Ein Überblick über Anhang A.15: Richtlinie für Lieferantenbeziehungen

Was ist Anhang A.15?

Wenn Sie Unternehmensinformationen mit Lieferanten teilen, verlieren Sie die direkte Kontrolle über diese Daten – ganz unabhängig davon, wie sensibel oder wertvoll sie sind. Deswegen sollten für alle externen Anbieter technologische und vertragliche Maßnahmen (Controls) sowie Mechanismen zur Problemlösung etabliert werden. Und hier kommt Anhang A.15 (Annex A.15) ins Spiel.

Anhang A.15 deckt die komplette Beziehung mit dem Lieferanten ab – vom Schutz der Informationen, die mit ihm geteilt werden, bis hin zu seinem Disaster-Recovery-Prozess. Außerdem werden Vereinbarungen für die Datenrückgabe im Falle einer Vertragskündigung oder unerwarteten Unternehmensschließung behandelt.

Jedes Control von Annex A.15 bringt Ihre Organisation der ISO-Zertifizierung näher. Sehen wir uns nun etwas genauer an, was der Anhang umfasst.

Was ist das Ziel von Anhang A.15?

Bei Anhang A.15 geht es darum, Risiken zu managen, die in Verbindung mit Lieferantenbeziehungen entstehen. So wird sichergestellt, dass Ihre Geschäftsabläufe und die Daten Ihrer Kunden vertraulich behandelt werden. Anhang A.15 umfasst zwei Hauptmaßnahmen, die dieses Ziel vorantreiben:

Anhang A.15.1: Informationssicherheit in Lieferantenbeziehungen

Der Fokus von Anhang A.15.1 liegt auf dem Schutz von Unternehmensinformationen bei der Interaktion mit Lieferanten. Ziel ist es, die Informations-Assets der Organisation zu schützen, die für Lieferanten zugänglich sind.

Außerdem wird empfohlen, auch andere wichtige Geschäftsbeziehungen zu bewerten – Partner, die keine Lieferanten sind, aber dennoch Auswirkungen auf Ihre Assets verursachen können, die nicht vom Partnervertrag abgedeckt werden. Der Schutz dieser Informationen ist ein wichtiger Aspekt beim Aufbau eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO 27001.

Anhang A.15.2: Management der Dienstleistungserbringung

Diese Maßnahme soll dafür sorgen, dass Informationssicherheit und Dienstleistungserbringung langfristig den Vertrag zwischen Auftraggeber und Lieferant erfüllen.

Dienstleister müssen von Anfang an die Bedingungen der mit Dritten abgeschlossenen Verträge erfüllen. Dies kann ganz unterschiedliche Dinge umfassen – von der Verfügbarkeit der Dienstleistung bis hin zu den Sicherheitsrichtlinien des Dienstleisters. Außerdem müssen Dienstleistungen und Controls systematisch evaluiert werden. Auch von Drittanbietern bereitgestellte Serviceberichte sind genau zu prüfen, um sicherzustellen, dass die enthaltenen Daten vollständig und relevant sind. 

Bevor wir nun zu den spezifischen Controls jedes Anhangs kommen, sehen wir uns im nächsten Abschnitt erst einmal an, was Lieferantenbeziehungen eigentlich sind.

Was sind Lieferantenbeziehungen gemäß ISO 27001?

Lieferantenbeziehungen werden oft mit dem weiter verbreiteten Begriff „Lieferantenbeziehungsmanagement“ (oder „Supplier-Relationship-Management“) verwechselt. Es handelt sich aber um zwei unterschiedliche Konzepte. Im Kontext der ISO-Norm geht es beim Verwalten von Lieferantenbeziehungen darum, Regeln zu etablieren und aufrechtzuerhalten, die geteilte Informationen schützen.

In Geschäftsbeziehungen werden sensible Unternehmensdaten geteilt, und Lieferanten greifen besonders häufig auf diese Daten zu. Auch andere Geschäftspartner können Einblicke in vertrauliche Daten erhalten, ebenso wie Kunden (Letztere jedoch seltener).

