TOM LIEFERANTENBEZIEHUNGEN

15.1 Informationssicherheit für Lieferantenbeziehungen

15.1 Informationssicherheit für Lieferantenbeziehungen

Die Informationssicherheitsanforderungen zur Verringerung von Risiken im Zusammenhang mit dem Zugriff von Lieferanten auf Werte der Organisation werden mit dem Zulieferer vereinbart und dokumentiert. Wie das erfolgt wird im Folgenden beschrieben.

15.1.1 Informationssicherheitsrichtlinie für Lieferantenbeziehungen

a) Lieferantentypen und Informationszugriff

Zur Feststellung und Dokumentation von Lieferanten wird das Tool Snipe-IT verwendet. In Snipe-IT als IT-Asset-Management-System werden sämtliche Lieferantendaten wie Kontaktdaten, Ansprechpartner, Website, gelieferte Assets und Lizenzen dokumentiert.

Sobald der Lieferant datenschutzrelevante Produkte oder Dienstleistungen liefert, ist er im “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank aufzunehmen, anhand der vorgegebenen Felder einzuordnen und damit den weiteren Datenschutzprozessen zuzuführen.

b) Prozess für Lieferantenbeziehungen

Es besteht ein standardisierter Prozess und Lebenszyklus zum Management der Lieferantenbeziehungen, der verschiedene Phasen abdeckt.

Zunächst erfolgt die Lieferantenauswahl und -bewertung anhand festgelegter Kriterien. Diese werden in einem Azure-Devops-Ticket auf Basis des Templates “Erstaufnahme Lieferant” dokumentiert, in dem die Lieferanten nach Kategorien wie Hardware, Software sowie nach ihrem Informationszugriff einsortiert werden. Aus diesen Informationen wird abgeleitet, ob er datenschutzmässig in das “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank aufgenommen werden muss.

Die Ergebnisse der Lieferantenauswahl und -bewertung werden regelmäßig überprüft und aktualisiert, um sicherzustellen, dass sie den aktuellen Anforderungen der Organisation entsprechen. Änderungen werden dokumentiert und den relevanten Stakeholdern mitgeteilt.

Alle Lieferanten, die im “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank landen, unterliegen einer halbjährlichen Prüfung.

Auch Lieferanten, die wegen nicht datenschutzrelevanter Brisanz von Produkten (z.B. Kugelschreiber) “nur” in SnipeIT dokumentiert sind, werden jährlich geprüft und auf eine evtl. Entfernungsnotwendigkeit untersucht.

Zum Abschluss einer Lieferantenbeziehung wird der Lieferant über ein Offboarding-Prozess abgewickelt, bei dem die Verträge gemäß der Aufbewahrungsfrist archiviert, Zugriffsrechte entzogen und sensible Daten sicher gelöscht werden. Auch Diese dass Offboarding wird in einem Azure-Devops-Ticket dokumentiert. Das Templates heißt “Offboarding Lieferant”.

c) Informationszugriff der Lieferanten

Die jeweilige Art und Weise des Informationszugriffs für die verschiedenen Arten von Lieferanten sowie die Überwachung und Kontrolle des Zugriffs kann in Anlehnung an die Lieferantenauswahl und -bewertung festgelegt werden. Hierfür ist eine Informationsklassifizierung nötig, welche auf der technisch-organisatorischen Maßnahme Kapitel 8.2.1 Klassifizierung von Informationen basiert.

Auf öffentlich zugängliche Informationen werden sämtliche Lieferanten vollen Zugriff haben, wobei keine Kontrolle der Zugriffsrechte notwendig ist.

Bei internen Informationen wird situationsabhängig entschieden, welche Informationen einen Zugriff erfordern. Diese werden bei Bedarf schriftlich durch einen Mitarbeitenden an den Lieferanten weitergegeben.

Sensible Daten wie personenbezogene Daten können ein Passwort oder eine anderweitige verschlüsselte Zugriffskontrolle erfordern.

