Einhaltung von NIST SP 800-53r5

Kontakt zu einem Experten

Zurück zu allen Use Cases

NIST und Risikomanagement in der Lieferkette

Die Sonderveröffentlichung 800-53 des National Institute of Standards and Technology (NIST SP 800-53) ist ein Rahmenwerk für Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen.

Die neueste Version, NIST SP 800-53, Rev. 5, gilt als Grundlage für alle anderen Cybersicherheitskontrollen und erweitert und verfeinert die Richtlinien für die Sicherheit und den Datenschutz in der Lieferkette durch die Einrichtung einer völlig neuen Kontrollgruppe, SR-Supply Chain Risk Management (Risikomanagement in der Lieferkette).

Relevante Anforderungen

  • Betonen Sie Sicherheit und Datenschutz durch Zusammenarbeit bei der Identifizierung von Risiken und Bedrohungen sowie durch die Anwendung von sicherheits- und datenschutzbasierten Kontrollen.
  • Das Bewusstsein für die Notwendigkeit einer Vorabbewertung von Organisationen schärfen und die Transparenz in Bezug auf Probleme und Verstöße sicherstellen.
  • Transparenz von Systemen und Produkten fordern (z. B. Lebenszyklus, Rückverfolgbarkeit und Authentizität der Komponenten)
  • Verwenden Sie formelle Risikomanagementpläne und -richtlinien, um den Prozess des Lieferkettenmanagements voranzutreiben.

NIST SP 800-53r5 SCRM-Kontrollen – Querverweise

Die folgende Übersichtstabelle ordnet Best-Practice-Fähigkeiten bestimmten Kontrollen von Drittanbietern oder Lieferanten zu, die in SP 800-53 enthalten sind.

HINWEIS: Diese Tabelle sollte nicht als endgültige Richtlinie betrachtet werden. Eine vollständige Liste der Kontrollen finden Sie in der vollständigen VeröffentlichungSP 800-53. Bitte konsultieren Sie Ihren Auditor.

SP 800-53r5 Lieferketten-spezifische Kontrollen

Wie Prevalent hilft

A-2 (2)Kontrollbewertungen | Spezialisierte Bewertungen

Unternehmen können spezielle Bewertungen durchführen, einschließlich Verifizierung und Validierung, Systemüberwachung, Bewertung von Insider-Bedrohungen, Tests auf böswillige Benutzer und andere Formen von Tests.

CA-2 (3)Kontrollbewertungen | Nutzung der Ergebnisse externer Organisationen

Organisationen können sich auf Kontrollbewertungen von Organisationssystemen durch andere (externe) Organisationen verlassen.

Risikomanagement für Cybersicherheit in der Lieferkette (GV.SC):Prozesse zum Risikomanagement für Cybersicherheit in der Lieferkette werden von den Stakeholdern der Organisation identifiziert, etabliert, verwaltet, überwacht und verbessert.

Prevalent bietet eine umfangreiche Bibliothek mit vorgefertigten Vorlagen fürRisikobewertungen von Drittanbietern– darunter auch solche, die speziell auf NIST-Kontrollen zugeschnitten sind. Mit Prevalent können Sie Bewertungen zum Zeitpunkt der Lieferantenaufnahme, der Vertragsverlängerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchführen, je nach wesentlichen Änderungen in der Geschäftsbeziehung.

Die Bewertungen werden zentral verwaltet und durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt, um sicherzustellen, dass Ihr Team während des gesamten Lebenszyklus der Geschäftsbeziehung einen Überblick über die Risiken durch Dritte hat.

Wichtig ist, dass Prevalent integrierte Empfehlungen zur Abhilfe auf der Grundlage der Ergebnisse der Risikobewertung enthält, um sicherzustellen, dass Ihre Drittanbieter die Risiken rechtzeitig und zufriedenstellend angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

Im Rahmen dieses Prozesses verfolgt und analysiert Prevalent auch kontinuierlichexterne Bedrohungen für Dritte. Prevalent überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputationssanktionen und Finanzinformationen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen rationalisiert werden.

Prevalent bezieht auch operative, reputationsbezogene und finanzielle Daten von Drittanbietern ein, um Cyber-Erkenntnisse in einen Kontext zu setzen und die Auswirkungen von Vorfällen im Zeitverlauf zu messen.

