Bewertung des Risikomanagements von Drittanbietern mit ISO 27001

Amanda: Hallo. Hallo zusammen. Die Zahlen steigen. Es ist immer wieder schön zu sehen, wenn die Zahlen zu steigen beginnen. Hallo zusammen, vielen Dank, dass Sie heute dabei sind. Während wir uns hier einrichten, werde ich eine Umfrage starten. Ich habe das Gefühl, dass Sie, wenn Sie zu diesen Veranstaltungen kommen, an all diese Fragen gewöhnt sind, und wir möchten wissen, ob sich Ihre Antworten jemals geändert haben. Während ihr wartet, würden wir gerne wissen, was euch heute zu diesem neuen Webinar hier bei Prevalent geführt hat. Macht ihr Projektforschung? Seid ihr hier, um etwas zu lernen? Ihr wisst nicht, wo ihr seid? Das ist in Ordnung. Ihr werdet etwas von einem Briten namens Thomas Humphre lernen, dem Content Manager hier bei Prevalent. Ähm, und vielleicht seid ihr ja bereits Kunde. Wenn ja, danke, dass ihr heute dabei seid. Ähm, wir werden über die Bewertung des Risikomanagements von Drittanbietern mit ISO 27.01 sprechen. Ich bin Amanda. Ich bin heute Ihre Gastgeberin. Und Thomas wird, wie gesagt, dabei sein und Ihnen alle wichtigen Informationen zu diesem Thema vermitteln. Ein paar organisatorische Hinweise: Sie sind alle stummgeschaltet. Wir können Sie auch nicht sehen, aber wir möchten wirklich, dass Sie sich beteiligen. Am Ende gibt es eine Frage-und-Antwort-Runde. Und am Ende gibt es noch eine weitere Umfragefrage, aber wenn Sie etwas haben, das Sie gerne fragen möchten, Thomas, geben Sie es bitte in die Frage-und-Antwort-Runde ein, nicht in den Chat, denn es ist viel einfacher, diesen Prozess über die Frage-und-Antwort-Runde zu streamlinien. Wenn Sie noch weitere Fragen haben, geben Sie diese bitte in den Chat ein, wenn sie nicht mit dem SL zu tun haben, also mit dem Thema, über das wir heute sprechen. Das war's auch schon von meiner Seite. Wir werden die Aufzeichnung morgen oder heute früh von mir selbst zur Verfügung stellen. Seien Sie ehrlich mit Ihren Antworten, wenn wir Ihnen Fragen stellen, denn ich werde nachfassen. Meine Kollegin Melissa und ich werden nachfassen, und wir möchten auf jeden Fall sicherstellen, dass wir Ihnen helfen können. Das war's auch schon. Also, Thomas, ich übergebe jetzt an Sie. Ich beende diese Umfrage. Und wechseln wir hier die Folie. Moment mal. Wo? Wie mache ich das? Wo ist das Ding? Ich kann es nicht sehen. Wir haben bereits einen Chat. Es ist wahrscheinlich nichts für Super. Ja, einige davon. Wir melden uns dazu noch einmal bei Ihnen. Okay, mal sehen. Murray schafft das nicht, Leute. Es lässt mich nicht. Sprecher: Soll ich versuchen, die Kontrolle zu übernehmen , Amanda, oder

Amanda: Weißt du, normalerweise gibt es so Punkte, und ich kann es nicht machen. Warte mal kurz. Wir haben einen guten Start hingelegt, Leute. Wartet mal. Ich muss kurz die Bildschirmfreigabe beenden und neu starten. Es ist, als ob mein Laptop hängen geblieben ist. Okay, mein Computer ist eingefroren. Das ist wahrscheinlich das Problem. Wartet mal kurz. Versuchen wir es noch einmal. Los geht's. Da haben wir es. Von Anfang an aktuelle Diashow. Es lässt mich das nicht machen. Sprecher: Soll ich es versuchen? Amanda: Ja. Wollen Sie es versuchen? Hören Sie das Geräusch? Es mag mich gerade nicht. Ich weiß nicht warum. Seht ihr, deshalb mache ich so etwas nicht, Leute. Ja, es ist hier auf meinem Desktop eingefroren. Das ist ein toller Start. Aber das, was Sie mir geschickt haben, war einwandfrei. Sprecher: Keine Sorge. Ich versuche mal, meinen Bildschirm freizugeben.

Amanda: Ja, ich teile nichts. Technische Probleme. Bitte habt noch etwas Geduld, alle zusammen. Okay. Während ihr wartet, hat euch allen der Super Bowl gefallen? Wie fandet ihr die Halbzeitshow? Ich meine, sie hat mich in Erinnerungen schwelgen lassen. Ich weiß nicht, ob es euch auch so ging, aber insgesamt war es eine schöne Zeit. Sprecher: Okay. Ich sehe deinen Bildschirm. Sprecher: Ich kann deinen Bildschirm sehen. Sie können loslegen. Amanda: Mein Bildschirm. Ich gehe jetzt. Wenn ihr mich braucht, bin ich hier. Viel Glück dabei.

Thomas: Vielen Dank, Amanda. Und ja, hallo an alle. Willkommen zu diesem Webinar. Mein Name ist Thomas Humphre. Ich bin Content Manager bei Prevalent. Ich erstelle Bewertungen und Umfragen für Dritte auf der Grundlage vieler anerkannter Rahmenwerke, darunter natürlich ISO 27.0001 und andere Rahmenwerke für Datenschutz und Cybersicherheit. Das Ziel heute ist es natürlich, den Standard 27.0001 durchzugehen und zu verstehen, wie Sie ihn beim Risikomanagement für Dritte anwenden können, wobei wir uns auf einige der Kernkontrollen konzentrieren, die das Rahmenwerk bietet. Ich werde eine allgemeine Einführung in die Norm geben. Ich hoffe, dass diese Norm vielen bereits bekannt ist, bevor wir uns damit befassen, wie das Management von Drittanbietern in das ISMS 2017 000 passt, und uns dann auf einige der Kernaspekte des Frameworks konzentrieren und darauf, was Organisationen tun müssen und wie sie diese wichtigen Kontrollen angehen können. Und schließlich werde ich mit dem abschließen, was Sie jetzt tun können, sowohl für diejenigen, die zum ersten Mal mit dem Risikomanagement für Dritte beginnen, als auch für diejenigen, die bereits ein Programm haben und hoffentlich dies nützlich finden und einige interessante Einblicke erhalten, wie sie einen Standard wie 27.000 nutzen können. Um kurz etwas über mich selbst zu sagen, bevor ich zu Prevalent kam: Ich war knapp 10 Jahre lang ISO-Auditor und habe für Zertifizierungsstellen in Großbritannien und Singapur gearbeitet, wie viele Auditoren, die mit ISO 90001 für Qualität angefangen haben, aber natürlich weitergekommen sind und sich Bereichen wie 27.000, wie Amanda heute bereits erwähnt hat. Wenn Sie Fragen haben, können Sie diese gerne in das Q&A-Fenster oder das Chat-Fenster eingeben. Wenn es die Zeit erlaubt, werden wir am Ende hoffentlich einige dieser Fragen beantworten können, um mit der Einführung in die ISO 27.000-Normen zu beginnen. Dies ist eine internationale Norm, die von der ISO, der internationalen Normungsorganisation, entwickelt wurde und deren Kernrahmen für Informationssicherheit darstellt. Der Kern des Rahmens besteht darin, Organisationen dabei zu helfen, eine Art Governance und Risikomanagement rund um die Informationssicherheit zu strukturieren und eine Plattform für die Identifizierung und Anwendung von Sicherheitskontrollen bereitzustellen.

Thomas: Ähm, wie Sie im Laufe des heutigen Webinars sehen werden, gibt es eine ganze Reihe von Kontrollen, von denen einige sehr relevant sind und sich direkt auf das Management von Drittanbietern oder Lieferanten auswirken. Es ist interessant zu erwähnen, dass dies nicht der erste Standard ist, der sich auf 27.01 konzentriert. Der eigentliche Vorläufer war ein Standard namens DS779. N oder der britische Standard, der 1995 entwickelt wurde. Das Konzept eines Informationssicherheits-Managementsystems hat also eine lange Geschichte. Es wurde in Zusammenarbeit mit Sicherheitsexperten und der britischen Regierung entwickelt. Erst Anfang der 2000er Jahre wurde die ISO eingeführt und damit beauftragt, diesen Standard zu internationalisieren und in einen umfassenderen Rahmen zu überführen. Die erste Bewertung 2701205 veröffentlicht, aber sie basierte auf dem britischen Standard 7799, wie man es von den meisten dieser Zertifizierungs- und Normungsorganisationen erwarten kann. Sie werden regelmäßig überprüft, um sicherzustellen, dass diese Rahmenwerke relevant sind und auf dem neuesten Stand bleiben, dass neue Technologien, neue und aufkommende Bedrohungen und bewährte Verfahren in den bestehenden Standards noch angemessen sind. In diesem Fall wurde festgestellt, dass keine Änderungen erforderlich waren, und das führte uns zur Ausgabe von 2013. Interessanterweise gab es weitere Überprüfungen dieses Rahmens. Aber seitdem wurde beschlossen, dass die Version von 2013 weiterhin aktuell bleiben sollte, sodass es keine unmittelbaren Pläne gibt, den Standard 2000 27,01 zu ändern. Es ist jedoch erwähnenswert, dass es sich, wie bei vielen dieser ISO-Normen zu erwarten, um eine Norm innerhalb einer Normenfamilie handelt. Obwohl 2000 27,01 u nicht geändert wurde, gibt es umfassendere Normen, die veröffentlicht wurden und sich darauf konzentrieren, wie dieses Rahmenwerk auf bestimmte Sektoren und Branchen angewendet werden kann, sowie Umsetzungsnormen, wie die Sicherheitskontrollen impliziert und umgesetzt werden können. Die jüngste davon, 27.0002, und vielleicht die bekannteste der Normen außerhalb von 27.0001, wurde gestern, also heute, erneut veröffentlicht.

