Die Sonderveröffentlichung des National Institute of Standards and Technology (NIST SP) 800-53 ist ein weithin angenommenes Rahmenwerk, das viele Sicherheitsexperten als Grundlage für alle nachfolgenden NIST-Kontrollen zur Informationssicherheit betrachten. NIST SP 800-53 befindet sich derzeit in der fünften Überarbeitung und konzentriert sich auf Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen, die auch für Drittanbieter und Lieferanten gelten.
Da zahlreiche Unternehmen SP 800-53 für ihre Informationssicherheitsprogramme übernommen haben, werden in diesem Beitrag die Kontrollen des Rahmenwerks für das Risikomanagement in der Lieferkette und die Leitlinien für das Risikomanagement von Drittanbietern untersucht und Best-Practice-Möglichkeiten aufgezeigt, die Sie einsetzen können, um die NIST-Anforderungen für eine stärkere Informationssicherheit von Drittanbietern zu erfüllen.
NIST und Risiken in der Lieferkette von Drittanbietern
Die NIST-Richtlinien verlangen von Unternehmen, dass sie einen Plan für das Management von Lieferkettenrisiken entwickeln:
- Verwendung von formalen Risikomanagementplänen und -richtlinien zur Steuerung des Lieferkettenmanagementprozesses
- Betonung der Sicherheit und des Datenschutzes durch Zusammenarbeit bei der Ermittlung von Risiken und Bedrohungen und durch die Anwendung von sicherheits- und datenschutzbasierten Kontrollen
- Forderung nach Transparenz von Systemen und Produkten (z. B. Lebenszyklus, Rückverfolgbarkeit und Authentizität der Komponenten)
- Zunehmende Sensibilisierung für die Notwendigkeit einer Vorabbewertung von Organisationen und die Gewährleistung von Transparenz bei Problemen und Verstößen
NIST SP 800-53r5 Lieferketten-spezifische Kontrollen Best Practice-Fähigkeiten
HINWEIS: Dieser Beitrag enthält nur ausgewählte Kontrollen. Für eine vollständige Liste der Kontrollen lesen Sie bitte die vollständige SP 800-53-Anleitung im Detail und konsultieren Sie Ihren Auditor.
| SP 800-53r5 Lieferketten-spezifische Kontrollen | Best Practice-Fähigkeiten |
|---|---|
| CA-2 (2) Kontrollbeurteilungen | Spezialisierte Beurteilungen
Unternehmen können spezielle Bewertungen durchführen, einschließlich Verifizierung und Validierung, Systemüberwachung, Bewertung von Insider-Bedrohungen, Tests auf böswillige Benutzer und andere Formen von Tests. CA-2 (3) Kontrollbeurteilungen | Nutzung der Ergebnisse von externen Organisationen Organisationen können sich auf Kontrollbewertungen von Organisationssystemen durch andere (externe) Organisationen verlassen. |
Suchen Sie nach Lösungen, die eine große Bibliothek mit vorgefertigten Vorlagen für [Risikobewertungen von Drittanbietern](/products/vendor-risk-assessment/) enthalten - einschließlich solcher, die speziell auf NIST-Kontrollen ausgerichtet sind. Bewertungen sollten zum Zeitpunkt der Aufnahme von Lieferanten, der Vertragserneuerung oder in einem beliebigen Intervall (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nach den wesentlichen Änderungen in der Geschäftsbeziehung.