Die Überwachung sowie Kontrolle dieser Zugriffe und Zugriffsrechte werden dokumentiert, in im “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank vermerkt, über die unter b) beschriebenen Prozesse überwacht und durch die Mitarbeitenden kontrolliert.

d) Informationssicherheitsanforderungen in Verträgen

Die Mindestanforderungen an die Informationssicherheit für jede Informations- und Zugriffsart werden wie unter b) beschrieben evaluiert und dienen so als Grundlage für die Lieferantenverträge, entsprechend den geschäftlichen Bedürfnissen der Organisation, ihren Anforderungen und dem festgelegten Risikoprofil.

e) Einhaltung der Informationssicherheitsanforderungen

Die Einhaltung und Überprüfung der Informationssicherheitsanforderungen ist in den TOMs geregelt und jeder Mitarbeiter ist angehalten sich an diese zu halten. Der Datenschutzbeauftragte prüft diese regelmässig. Werden durch ihn, einen Mitarbeiter oder Dritte Verstöße festgestellt, werden sie dem entsprechenden Prozess zugeführt (siehe 16-Informationssicherheitsvorfälle).

Die Organisation führt regelmäßige interne Audits durch, um die Einhaltung der Informationssicherheitsanforderungen durch die Lieferanten zu überprüfen. Die Ergebnisse dieser Audits werden dokumentiert und bei Bedarf Maßnahmen zur Verbesserung eingeleitet.

Vertraglich festgelegt werden die folgenden Maßnahmen:

  • Es werden spezifische Sicherheitskontrollen für die Lieferanten vertraglich vereinbart, wie z. B. Verschlüsselung, Zugriffskontrollen und regelmäßige Datensicherungen seitens der automIT AG.
  • Die Verträge beinhalten klare Regelungen zu den Konsequenzen bei Nichteinhaltung der Sicherheitsanforderungen, wie etwa Sanktionen oder die Möglichkeit zur vorzeitigen Vertragsbeendigung, im Einklang mit den Datenschutzrichtlinien.

Regelmäßige Sicherheitsbewertungen:

  • Regelmäßige Sicherheitsprüfungen wie bspw. interne Bewertungen anhand Datenschutz-Datenbank stellen sicher, dass die Anforderungen eingehalten werden.

f) Genauigkeits- und Vollständigkeitskontrollen

Die Genauigkeits- und Vollständigkeitskontrollen zur Sicherstellung der Integrität der Informationen sowie der von den einzelnen Parteien vorgenommenen Informationsverarbeitung werden entsprechend der Einordnung in das “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank vorgenommen.

g) Datenschutz-Verpflichtungen der Lieferanten

Die für die Lieferanten geltenden Verpflichtungen zum Schutz der Informationen der Organisation werden verbindlich festgelegt. Sollten diese durch ihre eigenen Datenschutzverpflichtung bereits vorliegen, ist diese inital auf die Anforderungen der automIT zu prüfen - Teil des Templates “Erstaufnahme Lieferant” - und je nach Datenschutzrelevanz wie unter b) beschrieben im Rahmen der Prüfung ebenfalls zu überprüfen. Sollte ein Lieferant eine Änderung an seinen bestehenden Datenschutzverpflichtungen melden, sind diese umgehend zu prüfen und entsprechend in SnipeIT oder im “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank zu dokumentieren.

h) Vorfallsmanagement und Sanktionen

Der Umgang mit Vorfällen und Gefahren im Zusammenhang mit dem Lieferantenzugriff, einschließlich der klaren Verantwortlichkeiten sowohl der Organisation als auch der Lieferanten, wird entsprechend 16-Informationssicherheitsvorfälle durchgeführt.

i) Ausfallsicherheit und Notfallwiederherstellung

Teil der Lieferantenauswahl unter b) ist die Beurteilung, ob für das Asset Massnahmen zur Ausfallsicherheit bzw. eine Notfallwiederherstellung notwendig sind.