Thomas: Also, 27.02.2022 ist das aktuellste und neueste Rahmenwerk, das einige neuere Themen einbezieht und einige der Themen wirklich behandelt. Es ist ein ziemlich gut akzeptierter Standard. Derzeit gibt es mehr als 40.000 Zertifizierungen, die in mehr als 100 Ländern im Umlauf sind. Es handelt sich also um ein globales Rahmenwerk und einen globalen Standard. Es ist interessant zu sehen, wo diese Standards und Zertifizierungen zum Einsatz kommen. Angesichts des Themas, das wir heute behandeln werden, und angesichts der Tatsache, dass wir etwa 27.000 kennen, ist es natürlich keine Überraschung, dass Organisationen, die sich mit der Entwicklung von Informationstechnologie befassen, diesen Standard offensichtlich in großem Umfang übernommen haben. Es gibt jedoch auch viele andere Organisationen im Gesundheitswesen, im Bauwesen, in der Geräteherstellung, um nur einige zu nennen, die diese Standards ganz offen übernommen haben und die Notwendigkeit eines 27.0001-Rahmens verstanden haben. Für diejenigen unter Ihnen, die mit ISO und insbesondere mit vielen ihrer Kernrahmenwerke 9 27.000 14.000 nicht vertraut sind: Sie alle basieren auf dem Konzept „Planen, Ausführen, Überprüfen, Handeln“ oder PDCA, und ich werde noch einmal erklären, wie dies auch bei der Betrachtung des Managements von Drittanbietern angewendet werden kann. Die Planungsphase umfasst also die Identifizierung von Risiken, die Identifizierung von Bedrohungen und die Identifizierung einer Regierungsstruktur. Um dann einen Abschnitt der Umsetzung anzuwenden. Also die Umsetzung von Risiken, die Umsetzung von Sicherheitskontrollen, Richtlinien und Verfahren auf der Grundlage dieser Risiken. Ein kontinuierlicher Überprüfungs- und Überwachungsprozess. Also kontinuierliche Überprüfungen durch interne und externe Mittel, Audits, Managementbewertungen, technische Überprüfungen wie Audit-Protokollierung und dann natürlich das Handeln auf der Grundlage der Ergebnisse und dieses Konzepts der kontinuierlichen Verbesserung. Also die kontinuierliche Verbesserung der bestehenden Sicherheitskontrollen, der Richtlinien, deren Überarbeitung, wo dies angemessen ist, und dann sogar die Überprüfung der Risiken, um festzustellen, ob sie für unseren Zweck relevant sind, ob sie für uns als Organisation weiterhin relevant sind oder ob neue und aufkommende Bedrohungen auftreten und Bereiche, die wir berücksichtigen müssen.

Thomas: Das gesamte Konzept dieser Managementsysteme basiert darauf, dass sie sich kontinuierlich weiterentwickeln und Prozesse kontinuierlich verbessern sollten, mit dem letztendlichen Ziel, natürlich, zu reifen. Zum Beispiel die Sicherheitslandschaft einer Organisation zu reifen. Wenn man also über Informationssicherheitsrisiken durch Dritte nachdenkt, gibt es da draußen einfach eine Menge Risiken. Es gibt eine recht breite Palette von Risikokategorien und -arten. Vielleicht sind einige der relevanteren oder, ich denke, in jüngster Zeit aufgetretenen Angriffe immer erwähnenswert. Die Zahl der böswilligen Angriffe nimmt offensichtlich zu, Ransomware, um nur einige wichtige Namen zu nennen, einige Schlüsselwörter, Solarwinds, Caya DSA, Log 4j, um nur einige zu nennen, und natürlich haben wir gesehen, dass dies etwas ist, das in einer Reihe von Branchen und Sektoren immer mehr zunimmt, und natürlich ist es hier wichtig, nicht nur darüber nachzudenken, wie sich diese Angriffe auf uns auswirken, sondern auch darüber, wie sie sich auf unsere Drittanbieter und die Organisationen auswirken, auf die wir, die uns beispielsweise wichtige Dienstleistungen in Form von wichtigen Produkten oder Komponenten erbringen. Wir müssen uns dessen bewusst sein und in der Lage sein, uns an Anbieter und Dritte zu wenden und zu fragen: „Wie gehen Sie mit diesem Log4j-Problem um? Das ist für uns in unserer Branche, in der Sie tätig sind, eine wirklich große Sache. Wie sind Sie damit umgegangen? Haben Sie die Best Practices von Sicherheitsbehörden, Herstellern usw. angewendet?“ Die DSGVO gibt es nun seit fast fünf Jahren, fünf Jahre, seit es die DSGVO gibt, und natürlich auch andere lokale, nationale Standards und Vorschriften, wie zum Beispiel das kalifornische Verbraucherschutzgesetz in den Vereinigten Staaten und Anpassungen, die an anderen nationalen Datenschutzgesetzen vorgenommen wurden. Und natürlich sehen wir eine zunehmende Speicherung, Erfassung und Verarbeitung von Daten, sei es personenbezogene Daten oder, um einen Begriff aus der DSGVO zu verwenden, PII-sensible Daten oder SPI. Unternehmensdaten. Die Datenmenge, die in einigen Fällen über mehrere Dritte verteilt wird, erhöht wiederum das Risikoniveau und den erforderlichen Aufwand für die Datenzuordnung.

Thomas: Ähm, komplexe Lieferketten, also aus Sicht der Geschäftskontinuität und Notfallwiederherstellung sehen wir in einigen Fällen sicherlich eine Zunahme der Anzahl der Lieferanten. Wir sprechen hier nicht nur von Drittanbietern. Wir sprechen jetzt von Viert-, Fünft-, Sechst-, Siebt- und Achtanbietern für einige besonders komplexe Fälle oder komplexe Branchen. Ähm, und das bringt natürlich eine ganze Reihe von Veränderungen und eine ganze Reihe von Risiken und Herausforderungen mit sich. Sie denken über geopolitische Umweltfragen und Ereignisse nach. Ähm, also die Notwendigkeit, Kontinuität und Notfallplanung zu verstehen, ähm, sowohl intern als Organisation, aber auch für Ihre Drittanbieter und wie diese die Lieferkette gegebenenfalls verwalten. Und dann natürlich nehmen der rechtliche und regulatorische Druck in einigen Bereichen, ähm, im Finanzsektor, ähm, im Rechtsbereich, ähm, ebenfalls immer mehr zu, und wir stellen fest, dass mehr Wert auf die Notwendigkeit von strengeren Datenschutzkontrollen und strengeren Sicherheitskontrollen gelegt wird. Ähm, und wenn Sie in einem dieser Sektoren tätig sind, in denen der Druck durch die Strafverfolgungsbehörden oder die Regulierungsbehörden größer ist, müssen Sie natürlich umso mehr darauf achten, dass Sie Ihre Sorgfaltspflicht erfüllen, wenn Sie mit Dritten zusammenarbeiten, bei denen es zu Problemen kommen könnte, die später zu finanziellen und rechtlichen Strafen und Problemen führen könnten. Dies sind natürlich nur einige von vielen Sicherheitsrisiken und Risikotypen bei Dritten. Es ist jedoch besonders wichtig zu betonen, dass es ein guter Zeitpunkt ist, wenn Sie dies nicht bereits tun, darüber nachzudenken, wie Sie Ihre Informationen, Ihre Informationsressourcen und Ihre Zusammenarbeit mit Dritten und gegebenenfalls auch mit Fünften nutzen. Die Frage lautet also: Wie fügt sich das TPRM-Risikomanagement für Dritte in das ISMS-Informationssicherheits-Managementsystem ein? Ein Begriff, der zur Beschreibung oder Kennzeichnung der Norm ISO 27.0001 verwendet wird.

