Österreich

Lieferanten unter der Lupe:
ISO 27002:2013 bietet Prozess für „Supplier-Security“


Im Zeitalter von Cloud-Computing und IT-Outsourcing zählen Dienstleister oft zu den „Verursachern“ von Sicherheitsvorfällen. Mit der novellierten ISO 27002:2013 wird die Supply Chain nachhaltig abgesichert.


(CIS-Newsletter März 2015)  -  In der novellierten Fassung der ISO/IEC 27002, dem Leitfaden für Information Security Controls – sprich: Sicherheitsmaßnahmen, erhält das Thema „Lieferanten-Sicher03_lupe_istockphoto shapechargeheit“ einen erheblichen Stellenwert. Damit trägt die International Organization for Standardization dem Trend nach Cloud-Computing und IT-Outsourcing Rechnung. Medienberichte schildern Fälle, wo etwa ein Dienstleister mit Datenvernichtung beauftragt wurde und die vermeintlich vernichteten Informationen später im Altpapier zu finden waren. Oder wo Daten von einem Provider verwaltet wurden, der sich unzureichend auditierter Sub-Dienstleister bediente, so dass eine schwerwiegende Datenpanne nur eine Frage der Zeit war.


5 Security-Aspekte
Gemäß Datenschutzgesetz haftet der Daten-Owner im Fall von Datenpannen bei seinem Provider, wenn keine stichhaltigen Nachweise für ausreichende Schutzsysteme verlangt wurden. „Die novellierte ISO 27002 geht hier einen Schritt weiter und rückt die gesamte Supply Chain in den Fokus“, erklärt CIS-Auditor Robert Jamnik. Während die Vorgängerversion ISO 27002:2005 dem Thema Supplier Relationship nur ein schlankes Unterkapitel widmete, nimmt die Lieferanten-Sicherheit in der revidierten ISO 27002:2013 ein ganzes Hauptkapitel ein, das folgende Aspekte behandelt und damit auch einen lückenlosen Prozess für die praktische Umsetzung bietet:

  • Richtlinien für den Umgang mit Lieferanten und Dienstleistern
  • Information-Security-Anforderungen an den Inhalt von Verträgen
  • Supply Chain – Anforderungen an Lieferanten und Sub-Lieferanten über die gesamte Leistungserbringungskette
  • Monitoring und Review der zugesicherten Sicherheitsanforderungen
  • Management und Kommunikation von Änderungen

Eigene Supplier Policy
Während in der Vorgängernorm explizit eine Risikoanalyse für den Umgang mit Lieferanten gefordert 03_Robert Jamnik_webwurde, verweist die Neufassung nur noch auf das Risikomanagement des ISMS, welches ein grundlegender Bestandteil des Zertifizierungsstandards ISO 27001 ist. Die novellierte ISO 27002 legt den Fokus nun vielmehr auf die Erarbeitung einer eigens formulierten Outsourcing-Policy – die ohnehin nur auf der Basis einer Risikoanalyse sinnvoll erstellt werden kann. „Mit dieser Normforderung müssen sich die Organisationen viel eingehender als früher mit dem Thema auseinandersetzen und festlegen, wie man mit Lieferanten und Dienstleistern generell umgehen will, welche Prozesse einzuhalten sind und welche Sicherheitsanforderungen erfüllt sein sollen“, betont Robert Jamnik. Auch Änderungen der Vorgaben sind gemäß ISO 27002 nun geregelt zu managen und zu kommunizieren. Dabei sind nicht nur Lieferanten und Dienstleister selbst zu kontrollieren und vertraglich an Sicherheitszusagen zu binden, sondern im Sinne der gesamten Supply Chain sind auch deren Sub-Dienstleister mit einzubeziehen.


Änderungen managen
Indirekt dürfte sich durch diesen Ansatz die Nachfrage nach zertifizierten Outsourcing-Partnern weiter erhöhen, denn in der Praxis ist der einfachste, schnellste und auch gerichtlich anerkannte Nachweis für Informationssicherheit eben das ISO-27001-Zertifikat. Insgesamt erinnert Supplier Management nach ISO 27002:2013 stark an die Vorgehensweisen gemäß ISO 20000 für Service Management. „Service-Definition, Überprüfung von Dienstleistern und Change Management sind zentrale Forderungen der ISO 20000. Wer also ohnehin nach beiden Standards arbeitet, kann auf erprobte Strukturen und Prozesse zur Absicherung der Lieferanten-Beziehungen zurückgreifen“, ergänzt der CIS-Auditor. Kürzlich meinte der Geschäftsführer eines frisch zertifizierten Rechenzentrums auf die Frage, was ihm denn die ISO-27001-Zertifizierung generell bringen würde: „Ich schlafe jetzt wieder viel besser.“ Dazu liefert strukturiertes Supplier Management nach dem revidierten Ansatz der ISO 27002:2013 sicherlich einen wesentlichen Beitrag.

 


_____________________________________
Für den Inhalt verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB