1 Einführung und Zielsetzung
Fast alle Unternehmen haben Beziehungen zu Lieferanten, von denen sie unterschiedliche Produkte und Dienstleistungen beziehen. Solche Lieferanten haben häufig direkten oder indirekten Zugang zu Informationen und informationsverarbeitenden Systemen ihrer Auftraggeber oder liefern oder unterstützen Hardware und Software, die beim Auftraggeber eingesetzt werden.
Dies kann zu gegenseitigen Risiken der Informationssicherheit führen, die bewertet und geeignet behandelt werden müssen.
Standard für Beziehungen mit Lieferanten
Die Absicht des mehrteiligen Standards ISO/IEC 27036 ist es, in Detaillierung und Ergänzung der ISO/IEC 27002 weitere Leitlinien für die Sicherheitskategorien und geeignete Maßnahmen für die Informationssicherheit in Lieferantenbeziehungen zu schaffen.
Die Absicht des mehrteiligen Standards ISO/IEC 27036 ist es, in Detaillierung und Ergänzung der ISO/IEC 27002 weitere Leitlinien für die Sicherheitskategorien und geeignete Maßnahmen für die Informationssicherheit in Lieferantenbeziehungen zu schaffen.
Der Standard besteht aus den folgenden vier Teilen:
| Teil 1: | Überblick und Konzeption [1] |
| Teil 2: | Anforderungen [2] |
| Teil 3: | Leitlinien für Sicherheit in der Lieferkette der Informations- und Kommunikationstechnologie [3] |
| Teil 4: | Leitlinien für die Sicherheit von Cloud-Diensten [4] |
Der Teil ISO/IEC 27036-1 ist eine Einführung in die ISO/IEC 27036. Er gibt einen Überblick über Konzepte, die im Detail in den weiteren Teilen der ISO/IEC 27036 Reihe beschrieben sind.
2 Struktur der ISO/IEC 27036-1
Anwendungsbereich
1 Scope
1 Scope
Dieser Teil des Standards gibt einen Überblick über die Konzepte der Informationssicherheit in Lieferantenbeziehungen und beschreibt den Aufbau der weiteren Leitlinien zur Absicherung der Informationen und der innerhalb der Lieferkette miteinander verbundenen Informationsverarbeitenden Systeme.
Normative Verweise
2 Normative references
2 Normative references
Auflistung der zu berücksichtigenden Dokumente:
| • | ISO/IEC 27000 |
Wichtige Begriffe
3 Terms and definitions
3 Terms and definitions
Ergänzung der in ISO/IEC 27000 definierten Begriffe um weitere Begriffe aus dem Umfeld der Lieferantenbeziehungen wie z. B. acquirer, life cycle, outsourcing, supplier, supply chain.
Verwendete Abkürzungen
4 Symbols and abbreviated terms
4 Symbols and abbreviated terms
Erläuterung von verwendeten Abkürzungen wie z. B.:
| ASP | Application Service Provider |
| BPaaS | Business Process as a Service |
| SaaS | Software as a Service |
Problemdefinition und Schlüsselkonzepte
5 Problem definition and key concepts
5 Problem definition and key concepts
Organisationen (Erwerber) entscheiden sich aus unterschiedlichen Motiven für Beziehungen zu Lieferanten wie z. B.:
| • | Konzentrierung der eigenen Ressourcen auf die Kernprozesse zur Kostenreduktion und Verbesserung des Return on Investment |
| • | Bedarf an kurzfristig benötigter Kompetenz |
| • | Werden Produkte von einem Lieferanten bezogen, so erfolgt dies i. d. R. nach festgelegten Spezifikationen und definierten Lieferterminen. Der Zugang von Lieferanten zu Informationen des Erwerbers kann Risiken für dessen Informationssicherheit bewirken. Die Nichterfüllung von Anforderungen, Schwachstellen in der Software und Malware können weitere Risiken darstellen. Maßnahmen des Erwerbers zur Behandlung dieser Risiken können wiederum Informationssicherheitsrisiken beim Lieferanten zur Folge haben. |
| • | Werden Dienstleistungen von Lieferanten bezogen, so gelten vergleichbare Risiken wie beim Bezug von Produkten. Zudem kann ein beträchtliches Know-how des Erwerbers dem Lieferanten zur Verfügung stehen (z. B. aus den Bereichen Marketing, Call Center, Informations- und Kommunikationstechnologie). |
| • | Im Umfeld der Informations- und Kommunikationstechnologie werden häufig viele Lieferanten eingesetzt bzw. Lieferanten setzen ihrerseits wieder Unterlieferanten zur Erbringung der beauftragten Dienstleistung ein. Es ist eine Herausforderung, in derartigen Lieferantenketten die Informationssicherheitsrisiken zu erkennen und zu beherrschen. |
| • | Cloud Computing – eine besondere Form der Lieferantenbeziehung, die häufig auch zu Lieferantenketten führt – stellt besonders hohe Anforderungen an das Management von Informationssicherheitsrisiken, da die zugrunde liegenden IT-Umgebungen, Anwendungen und Netzwerke potenziell von verschiedenen Kunden des Dienstleisters gemeinsam genutzt werden. |
Informationssicherheitsrisiken
Informationssicherheitsrisiken betreffen in Lieferantenbeziehungen sowohl die Erwerber und Lieferanten als auch Kunden und andere betroffene Parteien. Erwerber und Lieferanten sind gleichermaßen verantwortlich für geeignete Vereinbarungen und die Identifikation und Bewältigung der Risiken der Informationssicherheit.