Bei Bedarf können SieSOC 2-Berichteoder ISO-Anwendbarkeitserklärungen anstelle der Risikobewertungen eines Anbieters analysieren. Unser Service überprüft die Liste der im SOC 2-Bericht identifizierten Kontrolllücken, erstellt Risikopunkte für den Drittanbieter und verfolgt und meldet Mängel im Zeitverlauf.

CP-2 (7)Notfallplan | Abstimmung mit externen Dienstleistern

Koordinierung des Notfallplans mit den Notfallplänen externer Dienstleister, um sicherzustellen, dass die Anforderungen an die Notfallplanung erfüllt werden können.

IR-4 (10)Vorfallsbearbeitung | Koordination der Lieferkette

Koordinierung von Aktivitäten zur Behandlung von Vorfällen in der Lieferkette mit anderen an der Lieferkette beteiligten Organisationen.

IR-5Vorfallüberwachung

Verfolgen und dokumentieren Sie Vorfälle.

IR-6 (3)Vorfallmeldung | Koordination der Lieferkette

Übermittlung von Informationen über den Vorfall an den Anbieter des Produkts oder der Dienstleistung und an andere Organisationen, die an der Lieferkette oder der Steuerung der Lieferkette für Systeme oder Systemkomponenten, die mit dem Vorfall in Zusammenhang stehen, beteiligt sind.

IR-8(1)Notfallplan | Sicherheitsverletzungen

Nehmen Sie bei Verstößen, die personenbezogene Daten betreffen, die folgenden Punkte in den Notfallplan auf:

(a) Ein Verfahren zur Feststellung, ob eine Benachrichtigung von Einzelpersonen oder anderen Organisationen, einschließlich Aufsichtsorganisationen, erforderlich ist;

(b) ein Bewertungsverfahren zur Ermittlung des Ausmaßes des Schadens, der Verlegenheit, der Unannehmlichkeiten oder der Ungerechtigkeit für die betroffenen Personen sowie etwaige Mechanismen zur Abmilderung dieses Schadens; und

(c) Identifizierung der geltenden Datenschutzbestimmungen.

GV.SC-02:Die Rollen und Verantwortlichkeiten im Bereich Cybersicherheit für Lieferanten, Kunden und Partner werden festgelegt, kommuniziert und intern und extern koordiniert.

GV.SC-03:Das Risikomanagement für die Cybersicherheit in der Lieferkette ist in die Cybersicherheit und das Unternehmensrisikomanagement, die Risikobewertung und die Verbesserungsprozesse integriert.

Als Teil Ihrer umfassendenStrategie zum Vorfallsmanagementsorgt Prevalent dafür, dass Ihr Programm zur Reaktion auf Vorfälle bei DrittanbieternSicherheitsvorfälle bei Drittanbietern schnell identifizieren, darauf reagieren, darüber berichten und deren Auswirkungen mindern kann. Das Managed Services-Team von Prevalent besteht aus engagierten Experten, die Ihre Anbieter zentral verwalten, proaktive Ereignisrisikobewertungen durchführen, identifizierte Risiken bewerten, Risiken mit kontinuierlichen Cyber-Überwachungsinformationen korrelieren und im Namen Ihres Unternehmens Empfehlungen zur Behebung von Problemen aussprechen. Managed Services reduzieren den Zeitaufwand für die Identifizierung von Anbietern, die von einem Cybersicherheitsvorfall betroffen sind, die Koordination mit Anbietern und die Sicherstellung, dass Abhilfemaßnahmen ergriffen werden, erheblich.

Zu den wichtigsten Funktionen desPrevalent Third-Party Incident Response Servicegehören:

  • Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
  • Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
  • Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
  • Proaktive Lieferantenberichterstattung
  • Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahl und markierten Antworten für jeden Anbieter
  • Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
  • Integrierte Berichtsvorlagen für interne und externe Beteiligte
  • Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
  • Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien, um Informationspfade zu visualisieren und gefährdete Daten aufzudecken

Prevalent analysiert auch Datenbanken, die mehrere Jahre an Daten zu Datenschutzverletzungen bei Tausenden von Unternehmen weltweit enthalten – darunter Art und Umfang der gestohlenen Daten, Compliance- und Regulierungsfragen sowie Echtzeit-Benachrichtigungen von Anbietern über Datenschutzverletzungen.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Drittanbieters beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe von Experten.

