlt Verbesserungen.
Diese Rollen folgen dann einem vorhersehbaren Rhythmus:
- Vertragsvorlagen und Klauselbibliotheken werden im Rahmen Ihrer Prüfung überprüft. Risikobewertungs- und ManagementprüfungszyklenDaher führen Zwischenfälle, Beinaheunfälle und regulatorische Änderungen zu gezielten Aktualisierungen des Wortlauts.
- Ein zentrales Register zeigt Welche Verträge verwenden welche Basisversion?, welche Lieferanten in welche Risikostufe fallen und wo Sie Abweichungen akzeptiert haben, einschließlich einer Aufzeichnung darüber, wer diese genehmigt hat und warum.
- kurz Leitfäden und Checklisten Wir helfen den Vertriebs-, Einkaufs- und Kundenbetreuungsteams zu verstehen, welche Bedingungen zwingend sind, wo sie Flexibilität haben und wann sie Sicherheits- oder Rechtsspezialisten hinzuziehen müssen.
Im kleinsten Rahmen lässt sich vieles davon mit Dokumenten und freigegebenen Ordnern verwalten. Mit zunehmender Kundenzahl, Lieferantenliste und Rahmenvertragsabdeckung wird diese Lösung jedoch schnell instabil.
Mit ISMS.online können Sie Lieferantenbestände, Vertragsgrundlagen, Kontrollen, Risiken, Audits und Managementbewertungen in einer einzigen Ansicht zusammenführen, sodass Sie bei Fragen wie:
- „Wie kann sichergestellt werden, dass A.5.20 konsequent auf kritische Lieferanten angewendet wird?“
- „Wo dokumentieren Sie Ausnahmen von Ihren Standardpositionen?“
- „Wie wirken sich Vertragsänderungen auf Ihr Risikoregister aus?“
Sie können mit aktuellen, miteinander verknüpften Beweisen antworten, anstatt mit einem Flickenteppich aus Dateien.
Diese hohe Struktur signalisiert Kunden, Auditoren und Aufsichtsbehörden, dass Sie Lieferanten- und Kundensicherheit als systematische Disziplin betreiben. Sie zeigt, dass Ihre Verträge, Ihr ISMS und Ihr tägliches Handeln aufeinander abgestimmt sind, was es Ihnen wiederum erleichtert, Kunden zu gewinnen und zu binden, denen das Risiko durch Dritte besonders wichtig ist.
