Einhaltung von ISO 27001, 27002 und 27036-2

5 Organisatorische Kontrollen

Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm zum Management von Risiken durch Dritte (Third-Party Risk Management, TPRM) zu entwickeln, das mit Ihren allgemeinen Programmen für Informationssicherheit, Cybersicherheit und Datenschutz im Einklang steht und auf bewährten Best Practices und umfangreichen praktischen Erfahrungen basiert.

Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm zu optimieren, um den gesamten Lebenszyklus des Risikos von Drittanbietern - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Beendigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens abzudecken.

Als Teil dieses Prozesses kann Prevalent Ihnen bei der Definition helfen:

• Klare Rollen und Verantwortlichkeiten (z. B. RACI)
• Vorräte von Dritten
• Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
• Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
• Kartierung von Drittanbietern
• Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
• Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
• Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
• Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
• Anforderungen an die Reaktion auf Vorfälle
• Risiko- und interne Stakeholder-Berichterstattung
• Strategien zur Risikominderung und -behebung

5.7 Bedrohungsinformationen

„Informationen über Bedrohungen der Informationssicherheit sind zu sammeln und

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Zu den Überwachungsquellen gehören:

• Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
• Eine Datenbank mit mehr als 10 Jahren Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu rationalisieren.

5.11 Rückgabe von Vermögenswerten

„Mitarbeiter und andere betroffene Parteien müssen bei einer Änderung oder Beendigung ihres Arbeitsverhältnisses, Vertrags oder ihrer Vereinbarung alle Vermögenswerte der Organisation, die sich in ihrem Besitz befinden, zurückgeben.“

Wenn eineKündigung oder ein Austrittfür kritische Dienste erforderlich ist, nutzt Prevalent anpassbare Umfragen und Workflows, um über Systemzugriff, Datenvernichtung, Zugriffsverwaltung, Einhaltung relevanter Gesetze, Abschlusszahlungen und mehr zu berichten. Die Lösung schlägt außerdem Maßnahmen auf der Grundlage der Antworten auf Offboarding-Bewertungen vor und leitet Aufgaben bei Bedarf an Prüfer weiter.

5.19 Informationssicherheit in Lieferantenbeziehungen

„Es sind Prozesse und Verfahren zu definieren und zu implementieren, um die mit der Nutzung der Produkte oder Dienstleistungen des Lieferanten verbundenen Risiken für die Informationssicherheit zu bewältigen.“

Prevalent bietet eine Bibliothek mit mehr als 750 vorgefertigten Vorlagen, darunter spezielle ISO-Fragebögen zurBewertung dermit Dritten verbundenenRisiken für die Informationssicherheit.

Bewertungen werden zentral in der Prevalent-Plattform verwaltet. Sie werden durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt, um Transparenz hinsichtlich der Risiken durch Dritte in der gesamten Lieferantenbeziehung zu ermöglichen.

Wichtig ist, dass Prevalent integrierte Abhilfemaßnahmenempfehlungen auf der Grundlage von Risikobewertungsergebnissen liefert, um sicherzustellen, dass Dritte Risiken zeitnah und zufriedenstellend angehen.

Für Unternehmen mit begrenzten Ressourcen und Fachkenntnissen kann Prevalentden Lebenszyklus von Risiken durch Dritte in Ihrem Namen verwalten– von der Einbindung von Lieferanten und der Sammlung von Nachweisen bis hin zur Bereitstellung von Leitlinien zur Behebung von Mängeln und der Berichterstattung über Vertrags-SLAs. Dadurch reduzieren Sie das Lieferantenrisiko und vereinfachen die Compliance, ohne Ihre internen Mitarbeiter zu belasten.

5.20 Behandlung der Informationssicherheit in Lieferantenverträgen

„Relevante Anforderungen an die Informationssicherheit sind auf der Grundlage der Art der Lieferantenbeziehung festzulegen und mit jedem Lieferanten zu vereinbaren.“

Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung vonLieferantenverträgen. Es bietet außerdem Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.

Zu den wichtigsten Fähigkeiten gehören:

• Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
• Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
• Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

5.21 Verwaltung der Informationssicherheit in der Lieferkette der Informations- und Kommunikationstechnologie (IKT)

„Es sind Prozesse und Verfahren zu definieren und zu implementieren, um die mit der Lieferkette von IKT-Produkten und -Dienstleistungen verbundenen Informationssicherheitsrisiken zu verwalten.“

Prevalent standardisiert Bewertungen anhand von ISO-Best Practices und anderen Kontrollrahmenwerken für Informationssicherheit und bietet internen Audit- und IT-Sicherheitsteams eine zentrale Plattform zur Messung und Nachweisführung der Einhaltung von Praktiken für sichere Softwareentwicklung und Softwareentwicklungslebenszyklen (SDLC).

5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen

„Die Organisation muss die Änderungen der Informationssicherheitspraktiken und der Leistungserbringung der Lieferanten regelmäßig überwachen, überprüfen, bewerten und verwalten.“

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Zu den Überwachungsquellen gehören:

• Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
• Eine Datenbank mit mehr als 10 Jahren Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu rationalisieren.

5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten

„Verfahren für den Erwerb, die Nutzung, die Verwaltung und die Beendigung von Cloud-Diensten sind in Übereinstimmung mit den Anforderungen der Organisation an die Informationssicherheit festzulegen.“

Prevalent standardisiert Bewertungen anhand vonSOC 2, Cyber Essentials, ISO und anderen Kontrollrahmenwerken für Informationssicherheit und bietet wichtige Kontrollbewertungen hinsichtlich der Anforderungen an Cloud-Dienste.

Dieselben Bewertungen werden auch zur Beurteilung der Informationssicherheitskontrollen beim Auslaufen von Cloud-Diensten herangezogen.

5.24 Planung und Vorbereitung für das Management von Informationssicherheitsvorfällen

„Die Organisation muss die Bewältigung von Vorfällen im Bereich der Informationssicherheit planen und vorbereiten, indem sie Prozesse, Rollen und Verantwortlichkeiten für das Management von Vorfällen im Bereich der Informationssicherheit definiert, festlegt und kommuniziert.“

5.25 Bewertung und Entscheidung zu Ereignissen im Bereich der Informationssicherheit

„Die Organisation muss Vorfälle im Bereich der Informationssicherheit bewerten und entscheiden, ob sie als Vorfälle im Bereich der Informationssicherheit einzustufen sind.“

5.26 Reaktion auf Vorfälle im Bereich der Informationssicherheit

„Auf Vorfälle im Bereich der Informationssicherheit ist gemäß den dokumentierten Verfahren zu reagieren.“

5.28 Sammlung von Beweismitteln

„Die Organisation muss Verfahren zur Identifizierung, Erfassung, Beschaffung und Aufbewahrung von Beweismitteln im Zusammenhang mit Vorfällen der Informationssicherheit festlegen und umsetzen.“

Prevalent ermöglicht es Ihrem Team, Vorfälle bei Drittanbietern schnell zu identifizieren, darauf zu reagieren, darüber zu berichten und deren Auswirkungen zu mindern, indem es Anbieter zentral verwaltet, Ereignisbewertungen durchführt, identifizierte Risiken bewertet, mit kontinuierlicher Cyberüberwachung korreliert und auf Leitlinien zur Behebung von Problemen zugreift.

