Die Lieferantenbewertung nach ISO 27001:2017 – Praktische Tipps aus der NETHINKS-Perspektive

nt-voip
Gruppe_THINK-Network_weiss-1
nt-webmail

Die Sicherheitsanforderungen in einer immer digitaler werdenden Welt wachsen täglich. Cyber-Angriffe wie Phishing, Malware oder Denial-of-Service-Angriffe sind zu einer zunehmenden Bedrohung geworden, die Unternehmen wie Privatnutzer in Gefahr bringen können. Mit der erfolgreichen Zertifizierung nach ISO 27001 haben wir im Dezember 2023 bei NETHINKS einen wichtigen Schritt unternommen, um ein effizientes Informationssicherheitsmanagementsystem (ISMS) zu implementieren und die Daten unsere Kunden verlässlich zu schützen. Die Implementierung des ISMS unterstützt uns bei allen Prozessen dabei, Risiken zu identifizieren, unsere Sicherheitsmaßnahmen regelmäßig zu überprüfen und die Standards für IT-Sicherheit in allen Bereichen zu fokussieren.

Doch was sollte bei der ISO-Zertifizierung nach Standard 27001 unbedingt beachtet werden? Welche Rolle spielen Lieferanten bei der Überprüfung der Sicherheitsstandards? In diesem Blog-Beitrag möchten wir unsere Perspektive auf das Thema Lieferanten beleuchten, die bei unserem ISO-Audit überprüft und bewertet werden mussten.

Bewertung der Lieferanten nach festgelegten Kriterien

Zur Stakeholder-Gruppe der Lieferanten zählen grundsätzlich alle externen Partner, die uns Produkte oder Dienstleistungen für das tägliche Geschäft liefern. Darunter fallen Hersteller von Hardware, Entwickler von Software, Service-Provider oder externe Berater. Bereits vor der ISO-Zertifizierung war es uns besonders wichtig, die Lieferanten sorgfältig auszuwählen. Doch im Zuge des ISO 27001-Audits mussten wir noch einen Schritt weiter gehen – und unsere Lieferanten nach den im Audit festgelegten Kriterien bewerten. Diese umfangreiche Bewertung schließt auch ein, dass wir unsere externen Partner auf die Einhaltung der Regeln des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der obersten Behörde für Cyber-Security in Deutschland, und der ISO 27001 überprüfen. Dazu gehören zum Beispiel die Fragen, ob der Lieferant bestimmten Geheimhaltungspflichten unterliegt oder ob ein sogenannter Auftragsverarbeitungs-Vertrag (AV) geschlossen werden muss. Ein AV-Vertrag ist immer dann notwendig, wenn personenbezogene Daten an einen Dienstleister weitergegeben werden, der diese Daten dann im Auftrag verarbeitet. Im AV-Vertrag werden die Verantwortlichkeiten und Pflichten geregelt, um die Sicherheit der Daten zu gewährleisten.

Nachvollziehbare Dokumentation der Eignung von Lieferanten

Auch mussten wir im Rahmen der ISO-Zertifizierung überprüfen, ob eine besondere Lage eine Zusammenarbeit mit einem Lieferanten verhindert, beispielsweise dann, wenn diese Lage durch eine mögliche Störung der Kommunikation oder durch potentielle technische Ausfälle zu einer wesentlichen Bedrohung der IT-Sicherheit führt. Die Bewertung der Lieferanten muss unmittelbar vor Aufnahme der Geschäftsbeziehung erfolgen – und sie muss transparent dokumentiert werden. So soll gewährleistet werden, dass die Lieferantenbewertung und das Ergebnis dieser Bewertung jederzeit nachvollziehbar sind. Im Rahmen der regelmäßig stattfindendent Audits schauen die Prüfer genau darauf, ob die Beurteilung der externen Partner ordnungsgemäß stattgefunden hat. Die Bewertung von Lieferanten nach ISO 27001 ist dabei entscheidend, um die Integrität des ISMS zu gewährleisten, die Compliance-Anforderungen zu erfüllen und auch, um das Risiko von Sicherheitsvorfällen zu minimieren. Soweit die Theorie – in der Praxis hat uns die vorgeschriebene Lieferantenbewertung vor einige Herausforderungen gestellt…

Flexibilität & Effizienz – Die Vorteile unseres ERP-Systems während des Audits

Denn mit der Zertifizierung nach ISO 27001 mussten wir auch bereits bestehende Geschäftsbeziehungen zu langjährigen Partnern neu bewerten. Eventuell vorliegende Geheimhaltungsvereinbarungen oder geschlossene AV-Verträge wurden erneut geprüft und dokumentiert, was zu einem nicht unerheblichen Mehraufwand geführt hat. Aus unserer Erfahrung sind die angelegten Excel-Tabellen schnell an ihre Grenzen gestoßen und wir mussten uns nach effizienteren Alternativen umschauen. Glücklicherweise hat uns das flexible Enterprise Resource Planning-System (ERP), das bei NETHINKS im Einsatz ist, schnell die erforderlichen Möglichkeiten geboten. Im ERP-System konnten wir zusätzliche Felder definieren, die uns die strukturierte Abbildung des Prozesses zur Lieferantenbewertung erlaubten. Mit dieser Vorgehensweise hatten wir die Möglichkeit, die Versendung der Selbstauskunft für Lieferanten schnell und unkompliziert abzuwickeln und auf dieser Basis verlässliche Entscheidungen zu treffen. Der Informationssicherheitsbeauftragter von NETHINKS war mit dieser nachvollziehbaren Dokumentation im ERP-System zudem jederzeit in der Lage, eine mögliche (weitere) Zusammenarbeit mit Lieferanten zu bewerten. Die optimalen Auswertungsmöglichen des ERP-System unterstützten darüber hinaus auch die Auditoren bei der effizienten Überprüfung unserer Lieferantenbewertung.

Fazit

Die Zertifizierung nach ISO 27001 war für NETHINKS ein wichtiger wie fordernder Entwicklungsschritt auf dem Weg zu mehr IT-Sicherheit. Die Implementierung des ISMS hat unsere internen Sicherheitsvorkehrungen nachhaltig optimiert. Gleichzeitig waren wir durch das Audit auch zu einer Überprüfung externer Einflussfaktoren verpflichtet, was die Lieferantenbewertung noch vor Beginn der Geschäftsbeziehung miteinschließt. Eventuelle Geheimhaltungsvereinbarungen und AV-Verträge wurden bei neuen wie auch bei bestehenden Partnern sorgfältig überprüft und nachvollziehbar dokumentiert. Unser anpassungsfähiges ERP-System hat uns bei dieser Dokumentation enorm unterstützt, indem der Prozess der Lieferantenbewertung transparent abgebildet werden konnte. Während der Zertifizierung – und vor allem danach – wurde uns eines dabei schnell klar: Nur dann, wenn die in Audits vorgeschriebenen Abläufe nahtlos in bestehende Systeme integriert werden können, darf man davon ausgehen, dass die damit verbundenen Prozesse im Alltag „gelebt“ und nachvollziehbar dokumentiert werden.

Sie haben noch Fragen? Wir haben die Antworten

Noch Fragen zu den Themen Network oder VoIP?

NT/DSL

Schnelles DSL für Ihr Unternehmen

NT/Voice

Maßgeschneiderte Telefonie-Lösungen

NT/
CONNECT

Die Lösung für alle Anforderungen

TK-Anlage/
Asterisk

Moderne Telefonie auf Open-Source-Basis

EU Efre Dekra