Thomas: Also, obwohl im Großen und Ganzen 27.000 immer generiert wurden, um Unternehmen dabei zu helfen, eine Zertifizierung für sich selbst zu erhalten, basierend auf dem von uns beschriebenen klaren und strukturierten Risikomanagementansatz, einer Reihe von Sicherheitskontrollen und diesem PDCA-Konzept, also kontinuierlicher Verbesserung, Überwachung, Überprüfung, Gestaltung und Anwendung. Aber wir können es auch anwenden, wenn wir im weitesten Sinne darüber nachdenken, wie Sie Ihre Drittparteien einbinden, mit ihnen diskutieren, sie überprüfen und überwachen. Wenn man also über die Risiken von Drittparteien selbst nachdenkt, wo 27.0001 ziemlich detailliert die Notwendigkeit der Identifizierung von Informationsressourcen und die Notwendigkeit der Identifizierung einer Struktur zur Verwaltung und Berechnung von Risiken hervorhebt. Also die Auswirkung des Risikos auf die Wahrscheinlichkeit des Risikos, zum Beispiel dieses Konzept der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, können wir dies anwenden, indem wir sagen: Nun, Sie können denselben Ansatz verwenden, um Ihre Risiken durch Dritte zu analysieren, um einen systematischen Ansatz zu haben, um zu identifizieren, was für uns kritisch ist und was für unsere Informationsressourcen kritisch ist und was von Dritten unterstützt und verwaltet wird, oder wo es eine einzelne Komponente gibt, die dazu beiträgt, das Gesamtbild, das größere Produkt oder die Enddienstleistung zu liefern. Mit diesem systematischen Ansatz, dem 27.01, von Anfang an. Wir können dies nutzen, um zu definieren, wie wir Risiken durch Dritte identifizieren und verwalten, um eine klare Struktur und einen klaren Ansatz für den Start, die Dokumentation, die Übernahme von Verantwortung und die Sichtbarkeit von Risiken zu schaffen, die Sie betreffen würden. Es gibt einen Katalog mit 114 Sicherheitskontrollen. In 27.01 wird dies als Anhang A bezeichnet. Es handelt sich also um eine Liste von Kontrollen, und das Konzept sieht vor, dass eine Organisation, sobald sie ihre Risiken anhand der übergeordneten Struktur von 27.0001 identifiziert hatgibt es eine Reihe von Kontrollen, die ein recht breites Spektrum abdecken, von Zugangskontrolle über Personensicherheit, Betriebs- und Netzwerksicherheit bis hin zu Geschäftskontinuität und sicherer Entwicklung, um nur einige zu nennen. Die Idee ist, dass Sie, sobald Sie die Risiken identifiziert haben, die geeigneten Kontrollen oder Mehrfachkontrollen anwenden können, um dieses Risiko zu verwalten, zu behandeln und gegebenenfalls zu reduzieren.

Thomas: Ähm, natürlich ist die Liste nicht vollständig, aber in ähnlicher Weise, nachdem wir nun unsere Risiken durch Dritte und die Risiken, die uns am meisten betreffen werden, identifiziert haben, müssen wir uns fragen, welche Kontrollen wir selbst anwenden oder von Dritten verlangen müssen, um den Zugriff, die Nutzung oder die Unterstützung von Informationen und Informationsressourcen, auf die Dritte Zugriff haben, zu regeln. Ähm, und so müssen wir diese Sicherheitskontrollen anwenden und verstehen, welche Kontrollen angesichts der Art des Zugriffs und der Interaktion eines Dritten mit unseren Daten, unseren Informationen oder unseren Informationsressourcen am besten geeignet sind. Und schließlich mit diesem Konzept der kontinuierlichen Verbesserung und dem CA des PDCA-Zyklus, wenn Sie so wollen, habe ich erklärt, dass das Informationssicherheits-Managementsystem 27.0001 bereits klare Prozesse festlegt, die für interne und externe Audits, Managementbewertungen, Auditprotokollierung von Systemen, Inter-Incident-Response-Management und Incident-Management-Aufzeichnung, Schwachstellen- und Bedrohungsmanagement implementiert werden können. Aber natürlich sind dies Aspekte, die Sie und auch Organisationen nutzen können, um mit Dritten zusammenzuarbeiten und sicherzustellen, dass ein gewisses Maß an Überwachung und eine bestimmte Häufigkeit der Überwachung gegeben ist. Hinzu kommt natürlich die tatsächliche Leistungsüberwachung und die Berichterstattung über Dienstleistungen, die natürlich durch vertragliche Vereinbarungen mit Ihren Dritten verlangt und durchgesetzt werden kann. Es ist immer wichtig, am Ende das Risiko zu erwähnen. Ich habe das Risiko heute vielleicht noch ein paar Mal erwähnt, aber es geht um diesen kontinuierlichen Prozess, bei dem wir sagen, wenn wir eine Struktur haben, um die Risiken für unsere Dritten zu identifizieren, welche Kontrollen erforderlich sind, und dann, wie Sie sehen werden, wie wir sie aus vertraglicher Sicht anwenden, ähm, aus Sicht der Überwachung, basierend auf Veränderungen in der Landschaft, basierend auf diesen Kontrollen, basierend auf der sich verändernden Risikolandschaft, wie funktioniert unser Risikomanagementsystem? Müssen wir ständig zurückgehen und überprüfen, ob es für uns funktioniert? Funktioniert es basierend auf der Art der Risiken, denen wir mit unseren Dritten und in einigen Fällen der gesamten Lieferkette ausgesetzt sind?

Thomas: Also, ich würde jetzt gerne etwas tiefer in zwei Kernelemente einsteigen, die sich in fünf Kontrollen unterteilen und Teil dieses Katalogs von 114 Sicherheitskontrollen sind. Dies ist Teil von A.15, dem Lieferantenmanagement im ISMS, und wir beginnen mit den Untertiteln „Informationssicherheit” und „Beziehungen zu Dritten”, um dann zu den Richtlinien zur Informationssicherheit überzugehen. Weiter geht es mit den Beziehungen zu Dritten, wobei wir uns die vertraglichen Vereinbarungen und Absprachen sowie das Management und die Kenntnis der Lieferkette ansehen. Was meinen wir also mit der Definition einer Informationssicherheitsrichtlinie für Dritte? 27.000 legt einige klare Leitlinien und Anforderungen fest, wie Richtlinien identifiziert, verwaltet und überprüft werden müssen, und natürlich ist eine davon eine Richtlinie, die sich damit befasst, wie Sie mit Dritten zusammenarbeiten und wie Sie diese verwalten. Was meinen wir damit? Nun, zunächst betrachten wir die Arten von Dritten, die Risiken im Zusammenhang mit Dritten und die Beziehungen zu Dritten. Was die Arten von Drittanbietern angeht, überlegen wir, ob wir die Arten von Drittanbietern anhand der von ihnen angebotenen Dienstleistungen unterteilen können, sei es Wartung, Entwicklung, Anwendungs- oder Softwareentwicklung, Drittanbieter oder andere Aspekte wie Informationszugriff und Vermögenswerte, die wir berücksichtigen müssen. Und dann die Beziehungen zu Drittanbietern. Wie arbeiten wir mit diesen Drittanbietern zusammen? Wie oft arbeiten wir mit ihnen zusammen? Welche Art von Verträgen müssen wir abschließen, wie intensiv müssen wir sie überwachen und welche Dienstleistungsbeziehung müssen wir zu diesen Dritten aufbauen? Und wenn wir das erst einmal im Griff haben, wenn wir das erst einmal verstanden haben, können wir uns damit befassen, welche Arten von Informationszugriff die Dritten benötigen. Ähm, sicherlich überlegen wir uns, ähm, entschuldigen Sie, überlegen wir uns die Art des Lieferanten, die Art der IT-Dienstleistung, vielleicht eine Finanzdienstleistung, überlegen wir uns die Art des Zugriffs, den sie möglicherweise benötigen. Ähm, haben wir Dritte, mit denen wir zusammenarbeiten, die möglicherweise Zugriff auf unsere sensiblen Daten haben?

