Einhaltung von NIST SP 800-53r5, NIST SP 800-161r1 und NIST CSF v2.0

SP 800 53 Kontrolle mit SP 800-161 Overlay

• CA-2 (1) Kontrollbeurteilungen | Spezialisierte Beurteilungen
• CA-2 (3) Kontrollbeurteilungen | Nutzung der Ergebnisse von externen Organisationen

Die Prevalent-Plattform für das Risikomanagement von Drittanbietern umfasst mehr als 100 standardisierte Vorlagen für Risikobewertungen - darunter für NIST, ISO und viele andere -, einen Assistenten für die Erstellung von benutzerdefinierten Umfragen und einen Fragebogen, der die Antworten automatisch den jeweiligen Compliance-Vorschriften oder -Rahmenbedingungen zuordnet. Alle Bewertungen basieren auf Industriestandards und befassen sich mit allen Themen der Informationssicherheit, die für die Sicherheitskontrollen von Lieferkettenpartnern relevant sind.

Prevalent Vendor Threat Monitor (VTM) verfolgt und analysiert kontinuierlich extern beobachtbare Bedrohungen für Anbieter und andere Dritte. Der Service ergänzt und validiert die vom Anbieter gemeldeten Sicherheitskontrolldaten der Prevalent-Plattform, indem er das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen überwacht. Darüber hinaus werden die Bewertungsergebnisse mit Untersuchungen zu betrieblichen, finanziellen, rechtlichen und Markenrisiken in einem einheitlichen Risikoregister korreliert, das eine zentrale Risikostrukturierung und Reaktion ermöglicht.

Mit der Prevalent-Plattform können Sie effizient mit Anbietern kommunizieren und Abhilfemaßnahmen koordinieren. Erfassen und prüfen Sie Gespräche, halten Sie geschätzte Fertigstellungstermine fest, akzeptieren oder lehnen Sie Eingaben auf Antwortbasis ab, weisen Sie Aufgaben auf der Grundlage von Risiken, Dokumenten oder Unternehmen zu und ordnen Sie Dokumentation und Nachweise den Risiken zu.

Prevalent VTM deckt Cyber-Vorfälle von Dritten für 550.000 aktiv verfolgte Unternehmen auf, indem es mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Anmeldedaten sowie mehrere Sicherheits-Communities, Code-Repositories und Schwachstellen-Datenbanken überwacht.

Prevalent normalisiert, korreliert und analysiert dann Informationen aus verschiedenen Inputs, einschließlich Inside-Out-Risikobewertungen und Outside-In-Überwachung von Prevalent Vendor Threat Monitor und BitSight. Dieses einheitliche Modell liefert Kontext, Quantifizierung, Management und Unterstützung bei der Behebung.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• CP-2 (3) Notfallplan | Koordinierung mit externen Dienstleistern

Der Prevalent Third-Party Incident Response Service ermöglicht es Ihnen, die Auswirkungen von Verstößen in der Lieferkette schnell zu erkennen und abzumildern, indem Sie Anbieter zentral verwalten, proaktiv Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Anleitungen zur Abhilfe zugreifen.

Die Prevalent-Plattform umfasst einheitliche Funktionen zur Bewertung, Analyse und Behebung von Schwachstellen in den Resilienzplänen von Lieferanten. So können Sie proaktiv mit Ihrer Lieferantengemeinschaft zusammenarbeiten, um sich auf Pandemien, Umweltkatastrophen und andere potenzielle Krisen vorzubereiten.

Die Prevalent-Plattform ermöglicht nicht nur automatisierte, regelmäßige Bewertungen auf der Grundlage interner Kontrollen, sondern bietet auch eine Überwachung der Cybersicherheit, des Geschäfts, des Rufs und der Finanzen, indem sie Dritte kontinuierlich bewertet, um potenzielle Schwachstellen zu identifizieren, die von Cyberkriminellen ausgenutzt werden können.

