ISO 27002 - Kapitel 5.19 Lieferantenbeziehungen
Der Einsatz von externen Dienstleistern stellt oft ein zusätzliches Risiko vor dem Hintergrund der Informationssicherheit dar. Dementsprechend sollten Organisationen geeignete Maßnahmen ergreifen, um diese Risiken zu beherrschen. Im Kapitel 5.19 Informationssicherheit in Lieferantenbeziehungen geht die ISO 27002 auf Vorgehensweisen im Zusammenhang mit der Nutzung von Produkten und Dienstleistungen von Lieferanten ein. In diesem Beitrag werden einige geeignete Maßnahmen erläutert, die ergriffen werden können, um den Anforderungen der Informationssicherheit in Lieferantenbeziehungen gerecht zu werden.
Technische und organisatorische Maßnahmen bei Lieferantenbeziehungen
Identifikation und Bewertung von Lieferantenbeziehungen
Für alle Outsourcingvorhaben sollte festgestellt werden, inwieweit damit Risiken für die Informationssicherheit einhergehen können und welche Anforderungen an einen Lieferanten gestellt werden müssen, um diesen Risiken angemessen zu begegnen.
Bewertung und Auswahl von Lieferanten
Ein geregelter Prozess zur Bewertung und Auswahl möglicher Lieferanten bzw. von deren Produkten ist einzuführen. Berücksichtigt werden sollten alle Aspekte, also neben der Datensicherheit beispielsweise auch die physische Sicherheit oder allgemeine Compliance.
Regelung der Zusammenarbeit mit Lieferanten
Es muss im Einzelfall geklärt und geregelt werden, auf welche Informationen der Organisation der Lieferant zugreifen soll und auf welchen Wegen dies geschehen darf. Der Prozess muss sich auf eine laufende Überwachung des Lieferanten mit besonderem Blick auf die Erfüllung der ihn treffenden Pflichten erstrecken. Was bei Abweichungen geschehen soll und wie diese ggf. abgefangen werden können, ist nach Möglichkeit im Vorfeld zu planen. Im Hinblick auf die Endlichkeit von Kooperationen ist auch deren geordnete Beendigung zu regeln.
Notfallvorsorge und -reaktion
Organisationen sollten sicherstellen, dass alle Lieferanten über angemessene Notfallpläne verfügen, um auf Sicherheitsvorfälle zu reagieren. Dies kann die Einrichtung von Mechanismen zur frühzeitigen Erkennung und Reaktion auf Sicherheitsverletzungen sowie die regelmäßige Durchführung von Notfallübungen umfassen.
Schulung und Sensibilisierung
Das angemessene Bewusstsein für Informationssicherheit ist nicht nur bei den eigenen Mitarbeitern zu schaffen. Es muss auch sichergestellt sein, dass alle Lieferanten und deren Mitarbeiter die spezifischen Anforderungen der Informationssicherheit kennen. Nicht vergessen werden darf, die eigenen Mitarbeiter hinsichtlich der Zusammenarbeit mit Dienstleistern zu schulen.
Lieferantenbeziehungen in der ISO 27002
Insgesamt ist die Berücksichtigung von Informationssicherheit in Lieferantenbeziehungen ein wichtiger Aspekt des umfassenden Informationssicherheitsmanagements eines Unternehmens. Die ISO 27002 bietet Unternehmen eine wertvolle Anleitung und bewährte Verfahren, um ihre Informationssicherheit in diesem Bereich zu stärken. Durch die Implementierung obiger Maßnahmen können Unternehmen ihre Daten und Informationen besser schützen.