Lieferantenbeziehungen

Dazu zählen bspw. Lieferanten von Hard- und Software, Netzbetreiber, Internet-Provider, Cloud-Dienstleister, Reinigungskolonne etc.

Grundsätzlich bleibt die Gesamtverantwortung immer bei der eigenen Organisation.
Sicherheitsziele müssen auf jeden Lieferanten runtergebrochen und vertraglich mit diesem vereinbart werden.
Aus der Gesamtverantwortung ergibt sich, seine Lieferanten regelmäßig auf Einhaltung der vereinbarten Sicherheitsziele zu überprüfen.<<TODO>>

• Sollten Lieferanten zertifiziert sein, kann möglicherweise auf eine nochmalige Überprüfung verzichtet werden, da diese regelmäßig auditiert werden.
• Inspektions- oder Prüfrecht vertraglich vereinbaren und selber durchführen oder ggf. durch externe Auditoren
• möglicherweise lassen sich durch Protokolle / Tickets / Aufzeichnungen schon Auswertungen über die Einhaltung von Sicherheitszielen erreichen
  

Die Vertragsbeziehung muss also gemanaged werden, sowohl bei der Vertragsgestaltung, bei der Vertragsüberwachung aber auch bei der Vertragsbeendigung. Dazu gibt es eine spezielle Gruppe in den Controls von Anhang A. Die Vorgaben aus dem Hauptteil der Norm gelten auch für die Lieferantenbeziehungen.

• Bspw. ist der Prozess der Risikobeurteilung auch für die Dienstleistungsbeziehungen anzuwenden.
• Interne Audits und Managementbewertungen müssen auch die Dienstleistungsbeziehungen berücksichtigen