(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Lieferantenvereinbarungen regeln die Zusammenarbeit zwischen Organisationen und externen Parteien. Werden Informationssicherheitsanforderungen in diesen Vereinbarungen nicht klar und verbindlich festgelegt, besteht ein erhöhtes Risiko für Sicherheitsvorfälle, Datenverluste oder Verstöße gegen gesetzliche und vertragliche Verpflichtungen. Dieses Control stellt sicher, dass Informationssicherheit systematisch in Lieferantenvereinbarungen integriert wird und klare, überprüfbare Anforderungen festgeschrieben sind.

Zweck des Controls

A 5.20 soll gewährleisten, dass Informationssicherheitsanforderungen in allen relevanten Lieferantenvereinbarungen angemessen berücksichtigt werden. Ziel ist es, sicherzustellen, dass Lieferanten vertraglich verpflichtet sind, ein definiertes Sicherheitsniveau einzuhalten, und dass Verantwortlichkeiten, Pflichten und Kontrollrechte eindeutig geregelt sind. Das Control unterstützt die wirksame Steuerung von Informationssicherheitsrisiken in der Zusammenarbeit mit externen Parteien.

Anforderungen und Maßnahmen

1. Identifikation relevanter Vereinbarungen

Organisationen müssen alle Lieferantenvereinbarungen identifizieren, in denen Informationssicherheitsanforderungen relevant sind, insbesondere:

• Verträge mit Zugriff auf Informationen oder IT-Systeme
• Vereinbarungen zur Verarbeitung personenbezogener Daten
• Outsourcing- und Cloud-Verträge
• Service- und Wartungsverträge
• Rahmenverträge mit sicherheitsrelevanten Leistungen

Diese Vereinbarungen müssen systematisch erfasst und bewertet werden.

2. Festlegung von Informationssicherheitsanforderungen

Lieferantenvereinbarungen müssen klare Informationssicherheitsanforderungen enthalten, unter anderem:

• Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit
• Regelungen zu Zugriffskontrollen und Authentifizierung
• Vorgaben zur sicheren Informationsübertragung
• Anforderungen an Datenschutz und Compliance
• Regelungen zum Einsatz von Unterauftragnehmern

Die Anforderungen müssen eindeutig, messbar und überprüfbar sein.

3. Regelung von Rollen und Verantwortlichkeiten

Die Vereinbarungen müssen Zuständigkeiten klar regeln:

• Abgrenzung der Verantwortlichkeiten zwischen Organisation und Lieferant
• Benennung von Ansprechpartnern für Informationssicherheit
• Festlegung von Eskalations- und Meldewegen
• Regelung der Verantwortung bei Sicherheitsvorfällen

So wird eine klare Governance sichergestellt.

4. Regelungen zu Sicherheitsvorfällen

Lieferantenvereinbarungen müssen Vorgaben zum Umgang mit Sicherheitsvorfällen enthalten:

• Verpflichtung zur unverzüglichen Meldung von Vorfällen
• Definition von Meldefristen und Kommunikationswegen
• Unterstützung bei Analyse, Eindämmung und Behebung
• Bereitstellung relevanter Informationen und Nachweise

Dies ermöglicht eine koordinierte und schnelle Reaktion.

5. Kontroll- und Prüfungsrechte

Die Organisation muss angemessene Kontrollrechte vereinbaren:

• Recht auf Audits oder Sicherheitsüberprüfungen
• Nutzung von Nachweisen, Zertifikaten oder Berichten
• Verpflichtung zur Behebung festgestellter Abweichungen
• Regelungen zur Überprüfung von Unterauftragnehmern

So kann die Einhaltung der Anforderungen überprüft werden.

6. Umgang mit Änderungen und Vertragsbeendigung

Informationssicherheit muss auch bei Änderungen geregelt sein:

• Anpassung der Sicherheitsanforderungen bei Leistungsänderungen
• Neubewertung von Risiken bei Vertragsänderungen
• Regelungen zur Rückgabe oder Löschung von Informationen
• Sicherstellung des Schutzes bei Vertragsbeendigung

Dies reduziert Risiken über den gesamten Vertragslebenszyklus.

7. Berücksichtigung rechtlicher und regulatorischer Anforderungen

Lieferantenvereinbarungen müssen relevante Anforderungen berücksichtigen:

• Einhaltung gesetzlicher und regulatorischer Vorgaben
• Berücksichtigung branchenspezifischer Anforderungen
• Unterstützung bei Erfüllung von Meldepflichten
• Regelung von Haftung und Sanktionen bei Verstößen

So wird die Compliance der Organisation unterstützt.

8. Dokumentation und Pflege der Vereinbarungen

Die Organisation muss sicherstellen, dass Lieferantenvereinbarungen gepflegt werden:

• zentrale Ablage und Versionierung der Verträge
• Dokumentation sicherheitsrelevanter Klauseln
• regelmäßige Überprüfung der Aktualität
• Integration in Lieferanten- und Vertragsmanagement

Dies stellt Transparenz und Nachvollziehbarkeit sicher.

Zusammenfassung

A 5.20 fordert, dass Informationssicherheitsanforderungen verbindlich in Lieferantenvereinbarungen geregelt werden. Durch klare vertragliche Vorgaben, definierte Verantwortlichkeiten, Regelungen zu Sicherheitsvorfällen, Kontrollrechte sowie Berücksichtigung rechtlicher Anforderungen wird sichergestellt, dass Informationssicherheitsrisiken in Lieferantenbeziehungen wirksam gesteuert werden. Das Control ist ein wesentlicher Baustein für eine sichere und compliant gestaltete Zusammenarbeit mit externen Parteien.