PM-9Risikomanagementstrategie

a. Entwickeln Sie eine umfassende Strategie für das Management:

1. Sicherheitsrisiko für den Betrieb und die Vermögenswerte der Organisation, für Einzelpersonen, andere Organisationen und die Nation, das mit dem Betrieb und der Nutzung der Systeme der Organisation verbunden ist; und

2. Risiko für die Privatsphäre von Personen, das sich aus der genehmigten Verarbeitung personenbezogener Daten ergibt;

b. die Risikomanagementstrategie in der gesamten Organisation einheitlich umzusetzen; und

c. Überprüfung und Aktualisierung der Risikomanagementstrategie bei Bedarf, um organisatorischen Veränderungen Rechnung zu tragen.

PM-30 Risikomanagementstrategie für die Lieferkette

a. Entwicklung einer organisationsweiten Strategie für das Management von Lieferkettenrisiken im Zusammenhang mit der Entwicklung, Beschaffung, Wartung und Entsorgung von Systemen, Systemkomponenten und Systemdienstleistungen;

b. die Strategie für das Risikomanagement in der Lieferkette im gesamten Unternehmen einheitlich umzusetzen; und

c. Überprüfung und Aktualisierung der Strategie für das Risikomanagement in der Lieferkette in einem von der Organisation festgelegten Rhythmus oder bei Bedarf, um organisatorische Änderungen zu berücksichtigen.

Prevalent unterstützt Ihr Unternehmen beim Aufbau eines umfassenden Programms für das Risikomanagement von Drittanbietern (TPRM) oder das Risikomanagement in der Cybersicherheits-Lieferkette (C-SCRM), das mit Ihren allgemeinen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance im Einklang steht.

UnsereExpertenarbeiten mit Ihrem Team zusammen an:

  • Definition und Umsetzung von TPRM- und C-SCRM-Prozessen und -Lösungen
  • Auswahl von Fragebögen und Rahmen für die Risikobewertung
  • Optimierung Ihres Programms, um den gesamten Lebenszyklus des Risikos von Drittanbietern abzudecken - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Kündigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens

Im Rahmen dieses Prozesses helfen wir Ihnen bei der Definition von:

  • Klare Rollen und Verantwortlichkeiten (z. B. RACI)
  • Vorräte von Dritten
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens

Mit Prevalent kann Ihr Team die Effektivität Ihres TPRM-Programms kontinuierlich anhand sich ändernder Geschäftsanforderungen und Prioritäten bewerten und dabeidie Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs)von Drittanbietern über den gesamten Lebenszyklus der Geschäftsbeziehung hinweg messen.

PM 30 (1)Strategie zum Risikomanagement in der Lieferkette | Lieferanten von kritischen oder missionskritischen Artikeln

Identifizierung, Priorisierung und Bewertung von Lieferanten kritischer oder missionswichtiger Technologien, Produkte und Dienstleistungen.

Prevalent quantifiziertdie inhärenten Risikenfür alle Dritten. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Priorisierung von Dritten herangezogen werden, gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

PM-31Strategie zur kontinuierlichen Überwachung

Entwicklung einer unternehmensweiten Strategie zur kontinuierlichen Überwachung und Umsetzung von Programmen zur kontinuierlichen Überwachung, die Folgendes umfassen

a. Festlegung von unternehmensweit zu überwachenden Metriken;

b. Festlegung bestimmter Häufigkeiten für die Überwachung und Bewertung der Wirksamkeit der Kontrollen;

c. Laufende Überwachung der vom Unternehmen definierten Messgrößen in Übereinstimmung mit der Strategie der kontinuierlichen Überwachung;

d. Korrelation und Analyse der durch Kontrollbewertungen und Überwachung gewonnenen Informationen;

e. Maßnahmen zur Reaktion auf die Ergebnisse der Analyse der Kontrollbewertung und der Überwachungsinformationen; und

f. Berichterstattung über den Sicherheits- und Datenschutzstatus der Organisationssysteme an bestimmte Personen.

Verfolgen und analysieren Sie mit Prevalent kontinuierlichexterne Bedrohungen für Dritte. Wir überwachen das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputationsrisiken, Sanktionen und Finanzinformationen.

Zu den Überwachungsquellen gehören:

  • Kriminelle Foren, Onion-Seiten, Dark-Web-Foren für speziellen Zugang, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten - sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken
  • Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen bei Tausenden von Unternehmen in aller Welt

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen optimiert werden.

Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister zusammengeführt sind, wendet Prevalent eine Risikobewertung und -priorisierung gemäß einem Wahrscheinlichkeits- und Auswirkungsmodell an. Dieses Modell fasst Risiken in einer Matrix zusammen, sodass Sie die Risiken mit den größten Auswirkungen leicht erkennen und die Abhilfemaßnahmen entsprechend priorisieren können.

Anschließend können Sie Verantwortliche zuweisen und Risiken und Abhilfemaßnahmen bis zu einem für das Unternehmen akzeptablen Grad verfolgen.

RA-1Richtlinien und Verfahren
Entwickeln, dokumentieren und verbreiten:

1. Eine Politik der Risikobewertung, die:

(a) Zweck, Anwendungsbereich, Rollen, Verantwortlichkeiten, Engagement des Managements, Koordination zwischen den Organisationseinheiten und Einhaltung der Vorschriften; und

(b) mit den geltenden Gesetzen, Durchführungsverordnungen, Direktiven, Verordnungen, Politiken, Standards und Richtlinien übereinstimmt; und

2. Verfahren zur Erleichterung der Umsetzung der Risikobewertungspolitik und der damit verbundenen Risikobewertungskontrollen;

b. Benennung eines Beamten, der für die Entwicklung, Dokumentation und Verbreitung der Risikobewertungspolitik und -verfahren zuständig ist; und

c. Überprüfung und Aktualisierung der aktuellen Risikobewertung:

1. Politik und
2. Verfahren.

Siehe PM-9 Risikomanagementstrategie

RA-2 (1)Sicherheitskategorisierung | Priorisierung nach Auswirkungsgrad

Führen Sie eine Priorisierung der organisatorischen Systeme auf der Ebene der Auswirkungen durch, um eine zusätzliche Granularität der Systemauswirkungen zu erhalten.

SiehePM 30 (1)Strategie zum Risikomanagement in der Lieferkette | Lieferanten von kritischen oder missionskritischen Artikeln

RA-3 (1)Risikobewertung | Risikobewertung der Lieferkette

(a) Bewertung der Risiken in der Lieferkette im Zusammenhang mit Systemen, Komponenten und Dienstleistungen; und

(b) die Risikobewertung der Lieferkette zu aktualisieren, wenn sich wesentliche Änderungen in der betreffenden Lieferkette ergeben oder wenn Änderungen des Systems, des Betriebsumfelds oder anderer Bedingungen eine Änderung in der Lieferkette erforderlich machen könnten.

Die Prevalent TPRM-Plattform umfasst eine umfangreiche Bibliothek mit vorgefertigten Vorlagen fürRisikobewertungen von Drittanbietern– darunter auch solche, die speziell auf NIST-Kontrollen zugeschnitten sind. Die Bewertungen können bei der Aufnahme eines Lieferanten, bei Vertragsverlängerungen oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nach den wesentlichen Änderungen.

Die Bewertungen werden zentral verwaltet und durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt, um sicherzustellen, dass Ihr Team während des gesamten Lebenszyklus der Geschäftsbeziehung einen Überblick über die Risiken durch Dritte hat.

Wichtig ist, dass Prevalent integrierte Empfehlungen zur Abhilfe auf der Grundlage der Ergebnisse der Risikobewertung enthält, um sicherzustellen, dass Ihre Drittanbieter die Risiken rechtzeitig und zufriedenstellend angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

RA-3 (2)Risikobewertung | Nutzung von All-Source Intelligence

Nutzung von Informationen aus allen Quellen zur Unterstützung der Risikoanalyse.

RA-3 (3)Risikobewertung | Dynamische Bedrohungserkennung

Laufende Ermittlung der aktuellen Cyber-Bedrohungslage.

RA-3 (4)Risikobewertung | Prädiktive Cyber-Analytik

Nutzen Sie fortschrittliche Automatisierungs- und Analysefunktionen, um Risiken vorherzusagen und zu erkennen.

RA-7Risikoreaktion

Reaktion auf Ergebnisse von Sicherheits- und Datenschutzbewertungen, Überwachungen und Audits in Übereinstimmung mit der Risikotoleranz des Unternehmens.

Mit Prevalent können Sieexterne Bedrohungen für Dritte kontinuierlich verfolgen und analysieren. Dazu überwachen wir das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Zu den Überwachungsquellen gehören:

  • Kriminelle Foren, Onion-Seiten, Dark-Web-Foren für speziellen Zugang, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten - sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken
  • Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen bei Tausenden von Unternehmen in aller Welt

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen optimiert werden.

Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister zusammengeführt sind, wendet Prevalent eine Risikobewertung und -priorisierung gemäß einem Wahrscheinlichkeits- und Auswirkungsmodell an. Dieses Modell fasst Risiken in einer Matrix zusammen, sodass Sie die Risiken mit den größten Auswirkungen leicht erkennen und die Abhilfemaßnahmen entsprechend priorisieren können.

Weisen Sie schließlich Verantwortliche zu und verfolgen Sie Risiken und Abhilfemaßnahmen in der Plattform auf einem für das Unternehmen akzeptablen Niveau.

RA-9Kritikalitätsanalyse

Identifizierung kritischer Systemkomponenten und -funktionen durch Durchführung einer Kritikalitätsanalyse an bestimmten Entscheidungspunkten im Lebenszyklus der Systementwicklung.

SiehePM 30 (1)Strategie zum Risikomanagement in der Lieferkette | Lieferanten von kritischen oder missionskritischen Artikeln

SR-1Richtlinien und Verfahren

Entwickeln, dokumentieren und verbreiten:

1. Eine Politik des Risikomanagements in der Lieferkette, die:

(a) Zweck, Anwendungsbereich, Rollen, Verantwortlichkeiten, Engagement des Managements, Koordination zwischen den Organisationseinheiten und Einhaltung der Vorschriften; und

(b) mit den geltenden Gesetzen, Durchführungsverordnungen, Direktiven, Verordnungen, Politiken, Standards und Richtlinien übereinstimmt; und

2. Verfahren zur Erleichterung der Umsetzung der Risikomanagementpolitik für die Lieferkette und der damit verbundenen Kontrollen des Risikomanagements für die Lieferkette;

b. Benennung eines Beamten, der für die Entwicklung, Dokumentation und Verbreitung der Grundsätze und Verfahren für das Risikomanagement in der Lieferkette zuständig ist; und

c. Überprüfung und Aktualisierung des derzeitigen Risikomanagements der Lieferkette:

1. Politik und
2. Verfahren

Siehe PM-9 Risikomanagementstrategie

SR-2 Risikomanagementplan für die Lieferkette

a. Entwicklung eines Plans für das Management von Risiken in der Lieferkette, die mit der Forschung und Entwicklung, dem Entwurf, der Herstellung, der Beschaffung, der Lieferung, der Integration, dem Betrieb und der Wartung sowie der Entsorgung von Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind

b. Überprüfung und Aktualisierung des Risikomanagementplans für die Lieferkette bei Bedarf, um Bedrohungen, organisatorischen oder umweltbedingten Veränderungen Rechnung zu tragen; und

c. Schutz des Risikomanagementplans für die Lieferkette vor unbefugter Offenlegung und Änderung.

Siehe PM-9 Risikomanagementstrategie

SR-3Kontrollen und Prozesse in der Lieferkette

a. Einführung eines Verfahrens oder von Verfahren zur Ermittlung und Behebung von Schwachstellen oder Mängeln in den Elementen und Prozessen der Lieferkette in Abstimmung mit dem Personal der Lieferkette;

*b. Setzen Sie die folgenden Kontrollen ein, um sich vor Risiken für das System, die Systemkomponenten oder die Systemdienste zu schützen und die Schäden oder Folgen von Ereignissen im Zusammenhang mit der Lieferkette zu begrenzen.

c. Dokumentieren Sie die ausgewählten und implementierten Lieferkettenprozesse und -kontrollen im Risikomanagementplan für die Lieferkette.*

Siehe PM-9 Risikomanagementstrategie

SR-4 (4) Provenienz | Integrität der Lieferkette - Stammbaum

Einsatz von Kontrollen und Analysen zur Gewährleistung der Integrität des Systems und der Systemkomponenten durch Validierung der internen Zusammensetzung und der Herkunft kritischer oder missionswichtiger Technologien, Produkte und Dienstleistungen.

Im Rahmen des Due-Diligence-Prozesses ermöglicht Prevalent Anbietern, aktualisierteSoftware-Stücklisten (SBOMs)für ihre Softwareprodukte bereitzustellen. Auf diese Weise können Sie potenzielle Schwachstellen oder Lizenzprobleme identifizieren, die sich auf die Sicherheit und Compliance Ihres Unternehmens auswirken könnten.