Zu den wichtigsten Fähigkeiten gehören:

• Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
• Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
• Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
• Proaktive Lieferantenberichterstattung
• Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahlen und markierten Antworten für jeden Anbieter
• Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
• Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
• Integrierte Berichtsvorlagen
• Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln

5.30 IKT-Bereitschaft für die Geschäftskontinuität

„Die IKT-Bereitschaft muss auf der Grundlage der Geschäftskontinuitätsziele und der Anforderungen an die IKT-Kontinuität geplant, umgesetzt, aufrechterhalten und getestet werden.“

Prevalent automatisiert die Bewertung, kontinuierliche Überwachung, Analyse und Behebung von Schwachstellen in der Geschäftskontinuität und -resilienz von Drittanbietern – und ordnet die Ergebnisse automatisch den ISO- und anderen Kontrollrahmenwerken zu.

Zur Ergänzung von Bewertungen der Belastbarkeit von Unternehmen und zur Validierung der Ergebnisse wird Prevalent:

• Automatisiert die kontinuierliche Cyber-Überwachung, die mögliche Auswirkungen auf das Geschäft Dritter vorhersagen kann
• Zugriff auf qualitative Erkenntnisse aus über 550.000 öffentlichen und privaten Quellen von Reputationsinformationen, die auf eine Instabilität des Anbieters hinweisen könnten
• Nutzt Finanzinformationen aus einem globalen Netzwerk von 2 Millionen Unternehmen, um die finanzielle Gesundheit oder betriebliche Probleme von Anbietern zu erkennen

Dieser proaktive Ansatz ermöglicht es Ihrem Unternehmen, die Auswirkungen von Störungen durch Dritte zu minimieren und die Compliance-Anforderungen zu erfüllen.

Die Prevalent-Plattform umfasst eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage von ISO 22301-Standardverfahren, die es Unternehmen ermöglichen,:

• Kategorisierung der Lieferanten nach ihrem Risikoprofil und ihrer Wichtigkeit für das Unternehmen
• Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
• Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Drittparteien
• Sicherstellung einer konsistenten Kommunikation mit den Lieferanten bei Betriebsunterbrechungen

5.31 Gesetzliche, behördliche, regulatorische und vertragliche Anforderungen

„Gesetzliche, behördliche und vertragliche Anforderungen in Bezug auf die Informationssicherheit sowie die Vorgehensweise der Organisation zur Erfüllung dieser Anforderungen müssen identifiziert, dokumentiert und auf dem neuesten Stand gehalten werden.“

Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Es bietet außerdem Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.

Zu den wichtigsten Fähigkeiten gehören:

• Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
• Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
• Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

5.34 Datenschutz und Schutz personenbezogener Daten (PII)

„Die Organisation muss die Anforderungen hinsichtlich der Wahrung der Privatsphäre und des Schutzes personenbezogener Daten gemäß den geltenden Gesetzen und Vorschriften sowie den vertraglichen Anforderungen ermitteln und erfüllen.“

Prevalent bietet eine zentralisierte, kollaborative Plattform für die Durchführung von Datenschutzbewertungen und die Minderung von Datenschutzrisiken sowohl gegenüber Dritten als auch intern. Zu den wichtigsten Funktionen für die Bewertung von Datensicherheit und Datenschutz gehören:

• Planmäßige Bewertungen und Beziehungsanalysen, um aufzuzeigen, wo personenbezogene Daten vorhanden sind, wo sie gemeinsam genutzt werden und wer Zugriff darauf hat - all dies wird in einem Risikoregister zusammengefasst, das kritische Risiken aufzeigt
• Datenschutz-Folgenabschätzungen zur Aufdeckung gefährdeter Geschäftsdaten und personenbezogener Daten (PII)
• Bewertung von Anbietern im Hinblick auf die GDPR und andere Datenschutzvorschriften über das Prevalent Compliance Framework (PCF) - deckt potenzielle Gefahrenherde auf, indem identifizierte Risiken spezifischen Kontrollen zugeordnet werden
• Zuordnung von GDPR-Risiken und Reaktionen zu Kontrollen. Enthält Bewertungen der prozentualen Einhaltung der Vorschriften und stakeholderspezifische Berichte.
• Eine Datenbank mit mehr als 10 Jahren Datenverletzungshistorie für Tausende von Unternehmen - einschließlich der Art und Menge der gestohlenen Daten, der Einhaltung von Vorschriften und behördlichen Auflagen sowie Echtzeit-Benachrichtigungen über Datenverletzungen durch Anbieter
• Zentralisiertes Onboarding, Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen - stellt sicher, dass die Datenschutzbestimmungen von Beginn der Geschäftsbeziehung an durchgesetzt werden

5.36 Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit

„Die Einhaltung der Informationssicherheitsrichtlinien, themenspezifischen Richtlinien, Regeln und Standards der Organisation ist regelmäßig zu überprüfen.“

Mit Prevalent können Prüfer ein Programm einrichten, mit dem sie die Einhaltung von Vorschriften effizient erreichen und nachweisen können. Die Lösung automatisiert die Compliance-Prüfung des Risikomanagements von Drittanbietern, indem sie Risikoinformationen von Anbietern sammelt, Risiken quantifiziert, Abhilfemaßnahmen empfiehlt und Berichte für Dutzende von gesetzlichen Vorschriften und Branchenrahmenwerken erstellt.

Prevalent ordnet die aus kontrollbasierten Bewertungen gewonnenen Informationen automatisch ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS und anderen Regelwerken zu, so dass Sie wichtige Compliance-Anforderungen schnell erkennen und erfüllen können.

ISO 27002-Kontrollen

Wie wir helfen

5.19 b)„Festlegung, wie Lieferanten entsprechend der Sensibilität von Informationen, Produkten und Dienstleistungen bewertet und ausgewählt werden (z. B. durch Marktanalyse, Kundenreferenzen, Überprüfung von Dokumenten, Vor-Ort-Bewertungen, Zertifizierungen);“

Prevalent zentralisiert und automatisiert die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs) im Rahmen von Entscheidungenzur Lieferantenauswahl.

Prevalent leitet jeden ausgewählten Anbieter in die Vertrags- und/oder Onboarding-Due-Diligence-Phasen über und führt den Anbieter automatisch durch den Lebenszyklus des Drittanbieters.

Prevalent verfügt über eine Bibliothek mit mehr als 750 vorgefertigten Vorlagen für laufendeRisikobewertungen von Drittanbietern. Diese sind in native Funktionen zur Überwachung von Cyber-, Geschäfts-, Reputations- und Finanzrisiken integriert, die die Bewertungsergebnisse kontinuierlich validieren und Lücken zwischen den Bewertungen schließen.

Eingebaute Empfehlungen für Abhilfemaßnahmen stellen sicher, dass Dritte die Risiken rechtzeitig und in zufriedenstellender Weise angehen.

