Code | EO/ 8 A15 |
Erstellt durch | ISM - Team |
Genehmigt durch | GF |
Vertraulichkeitsstufe | Stufe 1 - Öffentlich |
Version | EO.V02 |
Sicherheitsrichtlinie für Lieferanten
1 Anwendungsbereich
Der Zweck dieses Dokuments ist die Festlegung von Vorschriften für Kommunikation/Beziehungen zu Lieferanten und Partnern.
Dieses Dokument gilt für alle Lieferanten und Partner, welche die Vertraulichkeit, Integrität und Verfügbarkeit vertraulicher, bzw. streng vertraulicher Informationen der EBCONT operations GmbH beeinflussen können.
Anwender dieses Dokuments sind die Geschäftsführung der EBCONT operations GmbH, sowie alle anderweitigen Personen, die bei der EBCONT operations GmbH für Lieferanten und Partner verantwortlich sind.
2 Referenzdokumente
- ISO/IEC 27001:2013
- IT-Grundschutzkataloge
3 Beziehungen zu Lieferanten und Partnern
3.1 Identifizierung der Risiken
Sicherheitsrisiken im Zusammenhang mit Lieferanten und Partnern werden im Einklang mit der Methodik zur Risikoanalyse und -behandlung während des Risikoeinschätzungsprozesses identifiziert. Während der Risikoanalyse muss besondere Sorgfalt walten, um sowohl Risiken im Zusammenhang mit Informations- und Kommunikationstechnik als auch Risiken in Verbindung mit der Produkt-Lieferkette zu identifizieren. Die Geschäftsführung entscheidet darüber, ob es notwendig ist, zusätzliche Risiken im Zusammenhang mit individuellen Lieferanten oder Partnern einschätzen zu müssen.
3.2 Überprüfung
Der Sicherheitsbeauftragte entscheidet darüber, ob es notwendig ist, den Hintergrund individueller Lieferanten und Partner zu überprüfen, und falls ja, welche Methoden dazu anzuwenden sind.
Wenn ein Partner selbst ISO 27001 zertifiziert ist, gehen wir von einer Anwendung der best practices und Befolgung der gesetzlichen Vorgaben aus. In diesem Falle ist eine tiefgreifende Sicherheitüberprüfung nicht notwendig. Eine Risikoanalyse sollte jedoch in jedem Fall durchgeführt und dokumentiert werden.
3.3 Verträge
Die Geschäftsführung ist verantwortlich für die Entscheidung, welche Sicherheitsklauseln im Vertrag mit dem jeweiligen Lieferanten oder Partner aufzunehmen sind. Diese Entscheidung muss auf den Resultaten der Risikoeinschätzung und –behandlung basieren. Außerdem muss in jedem Vertrag die zuverlässige Anlieferung von Produkten und Dienstleistungen – insbesonders bei Cloud Service-Anbietern – verankert sein.
Die Geschäftsführung entscheidet darüber, ob individuelle Mitarbeiter:innen des Lieferanten bzw. Partners die Vertraulichkeitserklärung zu unterschreiben haben, wenn sie für die EBCONT operations GmbH tätig sind. Die Geschäftsführung entscheidet, wer der Vertragseigentümer jedes einzelnen Vertrages ist, d.h. wer verantwortlich für den jeweiligen Lieferanten oder Partner ist.
3.4 Training und Awareness
Der Vertragseigentümer entscheidet, welche Mitarbeiter:innen von Lieferanten und Partnern ein Sicherheitstraining- und Awareness-Programm absolvieren müssen. Der Sicherheitsbeauftragte ist verantwortlich für die Bereitstellung aller Sicherheitstraining- und Awareness-Maßnahmen für diese Mitarbeiter:innen.
3.5 Überwachung und Prüfung
Der Vertragseigentümer oder dessen Beauftragter muss die Qualitätsstufe der Dienstleistungen und die Erfüllung der Sicherheitsklauseln durch die Lieferanten oder Partner, sowie deren Berichte und Aufzeichnungen regelmäßig überprüfen und überwachen und darüber hinaus den Lieferanten bzw. Partner nach Risiko bewerten. Alle Sicherheitsvorfälle in Verbindung mit den Aufgaben der Lieferanten bzw. Partner müssen unverzüglich an die Geschäftsführung bzw. den Sicherheitsbeauftragten gemeldet werden.
3.6 Änderungen von Lieferanten-Dienstleistungen
Der Vertragseigentümer schlägt Änderungen oder eine Vertragsstornierung vor, die finale Entscheidung darüber obliegt der Bereichsleitung bzw. der Geschäftsführung. Falls notwendig, führen die ISMS-Beauftragten eine neuerliche Risikoanalyse durch, bevor die Änderungen akzeptiert werden.
3.7 Entzug von Zugangsrechten / Rückgabe von Werten
Wenn der Vertrag storniert wird, müssen den Mitarbeiter:innen des Lieferanten bzw. Partners auch gleichzeitig und im Einklang mit der Zugangskontrollrichtlinie die Zugangsrechte entzogen werden und außerdem sichergestellt werden, dass jegliche Gerätschaft, Software oder Information in elektronischer oder Papierform zurückgegeben wird.
4 Bezug zu ISO 27001
Checklisten, Maßnahmen | ISO Abschnitt | Kommentar |
---|---|---|
Informationssicherheitsleitlinie für Lieferantenbeziehungen | A.15.1.1 | |
Sicherheitsthemen in Lieferantenverträgen | A.15.1.2 | |
IKT-Lieferkette | A.15.1.3 | |
Überwachung und Prüfung von Lieferantendienstleistungen | A.15.2.1 | |
Management von Änderungen an Lieferantendienstleistungen | A.15.2.2 |
5 Gültigkeit und Dokumenten-Management
Dieses Dokument ist gültig ab 01.01.2017.
Der Eigentümer dieses Dokuments ist die Geschäftsführung , die das Dokument mindestens einmal jährlich prüfen und gegebenenfalls aktualisiert.