Alle Risikoinformationen werden zentralisiert, korreliert und in einem einzigen Risikoregister analysiert, das die Berichterstattung und Reaktion automatisiert und ein flexibles, gewichtetes Scoring-Modell auf der Grundlage der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungen bietet.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• IR-4 (3) Behandlung von Zwischenfällen | Koordinierung der Lieferkette

Der Prevalent Third-Party Incident Response Service ermöglicht es Ihnen, die Auswirkungen von Verstößen in der Lieferkette schnell zu erkennen und abzumildern, indem Sie Anbieter zentral verwalten, proaktiv Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Anleitungen zur Abhilfe zugreifen.

Die Prevalent-Plattform umfasst einheitliche Funktionen zur Bewertung, Analyse und Behebung von Schwachstellen in den Resilienzplänen von Lieferanten. So können Sie proaktiv mit Ihrer Lieferantengemeinschaft zusammenarbeiten, um sich auf Pandemien, Umweltkatastrophen und andere potenzielle Krisen vorzubereiten.

Die Prevalent-Plattform ermöglicht nicht nur automatisierte, regelmäßige Bewertungen auf der Grundlage interner Kontrollen, sondern bietet auch eine Überwachung der Cybersicherheit, des Geschäfts, des Rufs und der Finanzen, indem sie Dritte kontinuierlich bewertet, um potenzielle Schwachstellen zu identifizieren, die von Cyberkriminellen ausgenutzt werden können.

Alle Risikoinformationen werden zentralisiert, korreliert und in einem einzigen Risikoregister analysiert, das die Berichterstattung und Reaktion automatisiert und ein flexibles, gewichtetes Scoring-Modell auf der Grundlage der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungen bietet.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• IR-5 Überwachung von Vorfällen

Prevalent Contract Essentials ist eine SaaS-Lösung, die die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen zentralisiert. Sie umfasst auch Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus von der Aufnahme bis zur Beendigung der Zusammenarbeit. Mit Contract Essentials verfügen Ihre Beschaffungs- und Rechtsteams über eine einzige Lösung, um sicherzustellen, dass die wichtigsten Vertragsklauseln vorhanden sind und dass Servicelevel und Reaktionszeiten verwaltet werden.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• IR-6 (1) Meldung von Zwischenfällen | Koordinierung der Lieferkette

Alle Risikoinformationen in der Prevalent-Plattform werden zentralisiert, korreliert und in einem einzigen Risikoregister analysiert, das die Berichterstattung und Reaktion automatisiert und ein flexibles gewichtetes Scoring-Modell auf der Grundlage der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungen bietet.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• IR-8 Plan zur Reaktion auf Zwischenfälle

Der Prevalent Third-Party Incident Response Service ermöglicht es Ihnen, die Auswirkungen von Sicherheitsverletzungen in der Lieferkette schnell zu erkennen und abzumildern, indem Sie Anbieter zentral verwalten, Ereignisbewertungen durchführen, erkannte Risiken bewerten und auf Anleitungen zur Abhilfe zugreifen. Der Incident Response Service bietet die Grundlage, um auf Fragen von Vorständen und Geschäftsführern zu den Auswirkungen von Vorfällen in der Lieferkette gut vorbereitet zu sein und den Nachweis Ihres Plans zur Reaktion auf Sicherheitsverletzungen durch Dritte gegenüber Wirtschaftsprüfern und Aufsichtsbehörden zu erbringen.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• PM-16 Programm zur Sensibilisierung für Bedrohungen

Prevalent VTM deckt Cyber-Vorfälle von Dritten für 550.000 aktiv verfolgte Unternehmen auf, indem es mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Anmeldedaten sowie mehrere Sicherheits-Communities, Code-Repositories und Schwachstellen-Datenbanken überwacht.

Prevalent normalisiert, korreliert und analysiert dann Informationen aus verschiedenen Inputs, einschließlich Inside-Out-Risikobewertungen und Outside-In-Überwachung von Prevalent Vendor Threat Monitor und BitSight. Dieses einheitliche Modell liefert Kontext, Quantifizierung, Management und Unterstützung bei der Behebung.