5.19 c)„Bewertung und Auswahl von Produkten oder Dienstleistungen von Lieferanten, die über angemessene Informationssicherheitskontrollen verfügen, und deren Überprüfung; insbesondere die Genauigkeit und Vollständigkeit der vom Lieferanten implementierten Kontrollen, die die Integrität der Informationen und der Informationsverarbeitung des Lieferanten und damit die Informationssicherheit der Organisation gewährleisten;“

Mit demPrevalent Risk Profiling Snapshot können Sie demografische Daten, Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Einblicke in das Geschäft und die Reputation, die Historie von Datenverstößen und die finanzielle Leistung potenzieller Anbieter vergleichen und überwachen. Mit dem Snapshot können Sie Ergebnisse im Einklang mit RFx-Antworten einsehen und erhalten so einen ganzheitlichen Überblick über Lieferanten – ihre Eignung für den jeweiligen Zweck und ihre Eignung entsprechend der Risikobereitschaft Ihres Unternehmens.

5.19 g)„Überwachung der Einhaltung der festgelegten Anforderungen an die Informationssicherheit für jede Art von Lieferanten und jede Art von Zugang, einschließlich der Überprüfung durch Dritte und der Produktvalidierung;“

5.19 h)Minderung der Nichtkonformität eines Lieferanten, unabhängig davon, ob diese durch Überwachung oder auf andere Weise festgestellt wurde;

Mit Prevalent können Auditoren ein Programm einrichten, um Compliance effizient zu erreichen und nachzuweisen. Die Lösung automatisiert die Compliance-Prüfung des Risikomanagements von Drittanbietern, indem sie Informationen zu Lieferantenrisiken sammelt, Risiken quantifiziert, Abhilfemaßnahmen empfiehlt und Berichte für Dutzende von staatlichen Vorschriften und Branchenrahmenwerken erstellt.

Prevalent ordnet die aus kontrollbasierten Bewertungen gewonnenen Informationen automatisch den ISO- und anderen regulatorischen Rahmenwerken zu und validiert sie durchkontinuierliche Überwachung, sodass Sie wichtige Compliance-Anforderungen schnell visualisieren und umsetzen können.

5.19 i) „Umgang mit Vorfällen und Notfällen im Zusammenhang mit Produkten und Dienstleistungen von Lieferanten, einschließlich der Verantwortlichkeiten sowohl der Organisation als auch der Lieferanten;“

Der weit verbreitete Third-Party Incident Response Service ermöglicht es Ihnen, die Auswirkungen von Verstößen in der Lieferkette schnell zu identifizieren und zu mindern, indem Sie Lieferanten zentral verwalten, Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Leitlinien zur Behebung zugreifen.

5.19 j) „Resilienz und, falls erforderlich, Wiederherstellungs- und Notfallmaßnahmen, um die Verfügbarkeit der Informationen und der Informationsverarbeitung des Lieferanten und damit die Verfügbarkeit der Informationen der Organisation sicherzustellen;“

Prevalent automatisiert die Bewertung, kontinuierliche Überwachung, Analyse und Behebung vonSchwachstelleninder Geschäftskontinuität und -resilienz von Drittanbietern– und ordnet die Ergebnisse automatisch den ISO- und anderen Kontrollrahmenwerken zu.

Zur Ergänzung von Bewertungen der Belastbarkeit von Unternehmen und zur Validierung der Ergebnisse wird Prevalent:

• Automatisiert die kontinuierliche Cyber-Überwachung, die mögliche Auswirkungen auf das Geschäft Dritter vorhersagen kann
• Zugriff auf qualitative Erkenntnisse aus über 550.000 öffentlichen und privaten Quellen von Reputationsinformationen, die auf eine Instabilität des Anbieters hinweisen könnten
• Nutzt Finanzinformationen aus einem globalen Netzwerk von 2 Millionen Unternehmen, um die finanzielle Gesundheit oder betriebliche Probleme von Anbietern zu erkennen

Dieser proaktive Ansatz ermöglicht es Ihrem Unternehmen, die Auswirkungen von Störungen durch Dritte zu minimieren und die Compliance-Anforderungen zu erfüllen.

Die Prevalent-Plattform umfasst eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage von ISO 22301-Standardverfahren, die es Unternehmen ermöglichen,:

• Kategorisierung der Lieferanten nach ihrem Risikoprofil und ihrer Wichtigkeit für das Unternehmen
• Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
• Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Drittparteien
• Sorgen Sie für eine konsistente Kommunikation mit Lieferanten während Betriebsunterbrechungen.

5.19 m)„Anforderungen zur Gewährleistung einer sicheren Beendigung der Lieferantenbeziehung, einschließlich:

1) Entzug von Zugriffsrechten;
2) Umgang mit Informationen;
3) Festlegung der Eigentumsrechte an geistigem Eigentum, das während des Auftrags entstanden ist;
4) Übertragbarkeit von Informationen bei einem Wechsel des Lieferanten oder bei Insourcing;
6) Aktenverwaltung;
7) Rückgabe von Vermögenswerten;
8) Sichere Entsorgung von Informationen und anderen damit verbundenen Vermögenswerten;
9) Fortlaufende Vertraulichkeitsanforderungen”

Die Prevalent-Plattform automatisiert Vertragsbewertungen und Offboarding-Verfahren, um das Risiko Ihrer Organisation nach Vertragsende zu reduzieren.

• Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden. Erstellen Sie anpassbare Vertragsbewertungen, um den Status zu bewerten.
• Nutzen Sie anpassbare Umfragen und Workflows für Berichte über Systemzugriff, Datenvernichtung, Zugriffsmanagement, Einhaltung aller relevanten Gesetze, Abschlusszahlungen und vieles mehr.
• Speichern und verwalten Sie Dokumente und Zertifizierungen wie NDAs, SLAs, SOWs und Verträge zentral. Nutzen Sie die integrierte automatische Dokumentenanalyse, die auf AWS Natural Language Processing und maschinellen Lernanalysen basiert, um zu bestätigen, dass wichtige Kriterien erfüllt sind.
• Ergreifen Sie umsetzbare Maßnahmen zur Verringerung des Anbieterrisikos mit integrierten Empfehlungen und Anleitungen zur Abhilfe.
• Visualisierung und Erfüllung von Compliance-Anforderungen durch automatische Zuordnung von Bewertungsergebnissen zu beliebigen Vorschriften oder Rahmenbedingungen.

5.20 Behandlung von Sicherheitsfragen in Lieferantenverträgen

„Relevante Anforderungen an die Informationssicherheit sollten auf der Grundlage der Art der Lieferantenbeziehung festgelegt und mit jedem Lieferanten vereinbart werden.“

5.20 d)„gesetzliche, behördliche und vertragliche Anforderungen, einschließlich Datenschutz, Umgang mit personenbezogenen Daten (PII), Rechte an geistigem Eigentum und Urheberrecht, sowie eine Beschreibung, wie deren Einhaltung sichergestellt wird;“

Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung vonLieferantenverträgen und stellt sicher, dass wichtige Bestimmungen in Lieferantenverträgen enthalten sind und kontinuierlich nachverfolgt werden.