Thomas: Ähm, gibt es bestimmte interne Daten, Mitarbeiterdaten oder Kundendaten, auf die sie zugreifen müssen, die sie speichern müssen, je nach Art der angebotenen Dienstleistung? Und können wir auf dieser Grundlage damit beginnen, das Sicherheitsniveau, den Grad der Kontrolle und die Anforderungen, die wir von ihnen verlangen müssen, festzulegen, die sie umsetzen müssen? Und sobald wir verstanden haben, welche Art von Informationszugriff die Dritten aufgrund der Dienstleistungsstufe oder aufgrund der von ihnen angebotenen Produkte und Dienstleistungen benötigen, legen wir die Mindestanforderungen an die Sicherheit und die Kontrollen fest, und hier kommen wir natürlich wieder auf die umfassendere Auswahl in Anhang 27.0001 zurück, von denen einige ziemlich hoch sein werden, und manwürden von allen Dritten erwarten, insbesondere von denen, die mit Ihren Informationsressourcen zu tun haben oder diese verarbeiten, dass sie beispielsweise auf Vorfälle reagieren, dass sie auf Kontinuität und Notfälle reagieren, dass sie auf Informationsressourcen zugreifen, sei es, wenn sie vor Ort sind, um beispielsweise Support- oder Wartungsarbeiten durchzuführen, oder wenn Sie ihnen Informationen übermitteln und sie diese auf ihrer Website in ihrer Infrastruktur verwalten. Ähm, und so fangen wir an, basierend auf den Arten von Drittanbietern, basierend auf der Art der Informationen und dem erforderlichen Zugriffsniveau, die am besten geeigneten Sicherheitskontrollen zusammenzustellen, die wir unseren Drittanbietern auferlegen müssen. Und dann sind wir an diesem Punkt angelangt, an dem Sie sich die Überwachungsanforderungen ansehen. Und auch dies kann wiederum von der Schwere der Drittanbieter abhängen. Wenn Sie an den Punkt kommen, an dem Sie die Einstufung von Drittanbietern berechnen oder festlegen, sagen wir Tier 1, Tier 2, Tier 3 für die kritischsten, die eine geschäftskritische Komponente oder Dienstleistung bereitstellen. Stufe 3 bietet unterstützende Dienste, die keinen übergeordneten Einfluss auf das Endprodukt oder das System haben. Dann können wir damit beginnen, genau zu bestimmen, welches Überwachungsniveau wir benötigen. Benötigen wir monatliche, vierteljährliche, halbjährliche oder jährliche Service-Review-Meetings?

Thomas: Benötigen wir Berichte, die bestimmte Statistiken und statistische Auswertungen auf der Grundlage der Serviceverfügbarkeit, der Service-Betriebszeit, der Systemverfügbarkeit, basierend auf Änderungen und Änderungsmanagement sowie den Bereichen enthalten, in denen alle Anbieter möglicherweise eine Reaktion auf Vorfälle bereitstellen müssen, und dann Schulungen in zwei Teilen. Aus interner Sicht geht es darum, die Mitarbeiter für die Sicherheitsanforderungen zu sensibilisieren, wenn sie mit Dritten zusammenarbeiten. Gibt es bestimmte Nuancen oder besondere Kontrollen, die sie beachten müssen, und müssen sie darauf achten, die entsprechenden Fragen zu stellen, wenn sie sich engagieren? Gibt es auch einen Schulungsbedarf für Dritte, wenn dies erforderlich ist? Wenn beispielsweise Dritte beauftragt werden, vor Ort Wartungsarbeiten durchzuführen, gibt es dann eine grundlegende Schulung zum Thema Sicherheit und Datenschutz, an der Sie als Unternehmen die Dritten teilnehmen lassen müssen? Und dann natürlich die Vertraulichkeit, ähm, wir haben über Datenschutz und den möglichen Umgang, die Speicherung oder Nutzung von, ähm, dem Zugriff auf sensible Informationen gesprochen, und natürlich über Vertraulichkeit und Geheimhaltung, wie man es ohnehin in vielen Verträgen und Vereinbarungen mit Dritten findet. Dies sind also sechs der wichtigsten Bereiche, die wir Unternehmen empfehlen würden, bei der Entwicklung einer Informationssicherheitsrichtlinie und eines Richtlinienrahmens zu berücksichtigen. Es handelt sich also um eine Struktur, die dabei hilft, Dritte zu identifizieren und konsistent zu verwalten. Und natürlich gehen wir von hier aus weiter zur Behandlung der Sicherheit in Lieferantenvereinbarungen über. Dazu gehört die Festlegung von Informationssicherheitsanforderungen in Vereinbarungen, einschließlich der Festlegung von Mindestkontrollen, sowohl auf richtlinienbasierter als auch auf technischer Basis. Alle rechtlichen Anforderungen aus Sicht des Datenschutzes, des geistigen Eigentums, der Kommunikation, der Reaktion auf und Sichtbarmachung von Vorfällen und Problemen, der Geschäftskontinuität, Ereignissen und Bedrohungen, dem Recht auf Prüfung und den Rechten auf Prüfung sowie die Berücksichtigung von vierten oder Endparteien, die beginnen, über die gesamte Lieferkette nachzudenken. Beginnen Sie mit den Mindestkontrollen.

Thomas: Ähm, mittlerweile sollten wir einen Punkt erreicht haben, an dem wir diese Risiken bereits identifiziert haben und uns über die Art der Kontrollen und Best Practices im Klaren sind, die wir benötigen, um Daten an Dritte weiterzugeben, und das gibt uns die Gewissheit, dass unsere Daten und Informationen auf die bestmögliche Weise geschützt sind. Was meine ich also mit richtlinienbasierter Kontrolle und technischer Kontrolle? Es wird immer Überschneidungen zwischen beiden geben. Im Allgemeinen geht es um die Klassifizierung von Informationen. Diese basiert auf der Art der Daten und Informationen, die Sie an einen Anbieter oder einen Dritten weitergeben oder senden, der sich darum kümmert. Und das Unternehmen wird zweifellos über ein gewisses Maß an Klassifizierung verfügen, was den Schutz der Daten, die geltenden Regeln und den Umgang mit den Daten betrifft, beispielsweise wie die Daten gekennzeichnet sind und wie sie sogar verarbeitet werden können. Mitarbeiterüberprüfungen Wird es eine Anforderung für Sie geben, von Dritten, die auf Ihre Informationen und/oder Informationssysteme zugreifen, einige grundlegende Sorgfaltsprüfungen zu verlangen, wenn sie neue Mitarbeiter für die Arbeit an dem Projekt einstellen? Wenn Sie beispielsweise den wichtigsten Geschäftsprozess an einen Dritten auslagern und es Systeme gibt, die Informationen auf Kontoebene speichern, Verbindlichkeiten, Finanzinformationen, zum Beispiel sogar Informationen über die Bezahlung von Mitarbeitern, wenn Sie den gesamten Zahlungsprozess auslagern, wo Sie sicher sein wollen, dass die Mitarbeiter, die sich darum kümmern und die bei der Verwaltung dieses Zahlungsprozesses helfen, angemessen überprüft wurden, ähm, wo nötig, und dass zumindest eine Sorgfaltspflicht besteht, dass der Dritte die von ihm gewählten Ansätze mitteilen kann. Natürlich gibt es Richtlinien zur akzeptablen Nutzung, umgehende Reaktion, die wir teilweise behandelt haben, und natürlich Datenschutz, wenn man an die DSGVO und den CCPA denkt, gibt es lokalisierte Rahmenwerke oder Vorschriften, und selbst wenn es keine anderen grundlegenden Kontrollen auf der Grundlage von Datenschutzrichtlinien gäbe. Also eine Datenschutzrichtlinie, zum Beispiel Datenschutzanforderungen und Reaktionsmanagement, und dann natürlich technische Kontrollen zum Schutz der Daten.

Thomas: Sie müssen also Zugriffskontrollen und Zugriffsbeschränkungen für Ihre Informationssysteme unterstreichen und identifizieren, beispielsweise basierend auf Leasingprivilegien. Datenspeicherung, Methoden zur Speicherung der Daten und Verschlüsselungsstufen. Ähm, wenn die Organisation Mindestanforderungen für, ähm, AES256-Bit-Verschlüsselung hat, zum Beispiel für Daten in der Brust, ähm, und ein Minimum an Transport Layer Security TLS 1.2 1.3, weil es andere, ähm, offensichtlich veraltete, ähm, Versionen gibt, die jetzt, ähm, veraltet und nicht mehr gültig sind und, ähm, eine schlechte Sicherheit haben. Es kann erforderlich sein, dass Sie darauf bestehen und gegebenenfalls durchsetzen, dass dasselbe Verschlüsselungsniveau gilt, wenn diese Daten an einen Standort oder Betrieb eines Dritten übertragen werden. Aufbewahrung und Entsorgung von Daten. Was passiert nach Abschluss eines Projekts? Sind Sie damit einverstanden, dass Dritte Systeme, die Daten enthalten, auf sichere Weise gemäß bestimmten Sicherheitsstandards entsorgen? Verlangen Sie, dass solche Systeme sicher sind? Dass sie auf sichere Weise über einen sicheren Couer und andere Mittel an das Unternehmen zurückgegeben werden und dann natürlich technische Kontrollen, um den Datenschutz durch die Beschränkung des Zugriffs, Verschlüsselungsstufen und auch durch Maßnahmen zur Verhinderung von Datenverlusten zu gewährleisten. Es gibt also eine ganze Reihe von Kontrollen, und die Idee dabei ist, dass wir beginnen, diese als Teil der Vereinbarung, als Teil der vertraglichen Anforderungen zu integrieren. Natürlich gibt es gesetzliche Anforderungen, ich habe den Datenschutz erwähnt, und möglicherweise muss eine Methode zur Durchsetzung zusätzlicher Schutzmaßnahmen auf der Grundlage der DSGVO-Anforderungen, der Art der Datenverarbeitung und der Datenverwendung, die von einem Dritten verwaltet wird, eingeführt werden. Die Kommunikation ist natürlich sehr wichtig, um wichtige Ansprechpartner sowohl intern als auch aus Sicht des Dritten zu identifizieren. Wie werden sie also reagieren, wenn es zu einer Verletzung oder einem Vorfall kommt? Wie werden sie dies an Sie als Organisation zurückmelden? Ähnliches gilt auch für die Geschäftskontinuität. Das Recht auf Vergabe ist natürlich eine gängige Klausel, die Sie mittlerweile in vielen Verträgen finden.

