Sicherheitsbewertung von Lieferanten
Was ist Sicherheitsbewertung von Lieferanten?
Sicherheitsbewertung von LieferantenDie strukturierte Bewertung der Sicherheitskontrollen, Richtlinien und Praktiken eines Drittanbieters vor und während der Geschäftsbeziehung, um das von ihm ausgehende Risiko einzuschätzen.
Eine Sicherheitsbewertung von Lieferanten ist der Prozess, die Informationssicherheitslage eines Anbieters zu prüfen, um zu entscheiden, ob eine Zusammenarbeit vertretbar ist, und die Bedingungen der Überwachung festzulegen. Sie beginnt meist mit einer Einstufung des inhärenten Risikos (Datensensibilität, Systemzugriff, Geschäftskritikalität), die die Prüftiefe bestimmt, und sammelt dann Nachweise über Sicherheitsfragebögen (SIG, CAIQ), Auditberichte (SOC 2 Type II, ISO/IEC-27001-Zertifikate), Zusammenfassungen von Penetrationstests, Security-Ratings und teils technische oder Vor-Ort-Validierung. Feststellungen werden bewertet, Lücken bis zur Behebung nachverfolgt, und die Ergebnisse fließen in Vertragsklauseln, Risikoakzeptanz oder Ablehnung ein. Bewertungen werden regelmäßig und nach größeren Änderungen wiederholt und bilden den Nachweis sammelnden Kern umfassenderer Programme für Lieferanten- und Drittparteienrisikomanagement.
● Beispiele
- 01
Eine Bank verschickt einen SIG-Fragebogen und verlangt einen aktuellen SOC-2-Type-II-Bericht, bevor sie einen neuen Zahlungsdienstleister anbindet.
- 02
Ein SaaS-Einkäufer beauftragt eine Zusammenfassung eines Penetrationstests und überprüft das Security-Rating des Anbieters jährlich im Rahmen der Vertragsverlängerung.
● Häufige Fragen
Was ist Sicherheitsbewertung von Lieferanten?
Die strukturierte Bewertung der Sicherheitskontrollen, Richtlinien und Praktiken eines Drittanbieters vor und während der Geschäftsbeziehung, um das von ihm ausgehende Risiko einzuschätzen. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Sicherheitsbewertung von Lieferanten?
Die strukturierte Bewertung der Sicherheitskontrollen, Richtlinien und Praktiken eines Drittanbieters vor und während der Geschäftsbeziehung, um das von ihm ausgehende Risiko einzuschätzen.
Wie schützt man sich gegen Sicherheitsbewertung von Lieferanten?
Schutzmaßnahmen gegen Sicherheitsbewertung von Lieferanten kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Sicherheitsbewertung von Lieferanten?
Übliche alternative Bezeichnungen: Sicherheitsbewertung von Drittanbietern, Lieferanten-Sicherheitsprüfung.