Lieferantenbeziehungen: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Dazu zählen bspw. Lieferanten von Hard- und Software, Netzbetreiber, Internet-Provider, Cloud-Dienstleister, Reinigungskolonne etc.<br> <br> Grundsätzlich bl…“) |
|||
Zeile 6: | Zeile 6: | ||
* Sollten Lieferanten zertifiziert sein, kann möglicherweise auf eine nochmalige Überprüfung verzichtet werden, da diese regelmäßig auditiert werden. | * Sollten Lieferanten zertifiziert sein, kann möglicherweise auf eine nochmalige Überprüfung verzichtet werden, da diese regelmäßig auditiert werden. | ||
* Inspektions- oder Prüfrecht vertraglich vereinbaren und selber durchführen oder ggf. durch externe Auditoren | * Inspektions- oder Prüfrecht vertraglich vereinbaren und selber durchführen oder ggf. durch externe Auditoren | ||
+ | * möglicherweise lassen sich durch Protokolle / Tickets / Aufzeichnungen schon Auswertungen über die Einhaltung von Sicherheitszielen erreichen<br> | ||
+ | <br> | ||
+ | <b>Die Vertragsbeziehung muss also gemanaged werden, sowohl bei der Vertragsgestaltung, bei der Vertragsüberwachung aber auch bei der Vertragsbeendigung.</b> Dazu gibt es eine spezielle Gruppe in den Controls von Anhang A. Die Vorgaben aus dem Hauptteil der Norm gelten auch für die Lieferantenbeziehungen.<br> | ||
+ | <br> | ||
+ | |||
+ | * Bspw. ist der Prozess der [[Risikobeurteilung]] auch für die Dienstleistungsbeziehungen anzuwenden. | ||
+ | * Interne Audits und Managementbewertungen müssen auch die Dienstleistungsbeziehungen berücksichtigen |
Aktuelle Version vom 11. Februar 2021, 10:41 Uhr
Dazu zählen bspw. Lieferanten von Hard- und Software, Netzbetreiber, Internet-Provider, Cloud-Dienstleister, Reinigungskolonne etc.
Grundsätzlich bleibt die Gesamtverantwortung immer bei der eigenen Organisation.
Sicherheitsziele müssen auf jeden Lieferanten runtergebrochen und vertraglich mit diesem vereinbart werden.
Aus der Gesamtverantwortung ergibt sich, seine Lieferanten regelmäßig auf Einhaltung der vereinbarten Sicherheitsziele zu überprüfen.<<TODO>>
- Sollten Lieferanten zertifiziert sein, kann möglicherweise auf eine nochmalige Überprüfung verzichtet werden, da diese regelmäßig auditiert werden.
- Inspektions- oder Prüfrecht vertraglich vereinbaren und selber durchführen oder ggf. durch externe Auditoren
- möglicherweise lassen sich durch Protokolle / Tickets / Aufzeichnungen schon Auswertungen über die Einhaltung von Sicherheitszielen erreichen
Die Vertragsbeziehung muss also gemanaged werden, sowohl bei der Vertragsgestaltung, bei der Vertragsüberwachung aber auch bei der Vertragsbeendigung. Dazu gibt es eine spezielle Gruppe in den Controls von Anhang A. Die Vorgaben aus dem Hauptteil der Norm gelten auch für die Lieferantenbeziehungen.
- Bspw. ist der Prozess der Risikobeurteilung auch für die Dienstleistungsbeziehungen anzuwenden.
- Interne Audits und Managementbewertungen müssen auch die Dienstleistungsbeziehungen berücksichtigen