Thomas: Ähm, das wird nicht immer umgesetzt, aber wenn doch, bietet es natürlich eine hervorragende Gelegenheit, sich eingehender mit einem Unternehmen zu befassen, indem man eine Prüfung angemessen abgrenzt und den Umfang festlegt. Die Möglichkeit, tatsächlich zu überprüfen, ob die Kontrollen physisch oder durch Fernbewertungen oder Umfragen vorhanden und wirksam sind, ist jedoch immer ein wichtiger Aspekt, der in solchen Verträgen berücksichtigt werden muss. Und dann natürlich Überlegungen zu vierten und Endparteien. Also die Transparenz, dass wir Ihnen unsere Informationsressourcen übergeben oder dass es eine Vereinbarung gibt, dass Sie uns bei der Entwicklung dieser Ressourcen helfen oder uns einen Teil der Entwicklung zur Verfügung stellen. Lagern Sie einige dieser Komponenten an Ihre eigenen Drittparteien aus? Ähm, bitte haben Sie etwas Geduld. Ich entschuldige mich, dass es etwas düster wird. Ähm, und wie Sie die Transparenz von Viertparteien und die Transparenz darüber verwalten, über welche Datenebenen ähm oder welchen Zugang zu Informationssystemen diese Viertparteien ebenfalls verfügen. Überlegen Sie also, wie Sie Anforderungen an Viertparteien oder zumindest Anforderungen an Drittparteien in Bezug auf die Sorgfaltspflicht erfassen, die Sie von ihnen erwarten würden, was auch die Anwendung einiger der Informationssicherheitskontrollen umfassen könnte, deren Einhaltung Sie auch von Ihren Drittparteien verlangen. Dann kommen wir zur Lieferkette der Informations- und Kommunikationstechnologie selbst. Man muss sich bewusst sein, wie Informationsressourcen in der gesamten Lieferkette unterstützt, genutzt oder bereitgestellt werden, und Kontrollen identifizieren, um die damit verbundenen Sicherheitsrisiken zu überwachen und zu verwalten. Ich denke, es gibt vier wichtige Aspekte, die wir hier berücksichtigen sollten, wenn wir versuchen, die Lieferkette in eine Vereinbarung mit Dritten einzubeziehen und zu berücksichtigen. Einer davon sind sicherlich kritische Komponenten und deren Herkunft. Kennen wir die Herkunft einer bestimmten Komponente? Gibt es eine angemessene Rückverfolgbarkeit vom ursprünglichen Lieferanten oder Dritten über unseren unmittelbaren Auftrag bis hin zum Zeitpunkt, an dem sie bei uns eintrifft? Haben Sie die kritischen Komponenten identifiziert, die im Allgemeinen geschäftskritisch sind und ohne die es zu einem Problem kommen könnte, das zu einer Sicherheitslücke eines Produkts, möglicherweise zu Datenverlusten, einem Verlust der Marke oder einer Schädigung des Rufs führen könnte?

Thomas: In Anbetracht dessen und in Anbetracht der Frage, wie weit unten in der Lieferkette wir uns befinden, sind wir uns natürlich der Informationssicherheitskontrollen für Produkte und Dienstleistungen bewusst. Ich habe natürlich die Kontrollen erwähnt, die möglicherweise gegenüber unseren Drittparteien durchgesetzt werden müssen, und es kann erforderlich sein, diese gegebenenfalls auch auf die vierte, fünfte und sechste Partei auszuweiten. Nehmen wir zum Beispiel ein bestimmtes System, das ich erwähnt habe, das Outsourcing von Geschäftsprozessen. Nehmen wir an, Ihr Drittanbieter verwaltet diese Prozesse für Sie. Er verwaltet die Finanzen des Unternehmens, die Kreditorenbuchhaltung, die Mitarbeiterzahlungen und so weiter. Und dieser Drittanbieter beauftragt dann selbst einen weiteren Dienstleister, der ihn bei der Wartung dieser Systeme unterstützt. Nun, aufgrund der Tatsache, dass diese vierten Parteien nun mit Ihrem Drittanbieter zusammenarbeiten, um diese Systeme zu warten, müssen Sie sich darauf verlassen können, dass diese vier Parteien das erforderliche Maß an Sorgfalt, Schulung, Bewusstsein vielleicht auch Zugriffsbeschränkungen erreicht haben und entsprechende Geheimhaltungsvereinbarungen unterzeichnet haben, um sicherzustellen, dass sie sich der Systeme bewusst sind, dass sich die Drittparteien der Systeme bewusst sind, mit denen die vierten Parteien zu tun haben, und dass sie natürlich auch angemessene Sicherheitskontrollen anwenden. Offensichtlich spielt die Sicherheit hier eine große Rolle, und durch Leistungsüberprüfungen, die regelmäßige Überwachung des Drittanbieters und den Grad der Einbindung können Sie natürlich sicher sein, dass sowohl aus Sicht der Herkunft die Produkte und Dienstleistungen, die der vierte Anbieter anbietet, für den vorgesehenen Zweck geeignet sind, als auch dass er die erforderlichen Sicherheitskontrollen und -funktionen angewendet hat. Dann auch die Art der Kontrollen, wie wir sie aus dem Beispiel des Drittanbieters für Business Process Outsourcing erwähnt haben, dass diese Kontrollen auch angemessen angewendet wurden. Es geht darum, diese Sicherheit und Bestätigung vom Drittanbieter zu erhalten, dass er die wichtigen Kontrollen durchführt, die man von ihm erwarten würde, dass er sie beim Viertanbieter durchführt. Und dann natürlich die Überprüfung der Sicherheitsrisiken.

Thomas: Wenn also Risiken oder Bedrohungen auftreten, und wenn man die vier Phasen der Komponenten versteht und weiß, wie weit und wie viele vierte, fünfte und sechste Parteien erforderlich sind, um das Endprodukt an Sie zu liefern, sollte dies Ihnen helfen und dazu dienen, Ihre eigenen Sicherheitsrisiken zu überprüfen. Um noch einmal auf die Risiken durch Dritte zurückzukommen, die wir von Anfang an festgestellt haben: Müssen wir diese überprüfen? Müssen wir sie anpassen, wenn wir die Komplexität der Lieferkette kennen? Muss das Risiko aufgrund dieser Komplexität erhöht werden, oder sind wir zufrieden damit, dass die Sorgfaltspflicht, die Notfallplanung und die Geschäftskontinuität umgesetzt und angewendet wurden und dass der Drittanbieter den Viertanbieter so verwaltet, wie wir es aus Sicherheits- und sogar aus Datenschutzgründen erwarten? Kommen wir nun zum zweiten Teil, dem Management der Dienstleistungserbringung durch Dritte, das zwei Aspekte umfasst. Der eine Aspekt ist die Überwachung, Prüfung und Überprüfung sowie das Management von Änderungen. Wenn man also über die Überwachung, Prüfung und Überprüfung nachdenkt, also die Überprüfung, ob die Bedingungen für die Informationssicherheit erfüllt sind, können wir dies auf drei Arten erreichen. Eine davon ist die regelmäßige Überwachung und Überprüfung der Leistung des Dritten anhand der Dienstleistungsberichte. Zweitens durch die Nutzung der Rechte zur Prüfung, wo dies möglich ist. Und schließlich durch den rechtzeitigen Erhalt von Mitteilungen in Bezug auf die Reaktion auf Vorfälle und das Problemmanagement. Ähm, noch einmal, wo dies erforderlich ist. Um also zum Anfang zurückzukommen: Durchführung regelmäßiger Überwachungsprüfungen. Ich habe dies bereits aus einer 27.000-Perspektive erläutert. Es gibt viele verschiedene Überprüfungen und Managementbewertungen, die durchgeführt werden können, wenn man dies intern betrachtet. Und natürlich gibt es auch Serviceüberprüfungen und Leistungsbewertungen, die durchgeführt werden können. Mit den Dritten. Die Häufigkeit hängt natürlich von der Kritikalität dieser Beziehung und der Kritikalität des Dritten ab. Es ist nicht ungewöhnlich, dass monatliche Leistungsbewertungen von Dritten durchgeführt werden.

