Sicherheitsrichtlinie für Lieferanten

Sicherheitsrichtlinie für Lieferanten

1. Zweck, Anwendungsbereich und Anwender

Der Zweck dieses Dokuments ist die Festlegung der Vorschriften für Kommunikation/Beziehungen zu Lieferanten und Partnern.

Dieses Dokument gilt für alle Lieferanten und Partner, welche die Fähigkeit zur Beeinflussung der Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen der AIDA ORGA Dortmund GmbH oder derer Kunden besitzen.

Anwender dieses Dokuments sind die Geschäftsführung der AIDA ORGA Dortmund GmbH, sowie alle anderweitigen Personen, die bei der AIDA ORGA Dortmund GmbH verantwortlich für Lieferanten und Partner sind.

2. Referenzdokumente

• ISO/IEC 27001:2013

3. Beziehungen zu Lieferanten und Partnern

3.1. Identifizierung der Risiken

Sicherheitsrisiken im Zusammenhang mit Lieferanten und Partnern werden im Einklang mit der Methodik zur Risikoeinschätzung und -behandlung während des Risikoeinschätzungsprozesses identifiziert. Während der Risikoeinschätzung muss besondere Sorgfalt walten, um sowohl Risiken im Zusammenhang mit Informations- und Kommunikationstechnik als auch Risiken in Verbindung mit der Produkt-Lieferkette zu identifizieren.

Die Geschäftsführung entscheidet darüber, ob es notwendig ist, zusätzliche Risiken im Zusammenhang mit individuellen Lieferanten oder Partnern einschätzen zu müssen.

3.2. Überprüfung

Der Informationssicherheitsbeauftragte entscheidet darüber, ob es notwendig ist, den Hintergrund individueller Lieferanten und Partner zu überprüfen, und falls ja, welche Methoden dazu anzuwenden sind.

3.3. Verträge

Die Geschäftsleitung ist verantwortlich für die Entscheidung, welche Sicherheitsabschnitte im Vertrag mit dem jeweiligen Lieferanten oder Partner aufzunehmen sind. Diese Entscheidung muss auf den Resultaten der Risikoeinschätzung und -behandlung basieren. Jedoch sind die Abschnitte über Vertraulichkeit und Rückgabe von Werten in jedem Vertrag zwingend vorgeschrieben. Außerdem muss in jedem Vertrag die zuverlässige Anlieferung von Produkten und Dienstleistungen verankert sein, was bei Cloud Service-Anbietern besonders wichtig ist.

Die Geschäftsleitung entscheidet darüber, ob individuelle Mitarbeiter:innen des Lieferanten/Partners die Vertraulichkeitserklärung zu unterschreiben haben, wenn sie für die AIDA ORGA Dortmund GmbH tätig sind, sowie wer der Vertragseigentümer des einzelnen Vertrages ist, d.h. wer verantwortlich für den jeweiligen Lieferanten oder Partner ist.

3.4. Training und Awareness

Der Vertragseigentümer entscheidet, welche Mitarbeiter:innen von Lieferanten und Partnern ein Sicherheitstraining- und Awareness-Programm absolvieren müssen.

Der Informationssicherheitsbeauftragte ist verantwortlich für die Bereitstellung aller Sicherheitstraining- und Awareness-Maßnahmen für diese Mitarbeiter:innen.

3.5. Überwachung und Prüfung

Der Vertragseigentümer muss die Qualitätsstufe der Dienstleistungen und die Erfüllung der Sicherheitsabschnitte durch die Lieferanten oder Partner, sowie deren Berichte und Aufzeichnungen regelmäßig überprüfen und überwachen.

Alle Sicherheitsvorfälle in Verbindung mit den Aufgaben der Lieferanten/Partner müssen unverzüglich an den Informationssicherheitsbeauftragten gemeldet werden.

3.6. Änderungen bei oder Stornierung von Lieferanten-Dienstleistungen

Der Vertragseigentümer schlägt Änderungen oder eine Vertragsstornierung vor und die finale Entscheidung darüber obliegt der Geschäftsleitung. Falls notwendig, führt der Informationssicherheitsbeauftragte eine neuerliche Risikoeinschätzung durch, bevor die Änderungen akzeptiert werden.

3.7. Entzug von Zugangsrechten / Rückgabe von Werten

Wenn der Vertrag abgeändert oder storniert wird, müssen den Mitarbeiter:innenn des Lieferanten/Partners auch gleichzeitig und im Einklang mit der Zugangssteuerungsrichtlinie die Zugangsrechte entzogen werden.

Wird der Vertrag abgeändert oder storniert, muss der Vertragseigentümer außerdem sicherstellen, dass jegliche Gerätschaft, Software oder Information in elektronischer oder Papierform zurückgegeben wird.

Nehmen Sie Kontakt mit uns auf!

AnyDesk Fernwartung
 

Sie haben noch Fragen?

nfd-drtmndd

 

Tüv 9001
Tüv 27001
 

AIDA ORGA Dortmund GmbH -  Planetenfeldstr. 100a -  D 44379 Dortmund

Datenschutzhinweis

Wir nutzen Cookies auf unserer Webseite. Einige von ihnen sind notwendig, während uns andere helfen, die Website und Ihre Erfahrung zu verbessern.