Der bisherige Geschäftsbetrieb der automIT macht eine solche Sicherheitsüberprüfung für Umgebungen der Kunden nicht erforderlich, da wir ausschließlich in den Umgebungen der Kunden arbeiten, die diese Sicherheiten mit ihrer einegenen IT lösen. Wir stellen bisher keine IT-Infrastruktur für den Kunden. Sollte sich der Aspekt ändern, muss eine Neubewertung stattfinden und mehrere TOMs angepasst werden.

Im bisherigen Geschäftsbetrieb Fallen interne Daten in folgenden Bereich an

  • Personalmanagemnt
  • Dokumentation interner Prozesse
  • Kundendaten für Kommunikation und Vertragsdaten
  • Wissensmanagement

Diese werden in der Cloud gespeichert. Bei der Auswahl der Lieferanten/Cloud-Anbieter wurde auf das Vorhandensein geeigneter Zertifizierung (z. B. ISO 27001 oder ISO 22301) geachtet. Zudem müssen entsprechende aktuelles Sicherheits- und Ausfallkonzept vorhanden sein, welche sowohl Maßnahmen zur Ausfallsicherheit als auch zur Notfallwiederherstellung umfassen. Dieses Konzept stellt sicher, dass die Verfügbarkeit und Integrität der von den Parteien verarbeiteten Informationen auch bei schwerwiegenden Ausfällen gewährleistet bleiben.

Sollten abweichende Sicherheitsrisiken oder besondere Anforderungen bei einzelnen Lieferanten auftreten, sind ergänzende oder spezifische Sicherheitskonzepte auszuarbeiten, um diesen Risiken angemessen zu begegnen.

j) Sensibilisierung der Mitarbeiter

Alle Mitarbeiter nehmen an jährlichen Datenschutzschulung.

Der Umgang mit Lieferanten und den hierbei entstehenden Daten werden in Technischen und Organisatorischen Maßnahmen (TOMs), dem internen Wiki sowie in Konzepten beschrieben und weiterentwickelt.

Um das Bewusstsein für diese zu stärken, finden regelmässige Massnahmen zur Information der Mitarbeiter über die bestehend und neuen Technischen und Organisatorischen Maßnahmen (TOMs) statt. Bei Anpassungen an TOMs oder deren Prozesse werden die Mitarbeiter mit entsprechenden Massnahmen mit den Neuerungen bekannt gemacht.

k) Schulung für Lieferantenmanagement

Hier gilt j) entsprechend.

l) Dokumentation der Sicherheitsanforderungen

Wie unter i) beschrieben, benötigt die automIT noch keine ausgefeilten, eigenen Verträge, die die Punkte wie rechtliche oder regulatorische Anforderungen, Risikominimierung, Externe Dienstleister oder Partner, Klare Verantwortlichkeiten, etc beinhalten.

Solang das so ist, ist die Dokumentation wie in den obigen Punkten beschrieben ausreichend.

Bei Änderung sind diese Themen genau auszuarbeiten und die TOMs und Prozesse entsprechend abzupassen.

m) Übergabe von Informationen und Systemen

l) gilt hier entsprechend

15.1.2 Behandlung von Sicherheit in Lieferantenvereinbarungen

a) Beschreibung der bereitgestellten Informationen

Im “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank wird Folgendes dokumentiert:

  • alle datenschutz- oder IT-sicherheitsrelevanten Informationen
  • über die Art und Weise, wie Informationen bereitgestellt oder auf diese zugegriffen wird
  • sowie über die verwendeten Methoden für den Zugriff

b) Klassifizierung der Informationen

Die Klassifizierung der Informationen erfolgt nach dem Klassifizierungsschema der Organisation siehe 8.2 Informationsklassifizierung.

c) Einhaltung gesetzlicher Anforderungen

Gesetzliche und behördliche Anforderungen, einschließlich Datenschutz und Urheberrecht, müssen eingehalten werden.
Die Einhaltung der Datenschutzrichtlinien gem. 0 - Datenschutzleitlinie wird durch regelmäßige Schulungen der Mitarbeitenden und Einhaltung bestehender, interner Datenschutzmaßnahmen sichergestellt. Alle relevanten gesetzlichen Anforderungen werden weiterhin in den internen Prozessen regelmäßig geprüft und aktualisiert, ohne dass zusätzliche Maßnahmen für den Lieferanten notwendig sind.