Alle Risikoinformationen in der Prevalent-Plattform werden zentralisiert, korreliert und in einem einzigen Risikoregister analysiert, das die Berichterstattung und Reaktion automatisiert und ein flexibles gewichtetes Scoring-Modell auf der Grundlage der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungen bietet.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• PM-31 Strategie zur kontinuierlichen Überwachung

Prevalent VTM deckt Cyber-Vorfälle von Dritten für 550.000 aktiv verfolgte Unternehmen auf, indem es mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Anmeldedaten sowie mehrere Sicherheits-Communities, Code-Repositories und Schwachstellen-Datenbanken überwacht.

Prevalent normalisiert, korreliert und analysiert dann Informationen aus verschiedenen Inputs, einschließlich Inside-Out-Risikobewertungen und Outside-In-Überwachung von Prevalent Vendor Threat Monitor und BitSight. Dieses einheitliche Modell liefert Kontext, Quantifizierung, Management und Unterstützung bei der Behebung.

Alle Risikoinformationen in der Prevalent-Plattform werden zentralisiert, korreliert und in einem einzigen Risikoregister analysiert, das die Berichterstattung und Reaktion automatisiert und ein flexibles gewichtetes Scoring-Modell auf der Grundlage der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungen bietet.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• RA-1 Politik und Verfahren

Die Prevalent-Plattform umfasst mehr als 100 standardisierte Vorlagen für Risikobewertungen - darunter für NIST, ISO und viele andere -, einen Assistenten für die Erstellung benutzerdefinierter Umfragen und einen Fragebogen, der die Antworten auf alle Compliance-Vorschriften oder -Rahmenwerke abbildet. Alle Bewertungen basieren auf Industriestandards und befassen sich mit allen Themen der Informationssicherheit, die für die Sicherheitskontrollen von Lieferkettenpartnern relevant sind.

Mit der Prevalent-Plattform können Sie nach Abschluss der Umfrage automatisch ein Risikoregister erstellen und sicherstellen, dass das gesamte Risikoprofil (oder eine rollenspezifische Version) im zentralen Echtzeit-Berichts-Dashboard angezeigt werden kann. Auf diese Weise wird unnötiges Rauschen herausgefiltert und der Fokus auf mögliche Problembereiche gelenkt, um die Wirksamkeit des Programms zu messen. Anschließend können Sie mithilfe von integrierten Empfehlungen und Anleitungen Maßnahmen ergreifen, um das Lieferantenrisiko zu verringern.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• RA-3 Risikobewertung

Siehe PM-9 Risikomanagementstrategie

SR-2 Risikomanagementplan für die Lieferkette

a. Entwicklung eines Plans für das Management von Risiken in der Lieferkette, die mit der Forschung und Entwicklung, dem Entwurf, der Herstellung, der Beschaffung, der Lieferung, der Integration, dem Betrieb und der Wartung sowie der Entsorgung von Systemen, Systemkomponenten oder Systemdienstleistungen verbunden sind

b. Überprüfung und Aktualisierung des Risikomanagementplans für die Lieferkette bei Bedarf, um Bedrohungen, organisatorischen oder umweltbedingten Veränderungen Rechnung zu tragen; und

c. Schutz des Risikomanagementplans für die Lieferkette vor unbefugter Offenlegung und Änderung.

Die Prevalent-Plattform umfasst mehr als 100 standardisierte Vorlagen für Risikobewertungen - darunter für NIST, ISO und viele andere -, einen Assistenten für die Erstellung benutzerdefinierter Umfragen und einen Fragebogen, der die Antworten auf alle Compliance-Vorschriften oder -Rahmenwerke abbildet. Alle Bewertungen basieren auf Industriestandards und behandeln alle Themen der Informationssicherheit, die sich auf die Sicherheitskontrollen von Lieferkettenpartnern beziehen. Prevalent bietet Fachleuten aus den Bereichen Sicherheit, Datenschutz und Risikomanagement eine automatisierte Plattform zur Verwaltung des Risikobewertungsprozesses von Lieferanten und zur Ermittlung der Einhaltung von IT-Sicherheits-, Gesetzes- und Datenschutzanforderungen durch die Lieferanten.