Zu den wichtigsten Fähigkeiten gehören:

• Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
• Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
• Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

5.20 e)„Verpflichtung jeder Vertragspartei, eine vereinbarte Reihe von Kontrollen durchzuführen, darunter Zugangskontrolle, Leistungsüberprüfung, Überwachung, Berichterstattung und Audits, sowie die Verpflichtung des Lieferanten, die Anforderungen der Organisation an die Informationssicherheit einzuhalten;“

Die Prevalent-Lösung ermöglicht interne, kontrollbasierte Bewertungen (basierend auf dem ISO-Industriestandard-Framework und/oder benutzerdefinierten Fragebögen). Die Plattform umfasst integrierte Workflow-Funktionen, mit denen Prüfer während der Due-Diligence-Erfassungs- und Überprüfungsphasen effizient mit Dritten interagieren können. Dank robuster Berichts- und Auditfunktionen erhält jede Managementebene die Informationen, die sie benötigt, um die Leistung des Dritten ordnungsgemäß zu überprüfen.

Unternehmen können Dritte hinsichtlich Cybersicherheit, SLA-Leistung und anderen Themen bewerten und die Ergebnisse mit den Ergebnissen einer kontinuierlichen externen Überwachung korrelieren, um einen vollständigen Überblick über die Risiken zu erhalten.

5.20 h)„Anforderungen an die Informationssicherheit in Bezug auf die IKT-Infrastruktur des Lieferanten; insbesondere Mindestanforderungen an die Informationssicherheit für jede Art von Informationen und jede Art von Zugriff, die als Grundlage für individuelle Lieferantenvereinbarungen auf der Grundlage der geschäftlichen Anforderungen und Risikokriterien der Organisation dienen sollen;“

5.20 i)„Entschädigungen und Abhilfemaßnahmen für die Nichteinhaltung der Anforderungen durch den Auftragnehmer“;

Prevalent bietet einen Rahmen für die zentrale Messung vonKPIs und KRIs von Drittanbieternanhand Ihrer Anforderungen und reduziert Lücken in der Lieferantenüberwachung durch integrierte Machine-Learning-Erkenntnisse (ML) und anpassbare, rollenbasierte Berichte.

Die Funktionen können Ihrem Team dabei helfen, Risiken und Leistungstrends aufzudecken, den Risikostatus von Drittanbietern zu bestimmen und Abweichungen vom üblichen Verhalten zu identifizieren, die eine weitere Untersuchung rechtfertigen könnten.

Eingebaute Empfehlungen für Abhilfemaßnahmen stellen sicher, dass Dritte die Risiken rechtzeitig und in zufriedenstellender Weise angehen.

5.20 j)„Anforderungen und Verfahren für das Vorfallmanagement (insbesondere Benachrichtigung und Zusammenarbeit während der Behebung von Vorfällen)“

Mit Prevalent kann Ihr Team im Rahmen Ihrer umfassendenStrategie zum VorfallsmanagementSicherheitsvorfälle bei Drittanbieternschnell erkennen, darauf reagieren, Berichte erstellen und deren Auswirkungen mindern.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Dritten beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe der Experten von Prevalent.

5.20 l)„relevante Bestimmungen für die Vergabe von Unteraufträgen, einschließlich der erforderlichen Kontrollen, wie z. B. Vereinbarungen über den Einsatz von Unterlieferanten (z. B. Verpflichtung, diese denselben Verpflichtungen wie den Lieferanten zu unterwerfen, Verpflichtung zur Vorlage einer Liste der Unterlieferanten und zur Benachrichtigung vor jeder Änderung);“

Prevalent kann die Beziehungen zwischen Unterauftragnehmern der vierten und dritten Partei durch eine fragebogenbasierte Bewertung oder durch passives Scannen der öffentlich zugänglichen Infrastruktur der dritten Partei identifizieren. Die daraus resultierende Beziehungsübersicht zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten.

Lieferanten, die durch diesen Prozess entdeckt werden, werden kontinuierlich überwacht, um Finanz-, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken zu identifizieren sowie auf Sanktionen und PEP zu prüfen.

Dieser Ansatz bietet Einblicke, um potenzielle technologische oder geografische Konzentrationsrisiken anzugehen.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Dritten beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe der Experten von Prevalent.

5.20 o)„die Nachweise und Sicherungsmechanismen von Bescheinigungen Dritter für relevante Informationssicherheitsanforderungen in Bezug auf die Prozesse des Lieferanten und ein unabhängiger Bericht über die Wirksamkeit der Kontrollen;“

5.20 q)„Verpflichtung des Lieferanten, regelmäßig einen Bericht über die Wirksamkeit der Kontrollen vorzulegen und eine Vereinbarung über die zeitnahe Behebung der im Bericht aufgeführten relevanten Probleme zu treffen;“

Der Prevalent Controls Validation Service prüft die Antworten von Drittanbietern und die Dokumentation anhand etablierter Testprotokolle, um zu validieren, dass die angegebenen Kontrollen vorhanden sind.

Die Experten von Prevalent überprüfen zunächst die Antworten auf die Bewertungen, unabhängig davon, ob diese aus benutzerdefinierten oder standardisierten Fragebögen stammen. Anschließend ordnen wir die Antworten den ISO- und/oder anderen Kontrollrahmenwerken zu. Schließlich arbeiten wir mit Ihnen zusammen, um Abhilfemaßnahmen zu entwickeln und diese bis zur Fertigstellung zu verfolgen. Mit Optionen für Remote- und Vor-Ort-Einsätze bietet Prevalent Ihnen das Fachwissen, mit dem Sie Risiken mit Ihren vorhandenen Ressourcen reduzieren können.

5.20 x)„Kündigungsklauseln bei Vertragsabschluss, einschließlich der Verwaltung von Unterlagen, der Rückgabe von Vermögenswerten, der sicheren Entsorgung von Informationen und anderen damit verbundenen Vermögenswerten sowie etwaiger fortbestehender Vertraulichkeitsverpflichtungen;“

5.20 y) Bereitstellung einer Methode zur sicheren Vernichtung der vom Lieferanten gespeicherten Informationen der Organisation, sobald diese nicht mehr benötigt werden;”

5.20 z)Sicherstellung der Übergabeunterstützung an einen anderen Lieferanten oder an die Organisation selbst bei Vertragsende;”

5.20 q)„Verpflichtung des Lieferanten, regelmäßig einen Bericht über die Wirksamkeit der Kontrollen vorzulegen und eine Vereinbarung über die zeitnahe Behebung der im Bericht aufgeführten relevanten Probleme zu treffen;“

Umfassende Funktionenfür das Vertragslebenszyklusmanagementstellen sicher, dass wichtige Bestimmungen in Lieferantenverträgen enthalten sind und kontinuierlich nachverfolgt werden. Automatisierte Vertragsbewertungen und Offboarding-Verfahren wie die Berichterstattung über Systemzugriff, Datenvernichtung, Zugriffsverwaltung, Einhaltung aller relevanten Gesetze und Abschlusszahlungen reduzieren das Risiko Ihrer Organisation nach Vertragsende.