Deswegen ist es wichtig, Standards und Regeln für diese Beziehungen festzulegen – egal ob Sie die Entwicklung einer Software outsourcen oder Forschungsdaten zu einem neuen Produkt teilen. Neukunden könnten zu Audit-Zwecken Zugriff auf vertrauliche Unternehmensdaten verlangen. Dies sind nur ein paar Beispiele, die verdeutlichen sollen, wie wichtig Informationssicherheit in Lieferantenbeziehungen ist.

Welche Maßnahmen umfasst Anhang A.15?

Nachdem wir geklärt haben, was Lieferantenbeziehungen genau sind, wenden wir uns nun den konkreten Informationssicherheitsmaßnahmen in diesem Bereich zu. Dabei sollten Sie die Maßnahmen identifizieren und implementieren, die für Ihr Unternehmen am relevantesten sind. Annex A.15 hat fünf Controls:

A.15.1.1: Informationssicherheitsrichtlinie für Lieferantenbeziehungen

Lieferanten müssen den Informationssicherheitsanforderungen im Zusammenhang mit den Risiken des Datenaustauschs zustimmen und diese dokumentieren. Jedes Mal, wenn ein Unternehmen einem Lieferanten Zugriff auf seine Informations-Assets gewähren möchte, ist eine Risikobewertung durchzuführen.

Organisationen müssen Informationssicherheitsmaßnahmen definieren und in ihre Richtlinien integrieren. Dazu gehört Folgendes:

• Festhalten, welche Anbieter dem Unternehmen zur Verfügung stehen (z. B. in den Bereichen IT und Finanzen)

• Sicherstellen, dass geteilte Daten korrekt und vollständig sind 

• Sicherstellen, dass alle Parteien im Katastrophenfall Zugriff auf Informationen und Prozesse haben. Es muss eine Strategie zur Systemwiederherstellung und für unvorhergesehene Ereignisse entwickelt werden 

• An der Kundenakquise beteiligte Mitarbeiter über relevante Richtlinien, Prozesse und Methoden informieren 

• Verhaltensregeln in Bezug auf die Lieferantenbeziehung bekannt geben (je nach Art des Anbieters und Ausmaß des Systemzugriffs unterschiedlich)

• Mitarbeiter des Auftraggebers, die mit Mitarbeitern des Anbieters interagieren, über die Regeln zum Umgang mit Informationen aufklären
• Einen rechtsgültigen Vertrag unterschreiben, um die Integrität der Geschäftsbeziehung zu schützen

A.15.1.2: Informationssicherheit in Lieferantenverträgen

Jegliche Anbieter, die Informationen zu IT-Infrastrukturkomponenten eines Auftraggebers sehen, verarbeiten, speichern, kommunizieren oder liefern, müssen Informationssicherheitsanforderungen einhalten, die vorab formuliert und vereinbart wurden. In diesem Bereich des Anhangs erfahren Sie, wie Sie Verantwortlichkeiten definieren, akzeptieren und in einer entsprechenden Richtlinie aufzeichnen. Diese kann Folgendes umfassen:

• Die zu erledigende Aufgabe und deren Umfang
• Klassifizierung sensibler Daten
• Geltende Gesetze und Bestimmungen
• Berichte und Bewertungen
• Vertraulichkeit
• Geistige Eigentumsrechte
• Vorfallsmanagement
• Pflichten von Subunternehmen
• Überprüfung von Mitarbeitenden

Außerdem hat der Auftraggeber unter dem Vertrag das Recht, den Anbieter sowie seine Subunternehmen zu auditieren.