Thomas: Es ist auch nicht ungewöhnlich, vierteljährliche und halbjährliche Überprüfungen durchzuführen, wenn die Leistung offensichtlich sehr gut ist, wenn die Beziehung sehr gut ist oder wenn das Risiko oder die Kritikalität dieses Dritten so groß ist, dass nur eine halbjährliche oder sogar jährliche Leistungsüberprüfung gewünscht wird. Aber denken Sie über die Art der Kontrollen nach, die wir in der Vertragsphase angewendet haben, und helfen Sie dabei, diese in die Serviceberichte einzubauen, die Sie möglicherweise anfordern. Und das kann alles Mögliche sein, von Berichten und Statistiken über Schwachstellen, Änderungen, sogar Änderungen bei Lieferanten und den Kontrollen des Lieferantenmanagements, die wir von dem Drittanbieter oder dem Viertanbieter verlangen, wie beschrieben. Wir müssen also darüber nachdenken, welche Art von Statistiken wir benötigen, um sicherzustellen, dass die Sicherheitskontrollen, die wir von dem Dritten verlangt haben, wie Zugriffskontrollen, Vorfallskontrollen, Kontrollen zur Klassifizierung von Informationen, was auch immer es sein mag, auch tatsächlich durchgeführt werden. Und durch diese regelmäßigen Leistungsüberprüfungen, diese Aktualisierungen und möglicherweise sogar durch Service Level Agreements, Ziele, SLAs und Vorgaben können wir dazu beitragen, diese auf der Grundlage der Häufigkeit und natürlich der Komplexität dieser Kontrollen zu messen. Das Recht auf Audit, das ich erwähnt habe, ist, wie gesagt, weit verbreitet. Ähm, und wenn wir über das Recht darauf sprechen, ähm, ist es natürlich besonders heutzutage wichtig, zu bedenken, dass dies nicht nur bedeutet, physisch bei einem Dritten vor Ort zu erscheinen und eine vollständige Bewertung durchzuführen. Der Trick dabei und die Bedeutung liegt natürlich darin, dies zu verstehen, abzugrenzen und den Umfang richtig zu definieren. Es ist also klar, dass, wenn Sie ein Recht auf Prüfung einführen, es sich um eine Prüfung dieser Funktionen, dieser Prozesse, dieser Kontrollen handelt, um sicherzustellen, dass, wenn Sie wichtige Informationsressourcen übergeben, die natürlich Hardware, Software, Daten oder was auch immer sein können, Sie Ihr Recht auf Prüfung ausüben möchten, um zu überprüfen, ob diese Systeme in der Weise sicher sind, wie Sie es mit dem Dritten vereinbart haben.

Thomas: Und dann zeitnahe Kommunikation in Bezug auf sofortige Reaktion und Problemmanagement. Ich halte Kommunikation für sehr wichtig, insbesondere die Zeitnähe, nicht zuletzt, wenn tatsächlich Bedrohungen und Schwachstellen auftreten. Dabei kann es sich sowohl um Bedrohungen handeln, die sich direkt auf ein Informationssystem auswirken, das beispielsweise von einem Dritten verwaltet wird, als auch um solche, die sich indirekt auswirken, aber sofort spürbar sind. Es kann aber auch andere Systeme geben, die beispielsweise in irgendeiner Form von einer Sicherheitsverletzung oder einem gezielten Angriff betroffen sind. In diesem Fall reicht es aus, wenn Sie eine weitere Untersuchung und eine weitere Diskussion mit einem Dritten veranlassen, um zu klären, welche Aktionspläne Sie umsetzen, wie Ihr Reaktionsprozess aussieht und wie Sie aus Sicht des Problemmanagements damit umgehen. Es gibt also viele verschiedene Ansätze und Techniken für die Überwachung und Prüfung von Audits. Natürlich ist es wichtig, diese zu identifizieren und als Teil der Vereinbarungen und Verträge mit Dritten festzuhalten. Dann gehen wir zum Management von Änderungen an Dienstleistungen Dritter über. Also das Festlegen von Änderungen gegenüber Dritten und die Auswirkungen auf Geschäftsinformationssysteme und -prozesse. Auch hier sollten wieder drei Bereiche berücksichtigt werden: organisatorische Veränderungen, Änderungen in der Dienstleistungserbringung und Vertragsänderungen. Ich fange ganz unten an. Das ist, glaube ich, am klarsten. Natürlich wird es immer notwendig sein, vertragliche Vereinbarungen formell zu überprüfen, insbesondere wenn sich Prozesse oder Systeme ändern, wenn es notwendig ist, die Dienstleistungserbringung zu erweitern oder zu reduzieren, und wenn es einen formellen Prozess der Zusammenarbeit mit einem Dritten gibt und man verstehen muss, wie sich diese Änderungen sowohl auf einen selbst als auch auf den Dritten auswirken. Und natürlich die Risiken, die damit verbunden sein können, die Zunahme oder Verringerung des Risikos in einigen Fällen, je nachdem, wie eine Vereinbarung aus Sicht der organisatorischen Veränderung geändert oder angepasst wird. Also zurück zur organisatorischen Veränderung, zur Entwicklung neuer Systeme, zur Änderung von Richtlinien, zu neuen Kontrollen.

Thomas: Wenn also die Organisation, der Dritte, mit dem Sie zusammenarbeiten, seine Sicherheitsrichtlinien, Datenschutzrichtlinien, beispielsweise auch Richtlinien zur Mitarbeiterrekrutierung, aktualisiert, also alles, was Auswirkungen haben könnte, oder wenn er neue Kontrollen einführt. Wenn er beispielsweise einige Sicherheitskontrollen verbessert und ein stärkeres Authentifizierungssystem eingeführt hat oder wenn er andere Kontrollen verstärkt, beispielsweise durch den Austausch des Alterssystems. Das sind natürlich alles positive Veränderungen, von denen Sie als Organisation hoffentlich profitieren werden. Wenn Sie sich dieser Veränderungen bewusst sind, können Sie einige der Risiken, die Sie ursprünglich gegenüber dem Drittanbieter eingegangen sind, besser verstehen und reduzieren. Ähm, und in ähnlicher Weise gelten dies auch für Änderungen an Dienstleistungsangeboten, die Einführung neuer Produkte oder neuerer Versionen und Releases von Systemen. Wenn Dritte also beispielsweise beschlossen haben, ihre Systeme zur Erfassung von Informationen im Zusammenhang mit Vorfällen und Änderungsmanagement zu verbessern, kann das eine positive Sache sein. Das bedeutet, dass Sie dann möglicherweise detailliertere Informationen erhalten, wenn Änderungen auftreten. Sollte ein Vorfall eintreten, gibt es möglicherweise ein tieferes Wissen, das als Teil dieser verbesserten Produkte oder aktualisierten Versionen erfasst wird. Aber es gibt auch andere wichtige Bereiche, die zu berücksichtigen sind. Zum Beispiel die Verlagerung von Serviceeinrichtungen. Wenn Sie also einen Dritten mit der Verwaltung einiger Ihrer Informationen oder Informationsressourcen beauftragt haben und die ursprüngliche Vereinbarung lautete, dass diese an einem bestimmten Ort aufbewahrt werden sollten. Denken Sie zum Beispiel an den Datenschutz und nehmen wir an, die DSGVO aus europäischer Perspektive, wenn der Dritte nun eine Verlagerung von dieser Einrichtung zu einer anderen Einrichtung beantragt oder vorschlägt, dann kann das natürlich massive Auswirkungen auf das Unternehmen haben.

Thomas: Ähm, wieder positiv oder negativ, je nach Art des Umzugs der Einrichtung oder des Standorts, und daher ist es absolut entscheidend, rechtzeitig darüber informiert zu werden, insbesondere wenn dies eine Überprüfung der Sicherheitskontrollen oder der Datenschutzkontrollen bedeutet, ähm, wenn sie umziehen, ähm, wenn sie geografisch umziehen, ähm, oder wenn sie ihren Standort wechseln, und natürlich auch, wenn sie den Lieferanten wechseln, da die Lieferkette ständig wächst und eseinige Sektoren, in denen sie sich auf die vierte, fünfte, sechste oder siebte Stufe ausweitet. Wenn also Ihr Drittanbieter seine Lieferanten wechselt und neue Lieferanten hinzufügt, um beispielsweise einen besser strukturierten Service anzubieten, oder weil es einen Vorfall gegeben hat, der einen ihrer Lieferanten in der Kette betroffen hat, und sie den Lieferanten wechseln möchten. Wenn dies offensichtlich direkte oder indirekte Auswirkungen auf Sie hat, dann ist es natürlich entscheidend, dass das Unternehmen darüber informiert wird und ausreichend Zeit hat, dies zu prüfen, um den Drittanbieter einzubeziehen, damit er das Risiko und die Komplexität versteht und natürlich auch hinterfragt. Insbesondere, wenn es sich um etwas handelt, das große Auswirkungen auf die Informationssysteme oder -lösungen oder Informationsressourcen hat, die der Drittanbieter nutzt. In dieser Phase führen wir also eine schnelle Überprüfung durch. Wir haben uns allgemein angesehen, wie das ISMS ISO 27.0001 genutzt werden kann, um Risiken durch Dritte zu identifizieren und geeignete Kontrollmaßnahmen anzuwenden und zu identifizieren. Risiko klar ausgearbeiteter Risikomanagementprozess, dessen Verwendung von Anhang 114 Kontrollen und dann natürlich die Prozesse, die Sie durchführen müssen, um diese Informationssicherheitsanforderungen aus vertraglicher Sicht zu erfassen, und dann den Prozess der kontinuierlichen Überwachung, kontinuierlichen Überprüfung, Verwaltung und Überprüfung von Änderungen und der Kenntnis der gesamten Lieferkette. Was müssen wir also jetzt tun? Wenn Sie gerade erst mit diesem Prozess beginnen, besteht der erste Schritt darin, Ihre Drittanbieter zu identifizieren.

