TOM ISO LIEFERANTENBEZIEHUNGEN

15.2 Steuerung der Dienstleistungserbringung von Lieferanten

15.2 Steuerung der Dienstleistungserbringung von Lieferanten

Die automIT AG überwacht, überprüft und auditiert die Dienstleistungserbringung durch Lieferanten regelmäßig. Wie das erfolgt ist im Folgenden beschrieben.

15.2.1 Überwachung und Überprüfung von Lieferantendienstleistungen

a) Überwachung des Dienstleistungserbringung-Niveaus

Die Überwachung der Dienstleistungserbringung-Niveaus wird regelmäßig durchgeführt, um sicherzustellen, dass alle vertraglichen Vereinbarungen eingehalten werden.
Die Regelung zur Häufigkeit und die Ausgestaltung der Prüfung des jeweiligen Lieferanten ist unter 15.1.1 beschrieben.

b) Prüfung der Dienstleistungsberichte und Fortschrittsbesprechungen

Der Lieferanten-Beauftragte fertigt intern Lieferanten-Dienstleistungsberichte an, welche regelmäßig geprüft werden.
Die Regelung zur Häufigkeit und die Ausgestaltung der Prüfung des jeweiligen Lieferanten ist unter 15.1.1 beschrieben.

c) Lieferanten-Audits und Problemnachverfolgung

Lieferanten-Audits werden regelmäßig durchgeführt, und die verfügbaren Auditberichte werden zur Identifizierung und Nachverfolgung von Problemen überprüft.
Die Regelung zur Häufigkeit und die Ausgestaltung der Prüfung des jeweiligen Lieferanten ist unter 15.1.1 beschrieben.

D) Informationssicherheitsvorfälle

Informationssicherheitsvorfälle werden gemäß den vertraglichen Anforderungen dokumentiert und geprüft.
Ein interner Prozess zur Meldung von Informationssicherheitsvorfällen ist implementiert, der klare Meldewege und Verantwortlichkeiten festlegt. Vergleiche hierzu TOM 16 Informationssicherheitsvorfälle.
Die gemeldeten Vorfälle werden umgehend innerhalb von 10 Werktagen vom IT-Sicherheitsbeauftragten sowie dem Lieferanten-Beauftragten auf Compliance mit den Vertragsvorgaben überprüft.
Die Ergebnisse der Überprüfung werden dokumentiert und in einem zentralen System gespeichert, um die Nachverfolgbarkeit sicherzustellen.

E) Lieferanten-Prüfpfade und Aufzeichnungen

Lieferanten-Prüfpfade und Aufzeichnungen zu Sicherheitsereignissen sowie betrieblichen Problemen und Ausfällen werden regelmäßig überprüft.
Die Regelung zur Häufigkeit und die Ausgestaltung der Prüfung des jeweiligen Lieferanten ist unter 15.1.1 beschrieben.

F) Problemlösung

Festgestellte Probleme werden gemäß den vertraglichen Vereinbarungen zeitnah und effizient gelöst.
Für jedes erkannte Problem wird ein interner Verantwortlicher benannt, der die Lösung vorantreibt und alle Schritte dokumentiert.
Ein Vorfall ist basierend auf TOM 16.1.2 Meldung von Informationssicherheitsereignissen durch den IT-Sicherheitsbeauftragten oder ein Mitglied des Managementteams eingerichtet, um sicherzustellen, dass schwerwiegende Probleme innerhalb von 24 Stunden an das Management gemeldet werden.
Die Wirksamkeit der Problemlösungsmaßnahmen wird regelmäßig überprüft und dokumentiert, um sicherzustellen, dass ähnliche Probleme in Zukunft vermieden werden.

G) Informationssicherheitsaspekte bei Subunternehmen

Die Informationssicherheitsaspekte gelten für Subunternehmen entsprechend.

H) Leistungsfähigkeit des Lieferanten und Notfallpläne

Die Leistungsfähigkeit des Lieferanten und die Notfallpläne sind entsprechend des Produktes oder der Dienstleistung festgelegt.
Die Regelung zur Häufigkeit und die Ausgestaltung der Prüfung des jeweiligen Lieferanten ist unter 15.1.1 beschrieben.
Die Notfallpläne werden regelmäßig getestet, um sicherzustellen, dass sie im Ernstfall wirksam sind. Die Testergebnisse werden dokumentiert und bei Bedarf Anpassungen vorgenommen.

15.2.2 Handhabung der Änderungen von Lieferantendienstleistungen

a) Änderungen an den Lieferantenvereinbarungen

Interne Dokumentation und Risikobewertung anpassen Die Organisation führt intern eine Aktualisierung der Dokumentation aller betroffenen Informationssicherheitsrichtlinien und -verfahren durch. Dabei wird eine erneute Bewertung der Risiken gem. 6.2 Informationssicherheitsziele vorgenommen, die sich durch die Änderung ergeben könnten, um sicherzustellen, dass die Schutzmaßnahmen für kritische Informationen und Systeme den neuen Bedingungen weiterhin gerecht werden.

Überwachung und Protokollierung der Vereinbarungshistorie Die Organisation protokolliert Änderungen in den Lieferantenvereinbarungen systematisch. Diese Historie hilft, frühere und aktuelle Vereinbarungen zu vergleichen und die Einhaltung der Sicherheitsstandards über die Zeit sicherzustellen.