Die Prevalent-Plattform ermöglicht nicht nur automatisierte, regelmäßige Bewertungen auf der Grundlage interner Kontrollen, sondern bietet auch eine Überwachung der Cybersicherheit, des Geschäfts, des Rufs und der Finanzen, indem sie Dritte kontinuierlich bewertet, um potenzielle Schwachstellen zu identifizieren, die von Cyber-Kriminellen ausgenutzt werden können.

Alle Risikoinformationen in der Prevalent-Plattform werden zentralisiert, korreliert und in einem einzigen Risikoregister analysiert, das die Berichterstattung und Reaktion automatisiert und ein flexibles gewichtetes Scoring-Modell auf der Grundlage der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungen bietet.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• RA-7 Risikoreaktion

Siehe PM-9 Risikomanagementstrategie

SR-4 (4) Provenienz | Integrität der Lieferkette - Stammbaum

Einsatz von Kontrollen und Analysen zur Gewährleistung der Integrität des Systems und der Systemkomponenten durch Validierung der internen Zusammensetzung und der Herkunft kritischer oder missionswichtiger Technologien, Produkte und Dienstleistungen.

Die Prevalent-Plattform bietet integrierte Anleitungen zur Behebung von Kontrollmängeln oder anderen identifizierten Risiken auf einem für Ihr Unternehmen akzeptablen Niveau. Prevalent ermöglicht es Risikobewertern auch, mit Dritten über Abhilfemaßnahmen zu kommunizieren, Gespräche und Aktualisierungen zu dokumentieren und unterstützende Kontrolldokumente in einem zentralen Repository zu speichern.

SR-5 Beschaffungsstrategien, -werkzeuge und -methoden

Anwendung von Beschaffungsstrategien, Vertragsinstrumenten und Beschaffungsmethoden zum Schutz vor, zur Ermittlung und zur Minderung von Risiken in der Lieferkette.

Prevalent bietet einen inhärenten Fragebogen zur Risikobewertung mit einer klaren Punktebewertung auf der Grundlage von acht Kriterien zur Erfassung, Verfolgung und Quantifizierung von Risiken für alle Drittparteien. Die Bewertungskriterien umfassen:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
• Exposition gegenüber operativen oder kundenorientierten Prozessen
  *Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Mithilfe der inhärenten Risikobewertung können Sie Lieferanten automatisch in eine bestimmte Kategorie einordnen, geeignete Stufen für weitere Prüfungen festlegen und den Umfang nachfolgender, regelmäßiger Prüfungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Lieferanten auf der Grundlage einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• SA-4 (3) Beschaffungsprozess | Plan zur kontinuierlichen Überwachung von Kontrollen

Die Prevalent-Plattform ermöglicht nicht nur automatisierte, regelmäßige Bewertungen auf der Grundlage interner Kontrollen, sondern bietet auch eine Überwachung der Cybersicherheit, des Geschäfts, des Rufs und der Finanzen, indem sie Dritte kontinuierlich bewertet, um potenzielle Schwachstellen zu identifizieren, die von Cyber-Kriminellen ausgenutzt werden können.

Alle Risikoinformationen in der Prevalent-Plattform werden zentralisiert, korreliert und in einem einzigen Risikoregister analysiert, das die Berichterstattung und Reaktion automatisiert und ein flexibles gewichtetes Scoring-Modell auf der Grundlage der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungen bietet.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• SI-4 (1) Systemüberwachung | Integrierte Situationsanalyse (Integrated Situational Awareness)

Prevalent VTM verfolgt und analysiert kontinuierlich extern beobachtbare Bedrohungen für Anbieter und andere Dritte. Der Service ergänzt und validiert die von den Anbietern gemeldeten Sicherheitskontrolldaten aus der Prevalent-Plattform, indem er das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen überwacht und die Bewertungsergebnisse mit Untersuchungen zu betrieblichen, finanziellen, rechtlichen und Markenrisiken in einem einheitlichen Risikoregister korreliert, das eine zentrale Risikostrukturierung und Reaktion ermöglicht.