Die Experten von Prevalent überprüfen zunächst die Antworten auf die Bewertungen, unabhängig davon, ob diese aus benutzerdefinierten oder standardisierten Fragebögen stammen. Anschließend ordnen wir die Antworten den ISO- und/oder anderen Kontrollrahmenwerken zu. Schließlich arbeiten wir mit Ihnen zusammen, um Abhilfemaßnahmen zu entwickeln und diese bis zur Fertigstellung zu verfolgen. Mit Optionen für Remote- und Vor-Ort-Einsätze bietet Prevalent Ihnen das Fachwissen, mit dem Sie Risiken mit Ihren vorhandenen Ressourcen reduzieren können.

5.21 Verwaltung der Informationssicherheit in der IKT-Lieferkette

„Es sollten Prozesse und Verfahren definiert und implementiert werden, um die mit der Lieferkette von IKT-Produkten und -Dienstleistungen verbundenen Risiken für die Informationssicherheit zu bewältigen.“

5.21 b)„die Forderung, dass IKT-Dienstleister die Sicherheitsanforderungen der Organisation in der gesamten Lieferkette verbreiten, wenn sie Teile der für die Organisation erbrachten IKT-Dienstleistungen an Subunternehmer vergeben;“

5.21 c)„die Forderung, dass Anbieter von IKT-Produkten angemessene Sicherheitspraktiken in der gesamten Lieferkette verbreiten, wenn diese Produkte Komponenten enthalten, die von anderen Anbietern oder anderen Unternehmen (z. B. unterbeauftragten Softwareentwicklern und Anbietern von Hardwarekomponenten) gekauft oder erworben wurden;“

5.21 f)„Einführung eines Überwachungsprozesses und akzeptabler Methoden zur Überprüfung, ob die gelieferten IKT-Produkte und -Dienstleistungen den festgelegten Sicherheitsanforderungen entsprechen. Beispiele für solche Methoden zur Überprüfung von Lieferanten können Penetrationstests und der Nachweis oder die Validierung von Bescheinigungen Dritter für die Informationssicherheitsmaßnahmen des Lieferanten sein.“

Prevalent kannSubunternehmerbeziehungen der vierten und N-ten Parteiidentifizieren, indem es eine fragebogengestützte Bewertung durchführt oder die öffentlich zugängliche Infrastruktur des Dritten passiv scannt.

Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung Risiken aussetzen könnten.

Lieferanten, die durch diesen Prozess entdeckt werden, werden kontinuierlich überwacht, um Finanz-, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken zu identifizieren sowie auf Sanktionen und PEP zu prüfen.

Dieser Ansatz bietet Einblicke, um potenzielle technologische oder geografische Konzentrationsrisiken anzugehen.

5.21 g)„Einführung eines Prozesses zur Identifizierung und Dokumentation von Produkt- oder Dienstleistungskomponenten, die für die Aufrechterhaltung der Funktionalität von entscheidender Bedeutung sind und daher erhöhte Aufmerksamkeit, Kontrolle und weitere Nachverfolgung erfordern, wenn sie außerhalb der Organisation hergestellt werden, insbesondere wenn der Lieferant Aspekte der Produkt- oder Dienstleistungskomponenten an andere Lieferanten auslagert;“

Mit Prevalent können Sie Dritte anhand der Kritikalität oder des Ausmaßes der Bedrohungen für ihre Informationsressourcen bewerten und überwachen, indem Sie inhärente Risiken erfassen, verfolgen und quantifizieren. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Klassifizierung von Dritten herangezogen werden, gehören:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen

„Die Organisation sollte die Änderungen in den Informationssicherheitspraktiken und der Leistungserbringung der Lieferanten regelmäßig überwachen, überprüfen, bewerten und verwalten.“

5.22 a)„Überwachung der Leistungsniveaus der Dienstleistungen, um die Einhaltung der Vereinbarungen zu überprüfen;“

Mit der Prevalent-Plattform können Unternehmen Umfragen individuell anpassen, um die erforderlichen Leistungs- und Vertragsdaten einfach in einem einzigen Risikoregister zu erfassen und zu analysieren. Prevalent identifiziert wichtige Vertragsattribute in Bezug aufSLAs oder Leistung, gibt diese Anforderungen in die Plattform ein und weist Ihnen und Ihrem Drittanbieter Aufgaben zu, um die Nachverfolgung zu ermöglichen.

5.22 b)„Änderungen durch Lieferanten überwachen, darunter:

1) Verbesserungen der derzeit angebotenen Dienste;
2) Entwicklung neuer Anwendungen und Systeme;
3) Änderungen oder Aktualisierungen der Richtlinien und Verfahren des Lieferanten;
4) neue oder geänderte Kontrollen zur Behebung von Vorfällen im Bereich der Informationssicherheit und zur Verbesserung der Informationssicherheit;”

5.22 c)„Veränderungen bei den Dienstleistungen der Lieferanten zu überwachen, darunter:

1) Änderungen und Verbesserungen an Netzwerken;
2) Einsatz neuer Technologien;
3) Einführung neuer Produkte oder neuerer Versionen oder Releases;
4) neue Entwicklungswerkzeuge und -umgebungen;
5) Änderungen des physischen Standorts von Serviceeinrichtungen;
6) Wechsel von Unterlieferanten;
7) Untervergabe an einen anderen Lieferanten;”

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu rationalisieren.

Zu den Überwachungsquellen gehören:

• Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
• Eine Datenbank mit mehr als 10 Jahren Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt

Da es sich nicht bei allen Bedrohungen um direkte Cyberangriffe handelt, bezieht Prevalent auch Daten aus den folgenden Quellen mit ein, um den Cyberergebnissen mehr Kontext zu verleihen:

• 550.000 öffentliche und private Quellen für Reputationsinformationen, einschließlich M&A-Aktivitäten, Geschäftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, betriebliche Aktualisierungen und mehr
• Ein globales Netzwerk von 2 Millionen Unternehmen mit 5 Jahren organisatorischer Veränderungen und finanzieller Leistung, einschließlich Umsatz, Gewinn und Verlust, Aktionärsvermögen usw.
• 30.000 weltweite Nachrichtenquellen
• Eine Datenbank mit über 1,8 Millionen politisch exponierten Personenprofilen
• Globale Sanktionslisten und über 1.000 globale Vollstreckungslisten und Gerichtsanmeldungen

5.22e) „Audits von Lieferanten und Unterlieferanten in Verbindung mit der Überprüfung der Berichte unabhängiger Wirtschaftsprüfer, sofern verfügbar, durchführen und die festgestellten Probleme weiterverfolgen;“

Der Prevalent Controls Validation Service überprüft die Antworten und Unterlagen von Drittanbietern anhand festgelegter Testprotokolle, um zu validieren, dass die angegebenen Kontrollen vorhanden sind.