Bewertungen sollten zentral verwaltet werden und durch Workflow-, Aufgabenmanagement- und automatisierte Beweisüberprüfungsfunktionen unterstützt werden, um sicherzustellen, dass Ihr Team während des gesamten Beziehungslebenszyklus Einblick in die Risiken Dritter hat. Wichtig ist, dass eine TPRM-Lösung integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen enthält, um sicherzustellen, dass Ihre Drittparteien die Risiken rechtzeitig und in zufriedenstellender Weise angehen und den Prüfern die entsprechenden Nachweise vorlegen können. Verfolgen und analysieren Sie als Teil dieses Prozesses kontinuierlich [externe Bedrohungen für Dritte](/products/vendor-risk-monitoring/). Überwachen Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen. Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren. Achten Sie darauf, Betriebs-, Reputations- und Finanzdaten Dritter einzubeziehen, um den Cyber-Ergebnissen einen Kontext zu geben und die Auswirkungen von Vorfällen im Laufe der Zeit zu messen. Ersetzen Sie bei Bedarf die Risikobewertungen eines Anbieters durch Drittprüfer [SOC 2-Berichte](/blog/aicpa-soc-2-third-party-risk-management/). Überprüfen Sie die Liste der im SOC-2-Bericht identifizierten Kontrolllücken, erstellen Sie Risikopositionen für den Drittanbieter und verfolgen Sie die Mängel im Laufe der Zeit und erstatten Sie Bericht darüber. |
| CP-2 (7) Notfallplan | Koordinierung mit externen Dienstleistern
Koordinierung des Notfallplans mit den Notfallplänen externer Dienstleister, um sicherzustellen, dass die Anforderungen an die Notfallplanung erfüllt werden können. IR-4 (10) Behandlung von Zwischenfällen | Koordinierung der Lieferkette Koordinierung von Aktivitäten zur Behandlung von Vorfällen in der Lieferkette mit anderen an der Lieferkette beteiligten Organisationen. IR-5 Überwachung von Vorfällen Verfolgen und dokumentieren Sie Vorfälle. IR-6 (3) Meldung von Zwischenfällen | Koordinierung der Lieferkette Übermittlung von Informationen über den Vorfall an den Anbieter des Produkts oder der Dienstleistung und an andere Organisationen, die an der Lieferkette oder der Steuerung der Lieferkette für Systeme oder Systemkomponenten, die mit dem Vorfall in Zusammenhang stehen, beteiligt sind. IR-8(1) Plan zur Reaktion auf Zwischenfälle | Verstöße Nehmen Sie bei Verstößen, die personenbezogene Daten betreffen, die folgenden Punkte in den Notfallplan auf: (a) Ein Verfahren zur Feststellung, ob eine Benachrichtigung von Einzelpersonen oder anderen Organisationen, einschließlich Aufsichtsorganisationen, erforderlich ist; (b) ein Bewertungsverfahren zur Ermittlung des Ausmaßes des Schadens, der Verlegenheit, der Unannehmlichkeiten oder der Ungerechtigkeit für die betroffenen Personen sowie etwaige Mechanismen zur Abmilderung dieses Schadens; und (c) Identifizierung der geltenden Datenschutzbestimmungen. |
Als Teil Ihrer umfassenderen [Incident-Management-Strategie](/blog/third-party-incident-response-management/) stellen Sie sicher, dass Ihr Programm zur Reaktion auf Vorfälle bei Drittanbietern Ihr Team in die Lage versetzt, [Sicherheitsvorfälle bei Drittanbietern](/services/third-party-incident-response-service/) schnell zu erkennen, darauf zu reagieren, darüber Bericht zu erstatten und die Auswirkungen zu mindern. Entscheiden Sie sich für Managed Services, bei denen dedizierte Experten Ihre Anbieter zentral verwalten, proaktive Risikobewertungen von Ereignissen durchführen, identifizierte Risiken bewerten, Risiken mit den Erkenntnissen der kontinuierlichen Cyber-Überwachung korrelieren und im Namen Ihres Unternehmens Anleitungen zur Abhilfe herausgeben. Managed Services können den Zeitaufwand für die Identifizierung der von einem Cyber-Sicherheitsvorfall betroffenen Lieferanten, die Koordinierung mit den Lieferanten und die Sicherstellung von Abhilfemaßnahmen erheblich reduzieren.
