(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Lieferantendienstleistungen können wesentliche Auswirkungen auf die Informationssicherheit einer Organisation haben, insbesondere wenn Lieferanten Zugriff auf Informationen, Systeme oder kritische Prozesse erhalten. Änderungen an Leistungen, Technologien oder Organisationsstrukturen von Lieferanten können neue Risiken erzeugen oder bestehende Schutzmaßnahmen beeinträchtigen. Dieses Control stellt sicher, dass Lieferantendienstleistungen kontinuierlich überwacht, regelmäßig überprüft und kontrolliert geändert werden, um Informationssicherheitsrisiken wirksam zu steuern.

Zweck des Controls

A 5.22 soll gewährleisten, dass Informationssicherheitsanforderungen in Bezug auf Lieferantendienstleistungen dauerhaft eingehalten werden. Ziel ist es, sicherzustellen, dass vereinbarte Sicherheitsmaßnahmen wirksam bleiben, Abweichungen frühzeitig erkannt werden und Änderungen an Lieferantendienstleistungen keine unkontrollierten Risiken verursachen. Das Control unterstützt die nachhaltige Steuerung von Informationssicherheitsrisiken in der Zusammenarbeit mit externen Parteien.

Anforderungen und Maßnahmen

1. Festlegung von Überwachungs- und Überprüfungskriterien

Organisationen müssen Kriterien für die Überwachung und Überprüfung von Lieferantendienstleistungen definieren, unter anderem:

• Einhaltung vereinbarter Informationssicherheitsanforderungen
• Erfüllung vertraglich festgelegter Service Levels
• Umsetzung technischer und organisatorischer Maßnahmen
• Behandlung von Sicherheitsvorfällen
• Einhaltung gesetzlicher und regulatorischer Anforderungen

Diese Kriterien müssen dokumentiert und nachvollziehbar sein.

2. Regelmäßige Überwachung der Lieferantendienstleistungen

Lieferantendienstleistungen müssen kontinuierlich überwacht werden:

• Auswertung von Leistungskennzahlen und Berichten
• Überwachung sicherheitsrelevanter Ereignisse
• Bewertung von Abweichungen oder Auffälligkeiten
• Beobachtung externer Entwicklungen, die Risiken beeinflussen können

So können Probleme frühzeitig erkannt werden.

3. Durchführung regelmäßiger Überprüfungen

Organisationen müssen Lieferantendienstleistungen regelmäßig überprüfen:

• planmäßige Reviews oder Audits
• Nutzung von Nachweisen, Zertifikaten oder Berichten
• Überprüfung der Wirksamkeit vereinbarter Sicherheitsmaßnahmen
• Bewertung der Ergebnisse und Ableitung von Maßnahmen

Die Überprüfungen müssen risikoorientiert erfolgen.

4. Steuerung von Änderungen an Lieferantendienstleistungen

Änderungen an Lieferantendienstleistungen müssen kontrolliert erfolgen:

• Definition von meldepflichtigen Änderungen
• Bewertung der Auswirkungen auf Informationssicherheit
• Freigabe sicherheitsrelevanter Änderungen
• Anpassung von Sicherheitsanforderungen und Verträgen

So wird verhindert, dass Änderungen unkontrollierte Risiken erzeugen.

5. Behandlung von Abweichungen und Mängeln

Festgestellte Abweichungen müssen angemessen behandelt werden:

• Dokumentation der Abweichungen
• Vereinbarung und Überwachung von Korrekturmaßnahmen
• Eskalation bei schwerwiegenden oder wiederholten Verstößen
• Bewertung der Auswirkungen auf bestehende Risiken

Dies stärkt die Durchsetzung der Sicherheitsanforderungen.

6. Integration in Incident- und Notfallmanagement

Die Überwachung von Lieferantendienstleistungen muss mit bestehenden Prozessen abgestimmt sein:

• Integration in Incident-Management-Prozesse
• Abstimmung bei Sicherheitsvorfällen oder Störungen
• Einbindung in Business-Continuity- und Notfallpläne
• Koordination mit internen und externen Beteiligten

So wird eine schnelle und abgestimmte Reaktion ermöglicht.

7. Dokumentation und Nachweisführung

Alle Aktivitäten zur Überwachung und Überprüfung müssen dokumentiert werden:

• Überwachungs- und Prüfberichte
• Nachweise über Änderungen und Freigaben
• Dokumentation von Abweichungen und Maßnahmen
• Archivierung gemäß interner Vorgaben

Diese Dokumentation ist essenziell für Transparenz und Audits.

8. Kontinuierliche Verbesserung

Die Organisation muss den Umgang mit Lieferantendienstleistungen kontinuierlich verbessern:

• Auswertung von Erfahrungen und Lessons Learned
• Anpassung von Kriterien, Verfahren und Anforderungen
• Berücksichtigung neuer Risiken oder Anforderungen
• Integration in Management Reviews

So bleibt das Lieferantenmanagement dauerhaft wirksam.

Zusammenfassung

A 5.22 fordert, dass Lieferantendienstleistungen kontinuierlich überwacht, regelmäßig überprüft und kontrolliert geändert werden. Durch klare Kriterien, systematische Überwachung, risikoorientierte Überprüfungen, geregeltes Änderungsmanagement sowie umfassende Dokumentation wird sichergestellt, dass Informationssicherheitsanforderungen auch bei extern erbrachten Dienstleistungen dauerhaft eingehalten werden. Das Control ist ein wesentlicher Bestandteil eines wirksamen Lieferanten- und Informationssicherheitsmanagements.