Die Regelung Ausgestaltung der Änderungen an den Lieferantenvereinbarungen des jeweiligen Lieferanten ist unter 15.1.1 beschrieben.

b) von der Organisation vorgenommene Änderungen zur Umsetzung von

  1. Verbesserungen der derzeit bereitgestellten Dienstleistungen
  2. Weiterentwicklungen jedweder neuer Anwendungen und Systeme
  3. Modifikationen oder Aktualisierungen in Bezug auf die Richtlinien und Verfahren der Organisationen
  4. neuen oder veränderten Maßnahmen zur Klärung von Informationssicherheitsvorfällen und zur Verbesserung der Sicherheit

Allgemein geltende Maßnahmen für von der Organisation vorgenommene Änderungen zur Umsetzung aller Anpassungen in Absatz b):

1. Interne Anpassung der Sicherheitsrichtlinien Die automIT überprüft und aktualisiert die internen Informationssicherheitsrichtlinien, um sicherzustellen, dass sie den Verbesserungen der Lieferantendienstleistungen entsprechen. Dies kann beinhalten, dass interne Sicherheitsanforderungen an die verbesserte Dienstleistung angepasst werden müssen. Alle Dokumentationen und TOMs sind in Repositories hinterlegt. Änderungen an diesen werden entsprechend nachverfolgt und den Mitarbeitern zur Information gegeben. Das Lesen dieser wird protokolliert, sodass zu jeder Zeit nachvollziehbar ist, wer die Information zur Kenntnis genommen hat und im Zweifelsfall nachgesteuert werden kann.

2. Durchführung einer Risikobewertung Es wird eine interne Risikobewertung durchgeführt, um zu prüfen, ob die Verbesserungen der Lieferantendienstleistungen neue Risiken mit sich bringen. Falls erforderlich wird die bestehende Risikobewertungen angepasst.

3. Schulung und Sensibilisierung interner Mitarbeiter Die Mitarbeitenden werden intern für die Verbesserungen der Dienstleistungen durch interne Kommunikationskanäle sensibilisiert, damit sie über die Änderungen und deren Auswirkungen informiert sind. Falls nötig werden interne Schulungen zu den neuen oder verbesserten Prozessen durchgeführt, um sicherzustellen, dass die Mitarbeitenden mit den neuen Sicherheitsstandards vertraut sind.

4. Anpassung der internen IT-Prozesse Durch bestehende interne IT-Prozesse wird sichergestellt, dass sie weiterhin kompatibel mit den verbesserten Lieferantendienstleistungen sind. Die Organisation passt Prozesse an, wenn die Verbesserungen dies erfordern. Die Organisation hält die Änderungen an den internen Prozessen in einem Änderungsprotokoll fest, sodass zukünftige Anpassungen nachvollziehbar bleiben. Es wird darauf geachtet, dass alle Änderungen den internen Informationssicherheitsstandards entsprechen.

5. Überprüfung und Anpassung des Zugangsmanagements Die Organisation überprüft intern, ob die Verbesserungen der Dienstleistungen Auswirkungen auf bestehende Zugriffsrechte haben. Es wird sichergestellt, dass Zugriffsrechte im Einklang mit den neuen oder verbesserten Prozessen stehen. Falls nötig werden die Zugangsrichtlinien in den internen Systemen (z.B. Snipe-IT) aktualisiert, sodass die Berechtigungen der Mitarbeitenden korrekt abgebildet sind und den neuen Anforderungen entsprechen.

c) Änderungen an den Lieferantendienstleistungen zur Umsetzung

  1. von Änderungen und Verbesserungen an den Netzwerken
  2. zur Nutzung neuer Technologien
  3. zur Einführung neuer Produkte oder neuerer Versionen/Releases
  4. neuer Entwicklungswerkzeuge und -umgebungen
  5. von Änderungen am Standort der Dienstleistungseinrichtungen
  6. von Lieferantenwechsel
  7. von Untervertragsvergaben an andere Lieferanten.

Allgemein geltende Maßnahmen für den Absatz c) Änderungen an den Lieferantendienstleistungen:

1. Interne Risikoanalyse durchführen Die automIT führt eine interne Risikoanalyse basierend auf 6.2 Schutzziele der Informationssicherheit durch, um potenzielle Risiken zu identifizieren, die durch Änderungen an den Lieferantendienstleistungen entstehen könnten. Dabei wird bewertet, ob diese Neuerungen zusätzliche Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen mit sich bringen. Die Ergebnisse der Risikoanalyse werden intern dokumentiert und notwendige Anpassungen im Risikomanagement werden vorgenommen. Dabei werden alle relevanten Abteilungen und Verantwortlichen informiert.

2. Sicherheitsrichtlinien und Standards anpassen Interne Informationssicherheitsrichtlinien und -verfahren werden überprüft und gegebenenfalls aktualisiert, um die geänderten Dienstleistungen des Lieferanten zu integrieren. Ziel ist es, die Sicherheitsanforderungen an die neuen Gegebenheiten anzupassen. Die Änderungen an den Sicherheitsrichtlinien werden dokumentiert und an alle betroffenen Mitarbeitenden kommuniziert. Sicherheitskontrollen werden neu ausgerichtet, um den geänderten Anforderungen zu entsprechen.

3. Anpassung der internen IT-Prozesse Bestehende IT-Prozesse werden überprüft, um sicherzustellen, dass sie mit den Änderungen an Lieferanten kompatibel sind. Dazu gehört die Anpassung von Arbeitsabläufen und technischen Prozessen, falls notwendig. Alle Anpassungen werden in einem Änderungsprotokoll festgehalten, um Transparenz zu gewährleisten und spätere Überprüfungen zu erleichtern.

Last updated: February 24, 2025: feat(ISO-1212): adding TOM 15. Lierferantenbeziehungen (666cc92)
Bearbeiten