Alle Risikoinformationen in der Prevalent-Plattform werden zentralisiert, korreliert und in einem einzigen Risikoregister analysiert, das die Berichterstattung und Reaktion automatisiert und ein flexibles gewichtetes Scoring-Modell auf der Grundlage der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungen bietet.

SP 800 53 Kontrolle mit SP 800-161 Overlay

• SI-5 Sicherheitswarnungen, -hinweise und -richtlinien

Prevalent VTM verfolgt und analysiert kontinuierlich extern beobachtbare Bedrohungen für Anbieter und andere Dritte. Der Service ergänzt und validiert die von den Anbietern gemeldeten Sicherheitskontrolldaten aus der Prevalent-Plattform, indem er das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen überwacht und die Bewertungsergebnisse mit Untersuchungen zu betrieblichen, finanziellen, rechtlichen und Markenrisiken in einem einheitlichen Risikoregister korreliert, das eine zentrale Risikostrukturierung und Reaktion ermöglicht.

Alle Risikoinformationen in der Prevalent-Plattform werden zentralisiert, korreliert und in einem einzigen Risikoregister analysiert, das die Berichterstattung und Reaktion automatisiert und ein flexibles gewichtetes Scoring-Modell auf der Grundlage der Wahrscheinlichkeit eines Ereignisses und seiner Auswirkungen bietet.

Prevalent bietet einen inhärenten Fragebogen zur Risikobewertung mit einer klaren Punktebewertung auf der Grundlage von acht Kriterien zur Erfassung, Verfolgung und Quantifizierung von Risiken für alle Drittparteien. Die Bewertungskriterien umfassen:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Mithilfe der inhärenten Risikobewertung können Sie Lieferanten automatisch in eine bestimmte Kategorie einordnen, geeignete Stufen für weitere Prüfungen festlegen und den Umfang nachfolgender, regelmäßiger Prüfungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Lieferanten auf der Grundlage einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

Funktion, Kategorie und Unterkategorie

Bewährte Praktiken

GOVERN (GV): Die Strategie, Erwartungen und Richtlinien der Organisation für das Management von Cybersecurity-Risiken werden festgelegt, kommuniziert und überwacht.

Cybersecurity Supply Chain Risk Management (GV.SC): Cyber Supply Chain Risk Management-Prozesse werden von organisatorischen Akteuren identifiziert, eingerichtet, verwaltet, überwacht und verbessert

GV.SC-01: Ein Programm, eine Strategie, Ziele, Richtlinien und Prozesse für das Risikomanagement der Cybersecurity-Lieferkette sind erstellt und von den organisatorischen Interessenvertretern genehmigt.

Erstellen Sie ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) oder für das Risikomanagement in der Cybersecurity-Lieferkette (C-SCRM), das mit Ihren umfassenderen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance übereinstimmt.

GV.SC-02: Cybersecurity-Rollen und -Verantwortlichkeiten für Lieferanten, Kunden und Partner werden intern und extern festgelegt, kommuniziert und koordiniert

GV.SC-03: Das Risikomanagement der Lieferkette für Cybersicherheit ist in die Prozesse für Cybersicherheit und Unternehmensrisikomanagement, Risikobewertung und -verbesserung integriert

Erstellen Sie ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) oder für das Risikomanagement in der Cybersecurity-Lieferkette (C-SCRM), das mit Ihren umfassenderen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance übereinstimmt.