Die wichtigsten Funktionen des [Third-Party Incident Response Service](/services/third-party-incident-response-service/) umfassen: Ziehen Sie auch die Nutzung von Datenbanken in Betracht, die mehrere Jahre lang Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthalten - einschließlich der Art und Menge der gestohlenen Daten, der Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie der Echtzeit-Benachrichtigungen von Anbietern über Datenverletzungen. |
| PM-9 Risikomanagement-Strategie
a. Entwickeln Sie eine umfassende Strategie für das Management: 1. Sicherheitsrisiko für den Betrieb und die Vermögenswerte der Organisation, für Einzelpersonen, andere Organisationen und die Nation, das mit dem Betrieb und der Nutzung der Systeme der Organisation verbunden ist; und 2. Risiko für die Privatsphäre von Personen, das sich aus der genehmigten Verarbeitung personenbezogener Daten ergibt; b. die Risikomanagementstrategie in der gesamten Organisation einheitlich umzusetzen; und c. Überprüfung und Aktualisierung der Risikomanagementstrategie bei Bedarf, um organisatorischen Veränderungen Rechnung zu tragen. PM-30 Risikomanagementstrategie für die Lieferkette a. Entwicklung einer organisationsweiten Strategie für das Management von Lieferkettenrisiken im Zusammenhang mit der Entwicklung, Beschaffung, Wartung und Entsorgung von Systemen, Systemkomponenten und Systemdienstleistungen; b. die Strategie für das Risikomanagement in der Lieferkette im gesamten Unternehmen einheitlich umzusetzen; und c. Überprüfung und Aktualisierung der Strategie für das Risikomanagement in der Lieferkette in einem von der Organisation festgelegten Rhythmus oder bei Bedarf, um organisatorische Änderungen zu berücksichtigen. |
Erstellen Sie ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) oder für das Risikomanagement in der Cybersecurity-Lieferkette (C-SCRM), das mit Ihren umfassenderen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance übereinstimmt.
Suchen Sie nach [Experten](/services/professional-services/), die mit Ihrem Team zusammenarbeiten: Im Rahmen dieses Prozesses sollten Sie festlegen: Bewerten Sie kontinuierlich die Effektivität Ihres TPRM-Programms entsprechend den sich ändernden Geschäftsanforderungen und -prioritäten und messen Sie die Leistungsindikatoren (KPIs) und Risikoindikatoren (KRIs) des Drittanbieters (/content-library/25-kpis-and-kris-for-third-party-risk-management/) während des gesamten Beziehungslebenszyklus. |
| PM 30 (1) Risikomanagementstrategie für die Lieferkette | Lieferanten kritischer oder missionswichtiger Güter
Identifizierung, Priorisierung und Bewertung von Lieferanten kritischer oder missionswichtiger Technologien, Produkte und Dienstleistungen. |
Beginnen Sie mit der Quantifizierung der [inhärenten Risiken](/use-cases/vendor-inherent-risk-scoring/) für alle Drittparteien. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Priorisierung von Drittanbietern verwendet werden, gehören: * Art der für die Validierung der Kontrollen erforderlichen Inhalte * Kritische Bedeutung für die Unternehmensleistung und den Geschäftsbetrieb * Standort(e) und damit verbundene rechtliche oder regulatorische Überlegungen * Grad der Verlässlichkeit gegenüber vierten Parteien * Exposition gegenüber betrieblichen oder kundenorientierten Prozessen * Interaktion mit geschützten Daten * Finanzieller Status und Gesundheit * Ausgehend von dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch einstufen, geeignete Stufen für weitere Prüfungen festlegen und den Umfang der laufenden Bewertungen bestimmen. |
| PM-31 Strategie zur kontinuierlichen Überwachung
Entwicklung einer unternehmensweiten Strategie zur kontinuierlichen Überwachung und Umsetzung von Programmen zur kontinuierlichen Überwachung, die Folgendes umfassen a. Festlegung von unternehmensweit zu überwachenden Metriken; b. Festlegung bestimmter Häufigkeiten für die Überwachung und Bewertung der Wirksamkeit der Kontrollen; c. Laufende Überwachung der vom Unternehmen definierten Messgrößen in Übereinstimmung mit der Strategie der kontinuierlichen Überwachung; d. Korrelation und Analyse der durch Kontrollbewertungen und Überwachung gewonnenen Informationen; e. Maßnahmen zur Reaktion auf die Ergebnisse der Analyse der Kontrollbewertung und der Überwachungsinformationen; und f. Berichterstattung über den Sicherheits- und Datenschutzstatus der Organisationssysteme an bestimmte Personen. |
Kontinuierliche Verfolgung und Analyse von [externen Bedrohungen für Dritte](/products/vendor-risk-monitoring/). Überwachen Sie in diesem Zusammenhang das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.
