(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Organisationen sind zunehmend auf externe Lieferanten, Dienstleister und Partner angewiesen, die Zugriff auf Informationen, Systeme oder Prozesse erhalten oder diese im Auftrag der Organisation verarbeiten. Dadurch entstehen zusätzliche Informationssicherheitsrisiken, da ein Teil der Kontrolle außerhalb der eigenen Organisation liegt. Dieses Control stellt sicher, dass Informationssicherheitsanforderungen in Lieferantenbeziehungen angemessen berücksichtigt, gesteuert und überwacht werden.

Zweck des Controls

A 5.19 soll gewährleisten, dass Informationssicherheitsrisiken, die aus Lieferantenbeziehungen entstehen, identifiziert, bewertet und behandelt werden. Ziel ist es, sicherzustellen, dass Lieferanten ein angemessenes Sicherheitsniveau einhalten und dass der Schutz von Informationen auch über organisatorische Grenzen hinweg gewährleistet ist. Das Control unterstützt damit die sichere Zusammenarbeit mit externen Parteien und die Einhaltung gesetzlicher, regulatorischer und vertraglicher Anforderungen.

Anforderungen und Maßnahmen

1. Identifikation sicherheitsrelevanter Lieferantenbeziehungen

Organisationen müssen Lieferantenbeziehungen identifizieren, die Auswirkungen auf die Informationssicherheit haben können, insbesondere solche mit:

• Zugriff auf vertrauliche oder schützenswerte Informationen
• Verarbeitung personenbezogener oder regulatorisch relevanter Daten
• Betrieb oder Hosting von IT-Systemen und Anwendungen
• Einfluss auf kritische Geschäftsprozesse
• Nutzung von Cloud-, Outsourcing- oder Managed-Services

Diese Beziehungen sind risikoorientiert zu bewerten.

2. Bewertung von Informationssicherheitsrisiken

Für relevante Lieferantenbeziehungen müssen Informationssicherheitsrisiken bewertet werden:

• Identifikation potenzieller Bedrohungen und Schwachstellen
• Bewertung der Auswirkungen bei Sicherheitsvorfällen
• Berücksichtigung der Kritikalität der gelieferten Leistungen
• Einbeziehung bestehender Sicherheitsmaßnahmen des Lieferanten

Die Bewertung muss dokumentiert und regelmäßig überprüft werden.

3. Festlegung von Informationssicherheitsanforderungen

Organisationen müssen angemessene Informationssicherheitsanforderungen für Lieferanten definieren, zum Beispiel:

• Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit
• Vorgaben zu Zugriffskontrollen und Authentifizierung
• Anforderungen an Incident- und Notfallmanagement
• Vorgaben zu Datenschutz und Compliance
• Anforderungen an Unterauftragnehmer

Diese Anforderungen müssen klar, überprüfbar und verbindlich sein.

4. Integration in Beschaffungs- und Lieferantenprozesse

Informationssicherheit muss in bestehende Prozesse integriert werden:

• Berücksichtigung von Sicherheitsaspekten bei Auswahl und Bewertung von Lieferanten
• Einbindung des ISMS in Beschaffungs- und Vergabeprozesse
• Abstimmung mit Fachbereichen, IT, Datenschutz und Recht
• Dokumentierte Entscheidung über akzeptierte Risiken

So wird Informationssicherheit frühzeitig berücksichtigt.

5. Steuerung und Überwachung von Lieferanten

Die Organisation muss die Einhaltung der Sicherheitsanforderungen überwachen:

• regelmäßige Überprüfung der Lieferantenleistung
• Bewertung von Sicherheitsvorfällen oder Abweichungen
• Nutzung von Audits, Fragebögen oder Nachweisen
• Überwachung kritischer Lieferantenbeziehungen

Dies stellt sicher, dass vereinbarte Sicherheitsstandards eingehalten werden.

6. Umgang mit Änderungen in Lieferantenbeziehungen

Änderungen können neue Risiken erzeugen und müssen berücksichtigt werden:

• Wechsel von Leistungen, Systemen oder Unterauftragnehmern
• organisatorische oder technische Änderungen beim Lieferanten
• Neubewertung der Risiken bei Vertragsänderungen
• Anpassung von Anforderungen und Maßnahmen

So bleiben Lieferantenbeziehungen sicher und kontrollierbar.

7. Behandlung von Sicherheitsvorfällen bei Lieferanten

Organisationen müssen sicherstellen, dass Sicherheitsvorfälle bei Lieferanten angemessen behandelt werden:

• klare Meldepflichten für Lieferanten
• Definition von Eskalationswegen
• Abstimmung mit internen Incident-Management-Prozessen
• Bewertung der Auswirkungen auf die eigene Organisation

Dies ermöglicht eine schnelle und koordinierte Reaktion.

8. Dokumentation und Nachweisführung

Alle relevanten Aspekte der Lieferantenbeziehungen müssen dokumentiert werden:

• identifizierte Lieferanten und deren Risikoeinstufung
• definierte Sicherheitsanforderungen
• Ergebnisse von Bewertungen und Überprüfungen
• Maßnahmen bei Abweichungen oder Vorfällen

Diese Dokumentation ist essenziell für Transparenz, Audits und Compliance.

Zusammenfassung

A 5.19 fordert, dass Informationssicherheit systematisch in Lieferantenbeziehungen berücksichtigt wird. Durch die Identifikation sicherheitsrelevanter Lieferanten, risikoorientierte Bewertung, klare Sicherheitsanforderungen, kontinuierliche Überwachung und strukturierte Behandlung von Vorfällen wird sichergestellt, dass Informationssicherheitsrisiken auch außerhalb der eigenen Organisation angemessen gesteuert werden. Das Control ist ein zentraler Baustein für ein ganzheitliches und belastbares Informationssicherheitsmanagementsystem.