Suchen Sie nach Experten, die mit Ihrem Team zusammenarbeiten:

• Definition und Umsetzung von TPRM- und C-SCRM-Prozessen und -Lösungen
• Auswahl von Fragebögen und Rahmen für die Risikobewertung
• Optimierung Ihres Programms, um den gesamten Lebenszyklus des Risikos von Drittanbietern abzudecken - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Kündigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens

Als Teil dieses Prozesses sollten Sie definieren:

• Klare Rollen und Verantwortlichkeiten (z. B. RACI)
• Vorräte von Dritten
• Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
• Wichtige Risikoindikatoren (KRIs), wichtige Leistungsindikatoren (KPIs) und Servicelevels für die Reaktion auf Vorfälle

GV.SC-04: Lieferanten sind bekannt und werden nach Kritikalität priorisiert

Zentralisieren Sie Ihr Inventar von Drittanbietern in einer Softwarelösung. Quantifizieren Sie dann die inhärenten Risiken für alle Drittanbieter. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Priorisierung von Drittanbietern verwendet werden, sollten gehören:

• Art des für die Validierung der Kontrollen erforderlichen Inhalts
• Kritische Bedeutung für die Unternehmensleistung und den Betrieb
• Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
• Grad der Abhängigkeit von vierten Parteien
• Erfahrung mit operativen oder kundenorientierten Prozessen
• Interaktion mit geschützten Daten
• Finanzieller Status und Gesundheit
• Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Eine regelbasierte Tiering-Logik sollte die Kategorisierung von Anbietern anhand einer Reihe von Überlegungen zur Dateninteraktion, zu finanziellen und rechtlichen Aspekten sowie zur Reputation ermöglichen.

GV.SC-05: Anforderungen zur Bewältigung von Cybersicherheitsrisiken in Lieferketten werden festgelegt, priorisiert und in Verträge und andere Arten von Vereinbarungen mit Lieferanten und anderen relevanten Dritten integriert

Zentralisieren Sie die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass die wichtigsten Klauseln durchgesetzt werden. Die wichtigsten Funktionen sollten umfassen:

• Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
• Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
• Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
• Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
• Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
• Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
• Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Anbietervertrag festgelegt und die SLAs entsprechend verfolgt und verwaltet werden.

GV.SC-06: Planung und Due-Diligence-Prüfung werden durchgeführt, um Risiken zu reduzieren, bevor formelle Beziehungen zu Lieferanten oder anderen Dritten eingegangen werden

Zentralisieren und automatisieren Sie die Verteilung, den Vergleich und die Verwaltung von Angebotsanfragen (RFPs) und Informationsanfragen (RFIs ) in einer einzigen Lösung, die den Vergleich von Schlüsselattributen ermöglicht.

Da alle Dienstanbieter zentralisiert und überprüft werden, sollten die Teams umfassende Anbieterprofile erstellen, die Einblicke in die demografischen Informationen eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, jüngste Geschäfts- und Reputationseinblicke, Datenverletzungen und die jüngste finanzielle Leistung enthalten.

Dieses Maß an Sorgfaltspflicht schafft einen größeren Kontext für Entscheidungen bei der Anbieterauswahl.

GV.SC-07: Die Risiken, die von einem Lieferanten, seinen Produkten und Dienstleistungen sowie von anderen Dritten ausgehen, werden verstanden, aufgezeichnet, nach Prioritäten geordnet, bewertet, beantwortet und im Laufe der Geschäftsbeziehung überwacht.

Achten Sie auf Lösungen, die eine umfangreiche Bibliothek mit vorgefertigten Vorlagen für Risikobewertungen von Dritten enthalten. Die Bewertungen sollten zum Zeitpunkt des Onboardings, der Vertragserneuerung oder in einem beliebigen Intervall (z. B. vierteljährlich oder jährlich) in Abhängigkeit von wesentlichen Änderungen durchgeführt werden.

Bewertungen sollten zentral verwaltet werden und durch Workflow-, Aufgabenmanagement- und automatisierte Beweisüberprüfungsfunktionen unterstützt werden, um sicherzustellen, dass Ihr Team während des gesamten Beziehungslebenszyklus Einblick in die Risiken Dritter hat.