Thomas: Beginnen Sie damit, Ihre Drittanbieter anhand ihrer Bedeutung für das Unternehmen, der Art der Informationsressourcen, die sie nutzen, auf die sie zugreifen und zu denen sie Zugang erhalten, zu identifizieren, zu bewerten und sogar zu profilieren. Beginnen Sie also damit, eine Bewertung für Dritte auf der Grundlage der Kritikalität vorzunehmen. Also hoch, mittel, niedrig, rot, gelb, grün, Stufe 1, Stufe 2, Stufe 3, je nach Fall. Dies kann Ihnen helfen, Ihre Dritten zu strukturieren und zu sagen, dass diese am kritischsten sind und dass diese für unser Endprodukt und unsere Dienstleistungserbringung oder unseren Endkunden von entscheidender Bedeutung sind. Ähm, und diese sind für uns kritisch, geben uns aber aus Risikosicht nicht allzu viel Anlass zur Sorge, und dann erstellen wir natürlich ein Profil der Drittanbieter, um dies ebenfalls zu vermitteln und die Kategorie zu identifizieren. Also die Art der erbrachten Dienstleistung, die Art der verarbeiteten Daten, ähm, der geografische Standort, was auch immer es sein mag, um Ihnen ein Bild davon zu vermitteln, was dieser Drittanbieter tut und mit welchen Lieferanten und Viertanbietern er zusammenarbeitet. Und sobald wir das im Griff haben, können wir natürlich damit beginnen, diesen Risikobewertungsprozess zu entwickeln. Wie ich bereits sagte, liegt die Stärke von 27.0001 in dem klar definierten Risikoansatz. Um Risiken zu identifizieren und zu managen, beginnt man natürlich damit, den Zugriff Dritter auf Ihre Informationsressourcen oder deren Unterstützung zu identifizieren. Über welche Informationsressourcen verfügen Sie als Unternehmen und welche davon werden von Dritten genutzt, verwaltet und unterstützt? Identifizieren Sie die Risikoberechnung, also die Auswirkungen über die Wahrscheinlichkeit plus CIA, Vertraulichkeit, Integrität und Verfügbarkeit. Das sind die Vertraulichkeit von Informationen, die Integrität von Informationen und die Verfügbarkeit von Informationen. Denken Sie also über das Risiko eines Verlusts von CIA nach, wenn Sie über die Erstellung und Berechnung Ihres Risikos, ähm, Ihres Risikorahmens nachdenken. Und schließlich identifizieren Sie eine Methode zur Erfassung des Risikos. Erfassen Sie Risiken anhand von Stärken, anhand von Tabellenkalkulationen, anhand von Plattformen oder anhand einer Kombination aus beidem? Welchen Ansatz verfolgen Sie? Stellen Sie sicher, dass Sie den Überblick behalten und Ihre Risiken kontinuierlich aktualisieren und überprüfen können. Drittens natürlich die Durchführung der Risikobewertung durch Dritte selbst.

Thomas: Also, den Zugriff Dritter auf die Vermögenswerte identifizieren, die Bedrohungen und Fähigkeiten identifizieren. Also, ganz vorne stehen die Cybersicherheitsrisiken, die Risiken für die Geschäftskontinuität, die geopolitischen Risiken, die Risiken für die Privatsphäre in Bezug auf die Umwelt, was auch immer der Fall sein mag. Identifizieren Sie die für das Unternehmen kritischsten Bedrohungen und Schwachstellen und wie diese durch Dritte beeinflusst werden. Also, wie Sie durch Ihre Dritten beeinflusst werden. Natürlich auch die Wahrscheinlichkeit des Eintretens dieser Bedrohungen und Schwachstellen. Und dann die Identifizierung und Auswahl der entsprechenden Kontrollen. Auch hier sei wieder erwähnt, dass die 27.000 natürlich nicht erschöpfend sind, aber die 114 Kontrollen, die den Zugang zur operativen Netzwerksicherheit usw. umfassen, bieten eine gute Grundlage oder ein gutes Rückgrat, um mit dem Aufbau einer Sammlung von Kontrollen zu beginnen, die am besten geeignet sind und die Sie gegenüber Ihren Dritten durchsetzen müssen. Und schließlich erstellen Sie natürlich einen Plan zur Bewältigung der Risiken und setzen diesen um. Das bedeutet, dass Sie eine Richtlinie zur Informationssicherheit für Dritte entwickeln, Kontrollfaktoren, Sicherheitskontrollen und Datenschutzkontrollen in Vereinbarungen und Verträgen mit Dritten festlegen und gegebenenfalls Anforderungen an die Lieferkette einbeziehen. Und schließlich überprüfen Sie natürlich alles und ergreifen Maßnahmen. Also die PDCA-Seite, die Überprüfung und das Handeln in Bezug auf Ihre Drittanbieter. Also die kontinuierliche Überwachung, Leistungsüberprüfung, Zielsetzung und SLA. Und die kontinuierliche Verbesserung durch die Überprüfung der Risiken, durch die Überprüfung neuer Risiken, neuer und aufkommender Bereiche, die Sie vielleicht verbessern müssen, und die Einführung neuer Kontrollen, um diese zu bewältigen, natürlich basierend auf der Einbindung von Drittanbietern und basierend auf der Art der Informationsressourcen, die sie für Sie verwalten. Ähm, ich werde hier vorerst eine Pause einlegen. Ähm, ich glaube, dass mein Kollege Scott noch ein paar weitere Abschnitte behandeln wird. Ähm, also werde ich an dieser Stelle wieder an Sie zurückgeben, Amanda.

Amanda: Ja. Scottwird jetzt übernehmen. Thomas, wenn du ein paar Folien überspringen möchtest, damit wir uns das hier ansehen können. Scott: Ja, lass uns direkt zu den Folien mit der Checkliste gehen. Scott: Die Checkliste wäre super. Bitte sehr. Das war's. Das ist alles, was ich mitteilen wollte. Nur eine kurze Anmerkung zu dem, was Thomas über Best Practices, die Einrichtung Ihres Frameworks und die Vereinheitlichung Ihrer Fragestrukturen gesagt hat. Die Funktionen der Plattform von Prevalent helfen Ihnen dabei, Ihre Lieferanten anhand dieser Standards zu bewerten, indem sie die Informationen vereinheitlichen und Ihnen helfen, sehr schnell zu klären, wo Kontrollmängel bestehen und was Sie tun müssen, um diese zu beheben. Um Ihnen einen Vorsprung zu verschaffen, haben wir eine sogenannte ISO- und Drittanbieter-Risikomanagement-Checkliste veröffentlicht. Diese listet die Anforderungen auf, die für das Risikomanagement von Drittanbietern und Lieferanten im Rahmen des ISMS gelten. Und dann definieren Sie spezifische Funktionen, auf die Sie bei einer Lösung achten müssen, und dann wissen Sie, dass Prevalent auch diese Anforderungen erfüllt. Wir werden Ihnen einen Link zum Herunterladen des Dokuments zukommen lassen, aber wir haben es auch hier bereitgestellt, falls Sie schnell tippen können. Ähm, und Sie wissen, dass dies eine große Hilfe für Sie ist, um Ihre bestehenden ISO-Anforderungen und -Praktiken mit den Best Practices aus Sicht eines Drittanbieters abzugleichen. Das ist also die einzige Werbung, die ich machen wollte. Ich sehe eine Menge Fragen, die alle sehr gut sind. Deshalb werde ich jetzt aufhören zu reden und das Wort wieder an den Experten übergeben.

