Lieferantenrisikomanagement
Was ist Lieferantenrisikomanagement?
LieferantenrisikomanagementTeilbereich des TPRM mit Fokus auf der Bewertung und Steuerung direkter Lieferanten, insbesondere ihrer Sicherheits-, Datenschutz- und Betriebsresilienzpraxis.
Vendor Risk Management (VRM) ist der operative Kern des TPRM, angewandt auf direkt vertragsgebundene Lieferanten. Es kombiniert üblicherweise ein Lieferantenverzeichnis, inhärentes Risiko-Tiering (Datensensitivität, Kritikalität, Zugriffsumfang), vorvertragliche Prüfungen, vertragliche Pflichten, periodische Neubewertungen und Incident-Management. Werkzeuge sind Sicherheitsfragebögen (SIG, CAIQ), SOC 2 / ISO 27001 Reviews, Security Ratings sowie Vor-Ort- oder Remote-Audits. VRM stärkt die Resilienz, indem Konzentrationsrisiken reduziert, Meldepflichten vertraglich verankert und Datenschutz-, Finanz- und Aufsichtsanforderungen verifiziert werden. TPRM ist umfassender (n-Tier, Partner, Gruppenunternehmen), aber im VRM bündelt sich der Großteil der einkaufsgetriebenen Aktivität.
● Beispiele
- 01
Jährlicher SIG-Lite-Fragebogen und SOC-2-Review für Tier-1-SaaS-Anbieter.
- 02
Quartalsweises Business Review mit dem Cloud-Anbieter zu Sicherheits-KPIs und Vorfällen.
● Häufige Fragen
Was ist Lieferantenrisikomanagement?
Teilbereich des TPRM mit Fokus auf der Bewertung und Steuerung direkter Lieferanten, insbesondere ihrer Sicherheits-, Datenschutz- und Betriebsresilienzpraxis. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Lieferantenrisikomanagement?
Teilbereich des TPRM mit Fokus auf der Bewertung und Steuerung direkter Lieferanten, insbesondere ihrer Sicherheits-, Datenschutz- und Betriebsresilienzpraxis.
Wie funktioniert Lieferantenrisikomanagement?
Vendor Risk Management (VRM) ist der operative Kern des TPRM, angewandt auf direkt vertragsgebundene Lieferanten. Es kombiniert üblicherweise ein Lieferantenverzeichnis, inhärentes Risiko-Tiering (Datensensitivität, Kritikalität, Zugriffsumfang), vorvertragliche Prüfungen, vertragliche Pflichten, periodische Neubewertungen und Incident-Management. Werkzeuge sind Sicherheitsfragebögen (SIG, CAIQ), SOC 2 / ISO 27001 Reviews, Security Ratings sowie Vor-Ort- oder Remote-Audits. VRM stärkt die Resilienz, indem Konzentrationsrisiken reduziert, Meldepflichten vertraglich verankert und Datenschutz-, Finanz- und Aufsichtsanforderungen verifiziert werden. TPRM ist umfassender (n-Tier, Partner, Gruppenunternehmen), aber im VRM bündelt sich der Großteil der einkaufsgetriebenen Aktivität.
Wie schützt man sich gegen Lieferantenrisikomanagement?
Schutzmaßnahmen gegen Lieferantenrisikomanagement kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Lieferantenrisikomanagement?
Übliche alternative Bezeichnungen: VRM, Supplier Risk Management.
● Verwandte Begriffe
- compliance№ 1144
Drittparteien-Risikomanagement (TPRM)
End-to-End-Disziplin zur Identifikation, Bewertung, Vertragsgestaltung, Überwachung und Offboarding von Drittparteien, damit die durch sie eingebrachten Cyber-, Betriebs- und Compliance-Risiken im Appetit bleiben.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- compliance№ 936
Risikomanagement
Der koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
- compliance№ 383
Unternehmensweites Risikomanagement (ERM)
Integrierter, unternehmensweiter Ansatz zur Identifikation, Steuerung und Behandlung strategischer, finanzieller, operativer, regulatorischer und Cyber-Risiken im Einklang mit den Geschäftszielen.
- compliance№ 1063
SOC 2
Bescheinigungsstandard des AICPA, bei dem ein unabhängiger Prüfer die Kontrollen einer Dienstleistungsorganisation anhand der Trust Services Criteria bewertet.
- compliance№ 557
ISO/IEC 27001
Internationaler Standard mit Anforderungen an ein Information Security Management System (ISMS), nach dem Organisationen formal zertifiziert werden können.