Zu den Überwachungsquellen gehören in der Regel: Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren. Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister zusammengeführt sind, sollten Sie die Risiken anhand eines Wahrscheinlichkeits- und Auswirkungsmodells bewerten und nach Prioritäten ordnen. Dieses Modell sollte die Risiken in einer Matrix zusammenfassen, so dass Sie die Risiken mit den größten Auswirkungen leicht erkennen und Abhilfemaßnahmen für diese Risiken priorisieren können. Zuweisung von Verantwortlichen und Verfolgung von Risiken und Abhilfemaßnahmen auf einem für das Unternehmen akzeptablen Niveau. |
| RA-1 Politik und Verfahren
Entwickeln, dokumentieren und verbreiten: 1. Eine Politik der Risikobewertung, die: (a) Zweck, Anwendungsbereich, Rollen, Verantwortlichkeiten, Engagement des Managements, Koordination zwischen den Organisationseinheiten und Einhaltung der Vorschriften; und (b) mit den geltenden Gesetzen, Durchführungsverordnungen, Direktiven, Verordnungen, Politiken, Standards und Richtlinien übereinstimmt; und 2. Verfahren zur Erleichterung der Umsetzung der Risikobewertungspolitik und der damit verbundenen Risikobewertungskontrollen; b. Benennung eines Beamten, der für die Entwicklung, Dokumentation und Verbreitung der Risikobewertungspolitik und -verfahren zuständig ist; und c. Überprüfung und Aktualisierung der aktuellen Risikobewertung: 1. Politik und |
Siehe PM-9 Risikomanagementstrategie |
| RA-2 (1) Sicherheitskategorisierung | Priorisierung der Auswirkungsebene
Führen Sie eine Priorisierung der organisatorischen Systeme auf der Ebene der Auswirkungen durch, um eine zusätzliche Granularität der Systemauswirkungen zu erhalten. |
Siehe PM 30 (1) Risikomanagementstrategie für die Lieferkette | Lieferanten kritischer oder missionswichtiger Güter |
| RA-3 (1) Risikobewertung | Risikobewertung der Lieferkette
(a) Bewertung der Risiken in der Lieferkette im Zusammenhang mit Systemen, Komponenten und Dienstleistungen; und (b) die Risikobewertung der Lieferkette zu aktualisieren, wenn sich wesentliche Änderungen in der betreffenden Lieferkette ergeben oder wenn Änderungen des Systems, des Betriebsumfelds oder anderer Bedingungen eine Änderung in der Lieferkette erforderlich machen könnten. |
Suchen Sie nach Lösungen, die eine große Bibliothek mit vorgefertigten Vorlagen für [Risikobewertungen von Drittanbietern](/products/vendor-risk-assessment/) enthalten - einschließlich solcher, die speziell auf NIST-Kontrollen ausgerichtet sind. Bewertungen sollten bei der Aufnahme von Lieferanten, bei der Erneuerung von Verträgen oder in regelmäßigen Abständen (z. B. vierteljährlich oder jährlich) in Abhängigkeit von wesentlichen Änderungen durchgeführt werden.
Bewertungen sollten zentral verwaltet und durch Workflow-, Aufgabenmanagement- und automatisierte Beweisüberprüfungsfunktionen unterstützt werden, um sicherzustellen, dass Ihr Team während des gesamten Beziehungslebenszyklus Einblick in die Risiken Dritter hat. Wichtig ist, dass eine TPRM-Lösung integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen enthält, um sicherzustellen, dass Ihre Drittparteien die Risiken rechtzeitig und in zufriedenstellender Weise angehen und den Prüfern die entsprechenden Nachweise vorlegen können. |
| RA-3 (2) Risikobewertung | Nutzung von All-Source Intelligence
Nutzung von Informationen aus allen Quellen zur Unterstützung der Risikoanalyse. RA-3 (3) Risikobewertung | Dynamisches Bewusstsein für Bedrohungen Laufende Ermittlung der aktuellen Cyber-Bedrohungslage. RA-3 (4) Risikobewertung | Predictive Cyber Analytics Nutzen Sie fortschrittliche Automatisierungs- und Analysefunktionen, um Risiken vorherzusagen und zu erkennen. RA-7 Risikoreaktion Reaktion auf Ergebnisse von Sicherheits- und Datenschutzbewertungen, Überwachungen und Audits in Übereinstimmung mit der Risikotoleranz des Unternehmens. |
Kontinuierliche Verfolgung und Analyse von [externen Bedrohungen für Dritte](/products/vendor-risk-monitoring/). Überwachen Sie in diesem Zusammenhang das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.
