#Sicherheit in Lieferantenbeziehungen
Betroffene Basis-Ziele
Konkretes Ziel
Sicherstellung des Schutzes der für Lieferanten zugänglichen Informationen des Unternehmens.
##Informationssicherheitsleitlinie für Lieferantenbeziehungen
Maßnahme
Die Informationssicherheitsanforderungen zur Verringerung von Risiken im Zusammenhang mit dem Zugriff von Lieferanten auf Informationen oder informationsverarbeitende Einrichtungen der Organisation sind zu dokumentieren.
Umsetzung
Die uform Testsysteme unterhalten folgende Lieferanten-Beziehungen (hier Auflistung der großen Lieferanten):
####Rechenzentrums-Betreiber: Digital Reality
Der Rechenzentrums-Betreiber darf kein Zugangsrecht und Zutrittsrecht auf das dort gehostete Server-Rack und die dortige Netzwerkinfrastruktur der uform Testsysteme besitzen.
Dies ist vertraglich festgehalten.
####Druckerei / Schwesterunternehmen: Hermann Ullrich GmbH & Co. KG Das Schwesterunternehmen druckt die Print-Tests für die u-form Testsysteme. Außerdem können Angestellte des Schwesterunternehmens teilweise bzw. zeitweise im Auftrag der u-form Testsysteme arbeiten. Hierfür wurde ein entsprechender ADV-Vertrag aufgesetzt.
####Telefon-Hotline: Rhenus :people! GmbH Der Dienstleister ist dazu beauftragt, Kunden bzw. deren Bewerbern bei Problemen mit der Durchführung von Einstellungstests zu helfen.
Die Mitarbeiter des Dienstleisters dürfen ausschließlich die für das Bearbeiten eines Supportfalles notwendigen Informationen einsehen und nur Änderungen am Status einer Testdurchführung vornehmen. Bereitgestellte Kunden- oder Bewerber-Daten dürfen nicht durch den Mitarbeiter des Dienstleisters veränderbar sein.
Diese Zugriffs-Beschränkungen für die Mitarbeiter des Dienstleisters sind durch ein entsprechend konfiguriertes Helpdesk-Frontend realisiert.
Mit dem Dienstleister existiert außerdem eine schriftliche Geheimhaltungsvereinbarung bezogen auf die Daten von Kunden und Bewerbern.
Mit dem Dienstleister für die Lohnbuchhaltung existiert eine schriftliche Geheimhaltungsvereinbarung bzw. Datenschutzerklärung, die der Datenschutzbeauftragte und die Personalleitung verwahren.
Mit dem Hersteller der Vertriebssoftware VS-4, DuG, besteht ein Vertrag zur ADV / Geheimhaltungsverpflichtung, da es gelegentlich zu einem Fernzugriff auf die VS-4 Instanz auf unseren Servern durch einen Mitarbeiter von DuG im Zuge von Wartungs- und Servicearbeiten kommen kann.
Weitere Lieferanten sind gemäß des Prozesses [im Wiki] (https://u-form.atlassian.net/wiki/spaces/ISB/pages/146178130/Lieferanten+bersicht+-+aktive+Lieferanten+und+deren+Bewertung) in der Lieferantenmatrix erfasst, die jährlich überprüft wird.
##Sicherheitsthemen in Lieferantenverträgen
Maßnahme
Mit jedem Lieferanten, der u.U. Zugriff auf Informationen der Organisation hat, sie verarbeitet, speichert, weitergibt oder IT- Infrastrukturkomponenten dafür bereitstellt, müssen jeweils alle relevanten Informationssicherheitsanforderungen festgelegt und vereinbart werden.
Umsetzung
Gemäß den jeweiligen Anforderungen an die Informationssicherheit wurden entsprechende Klauseln in die Verträge mit den Dienstleistern aufgenommen. (s. Leitlinie oben) und genannten Prozess unter [im Wiki] (https://u-form.atlassian.net/wiki/spaces/ISB/pages/146178130/Lieferanten+bersicht+-+aktive+Lieferanten+und+deren+Bewertung).
##IKT-Lieferkette
Maßnahme
Vereinbarungen mit Lieferanten müssen Anforderungen für den Umgang mit Informationssicherheitsrisiken im Zusammenhang mit der Dienstleistungs- und Produktlieferkette im Bereich der Informations- und Kommunikationstechnologie enthalten.
Umsetzung
Besondere Vereinbarungen mit dem Rechenzentrums-Betreiber wurden in die Informationssicherheitsleitlinie für Lieferantenbeziehungen aufgenommen (s.o.).
Reviewdatum: 12.11.2024, Johannes Imhof