Wichtig ist, dass eine TPRM-Lösung integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen enthält, um sicherzustellen, dass Ihre Drittparteien die Risiken rechtzeitig und in zufriedenstellender Weise angehen und den Prüfern die entsprechenden Nachweise vorlegen können.

Verfolgen und analysieren Sie im Rahmen dieses Prozesses kontinuierlich externe Bedrohungen für Dritte. Überwachen Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren.

Achten Sie darauf, Betriebs-, Reputations- und Finanzdaten Dritter einzubeziehen, um den Cyber-Ergebnissen einen Kontext zu geben und die Auswirkungen von Vorfällen im Laufe der Zeit zu messen.

GV.SC-08: Relevante Lieferanten und andere Dritte werden in die Planung, Reaktion und Wiederherstellung von Vorfällen einbezogen

Stellen Sie im Rahmen Ihrer umfassenden Strategie zur Verwaltung von Zwischenfällen sicher, dass Ihr Programm zur Reaktion auf Zwischenfälle mit Drittanbietern Ihr Team in die Lage versetzt, Sicherheitsvorfälle mit Drittanbietern schnell zu erkennen, darauf zu reagieren, darüber zu berichten und die Auswirkungen zu mindern.

Entscheiden Sie sich für Managed Services, bei denen engagierte Experten Ihre Lieferanten zentral verwalten, proaktive Risikobewertungen durchführen, identifizierte Risiken bewerten, Risiken mit den Erkenntnissen aus der kontinuierlichen Cyber-Überwachung korrelieren und Anleitungen zur Abhilfe geben. Managed Services können die Zeit, die benötigt wird, um die von einem Cybersecurity-Vorfall betroffenen Lieferanten zu identifizieren und sicherzustellen, dass Abhilfemaßnahmen ergriffen werden, erheblich verkürzen.

Zu den wichtigsten Funktionen eines Drittanbieters für die Reaktion auf Zwischenfälle sollten gehören:

• Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
• Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
• Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
• Proaktive Lieferantenberichterstattung
• Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahl und markierten Antworten für jeden Anbieter
• Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
• Integrierte Berichtsvorlagen für interne und externe Beteiligte
• Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
• Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien, um Informationspfade zu visualisieren und gefährdete Daten aufzudecken

Ziehen Sie auch die Nutzung von Datenbanken in Betracht, die mehrere Jahre lang Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthalten - einschließlich der Art und Menge der gestohlenen Daten, der Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie der Echtzeit-Benachrichtigungen von Anbietern über Datenverletzungen.

Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Drittanbieters beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe von Experten.

GV.SC-10: Risikomanagementpläne für die Cybersecurity in der Lieferkette enthalten Bestimmungen für Aktivitäten, die nach Abschluss einer Partnerschaft oder eines Dienstleistungsvertrags stattfinden

Aufbauend auf den für GV.SC-05 empfohlenen Best Practices automatisieren Sie Vertragsbewertungen und Offboarding-Prozesse, um das Risiko für Ihr Unternehmen nach Vertragsabschluss zu verringern.

• Planung von Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden
• Abgabe von Vertragsbewertungen zur Bewertung des Status
• Nutzung von Umfragen und Arbeitsabläufen zur Berichterstattung über Systemzugang, Datenvernichtung, Zugangsverwaltung, Einhaltung aller einschlägigen Gesetze, Abschlusszahlungen usw.
• Zentrale Speicherung und Verwaltung von Dokumenten und Zertifizierungen, wie NDAs, SLAs, SOWs und Verträge
• Analyse der Dokumente, um zu bestätigen, dass die wichtigsten Kriterien erfüllt sind
• Ergreifen Sie umsetzbare Maßnahmen zur Verringerung des Anbieterrisikos mit Empfehlungen und Anleitungen zur Abhilfe.
• Visualisierung und Berücksichtigung von Compliance-Anforderungen durch automatische Zuordnung von Bewertungsergebnissen zu Vorschriften und Rahmenwerken