Amanda: Das bin ich zwar nicht, aber ich werde trotzdem fragen. Okay, Leute. Ich weiß, dass wir unter Zeitdruck stehen. Ich habe gerade eine Umfrage gestartet. Die Frage ist selbsterklärend. Ich werde sie gar nicht vorlesen. Ihr seht sie dort. Kommen wir gleich zu den Fragen und Antworten. Ich werde so schnell wie möglich von oben nach unten gehen. Wenn ihr etwas in den Chat schreibt, tut mir leid, ich kann gerade nicht scrollen. Es ist so viel. Aber okay, die erste Frage lautet: Warum sind bestimmte Branchen wie das Gesundheitswesen aufgeschlossener für die Anwendung von 27,01? Thomas: Das ist eine wirklich gute Frage. Es ist eine Frage, die wir versuchen, im Auge zu behalten. Sie wissen ja, welche Sektoren sind mehr interessiert als andere. Ich denke, angesichts einiger Vorfälle aus Großbritannien gab es in den letzten Jahren einige böswillige Angriffe, die sicherlich Auswirkungen auf einige Gesundheitssysteme und Gesundheitsorganisationen hatten, und manchmal ist das alles, was es braucht, damit die Aufsichtsbehörden sagen, dass wir mit der Umsetzung der Plattform 27.000 beginnen müssen, da sie global anerkannt ist und als Best-Practice-Standard gilt. Manchmal ist das alles, was es braucht, damit die Aufsichtsbehörden sagen, dass wir mit der Umsetzung der Plattform 27.000 beginnen müssen, da sie global anerkannt ist und als Best-Practice-Standard gilt.alles, was es braucht, damit die Aufsichtsbehörden sagen, dass wir mit der Umsetzung einer Plattform 27.000 beginnen müssen, wenn man bedenkt, wie global sie ist und wie anerkannt sie als Best-Practice-Standard ist, manchmal ist das alles, was nötig ist, um das voranzutreiben. Ähm, typischerweise, wenn eine Branche sie übernimmt, kommt das entweder durch Druck von Branchenführern oder von Aufsichtsbehörden. Ähm, das ist in der Regel der Fall, wo wir mehr finden. Es gibt immer ein paar Überraschungen. Ich glaube, ich habe die Bauindustrie erwähnt. Die hat derzeit nur ein paar 300 Zertifizierungen, glaube ich, und einige der Fertigungsindustrien haben zwischen 300 und 400 Zertifizierungen, und das ist natürlich auf globaler Ebene, da ist es natürlich höher, um das mal zu betonen, ja.

Amanda: Okay, perfekt, also das nächste Thema sind die 114 Kontrollen, sortiert nach ihrer Wichtigkeit. Thomas: Nein, das sind sie nicht. Das Konzept ist, dass diese 114 Kontrollen auf eine Vielzahl von Themen und Sachgebieten verteilt sind. Ich habe bereits die Zugriffskontrolle und die Systementwicklung erwähnt, aber nein, sie sind in diesem Sinne nicht priorisiert. Der Zweck besteht also darin, dass eine Organisation eine Risikobewertung gemäß 27.01 durchführt, sobald sie die Risiken kennt, insbesondere die Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Die Theorie besagt also, dass man, sobald man beispielsweise weiß, dass das Risiko eines Verlusts der Vertraulichkeit von Daten am größten ist, anhand der 140 Kontrollen ermitteln kann, welche Kontrollen am besten geeignet sind, um das Risiko eines Verlusts der Vertraulichkeit von Daten zu verringern. Dann können Sie beispielsweise anhand der 140 Kontrollen herausfinden, welche Kontrollen Sie am besten anwenden sollten, um das Risiko eines Verlusts der Vertraulichkeit von Daten zu verringern. Ähm, aber nein, sie haben definitiv keine Priorität. Es hängt sehr stark von der Art des Unternehmens, der Branche, in der Sie tätig sind, und natürlich auch von der Größe und Komplexität des Unternehmens ab.

Amanda: Okay, die nächste Frage lautet: Was macht man mit einem Risiko, das bereits durch eine Kontrollmaßnahme gemindert wurde? Wird es nicht in die Risikobewertung einbezogen oder als geringes Restrisiko eingestuft, oder handelt es sich gar nicht um ein Risiko? Thomas: Können Sie die Frage wiederholen , Amanda? Amanda: Was macht man mit einem Risiko, das bereits durch eine Kontrollmaßnahme gemindert wurde? Also, Thomas: Das Risiko ist bereits gemindert. Wenn Sie also ein Risiko identifiziert haben und wissen, dass es Maßnahmen zur Risikominderung gibt, dass es Kontrollrichtlinien, Verfahren oder Schulungen gibt, die dazu beigetragen haben, das Risiko so weit zu senken, dass Sie mit Sicherheit sagen können, dass wir es gemindert haben. Es könnte einfach genug sein, nur die Sichtbarkeit dieses Risikos aufrechtzuerhalten, aber möglicherweise müssen Sie nichts weiter damit tun. Sie müssen sich natürlich damit befassen und darauf zurückkommen, wenn sich etwas ändert, das eine Erhöhung des Risikos zur Folge haben könnte. Wenn sich beispielsweise die ursprünglichen Kontrollen, die Sie angewendet haben, als Sie glaubten, das Risiko gemindert zu haben, geändert haben, wenn sie reduziert wurden oder wenn das Risiko selbst durch neue und aufkommende Bedrohungen erhöht wurde. Um, und deshalb ist es so wichtig, die Risiken kontinuierlich zu überprüfen, um sicherzustellen, dass die Risiken, die Sie ursprünglich identifiziert haben und die hoffentlich gemindert oder behandelt wurden, auch weiterhin so bleiben. Wenn dies nicht der Fall ist und sich das Risiko erhöht hat, können wir es erneut überprüfen und überlegen, welche zusätzlichen Kontrollen oder Maßnahmen wir ergreifen können oder sollten, um das Risiko wieder auf ein für unser Unternehmen akzeptables Niveau zu senken. Ich gehe hier einfach mal ins Blaue hinein. Eine weitere Frage ist, ob es Muster gibt, ob es Musterklauseln für Audits gibt, die man in eine Vereinbarung aufnehmen kann. Würde ein Cloud-Dienstleister bestraft werden?

Thomas: Ähm, Cloud-Dienstleister werden bestraft, ähm, das ist interessant. Ähm, sie werden bestraft. Ich meine, das hängt wohl zum Teil mit den rechtlichen Aspekten von Verträgen zusammen. Das ist ein interessanter Bereich, mit dem wir oft zu tun haben, wenn es um einige dieser sehr großen multinationalen Unternehmen geht, denen wir sagen, dass wir sie gerne prüfen würden, und eine typische Antwort könnte lauten: Nein, wir lassen keine Prüfungen zu. Ich denke, das liegt zum Teil daran, dass sie, wenn sie eine zulassen würden, potenziell allen eine Prüfung zulassen müssten. Und was wir dort typischerweise sehen, ist, dass sie sagen: „Wir sind jedoch mehrfach zertifiziert. Wir haben 27.0001. Wir haben 22 Fair-Zertifizierungen für Geschäftskontinuität. Wir haben Sock-Bewertungen und können Ihnen viele dieser Zertifizierungen vorlegen, die wir beispielsweise für alle unsere Rechenzentren oder unsere kritische Infrastruktur haben. Wenn Sie das Recht nicht geltend machen können, gibt es natürlich andere Methoden, es sollte andere Möglichkeiten geben, die vorhandenen Sicherheitskontrollen zu überprüfen, insbesondere bei einigen dieser Organisationen, die sagen, dass sie 27.000 zertifiziert sind, zum Beispiel sind wir Sock-zertifiziert, ähm, wir haben 22301 für Geschäftskontinuität, ähm, es gibt andere Informationen, die Sie herausfinden können, um sich selbst zu versichern, dass sie über ausreichende Kontrollmöglichkeiten verfügen, ähm, und das mag ausreichen, aber ja, das Recht darauf kann manchmal ein strittiges Thema sein, aber wenn Sie die Möglichkeit haben, es umzusetzen, um zu sagen, ähm, basierend auf unserer Vereinbarung mit Ihnen, basierend auf dem von Ihnen angebotenen Servicelevel, ähm, möchten wir, ähm, wir benötigen eine Bewertung Ihrer Kontrollen, die Sie, wie vereinbart, anwenden werden, und das Interessante daran ist, dass dies traditionell eine physische Prüfung vor Ort bedeutet hätte, da Sie einen ISO-Auditor vor Ort haben möchten, aber heutzutage könnte es sich um eine Fernprüfung handeln. Ähm, es könnte eine andere Prüfung sein, die als Audit gezählt wird.

Amanda: Ja. Vielen Dank, Thomas. Leider ist unsere Zeit nun zu Ende. Wir haben bereits einige Minuten Überzeit, aber wenn Ihre Frage nicht beantwortet wurde, wenden Sie sich bitte an [email protected]. Wir werden sicherstellen, dass Ihre Fragen beantwortet werden, aber wir bedanken uns herzlich für Ihre Zeit und bei allen, die etwas länger geblieben sind. Es gab so viele Fragen. Ich wünschte, wir hätten mehr Zeit dafür gehabt, aber alle, die an den Antworten interessiert sind, können sich gerne an uns wenden, und wir werden Ihre Fragen beantworten. Vielen Dank auch an Scott. Thomas, es ist immer eine Freude, Sie zu sehen, und ich hoffe, wir sehen uns alle beim nächsten Mal wieder. Vielen Dank an alle für Ihre Zeit heute. Auf Wiedersehen.

Thomas: Danke.