Zu den typischen Überwachungsquellen gehören: * Kriminelle Foren, Onion-Seiten, Dark-Web-Foren für speziellen Zugang, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren. Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister korreliert sind, sollten Sie die Risiken anhand eines Wahrscheinlichkeits- und Auswirkungsmodells bewerten und priorisieren. Dieses Modell sollte die Risiken in einer Matrix zusammenfassen, so dass Sie die Risiken mit den größten Auswirkungen leicht erkennen und die Abhilfemaßnahmen nach Prioritäten ordnen können. Zuweisung von Verantwortlichen und Verfolgung von Risiken und Abhilfemaßnahmen auf einem für das Unternehmen akzeptablen Niveau. |
| RA-9 Kritikalitätsanalyse
Identifizierung kritischer Systemkomponenten und -funktionen durch Durchführung einer Kritikalitätsanalyse an bestimmten Entscheidungspunkten im Lebenszyklus der Systementwicklung. |
Siehe PM 30 (1) Risikomanagementstrategie für die Lieferkette | Lieferanten kritischer oder missionswichtiger Güter |
| SR-1 Politik und Verfahren
Entwickeln, dokumentieren und verbreiten: 1. Eine Politik des Risikomanagements in der Lieferkette, die: (a) Zweck, Anwendungsbereich, Rollen, Verantwortlichkeiten, Engagement des Managements, Koordination zwischen den Organisationseinheiten und Einhaltung der Vorschriften; und (b) mit den geltenden Gesetzen, Durchführungsverordnungen, Direktiven, Verordnungen, Politiken, Standards und Richtlinien übereinstimmt; und 2. Verfahren zur Erleichterung der Umsetzung der Risikomanagementpolitik für die Lieferkette und der damit verbundenen Kontrollen des Risikomanagements für die Lieferkette; b. Benennung eines Beamten, der für die Entwicklung, Dokumentation und Verbreitung der Grundsätze und Verfahren für das Risikomanagement in der Lieferkette zuständig ist; und c. Überprüfung und Aktualisierung des derzeitigen Risikomanagements der Lieferkette: 1. Politik und |
Siehe PM-9 Risikomanagementstrategie |
| SR-2 Risikomanagementplan für die Lieferkette
a. Entwicklung eines Plans für das Management von Risiken in der Lieferkette, die mit der Forschung und Entwicklung, dem Entwurf, der Herstellung, der Beschaffung, der Lieferung, der Integration, dem Betrieb und der Wartung sowie der Entsorgung von Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind b. Überprüfung und Aktualisierung des Risikomanagementplans für die Lieferkette bei Bedarf, um Bedrohungen, organisatorischen oder umweltbedingten Veränderungen Rechnung zu tragen; und c. Schutz des Risikomanagementplans für die Lieferkette vor unbefugter Offenlegung und Änderung. |
Siehe PM-9 Risikomanagementstrategie |
| SR-3 Lieferkettenkontrollen und -prozesse
a. Einführung eines Verfahrens oder von Verfahren zur Ermittlung und Behebung von Schwachstellen oder Mängeln in den Elementen und Prozessen der Lieferkette in Abstimmung mit dem Personal der Lieferkette; b. Anwendung der folgenden Kontrollen zum Schutz vor Risiken in der Lieferkette für das System, die Systemkomponente oder die Systemdienstleistung und zur Begrenzung des Schadens oder der Folgen von Ereignissen im Zusammenhang mit der Lieferkette; und c. Dokumentieren Sie die ausgewählten und implementierten Lieferkettenprozesse und -kontrollen im Risikomanagementplan für die Lieferkette. |
Siehe PM-9 Risikomanagementstrategie |
| SR-4 (4) Provenienz | Integrität der Lieferkette - Stammbaum
Einsatz von Kontrollen und Analysen zur Gewährleistung der Integrität des Systems und der Systemkomponenten durch Validierung der internen Zusammensetzung und der Herkunft kritischer oder missionswichtiger Technologien, Produkte und Dienstleistungen. |
Fordern Sie im Rahmen der Due-Diligence-Prüfung von den Anbietern aktualisierte [Software-Bill-of-Materials (SBOMs)](/blog/sbom-software-bill-of-materials/) für ihre Softwareprodukte an. Auf diese Weise können Sie potenzielle Schwachstellen oder Lizenzprobleme erkennen, die sich auf die Sicherheit und die Einhaltung von Vorschriften in Ihrem Unternehmen auswirken können. |
| SR-5 Beschaffungsstrategien, -werkzeuge und -methoden
Anwendung von Beschaffungsstrategien, Vertragsinstrumenten und Beschaffungsmethoden zum Schutz vor, zur Ermittlung und zur Minderung von Risiken in der Lieferkette. |
Zentralisieren und automatisieren Sie die Verteilung, den Vergleich und die Verwaltung von Angebotsanfragen (RFPs) und Informationsanfragen (RFIs) in einer einzigen Lösung, die den Vergleich von Schlüsselattributen ermöglicht.