Informationssicherheitsrisiken betreffen in Lieferantenbeziehungen sowohl die Erwerber und Lieferanten als auch Kunden und andere betroffene Parteien. Erwerber und Lieferanten sind gleichermaßen verantwortlich für geeignete Vereinbarungen und die Identifikation und Bewältigung der Risiken der Informationssicherheit.
Mängel in Vereinbarungen und unzureichende Behandlung von Risiken können z. B. zu folgenden Problemen führen:
| • | Erwerber verlieren die Kontrolle über ihre Informationen. |
| • | Sublieferanten werden ohne Einwilligung des Erwerbers eingeschaltet. |
| • | Vom Lieferanten ergriffene Schutzmaßnahmen decken die vom Erwerber identifizierten Risiken nicht oder nur unzureichend ab. |
| • | Eine Dienstleistung wird in einer nicht zugelassenen Region erbracht. |
In Kapitel 5 des Standards sind in zwei Tabellen Beispiele für Informationssicherheitsrisiken von Produkten und Dienstleistungen aufgeführt.
Struktur der ISO/IEC 27036
6 Overall ISO/IEC 27036 structure and overview
6 Overall ISO/IEC 27036 structure and overview
Die ISO/IEC 27036 besteht aus mehreren Teilen mit Anforderungen und Leitlinien für Erwerber und Lieferanten zur Erreichung einer angemessenen Informationssicherheit in Lieferantenbeziehungen.
Part 1: Overview and concepts
Dieser Teil der ISO/IEC 27036 gibt einen Überblick über die Informationssicherheit in Lieferantenbeziehungen.
Part 2: Requirements
Teil 2 der ISO/IEC 27036 beschreibt eine Rahmenstruktur für die Anforderungen und Erwartungen an die beiderseitige Informationssicherheit in Lieferantenbeziehungen.
Die Rahmenstruktur umfasst die Steuerung und Lenkung, Lebenszyklusprozesse und relevante Anforderungen.
Dieser Teil kann zur Festlegung, Steuerung und Überwachung von Vereinbarungen mit Lieferanten und als ergänzende Kriterien für die Zertifizierung nach ISO/IEC27001 verwendet werden.
Part 3: Guidelines for information and communication technology (ICT) supply chain security
Teil 3 der ISO/IEC 27036 enthält Leitlinien für Erwerber und Lieferanten zur Steuerung von Informationssicherheitsrisiken in Produkten der Informations- und Kommunikationstechnologie und Lieferantenketten im Dienstleistungsbereich, die die Erfüllung der generischen Anforderungen aus Teil 2 praxisorientiert unterstützen.
Part 4: Guidelines for security of cloud services
Teil 4 der ISO/IEC 27036 enthält Leitlinien für die Informationssicherheit im Cloud Computing wie z. B. Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS), die die Erfüllung der generischen Anforderungen aus Teil 2 praxisorientiert unterstützen.
Quellen
1
ISO/IEC 27036-1 – Informationssicherheit für Zulieferbeziehungen – Teil 1: Überblick und Konzeption. Originaltitel Englisch: Information security for supplier relationships –Part 1: Overview and concepts; 2014
2
ISO/IEC 27036-2 – Informationssicherheit für Zulieferbeziehungen – Teil 2: Anforderungen. Originaltitel Englisch: Information security für supplier relationships – Part 2: Requirements; 2014
3
ISO/IEC 27036-3 – Informationssicherheit für Zulieferbeziehungen – Teil 3: Leitlinien für Sicherheit in der Lieferkette der Informations- und Kommunikationstechnologie. Originaltitel Englisch: Information security für supplier relationships – Part 3: Guidelines for Information and Communication Technology (ICT) supply chain security; 2013
4
ISO/IEC 27036-4 – Informationssicherheit für Zulieferbeziehungen – Teil 4: Leitlinien für die Sicherheit von Cloud-Diensten. Originaltitel Englisch: Information security für supplier relationships – Part 4: Guidelines for security of cloud services; 2016