A.15.1.3: Lieferkette für Informations- und Kommunikationstechnologie

Lieferantenverträge umfassen Anforderungen zur Minderung der Sicherheitsrisiken in der Lieferkette für IT-Dienstleistungen und -Produkte. Das heißt, Anbieter und Subunternehmen müssen im Falle einer Datenschutzverletzung miteinander in Kontakt treten. Anbieter sind verpflichtet, zu erklären, wie sie auf Risiken – auch geringfügige – reagiert und diese ausgemerzt haben. Für eine effektive Kontrolle der Lieferantenbeziehungen muss es möglich sein, Verlauf und Ursprung der Lieferkette zurückzuverfolgen.

A.15.2.1: Überwachung und Prüfung von Lieferantendienstleistungen

Die Dienstleistungserbringung des Lieferanten sollte vom Auftraggeber regelmäßig überwacht, geprüft und auditiert werden. Informationssicherheitsanforderungen müssen erfüllt, und Vorfälle bzw. Probleme in diesem Bereich mittels regelmäßiger Überwachung und Bewertung der Dienstleister effektiv angegangen werden. Folgende Schritte sind nötig:

• Servicelevel überwachen, um die Einhaltung des Vertrags zu gewährleisten
• Serviceberichte des Lieferanten regelmäßig prüfen
• Audits des Lieferanten durchführen, gemeldete Probleme nachverfolgen und – wenn möglich – Befunde unabhängiger Auditoren zur Problemlösung heranziehen
• Informationen zu Sicherheitsvorfällen gemäß geltenden Verträgen sowie anwendbaren Standards und Verfahren bereitstellen und prüfen
• Von Herstellern in der Vergangenheit bereitgestellte bzw. gemeldete Audit- und Informationssicherheitsberichte, betriebliche Probleme, Fehler, Fehlerbehandlung und servicebezogene Ausfälle prüfen

A.15.2.2: Handhabung von Änderungen an Lieferantendienstleistungen

Speicherung und Aktualisierung vorhandener Informationssicherheitsrichtlinien, -verfahren und -maßnahmen sind zentrale Aspekte eines gut funktionierenden Kontrollsystems. Berücksichtigt werden müssen die Bedeutung der Geschäftsinformationen, die Art der Änderung, und welche Lieferanten, Systeme und Verfahren betroffen sind. Außerdem ist eine neue Risikobewertung erforderlich.  

Auch die Art der Beziehung und der Einfluss, den der Auftraggeber auf den Anbieter hat (oder nicht hat), sollten bei Änderungen an Dienstleistungen in Betracht gezogen werden.

Warum sind Lieferantenbeziehungen wichtig für Ihr Unternehmen?

Eine Organisation mit gut strukturiertem Informationssicherheits-Managementystem (ISMS) kann die Beziehungen mit den Unternehmen in seiner Lieferkette ebenso effektiv schützen wie seinen Ruf. Wenn Ihre Lieferanten wissen, dass Sie ein robustes Schutzsystem gegen Bedrohungen der Informationssicherheit implementiert haben, ist die Wahrscheinlichkeit größer, dass sie eine langfristige Partnerschaft mit Ihnen anstreben. Außerdem profitiert Ihr Ruf innerhalb der industriellen Lieferkette davon, dass Sie die vertraulichen Informationen Ihrer Geschäftspartner schützen.  

Fazit

Gute Lieferantenbeziehungen sind für Auditoren ein Zeichen dafür, dass Sie wissen, wie geschäftskritische Informationen bei der Interaktion mit Partnern zu schützen sind – und das hilft Ihnen auf dem Weg zur ISO 27001-Zertifizierung. Indem Sie die nötigen Schritte zur effektiven Implementierung dieser Maßnahmen durchführen, machen Sie Ihre Organisation attraktiver für potenzielle Kunden und Geschäftspartner.

DataGuard unterstützt Unternehmen bei der Implementierung von ISO 27001-Maßnahmen und der Zertifizierung. Möchten Sie die Informationssicherheit in Ihrem Unternehmen verbessern? Vereinbaren Sie noch heute einen Termin und setzen Sie sich mit unseren Experten in Verbindung.