SR-5 Beschaffungsstrategien, -werkzeuge und -methoden

Anwendung von Beschaffungsstrategien, Vertragsinstrumenten und Beschaffungsmethoden zum Schutz vor, zur Ermittlung und zur Minderung von Risiken in der Lieferkette.

Mit Prevalent kann Ihr Team die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs) in einer einzigen Lösung zentralisieren und automatisieren, die den Vergleich wichtiger Merkmale ermöglicht.

Da alle Dienstleister zentralisiert und überprüft werden, erstellt die Prevalent-Plattformumfassende Anbieterprofile, die Einblicke in die demografischen Daten eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Geschäfts- und Reputationsinformationen, die Geschichte von Datenverstößen und die aktuelle finanzielle Performance enthalten.

Dieses Maß an Sorgfalt schafft einen besseren Kontext für Entscheidungen zurLieferantenauswahl.

SR-6Lieferantenbewertungen und -überprüfungen

Bewertung und Überprüfung der Risiken im Zusammenhang mit der Lieferkette, die mit den Zulieferern oder Auftragnehmern und den von ihnen bereitgestellten Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind.

SieheRA-3 (1)Risikobewertung | Risikobewertung der Lieferkette

SR-8-Benachrichtigungsvereinbarungen

Festlegung von Vereinbarungen und Verfahren mit den an der Lieferkette für das System, die Systemkomponente oder den Systemdienst beteiligten Stellen für die Meldung von Kompromittierungen der Lieferkette und von Ergebnissen von Bewertungen oder Audits.

Mit Prevalent kann Ihr Team die Verteilung, Besprechung, Aufbewahrung und Überprüfung vonLieferantenverträgenzentralisieren, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass wichtige Klauseln eingehalten werden.

Zu den wichtigsten Fähigkeiten gehören:

  • Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
  • Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
  • Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
  • Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
  • Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
  • Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
  • Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Anbietervertrag festgelegt und die SLAs entsprechend verfolgt und verwaltet werden.

SR-13Lieferantenbestand

Entwickeln, dokumentieren und pflegen Sie ein Verzeichnis von Lieferanten, das:
1. genau und minimalistisch die Tier-1-Lieferanten des Unternehmens widerspiegelt, die ein Cybersicherheitsrisiko in der Lieferkette darstellen können;
2. den für die Bewertung der Kritikalität und des Risikos in der Lieferkette, die Nachverfolgung und die Berichterstattung als notwendig erachteten Detaillierungsgrad aufweist;
3. die folgenden Informationen für jeden Tier-1-Lieferanten (z. B. Hauptauftragnehmer) dokumentiert: Überprüfung und Aktualisierung des Lieferantenverzeichnisses.
i. Eindeutige Identifizierung des Beschaffungsinstruments (d. h. Vertrag, Aufgabe oder Lieferauftrag);
ii. Beschreibung der gelieferten Produkte und/oder Dienstleistungen;
iii. Programm, Projekt und/oder System, das die Produkte und/oder Dienstleistungen des Lieferanten nutzt; und
iv. Zugewiesene Kritikalitätsstufe, die der Kritikalität des Programms, Projekts und/oder Systems (oder einer Komponente des Systems) entspricht.
b. Überprüfen und aktualisieren Sie das Lieferantenverzeichnis.

Die Prevalent TPRM-Plattform zentralisiert alle Lieferanteninformationen in einem einzigen Lieferantenprofil, sodass alle Abteilungen, die mit Lieferanten zusammenarbeiten, auf dieselben Informationen zurückgreifen können, was die Transparenz und Entscheidungsfindung verbessert.

Importieren Sie Lieferanten über eine Tabellenkalkulationsvorlage oder über eine API-Verbindung zu einer vorhandenen Beschaffungslösung, wodurch fehleranfällige, manuelle Prozesse vermieden werden.

Erfassen Sie wichtige Lieferantendetails mit einem zentralisierten und anpassbaren Aufnahmeformular und dem dazugehörigen Workflow. Dieser ist für jeden per E-Mail-Einladung verfügbar, ohne dass eine Schulung oder Lösungskenntnisse erforderlich sind.

Mit Prevalent können Sieumfassende Lieferantenprofileerstellen, in denen Sie demografische Daten, geografische Standorte, Technologien von Drittanbietern und aktuelle betriebliche Erkenntnisse vergleichen und überwachen können. Mit diesen gesammelten Daten können Sie insbesondere Risiken im Zusammenhang mit geografischer und technologischer Konzentration aufzeigen und entsprechende Maßnahmen ergreifen.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.