Da alle Dienstleister zentralisiert und überprüft werden, sollten die Teams [umfassende Anbieterprofile](/content-library/risk-profiling-snapshot/) erstellen, die einen Einblick in die demografischen Informationen eines Anbieters, die Technologien von Drittanbietern, ESG-Bewertungen, die jüngsten Geschäfts- und Reputationseinblicke, die Geschichte von Datenschutzverletzungen und die jüngste finanzielle Leistung enthalten. Dieses Maß an Sorgfaltspflicht schafft einen größeren Kontext für Entscheidungen bei der [Anbieterauswahl](/products/rfp-rfi-management/) |
| SR-6 Lieferantenbeurteilungen und -überprüfungen
Bewertung und Überprüfung der Risiken im Zusammenhang mit der Lieferkette, die mit den Zulieferern oder Auftragnehmern und den von ihnen bereitgestellten Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind. |
Siehe RA-3 (1) Risikobewertung | Risikobewertung der Lieferkette |
| SR-8 Notifizierungsvereinbarungen
Festlegung von Vereinbarungen und Verfahren mit den an der Lieferkette für das System, die Systemkomponente oder den Systemdienst beteiligten Stellen für die Meldung von Kompromittierungen der Lieferkette und von Ergebnissen von Bewertungen oder Audits. |
Zentralisieren Sie die Verteilung, Diskussion, Aufbewahrung und Überprüfung von [Lieferantenverträgen](/products/contract-lifecycle-management/), um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass wichtige Klauseln durchgesetzt werden. Zu den wichtigsten Funktionen gehören: * Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten * Workflow-Funktionen (basierend auf Benutzer oder Vertragstyp) zur Automatisierung des Vertragsmanagement-Lebenszyklus * Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen * Zentrale Verfolgung von Vertragsdiskussionen und Kommentaren * Speicherung von Verträgen und Dokumenten mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe * Versionskontrolle, die Offline-Bearbeitungen von Verträgen und Dokumenten unterstützt * Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib- und Änderungszugriff ermöglichenMit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Lieferantenvertrag festgelegt und SLAs entsprechend verfolgt und verwaltet werden. |
| SR-13 Lieferanteninventar
a. Entwickeln, dokumentieren und pflegen Sie ein Verzeichnis der Lieferanten, die: 1. Genaue und minimale Darstellung der Tier-1-Zulieferer der Organisation, die ein Cybersicherheitsrisiko in der Lieferkette darstellen können; 2. Entspricht sie der Granularität, die für die Bewertung der Kritikalität und des Risikos in der Lieferkette, die Nachverfolgung und die Berichterstattung für notwendig erachtet wird? 3. Dokumentiert die folgenden Informationen für jeden Lieferanten der ersten Ebene (z. B. Hauptauftragnehmer): Überprüfung und Aktualisierung des Lieferantenbestands. i. Eindeutige Kennung des Beschaffungsinstruments (d.h. Vertrag, Aufgabe oder Lieferauftrag); ii. Beschreibung der gelieferten Produkte und/oder Dienstleistungen; iii. Programm, Projekt und/oder System, das die Produkte und/oder Dienstleistungen des Lieferanten nutzt; und iv. Zugewiesene Kritikalitätsstufe, die der Kritikalität des Programms, des Projekts und/oder des Systems (oder der Komponente des Systems) entspricht. b. Überprüfung und Aktualisierung des Lieferanteninventars. |
Zentralisieren Sie alle Lieferanteninformationen in einem einzigen Lieferantenprofil, so dass alle Abteilungen, die mit Lieferanten zu tun haben, dieselben Informationen nutzen können, was die Transparenz und die Entscheidungsfindung verbessert.
