Lieferanten-Audit nach ISO 27001:2013

ISO 27001 Lieferanten-Audit
 

Pflicht oder Kür?

Nur in den wenigsten Unternehmen wird eine Überprüfung von Lieferanten vorgenommen. Dabei besteht über das Interesse des Auftraggebers hinaus, ob die erbrachten Leistungen tatsächlich auch den Vereinbarungen entsprechen, in den meisten Fällen sogar eine Pflicht zur Überprüfung. Beispielsweise dort, wo die Service-Erbringung die Verarbeitung oder Speicherung personenbezogener Daten mit einschließt oder der Ausfall der Dienstleistung ein Risiko für die Kontinuität der Geschäftsprozesse sein kann.

Ziele

  • Gibt es Vorgaben für Lieferanten?
  • Wird die IT-Dienstleistung so erbracht, wie sie von Ihnen vertraglich vereinbart wurde?
  • Geht die IT-Dienstleistung konform mit Ihren jetzigen und zukünftigen Bedürfnissen?
  • Entspricht die Qualität der IT-Dienstleistung den anerkannten Best-Practices- und Industriestandards?
  • Ist die IT-Dienstleistung im wörtlichen Sinne „preis-wert“?

Fehlende Klassifizierung und Prozesse

Problematisch ist, dass kein Klassifizierungssystem existiert, in dem die Lieferanten in Abhängigkeit des Risikos für die Service-Erbringung eingeordnet werden. Auch gibt es keinen entsprechenden Prozess, der dafür sorgt, dass Lieferanten regelmäßig überprüft werden. Hier kann das mITSM, der Spezialist für IT Security Management aus München, mit bewährter Methodik und erfahrenen Beratern unterstützen.

Rechtliche Überlegung: Lässt sich Verantwortung outsourcen?

Viele Manager sind der Meinung, dass sich zusammen mit der operativen Tätigkeit auch die Verantwortung, beispielsweise für die Datensicherheit, „outsourcen“ lässt. Dies ist mitnichten der Fall. Die Verantwortung für ausgelagerte Dienstleistungen, z. B. für einen Infrastrukturservice wie das Netzwerk, liegt immer beim auslagernden Unternehmen. Um der Verantwortung gerecht zu werden und die kontinuierliche Verbesserung anzustreben – ganz gleich, ob man für ein ISO 20000-1- oder ISO 27001-Zertifikat oder allgemein das Qualitätsmanagement und die Sicherheit verbessern möchte – sind regelmäßige Lieferanten-Audits unumgänglich.

Finanzielle Überlegung: Bringt ein Audit mehr als es kostet?

Der Aufwand für die Inspektion der IT-Dienstleister ist verglichen mit üblichen TCVs (Total Contract Values) der Dienstleistungsverträge äußerst gering. Aus einer regelmäßigen Auditierung erwachsen in aller Regel Kostenvorteile für den Auftraggeber. Denn auch das ist Gegenstand der Prüfung bei einem Lieferanten-Audit:

  • Wird für etwas bezahlt, was man nicht benötigt?
  • Wird für etwas bezahlt, was der Dienstleister nicht oder in nur unzureichender Qualität liefert?

Das mITSM als neutraler Dritter

Die steigende Komplexität durch immer mehr beteiligte externe Parteien erschwert die klare Einschätzung der erbrachten Leistung. Also ist eine zielgerichtete Kontrolle notwendig. Das mITSM berät Sie beim Vorgehen, führt mit Ihnen die ersten Lieferanten-Audits durch und bringt Ihre Lieferantenverträge, den Lieferanten-Management-Prozess und die dazu gehörigen Richtlinien auf Vordermann. Mit dem Ergebnis einer besseren Qualität und steigendem Reifegrad bei gleichzeitig sinkenden Kosten.

Was wird geprüft?

Beim Auftraggeber

  • Lieferantenvertrag, basierend auf
    • Vertragsinhalten wie Leistungsgegenstand, Vorgaben zur Erfüllung, Service Levels etc.
    • anerkannten Standards, Normen und Best Practises wie ISO20000, ITIL etc.
    • etwaigen regulatorischen Vorgaben wie BDSG
  • Supplier Management Process
  • Supplier Policy

Beim Lieferanten

  • Incident Management
  • Change Management
  • Security Management

Was erhalten Sie?

  • Detaillierter Bericht zu allen relevanten Themen
  • Katalog mit konkreten Empfehlungen für kurz-, mittel- und langfristige Maßnahmen
  • Präsentation der Ergebnisse bei Ihnen vor Ort
  • Optional: Coaching (ggf. auch des Dienstleisters) zur Umsetzung der notwendigen Maßnahmen

Was kostet ein Lieferanten-Audit?

Das mITSM bietet das Lieferanten-Audit schon ab 6.990.- Euro an. Vereinbaren Sie mit uns einen Termin für ein ganz unverbindliches, rund 30-minütiges Beratungsgespräch unter 089 55 27 55 70 oder unter Beratungen.