d) Vereinbarte Maßnahmen umsetzen

Die Vertragsparteien müssen die vereinbarten Maßnahmen wie Zugangssteuerung und Leistungsüberprüfung umsetzen.
Die Einhaltung der vereinbarten Maßnahmen wird regelmässig geprüft. Siehe hierzu 15.1.1 e) Einhaltung der Informationssicherheitsanforderungen.

e) Nutzung von Informationen

Klare Nutzungsrichtlinien für Informationen werden in den Lieferantenverträgen bzw. “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank festgehalten und müssen den vorhandenen internen Sicherheitsrichtlinien gem. TOM 6. Organisation der Informationssicherheit entsprechen. Informationen dürfen nur für vereinbarte Zwecke verwendet werden, was durch die bestehende Überwachung der Informationsflüsse sichergestellt wird. Bei Auftreten eines Sicherheitsvorfalls werden die Prozesse wie unter 16 Informationssicherheitsvorfälle eingeleitet.

f) Liste der befugten Beschäftigten

Ist ein Zugriff von Lieferanten auf das System der automIT notwendig, wird dieses im “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank festgehalten.

g) Richtlinien zur Informationssicherheit

Die bereits bestehenden internen Richtlinien zur Informationssicherheit werden auf alle Lieferanten ausgeweitet.
In den Verträgen wird ein Verweis auf diese Richtlinien aufgenommen, sodass keine zusätzlichen Maßnahmen erforderlich sind. Bringen Lieferanten ihre eigenen Sicherheitsrichtlinien mit, werden diese initial überprüft und bei entsprechender Sicherheitsrelevanz regelmässig neu bewertet.

h) Vorfallmanagement und Benachrichtigung

Anforderungen und Verfahren für die Handhabung von Vorfällen sind in 16 Informationssicherheitsvorfälle beschrieben. Die Prozesse sind einzuhalten.

i) Schulung und Sensibilisierung

Die Organisation führt jährlich interne Schulungen um Maßnahmen im Rahmen des Datenschutzes und Informationssicherheitssensibilisierung für die Mitarbeitenden durch.

j) Vorschriften für Unteraufträge

Die Anforderungen an die Unteraufträge entsprechen denen der Hauptverträge.

k) Kontaktperson für Informationssicherheit

Die automIT stellt eine zentrale Kontaktperson für alle Fragen zur Informationssicherheit zur Verfügung. Diese Verantwortlichkeit liegt in der Regel bei der/dem IT-Sicherheitsbeauftragten. Diese Kontaktperson wird in den Vertragsdokumenten festgelegt und kann bei Fragen jederzeit kontaktiert werden.

l) Überprüfungsanforderungen für Lieferantenmitarbeitenden

Überprüfungen der Beschäftigten des Lieferanten müssen gegebenenfalls durchgeführt werden.
Eine Überprüfung der Mitarbeitenden erfolgt intern durch die Organisation und wird durch bestehende Prozesse zur Zugangskontrolle abgesichert.
Sollten Zweifel an der Eignung eines Mitarbeitenden bestehen, wird dies durch die internen Richtlinien geregelt.

m) Recht zur Überprüfung der Prozesse

Es muss ein Recht zur Überprüfung der Lieferantenprozesse bestehen.
Die automIT behält sich das Recht vor, interne Überprüfungen der Prozesse durchzuführen, basierend auf den bereits bestehenden Verträgen.
Lieferanten werden über den Ablauf dieser Überprüfungen informiert, ohne dass sie zusätzliche Aufgaben übernehmen müssen.