Importieren Sie Lieferanten über eine Tabellenkalkulationsvorlage oder über eine API-Verbindung zu einer vorhandenen Beschaffungslösung, wodurch fehleranfällige, manuelle Prozesse vermieden werden. Erfassen Sie wichtige Lieferantendetails mit einem zentralisierten und anpassbaren Aufnahmeformular und dem dazugehörigen Workflow. Dieses sollte für jeden per E-Mail-Einladung verfügbar sein, ohne dass eine Schulung oder Lösungskenntnisse erforderlich sind. Erstellen Sie [umfassende Lieferantenprofile](/assets/documents/resources/Prevalent-Risk-Profiling-Snapshot-Data-Sheet.pdf), die die demografischen Daten der Lieferanten, den geografischen Standort, Technologien von Drittanbietern und aktuelle betriebliche Erkenntnisse vergleichen und überwachen. Mit diesen gesammelten Daten können Sie vor allem über geografische und technologische Konzentrationsrisiken berichten und entsprechende Maßnahmen ergreifen. Wie Prevalent dabei hilft, die Richtlinien des NIST SP 800-53 zum Risikomanagement in der Lieferkette zu erfüllen |
Wie Prevalent dabei hilft, die Richtlinien des NIST SP 800-53 zum Risikomanagement in der Lieferkette zu erfüllen
Prevalent bietet eine zentrale, automatisierte Plattform für die Skalierung des Risikomanagements von Drittanbietern und des Risikomanagements in der Cybersecurity-Lieferkette. Mit Prevalent kann Ihr Team:
- Aufbau eines Best-Practice-Programms für das Risikomanagement von Drittanbietern im Einklang mit den umfassenderen Programmen Ihres Unternehmens für die Cybersicherheit in der Lieferkette und das Risikomanagement im Unternehmen
- Nutzen Sie konsolidierte Einblicke über mehrere Risikobereiche hinweg, um Ausschreibungsprozesse zu automatisieren und fundiertere Entscheidungen zur Due-Diligence-Prüfung von Lieferanten zu treffen.
- Zentralisierung der Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen, um sicherzustellen, dass die wichtigsten Sicherheitsanforderungen enthalten sind, vereinbart wurden und mit wichtigen Leistungsindikatoren (KPIs) durchgesetzt werden
- Aufbau eines einheitlichen Lieferanteninventars und Bewertung des inhärenten Risikos als Grundlage für die Erstellung von Profilen, die Einstufung und Kategorisierung von Dienstleistern sowie die Festlegung des geeigneten Umfangs und der Häufigkeit laufender Due-Diligence-Aktivitäten
- Automatisieren Sie Risikobewertungen und Abhilfemaßnahmen in jeder Phase des Lebenszyklus von Drittanbietern
- Kontinuierliche Verfolgung und Analyse externer Bedrohungen für Dritte durch Überwachung des Internets und des Dark Web auf Cyber-Bedrohungen und Schwachstellen
- Automatisieren Sie Vertragsbewertungen und Offboarding-Prozesse, um das Risiko von Nachvertragsrisiken für Ihr Unternehmen zu reduzieren.
- Schnelles Erkennen und Abschwächen der Auswirkungen von Sicherheitsvorfällen und -verletzungen bei Dienstleistern durch zentrale Verwaltung von Anbietern, Durchführung von Ereignisbewertungen, Bewertung der identifizierten Risiken und Zugriff auf Anleitungen zur Abhilfe
Wenn Sie mehr darüber erfahren möchten, wie Prevalent zur Einhaltung der NIST-Richtlinien beitragen kann, fordern Sie noch heute eine Lösungsdemo an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