Wie ist die Vorgehensweise?

Das Audit und die Reifegradanalyse verlaufen in sechs aufeinanderfolgenden Phasen und beansprucht abhängig von Scope/Betrachtungsumfang 6 bis 9 Arbeitstage.

mITSM ISO 27001 20000 Audit Ablauf allgemein

1. Phase: Planung der Analyse

Im ersten Schritt werden im Gespräch mit Ihnen die zu auditierenden Bereiche und Prozesse festgelegt. Dies erfolgt unter Berücksichtigung des Umfangs bzw. Anwendungsbereichs (Scope) und der Ziele der Analyse. Gegenstand der Vorbesprechung ist zudem eine Abstimmung über die Kriterien. Der Umfang beschreibt Ausmaß und Grenzen der Überprüfung, wie etwa physische Standorte und Organisationseinheiten, zu überprüfenden Tätigkeiten und Prozesse im Rahmen des Managementsystems und den von dere Überprüfung abgedeckten Zeitraum. Die Kriterien bilden die Referenz, gegen die die Konformität bzw. der Reifegrad festgestellt werden soll. Die Vorbesprechung erfolgt bei Ihnen vor Ort und nimmt etwa einen halben Tag in Anspruch. Im Anschluss daran wird eine Liste der für die Dokumentenprüfung erforderlichen Dokumente und Aufzeichnungen erstellt.

2. Phase: Prüfung der Dokumentation

Die zuvor festgelegten Dokumente wie zum Beispiel Leitlinien (Policy), Prozessbeschreibungen, Maßnahmenpläne oder Aufzeichnungen über Ereignisse und Störungen werden ausgiebig gesichtet und analysiert. Bereits an dieser Stelle werden durch das mITSM die späteren Interviewpartner identifiziert. Diese Leistung erfolgt "off-site" und nimmt je nach Umfang (Scope) in der Regel einen halben bis einen Tag in Anspruch. Die Ergebnisse der Dokumentenprüfung fließen in die nächste Phase ein, da sich hieraus in der Regel Rückschlüsse über eine sinnvolle Schwerpunktsetzung bei den Vor-Ort-Aktivitäten ergeben.

3. Phase: Erstellung des Analyseplans

Nach Abschluss der Dokumentenprüfung wird ein strukturierter Plan erstellt, der alle relevanten Rahmendaten der Überprüfung zusammenfasst und eine detaillierte Liste der Kriterien und den Zeitplan für die weiteren Schritte enthält. In gemeinsamer Abstimmung mit Ihnen werden die Interviewpartner für die Vor-Ort Aktivitäten bestimmt und der Zeitrahmen dafür festgelegt. Das Team des mITSM wird alle relevanten Arbeitsdokumente wie Checklisten und Fragelisten zusammenstellen. Die Erstellung des Plans und der Arbeitsdokumente nimmt etwa einen halben Tag in Anspruch und erfolgt "off-site". Absprachen können telefonisch oder per E-Mail erfolgen.

4. Phase: Vor-Ort-Aktivitäten

Die Vor-Ort-Aktivitäten werden von einem erfahrenen, entsprechend ausgebildeten und zertifizierten Prüfer bzw. Lead-Auditor koordiniert und durchgeführt. Wesentliches Ziel ist das Erfassen und Verifizieren von Informationen. Hierzu werden Interviews geführt, weitere Dokumente und Aufzeichnungen gesichtet und Beobachtungen gemacht. Dies alles erfolgt stichprobenartig mit dem Ziel, ein umfassendes und der Realität entsprechendes Bild der Situation zu zeichnen. Die Vor-Ort-Aktivitäten können einen oder mehrere Tage - in Abhängigkeit vom Umfang der Überprüfung - beanspruchen.

5. Phase: Auswertung der Ergebnisse und Berichterstellung

Nachdem alle ausgewählten Bestandteile des Mangementsystems und die Gespräche mit den Interviewpartnern durchgeführt wurden, erfolgt die Auswertung der Ergebnisse, indem aus dem Feststellungen Schlussfolgerungen gezogen werden.

6. Phase: Präsentation und Festlegung von Folgemaßnahmen (optional)

Auf Basis des erstellten und Ihnen übergebenen umfassenden Berichtes werden die wichtigsten Informationen für die Präsentation bei Ihnen vor Ort zusammengefasst. Es werden der Erfüllungsgrad der überprüften Bereiche und Prozesse sowie die von mITSM vorgeschlagenen Verbesserungsmaßnahmen dargestellt und erläutert.

                                    ISO 27001 Schulung und Personenzertifizierung

ITSec Schulung- Foundation in ISMS
- IT Security Officer
- Auditor in ISMS
- inklusive Prüfungsvorbereitung
- TÜV-SÜD ZertifikatMehr erfahren

Das mITSM ist Partner der Allianz für Cyber-Sicherheit von BSI und BITKOM und Kooperationspartner der TÜV SÜD Management GmbH.