n) Fehlerbehebung und Konfliktlösung

Prozesse zur Fehlerbehebung und Konfliktlösung müssen definiert werden.
Ein standardisiertes Konfliktlösungsverfahren wird in allen Verträgen festgelegt, das auf den internen Richtlinien basiert.
Fehler werden durch ein bestehendes Meldesystem intern verfolgt und behoben in Anlehnung an 16.1.2 Meldung von Informationssicherheitsereignissen.

o) Bericht zur Wirksamkeit der Maßnahmen

Die automIT wird interne Audits nutzen, um die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen.
Alle sicherheitsrelevanten Ergebnisse werden in den bestehenden Systemen dokumentiert und bewertet.

p) Verpflichtung zur Einhaltung der Sicherheitsanforderungen

Der Lieferant muss sich zur Einhaltung der Sicherheitsanforderungen der automIT verpflichten.
Die Verpflichtung zur Einhaltung wird in den bestehenden Verträgen festgehalten und regelmäßig überprüft.
Die Einhaltung wird durch die automIT intern kontrolliert, ohne dass der Lieferant zusätzliche Maßnahmen ergreifen muss.

15.1.3 Lieferkette für Informations- und Kommunikationstechnologie

a) Zusätzliche Sicherheitsanforderungen für Produkte

Sind spezielle Sicherheitsanforderungen an eingekaufte Produkte oder Dienstleistungen festzulegen, werden diese im “Verzeichnis von Verarbeitungstätigkeiten” in der Datenschutz-Datenbank beschrieben und evtl. regelmässige Prüfungen festgelegt. Diese Eintragung betrachten auch die folgenden Punkte.

b) Weitergabe der Sicherheitsanforderungen

Die Lieferanten müssen sicherstellen, dass die Sicherheitsanforderungen der automIT innerhalb der gesamten Lieferkette weitergegeben werden. Die Weitergabe ist unter a) mitzubetrachten.

c) Sicherheitspraktiken in der Lieferkette

Die Lieferanten müssen vertraglichen Sicherheitspraktiken weitergeben, wenn Produkte Komponenten beinhalten, die von anderen Lieferanten zugekauft wurden. Die Sicherheitspraktiken sind unter a) mitzubetrachten.

d) Überwachung der Sicherheitsanforderungen

Ein Überwachungsprozess muss umgesetzt werden, um sicherzustellen, dass die bereitgestellten Produkte den Sicherheitsanforderungen entsprechen. Die Überwachung ist unter a) mitzubetrachten.

e) Prüfung wesentlicher Komponenten

Es muss ein Prozess zur Prüfung wesentlicher Produkt- oder Dienstkomponenten beschrieben werden, insbesondere wenn Unterlieferanten involviert sind. Die Prüfung ist unter a) mitzubetrachten.

f) Verfolgung kritischer Komponenten

Der Lieferant hat die Zusicherung zu machen, dass kritische Komponenten und ihr Ursprung über die gesamte Lieferkette verfolgt werden können. Die Verfolgung ist unter a) mitzubetrachten.

g) Funktionssicherheit der Produkte

Der Lieferant hat zuzusichern, dass die bereitgestellten Produkte wie erwartet funktionieren und keine unerwünschten Eigenschaften aufweisen. Die automIT wird regelmäßig interne Tests und Überprüfungen durchführen, um die Funktionssicherheit der gelieferten Produkte zu gewährleisten. Die Prüfung Funktionssicherheit ist unter a) zu betrachten.

h) Informationsweitergabe in der Lieferkette

Die Informationsweitergabe ist unter a) zu betrachten. Es müssen Regeln für die Mitteilung von Informationen über die Lieferkette und mögliche Probleme festgelegt werden.

i) Management des Lebenszyklus von Komponenten

Das Management des Lebenszyklus ist unter a) zu betrachten. Es müssen spezifische Prozesse für das Management des Lebenszyklus von Komponenten der Informations- und Kommunikationstechnologie umgesetzt werden.

Last updated: February 24, 2025: feat(ISO-1212): adding TOM 15. Lierferantenbeziehungen (666cc92)
Bearbeiten