Drittparteien-Risikomanagement (TPRM)
Was ist Drittparteien-Risikomanagement (TPRM)?
Drittparteien-Risikomanagement (TPRM)End-to-End-Disziplin zur Identifikation, Bewertung, Vertragsgestaltung, Überwachung und Offboarding von Drittparteien, damit die durch sie eingebrachten Cyber-, Betriebs- und Compliance-Risiken im Appetit bleiben.
TPRM umfasst jede Beziehung, in der eine Organisation für Geschäftsergebnisse auf externe Akteure - Lieferanten, Dienstleister, Cloud-Plattformen, Fintech-Partner, n-Tier-Lieferanten - angewiesen ist. Ein typischer Lebenszyklus umfasst inhärentes Risiko-Tiering, Due Diligence (Sicherheitsfragebögen, SOC 2, ISO 27001, Vor-Ort-Audits), vertragliche Schutzmechanismen (Auditrechte, Meldepflichten, Datenklauseln), kontinuierliche Überwachung (Ratings, Bedrohungsinformationen, Attestationen), Vorfallbehandlung und Offboarding. Aufsichten in Finanzen (DORA, OCC, FFIEC), Gesundheit (HIPAA) und Datenschutz (DSGVO) erlassen immer detailliertere Anforderungen. Moderne Programme integrieren TPRM mit ERM, Einkauf, Recht und Cyber-Betrieb und achten besonders auf Konzentrations- und Lieferkettenrisiken.
● Beispiele
- 01
Tiered-TPRM-Programm mit strikteren Prüfungen für Lieferanten mit regulierten Daten.
- 02
Kontinuierliche Überwachung kritischer SaaS-Anbieter durch Security Ratings und SOC-Berichte.
● Häufige Fragen
Was ist Drittparteien-Risikomanagement (TPRM)?
End-to-End-Disziplin zur Identifikation, Bewertung, Vertragsgestaltung, Überwachung und Offboarding von Drittparteien, damit die durch sie eingebrachten Cyber-, Betriebs- und Compliance-Risiken im Appetit bleiben. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Drittparteien-Risikomanagement (TPRM)?
End-to-End-Disziplin zur Identifikation, Bewertung, Vertragsgestaltung, Überwachung und Offboarding von Drittparteien, damit die durch sie eingebrachten Cyber-, Betriebs- und Compliance-Risiken im Appetit bleiben.
Wie funktioniert Drittparteien-Risikomanagement (TPRM)?
TPRM umfasst jede Beziehung, in der eine Organisation für Geschäftsergebnisse auf externe Akteure - Lieferanten, Dienstleister, Cloud-Plattformen, Fintech-Partner, n-Tier-Lieferanten - angewiesen ist. Ein typischer Lebenszyklus umfasst inhärentes Risiko-Tiering, Due Diligence (Sicherheitsfragebögen, SOC 2, ISO 27001, Vor-Ort-Audits), vertragliche Schutzmechanismen (Auditrechte, Meldepflichten, Datenklauseln), kontinuierliche Überwachung (Ratings, Bedrohungsinformationen, Attestationen), Vorfallbehandlung und Offboarding. Aufsichten in Finanzen (DORA, OCC, FFIEC), Gesundheit (HIPAA) und Datenschutz (DSGVO) erlassen immer detailliertere Anforderungen. Moderne Programme integrieren TPRM mit ERM, Einkauf, Recht und Cyber-Betrieb und achten besonders auf Konzentrations- und Lieferkettenrisiken.
Wie schützt man sich gegen Drittparteien-Risikomanagement (TPRM)?
Schutzmaßnahmen gegen Drittparteien-Risikomanagement (TPRM) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Drittparteien-Risikomanagement (TPRM)?
Übliche alternative Bezeichnungen: TPRM, Drittparteien-Cyberrisiko.
● Verwandte Begriffe
- compliance№ 1199
Lieferantenrisikomanagement
Teilbereich des TPRM mit Fokus auf der Bewertung und Steuerung direkter Lieferanten, insbesondere ihrer Sicherheits-, Datenschutz- und Betriebsresilienzpraxis.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- compliance№ 936
Risikomanagement
Der koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
- compliance№ 383
Unternehmensweites Risikomanagement (ERM)
Integrierter, unternehmensweiter Ansatz zur Identifikation, Steuerung und Behandlung strategischer, finanzieller, operativer, regulatorischer und Cyber-Risiken im Einklang mit den Geschäftszielen.
- compliance№ 1063
SOC 2
Bescheinigungsstandard des AICPA, bei dem ein unabhängiger Prüfer die Kontrollen einer Dienstleistungsorganisation anhand der Trust Services Criteria bewertet.
- compliance№ 557
ISO/IEC 27001
Internationaler Standard mit Anforderungen an ein Information Security Management System (ISMS), nach dem Organisationen formal zertifiziert werden können.
● Siehe auch
- № 351DORA