ISO 27002 - Kapitel 5.20 Lieferantenvereinbarungen
Nachdem sich die ISO 27002 im Kapitel 5.19 bereits allgemein der Informationssicherheit in Lieferantenbeziehungen gewidmet hat, geht sie im darauffolgenden Abschnitt genauer auf die Berücksichtigung der Informationssicherheit in Lieferantenvereinbarungen ein. Dabei muss sich die Organisation an der konkreten Lieferantenbeziehung orientieren und dazu passende, individuelle Anforderungen an die Informationssicherheit festlegen. Dies soll zur Aufrechterhaltung eines hinreichenden Niveaus der Informationssicherheit beitragen. Im Folgenden finden Sie einige Gesichtspunkte, die bei der Erstellung von Lieferantenvereinbarungen zu berücksichtigen sind.
Technische und organisatorische Maßnahmen in Lieferantenvereinbarungen
Definition klarer Verantwortlichkeiten und Anforderungen
Es ist wichtig, dass die Vereinbarung klare Verantwortlichkeiten für die Informationssicherheit zwischen dem Unternehmen und dem Lieferanten festlegt. Dies umfasst auch eindeutige Zuständigkeiten für die Umsetzung von Sicherheitsmaßnahmen, die sorgfältige Überwachung der Sicherheitsmaßnahmen, die zuverlässige und kurzfristige Meldung von Sicherheitsvorfällen und die jederzeitige und angemessene Zusammenarbeit bei der Behebung von Sicherheitsproblemen. Im Zuge dessen sind die relevanten Informationen, die Gegenstand der Lieferantenbeziehung sein können, zu bestimmen und es ist eine Klassifizierung der Daten vorzunehmen. Weiterhin muss die zulässige Nutzung der Daten abschließend festgelegt werden und konkrete Anforderungen an die Informationssicherheit sind zu benennen.
Festlegung von Service Level Agreements (SLAs)
SLAs sollten in die Vereinbarung aufgenommen werden, um die Erwartungen des Unternehmens in Bezug auf die Sicherheitsleistung des Lieferanten zu definieren. Dies umfasst Aspekte wie die Verfügbarkeit von Systemen und Daten, Reaktionszeiten bei Sicherheitsvorfällen und die Eskalationsverfahren bei Verletzungen der Sicherheitsvereinbarung. Ein Verfahrensmanagement für Sicherheitsvorfälle ist zu erstellen. Auch die Folgen und Kompensationsmaßnahmen bei Nichterfüllung sind vorzusehen.
Regelungen zur Weitergabe von Informationen
Die Vereinbarung sollte Regelungen zur Weitergabe von Informationen enthalten, insbesondere im Hinblick auf deren angemessenen Schutz. Hierbei können etwa die Verpflichtung zur Verwendung von Verschlüsselungstechnologien, zur sicheren Datenübertragung und zur sicheren Aufbewahrung von Daten beim Lieferanten festgelegt werden.
Beendigung der Vereinbarung
Es ist wichtig, Regelungen zur Beendigung der Vereinbarung zu definieren. Dies beinhaltet Kündigungsklauseln sowie den Umgang mit Informationen, die beim Lieferanten gespeichert sind, sowie die sichere Rückgabe oder Vernichtung von Daten bei Vertragsende.
Aktualisierung und Überprüfung der Vereinbarung
Vereinbarungen sollten regelmäßig überprüft und bei Bedarf aktualisiert werden, um sicherzustellen, dass sie den aktuellen Bedrohungen und Anforderungen an die Informationssicherheit weiterhin gerecht werden. Die Überprüfung kann in Form von regelmäßigen Audits oder Überwachungen der Sicherheitsleistung des Lieferanten erfolgen. Auch die Anforderungen an die Überprüfung sollten bereits in der Vereinbarung selbst festgehalten sein.
Lieferantenvereinbarungen in der ISO 27002
Die Einbeziehung der Informationssicherheit in Lieferantenvereinbarungen gemäß den Anforderungen der ISO 27002 ist von entscheidender Bedeutung, um das Risiko von Sicherheitsverletzungen und Datenlecks zu minimieren. Durch die Umsetzung organisatorischer Lösungen und die Berücksichtigung wichtiger Aspekte bei der Erstellung solcher Vereinbarungen können Unternehmen sicherstellen, dass ihre Lieferanten angemessene Sicherheitsmaßnahmen implementieren und dass die Vertraulichkeit, Integrität und Verfügbarkeit ihrer sensiblen Informationen gewährleistet wird.