Die Experten von Prevalent überprüfen zunächst die Antworten auf die Bewertungen, unabhängig davon, ob diese aus benutzerdefinierten oder standardisierten Fragebögen stammen. Anschließend ordnen wir die Antworten den ISO- und/oder anderen Kontrollrahmenwerken zu. Schließlich arbeiten wir mit Ihnen zusammen, um Abhilfemaßnahmen zu entwickeln und diese bis zur Fertigstellung zu verfolgen. Mit Optionen für Remote- und Vor-Ort-Einsätze bietet Prevalent Ihnen das Fachwissen, mit dem Sie Risiken mit Ihren vorhandenen Ressourcen reduzieren können.

5.22 f)„Informationen über Vorfälle im Bereich der Informationssicherheit bereitstellen und diese Informationen gemäß den Vereinbarungen und den zugehörigen Richtlinien und Verfahren überprüfen;“

5.22 g)„Überprüfung der Audit-Trails und Aufzeichnungen des Lieferanten zu Informationssicherheitsvorfällen, betrieblichen Problemen, Ausfällen, Fehlerverfolgung und Störungen im Zusammenhang mit der erbrachten Dienstleistung;“

5.22 h)„auf festgestellte Ereignisse oder Vorfälle im Bereich der Informationssicherheit zu reagieren und diese zu bewältigen;“

Prevalent ermöglicht es Ihrem Team,Vorfälle bei Drittanbieternschnell zu identifizieren, darauf zu reagieren, darüber zu berichten und deren Auswirkungen zu mindern, indem es Anbieter zentral verwaltet, Ereignisbewertungen durchführt, identifizierte Risiken bewertet, mit der kontinuierlichen Cyberüberwachung abgleicht und auf Leitlinien zur Behebung von Problemen zugreift.

Zu den wichtigsten Fähigkeiten gehören:

• Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
• Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
• Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
• Proaktive Lieferantenberichterstattung
• Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahlen und markierten Antworten für jeden Anbieter
• Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
• Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
• Integrierte Berichtsvorlagen
• Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln

5.22 i)„Sicherheitslücken im Bereich der Informationssicherheit identifizieren und verwalten“;

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen, korreliert die Überwachungsdaten mit den Bewertungsergebnissen und zentralisiert sie in einem einheitlichen Risikoregister für jeden Anbieter, wodurch die Risikoprüfung, Berichterstattung und Reaktionsinitiativen optimiert werden.

Zu den Überwachungsquellen gehören:

• Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
• Eine Datenbank mit mehr als 10 Jahren Daten zu Datenschutzverletzungen für

5.22 j)„Überprüfung der Informationssicherheitsaspekte der Beziehungen des Lieferanten zu seinen eigenen Lieferanten“

Prevalent kann die Beziehungen zwischen Unterauftragnehmern der vierten und dritten Partei durch eine fragebogenbasierte Bewertung oder durch passives Scannen der öffentlich zugänglichen Infrastruktur der dritten Partei identifizieren. Die daraus resultierende Beziehungsübersicht zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten.

Lieferanten, die durch diesen Prozess entdeckt werden, werden kontinuierlich überwacht, um Finanz-, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken zu identifizieren sowie auf Sanktionen und PEP zu prüfen.

5.22 k)sicherstellen, dass der Lieferant über ausreichende Servicekapazitäten sowie umsetzbare Pläne verfügt, um nach größeren Serviceausfällen oder Katastrophen die vereinbarten Servicekontinuitätsniveaus aufrechtzuerhalten;”

Prevalent automatisiert die Bewertung, kontinuierliche Überwachung, Analyse und Behebung von Schwachstellen in der Geschäftskontinuität und -resilienz von Drittanbietern – und ordnet die Ergebnisse automatisch den ISO- und anderen Kontrollrahmenwerken zu.

Die Prevalent-Plattform umfasst eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage von ISO 22301-Standardverfahren, die es Unternehmen ermöglichen,:

• Kategorisierung der Lieferanten nach ihrem Risikoprofil und ihrer Wichtigkeit für das Unternehmen
• Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
• Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Drittparteien
• Sicherstellung einer konsistenten Kommunikation mit den Lieferanten bei Betriebsunterbrechungen

Dieser proaktive Ansatz ermöglicht es Ihrem Unternehmen, die Auswirkungen von Störungen durch Dritte zu minimieren und die Compliance-Anforderungen zu erfüllen.

Lieferanten, die durch diesen Prozess entdeckt werden, werden kontinuierlich überwacht, um Finanz-, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken zu identifizieren sowie auf Sanktionen und PEP zu prüfen.

5.22 m)„regelmäßig zu überprüfen, dass die Lieferanten ein angemessenes Informationssicherheitsniveau aufrechterhalten;“

Prevalent automatisiert Risikobewertungen, um die Transparenz, Effizienz und Reichweite Ihres Risikomanagementprogramms für Dritte in jeder Phase des Lebenszyklus von Dritten zu erweitern.

Mit einer Bibliothek von über 750 standardisierten Bewertungen, Anpassungsmöglichkeiten und integrierten Workflows und Korrekturmaßnahmen automatisiert die Lösung alle Prozesse, von der Erfassung und Analyse von Umfragen bis hin zur Risikobewertung und Berichterstellung.

Mit Prevalent können Sie auf einfache Weise Informationen über eine breite Palette von Anbieterkontrollen sammeln und korrelieren, um Bedrohungen für das Informationsmanagement zu ermitteln, basierend auf der durch die inhärente Risikobewertung ermittelten Kritikalität der Drittpartei.

Die Ergebnisse der Bewertungen und der kontinuierlichen Überwachung werden in einem einzigen Risikoregister mit Heatmap-Berichten zusammengefasst, das die Risiken auf der Grundlage von Wahrscheinlichkeit und Auswirkungen misst und kategorisiert. Mit diesem Einblick können die Teams die Folgen eines Risikos leicht erkennen und haben fertige Empfehlungen für die Abhilfe für Dritte, um die Risiken zu mindern.

ISO 27036-2 Kontrollen

Wie wir helfen

6 Informationssicherheit im Lieferantenbeziehungsmanagement

6.1.1.1 Vertragsprozesse / Akquisitionsprozess / Zielsetzung

Entwickeln Sie eine Strategie für Lieferantenbeziehungen, die:

• basiert auf der Risikotoleranz des Erwerbers hinsichtlich der Informationssicherheit;
• legt die Grundlagen der Informationssicherheit fest, die bei der Planung, Vorbereitung, Verwaltung und Beendigung der Beschaffung eines Produkts oder einer Dienstleistung zu beachten sind.

6.1.2.1 Vereinbarungsprozesse / Lieferprozess / Zielsetzung

Entwickeln Sie eine Akquisitionsstrategie, die:

• basiert auf der Risikotoleranz des Lieferanten hinsichtlich der Informationssicherheit;
• legt die grundlegenden Anforderungen an die Informationssicherheit fest, die bei der Planung, Vorbereitung, Verwaltung und Beendigung der Lieferung eines Produkts oder einer Dienstleistung zu beachten sind.

Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) zu entwickeln, das mit Ihren umfassenderen Programmen für Informationssicherheit, Governance, Risiken und Compliance übereinstimmt und auf bewährten Best Practices und umfassender praktischer Erfahrung basiert.

Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke für die Risikobewertung auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus von Risiken durch Dritte abdeckt – von der Beschaffung und Due Diligence bis hin zur Kündigung und Ausgliederung –, entsprechend der Risikobereitschaft Ihres Unternehmens.

Als Teil dieses Prozesses kann Prevalent Ihnen bei der Definition helfen:

• Klare Rollen und Verantwortlichkeiten (z. B. RACI)
• Vorräte von Dritten
• Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
• Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
• Kartierung von Drittanbietern
• Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
• Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
• Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
• Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
• Anforderungen an die Reaktion auf Vorfälle
• Risiko- und interne Stakeholder-Berichterstattung
• Strategien zur Risikominderung und -behebung

6.2.1 Organisatorische Prozesse zur Projektumsetzung / Lebenszyklus-Modell-Managementprozess

a) Der Käufer und der Lieferant müssen bei der Verwaltung der Informationssicherheit in Lieferantenbeziehungen einen Prozess für das Lebenszyklusmodell-Management einrichten.

Prevalent hilft dabei, Sicherheits- und Compliance-Risiken zu beseitigen, die durch die Zusammenarbeit mit Anbietern, Lieferanten und anderen Dritten während des gesamten Lebenszyklus des Lieferantenrisikos entstehen – von der Beschaffung und Auswahl bis zum Ausscheiden und allem, was dazwischen liegt.

6.2.2.1 Organisatorische Prozesse zur Projektumsetzung / Infrastrukturmanagementprozess / Zielsetzung

a) Bereitstellung der erforderlichen Infrastruktur, um das Unternehmen bei der Verwaltung der Informationssicherheit im Rahmen der Lieferantenbeziehungen zu unterstützen.

Prevalent bietet eine zentrale SaaS-Plattform, die es Acquirern und Lieferanten ermöglicht, gemeinsam Risiken zu reduzieren, indem sie Risikobewertungen anhand von mehr als 750 Industriestandards – einschließlich ISO – automatisieren. Mit dieser Plattform profitieren Acquirer von integrierten Workflows und Korrekturmaßnahmen sowie automatisierten Analysen und Berichten.

6.2.2.2 Organisatorische Prozesse zur Projektumsetzung / Infrastrukturmanagementprozess / Aktivitäten

b) Notfallmaßnahmen definieren, umsetzen, aufrechterhalten und verbessern, um sicherzustellen, dass die Beschaffung oder Lieferung eines Produkts oder einer Dienstleistung auch dann fortgesetzt werden kann, wenn diese aufgrund natürlicher oder vom Menschen verursachter Ursachen unterbrochen wird.

Prevalent automatisiert die Bewertung, kontinuierliche Überwachung, Analyse und Behebung von Schwachstellen in der Geschäftskontinuität und -resilienz von Drittanbietern – und ordnet die Ergebnisse automatisch den ISO- und anderen Kontrollrahmenwerken zu.

Zur Ergänzung von Bewertungen der Belastbarkeit von Unternehmen und zur Validierung der Ergebnisse wird Prevalent:

• Automatisiert die kontinuierliche Cyber-Überwachung, die mögliche Auswirkungen auf das Geschäft Dritter vorhersagen kann
• Zugriff auf qualitative Erkenntnisse aus über 550.000 öffentlichen und privaten Quellen von Reputationsinformationen, die auf eine Instabilität des Anbieters hinweisen könnten
• Nutzt Finanzinformationen aus einem globalen Netzwerk von 2 Millionen Unternehmen, um die finanzielle Gesundheit oder betriebliche Probleme von Anbietern zu erkennen

Dieser proaktive Ansatz ermöglicht es Ihrem Unternehmen, die Auswirkungen von Störungen durch Dritte zu minimieren und die Compliance-Anforderungen zu erfüllen.

Die Prevalent-Plattform umfasst eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage von ISO 22301-Standardverfahren, die es Unternehmen ermöglichen,:

• Kategorisierung der Lieferanten nach ihrem Risikoprofil und ihrer Wichtigkeit für das Unternehmen
• Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
• Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Drittparteien
• Sicherstellung einer konsistenten Kommunikation mit den Lieferanten bei Betriebsunterbrechungen

6.2.3.2 Projektportfolio-Managementprozess / Aktivitäten

a) Definieren, implementieren, pflegen und verbessern Sie einen Prozess zur Identifizierung und Kategorisierung von Lieferanten oder
Abnehmern auf der Grundlage der Sensibilität der an sie weitergegebenen Informationen und der ihnen gewährten Zugriffsebene auf die Vermögenswerte des Abnehmers oder Lieferanten, wie z. B. Informationen und Informationssysteme.

Mit Prevalent können Sie Dritte anhand der Kritikalität oder des Ausmaßes der Bedrohungen für ihre Informationsressourcen bewerten und überwachen, indem Sie inhärente Risiken erfassen, verfolgen und quantifizieren. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Klassifizierung von Dritten herangezogen werden, gehören:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

6.3.4.1 Projektprozesse / Risikomanagementprozess / Zielsetzung

a) Kontinuierliche Auseinandersetzung mit Informationssicherheitsrisiken in Lieferantenbeziehungen und während ihres gesamten Lebenszyklus, einschließlich einer regelmäßigen Überprüfung oder bei wesentlichen geschäftlichen, rechtlichen, regulatorischen, architektonischen, politischen und vertraglichen Änderungen.

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu rationalisieren.

Zu den Überwachungsquellen gehören:

• Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
• Eine Datenbank mit mehr als 10 Jahren Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt

Da es sich nicht bei allen Bedrohungen um direkte Cyberangriffe handelt, bezieht Prevalent auch Daten aus den folgenden Quellen mit ein, um den Cyberergebnissen mehr Kontext zu verleihen:

• 550.000 öffentliche und private Quellen für Reputationsinformationen, einschließlich M&A-Aktivitäten, Geschäftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, betriebliche Aktualisierungen und mehr
• Ein globales Netzwerk von 2 Millionen Unternehmen mit 5 Jahren organisatorischer Veränderungen und finanzieller Leistung, einschließlich Umsatz, Gewinn und Verlust, Aktionärsvermögen usw.
• 30.000 weltweite Nachrichtenquellen
• Eine Datenbank mit über 1,8 Millionen politisch exponierten Personenprofilen
• Globale Sanktionslisten und über 1.000 globale Vollstreckungslisten und Gerichtsanmeldungen

6.3.7.1 Projektprozesse / Messprozess / Zielsetzung

a) Sammeln, analysieren und berichten Sie über Informationssicherheitsmaßnahmen im Zusammenhang mit der Beschaffung oder Lieferung eines Produkts oder einer Dienstleistung, um die Reife der Informationssicherheit in einer Lieferantenbeziehung nachzuweisen und ein effektives Prozessmanagement zu unterstützen.

Prevalent automatisiert Risikobewertungen, um die Transparenz, Effizienz und Reichweite Ihres Risikomanagementprogramms für Dritte in jeder Phase des Lebenszyklus von Dritten zu erweitern.

Mit einer Bibliothek von über 750 standardisierten Bewertungen, Anpassungsmöglichkeiten und integrierten Workflows und Korrekturmaßnahmen automatisiert die Lösung alle Prozesse, von der Erfassung und Analyse von Umfragen bis hin zur Risikobewertung und Berichterstellung.

Mit Prevalent können Sie auf einfache Weise Informationen über eine breite Palette von Anbieterkontrollen sammeln und korrelieren, um Bedrohungen für das Informationsmanagement zu ermitteln, basierend auf der durch die inhärente Risikobewertung ermittelten Kritikalität der Drittpartei.

Die Ergebnisse der Bewertungen und der kontinuierlichen Überwachung werden in einem einzigen Risikoregister mit Heatmap-Berichten zusammengefasst, das die Risiken auf der Grundlage von Wahrscheinlichkeit und Auswirkungen misst und kategorisiert. Mit diesem Einblick können die Teams die Folgen eines Risikos leicht erkennen und haben fertige Empfehlungen für die Abhilfe für Dritte, um die Risiken zu mindern.

7 Informationssicherheit in einer Lieferantenbeziehung

7.2.1 Lieferantenauswahlverfahren / Ziele

a) Wählen Sie einen Lieferanten aus, der angemessene Informationssicherheit für das Produkt oder die Dienstleistung bietet, die möglicherweise beschafft werden soll.

Mit demPrevalent Risk Profiling Snapshotkönnen Sie demografische Daten, Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Einblicke in das Geschäft und die Reputation, die Geschichte von Datenverstößen und die finanzielle Leistung potenzieller Anbieter vergleichen und überwachen. Mit dem Snapshot können Sie Ergebnisse im Einklang mit RFx-Antworten einsehen und erhalten so einen ganzheitlichen Überblick über Lieferanten – ihre Eignung für den jeweiligen Zweck und ihre Eignung entsprechend der Risikobereitschaft Ihres Unternehmens.

7.3.1 Prozess zum Lieferantenbeziehungsmanagement / Zielsetzung

Eine Lieferantenvereinbarung erstellen und vereinbaren, die folgende Punkte behandelt:
— Rollen und Verantwortlichkeiten des Auftraggebers und des Lieferanten im Bereich Informationssicherheit;
— erforderliche Sicherheitskontrollen in den Bereichen Informationssicherheit, IKT-Sicherheit, Personalsicherheit und physische Sicherheit;
— einen Übergangsprozess, wenn das Produkt oder die Dienstleistung zuvor von einer anderen Partei als dem Lieferanten betrieben oder hergestellt wurde;
— Änderungsmanagement im Bereich Informationssicherheit;
— Management von Vorfällen im Bereich Informationssicherheit;
— Überwachung und Durchsetzung der Compliance;
— einen Kündigungsprozess.

Die Prevalent-Plattform automatisiert die Arbeitsabläufe, die zur Bewertung, Verwaltung, kontinuierlichen Überwachung und Behebung von Risiken in Bezug auf Sicherheit, Datenschutz, Compliance und Beschaffung/Lieferkette durch Dritte in jeder Phase des Lieferantenlebenszyklus erforderlich sind. Die Lösung:

• Automatisiert die Ein- und Ausgliederung von Lieferanten
• Profile, Stufen, Bewertungen des inhärenten Risikos für alle Lieferanten
• Automatisiert die Zuordnung von Viertparteien und Lieferantendaten in einem zentralen Profil.
• Bietet die größte Bibliothek standardisierter und benutzerdefinierter Risikobewertungen mit integrierten Workflows, Aufgaben und Nachweisverwaltung.
• Integriert native Überwachung von Cyber-, Geschäfts-, Reputations- und Finanzrisiken, um Risiken mit Bewertungsergebnissen zu korrelieren und Ergebnisse zu validieren.
• Beinhaltet Analysen mittels maschinellem Lernen, um Ergebnisse aus mehreren Quellen zu normalisieren und zu korrelieren.
• Liefert Compliance- und Risikoberichte nach Rahmenwerk oder Vorschrift
• Verbessert das Sanierungsmanagement mit integrierten Anleitungen
• Umfasst Vertrags- und RFx-Management, um ein umfassenderes Risikomanagement vor der Onboarding-Phase zu ermöglichen.
• Automatisiert die Reaktion auf Vorfälle von Drittanbietern

7.4.1 Prozess zum Lieferantenbeziehungsmanagement / Ziele

a) Gewährleistung der Informationssicherheit während der Dauer der Lieferantenbeziehung gemäß der Lieferantenvereinbarung und unter besonderer Berücksichtigung der folgenden Punkte:

4) Überwachen und durchsetzen Sie die Einhaltung der im Lieferantenvertrag festgelegten Bestimmungen zur Informationssicherheit durch den Lieferanten.

Mit der Prevalent Platform können Einkäufer Informationen aus kontrollbasierten Bewertungen automatisch mit regulatorischen Rahmenwerken – darunter ISO und viele andere – abgleichen, um wichtige Compliance-Anforderungen in jeder Phase des Lieferantenlebenszyklus schnell zu visualisieren und zu erfüllen.

7.5.1 Prozess zur Beendigung der Lieferantenbeziehung / Ziele

a) Schützen Sie die Produkt- oder Dienstleistungslieferung während der Kündigungsfrist, um nach der Kündigungsmitteilung Auswirkungen auf die Informationssicherheit sowie rechtliche und regulatorische Auswirkungen zu vermeiden.

b) Beenden Sie die Lieferung des Produkts oder die Erbringung der Dienstleistung gemäß dem Kündigungsplan.

Die Prevalent-Plattform automatisiert Vertragsbewertungen und Offboarding-Verfahren, um das Risiko Ihrer Organisation nach Vertragsende zu reduzieren.

• Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden. Erstellen Sie anpassbare Vertragsbewertungen, um den Status zu bewerten.
• Nutzen Sie anpassbare Umfragen und Workflows für Berichte über Systemzugriff, Datenvernichtung, Zugriffsmanagement, Einhaltung aller relevanten Gesetze, Abschlusszahlungen und vieles mehr.
• Speichern und verwalten Sie Dokumente und Zertifizierungen wie NDAs, SLAs, SOWs und Verträge zentral. Nutzen Sie die integrierte automatische Dokumentenanalyse, die auf AWS Natural Language Processing und maschinellen Lernanalysen basiert, um zu bestätigen, dass wichtige Kriterien erfüllt sind.
• Ergreifen Sie umsetzbare Maßnahmen zur Verringerung des Anbieterrisikos mit integrierten Empfehlungen und Anleitungen zur Abhilfe.
• Visualisierung und Erfüllung von Compliance-Anforderungen durch automatische Zuordnung von Bewertungsergebnissen zu beliebigen Vorschriften oder Rahmenbedingungen.