In einer kürzlich von Gartner durchgeführten Umfrage 84% der Befragten (die Mitglieder des Risikokomitees waren) behaupteten, dass Lücken im Drittparteienrisiko ihre Geschäftstätigkeit stark beeinträchtigten.
Jede Organisation, die für kritische Geschäftsfunktionen auf Drittanbieter angewiesen ist, sollte eine wirksame Richtlinie für das Drittanbieter-Risikomanagement entwickeln und aufrechterhalten. Eine solide Richtlinie für das Drittanbieter-Management trägt wesentlich dazu bei, die Grundlage für die Minimierung der Wahrscheinlichkeit von Sicherheitsvorfällen und Betriebsunterbrechungen zu schaffen.
Lassen Sie uns genauer betrachten, was in eine TPRM-Richtlinie aufgenommen werden sollte, welche Best Practices für deren Erstellung gelten und welche Bedeutung sie hat.
TL; DR
Eine TPRM-Richtlinie ist unerlässlich, um Ihr Unternehmen vor potenziellen Schwachstellen externer Partner zu schützen und Risiken wie Datenschutzverletzungen, Verstöße gegen Compliance-Vorschriften und mehr zu minimieren.
Eine gut durchdachte TPRM-Richtlinie sollte den Zweck Ihrer Richtlinie umfassen, die beteiligten Interessengruppen identifizieren, Ihren Ansatz zum Risikomanagement unterstreichen, auf Compliance-Verpflichtungen eingehen und vieles mehr.
Was ist eine Richtlinie zum Management von Drittparteirisiken?
Eine Richtlinie zum Management von Drittparteirisiken (TPRM) ist ein dokumentierter Satz von Leitlinien und Praktiken, der Organisationen dabei hilft, Risiken im Zusammenhang mit externen Anbietern zu managen, Risikominderungsmaßnahmen umzusetzen, Sorgfaltsprüfungen durchzuführen und Rollen und Verantwortlichkeiten für alle externen Stakeholder zu definieren.
Bedeutung des Drittparteienrisikomanagements
Ziel eines Programms zum Management von Drittparteirisiken (TPRM) ist es, die finanziellen und betrieblichen Auswirkungen von Sicherheitsvorfällen oder -verletzungen externer Anbieter zu minimieren. Die Weitergabe sensibler Informationen an Personen außerhalb Ihres Unternehmens birgt ungeahnte Risiken und kann Sie einer Vielzahl von Bedrohungen aussetzen. Ein robustes TPRM-Programm unterstützt Sie dabei, Risiken systematisch zu identifizieren, zu priorisieren, zu managen, abzumildern und in den Kontext einzuordnen.
Wie man eine Vorlage für eine Richtlinie zum Management von Drittparteirisiken (TPRM) erstellt
Eine solide TPRM-Richtlinie sollte alle Aspekte des Lieferantenlebenszyklus durch standardisierte Verfahren abdecken, vom Onboarding bis zum Offboarding.
(Abbildung vorgeschlagen)
Dies sind die wichtigsten Aspekte, die eine umfassende TPRM-Richtlinie abdecken muss:
- ZweckBeschreiben Sie, warum Sie diese Richtlinie benötigen, wie sie sensible Informationen schützt und was das Risikomanagement beinhaltet.
- Geltungsbereich: Listen Sie die beteiligten Interessengruppen und betroffenen Parteien auf. Nennen Sie die betroffenen Anlagen und Systeme.
- GrundsatzerklärungBeschreiben Sie Ihre Vorgehensweise und Ihre Ziele bei der Weitergabe von Daten an Dritte.
- LieferantenmanagementBeschreibt den Ansatz Ihres Unternehmens zum Risikomanagement. Umfasst den Prozess der Risikoidentifizierung, den Due-Diligence-Prozess, listet Vereinbarungen auf, überwacht Vermögenswerte und wendet Minderungstechniken an.
- AufgabenErwähnen Sie die Schlüsselrolle bei der Umsetzung der Richtlinie und bei der Sicherstellung, dass die Beteiligten diese befolgen.
- Compliance und ÜberprüfungErwähnen Sie, wie oft Ihre Organisation plant, den Inhalt der Richtlinie zu überprüfen.
Laden Sie unsere Richtlinie zum Umgang mit Drittparteirisiken als PDF herunter.
Laden Sie Ihre Richtlinie zum Management von Drittparteirisiken herunter
Sie möchten das Drittanbieter-Risikomanagement automatisieren?
Sprinto optimiert das Lieferantenrisikomanagement und ermöglicht es Ihnen, eine einzige Plattform für Ihre Compliance- und Risikobewertung, -überwachung und -behebung zu nutzen. Die Plattform etabliert eine einheitliche Sprache für Lieferantenrisiken und ermöglicht es Teams, risikobasierte Entscheidungen nahtlos in den Arbeitsalltag zu integrieren. Sprechen Sie mit unseren Experten
Was beinhaltet eine Richtlinie zum Management von Drittparteirisiken?
Die wichtigsten Bestandteile Ihrer Richtlinie zum Management von Drittparteirisiken müssen einen umfassenden Schutz vor externen Bedrohungen gewährleisten. Lassen Sie uns diese Bestandteile genauer betrachten, die Unternehmen dabei helfen, Risiken durch Lieferanten und Partner zu identifizieren, zu bewerten und zu minimieren.
Rollen und Verantwortlichkeiten
Risikomanagement ist eine gemeinsame Verantwortung, die alle internen Unternehmensfunktionen, einschließlich der Führungskräfte, sowie externe Stakeholder umfasst. Die Festlegung von Rollen und Verantwortlichkeiten trägt dazu bei, Rechenschaftspflicht zu gewährleisten, Transparenz zu wahren und die Eigenverantwortung der Mitarbeiter für die Erfüllung der Erwartungen zu stärken.
Ihre TPRM-Richtlinie sollte die Rollen des Vorstands, der Geschäftsleitung, der Rechtsberater, der Ingenieure, der IT-Teams und der Sicherheitsadministratoren festlegen. Um Klarheit zu gewährleisten, sollten Sie folgende Punkte berücksichtigen:
- Fügen Sie Definitionen der genannten Schlüsselrollen und der mit den einzelnen Ergebnissen verbundenen Verantwortlichkeiten hinzu. Dies sollte Befugnisebenen, Aufgabenbereich, Entscheidungsbefugnisse und Aufsichtspflichten umfassen.
- Entwerfen Sie eine Berichtsbaumstruktur, die dazu beiträgt, den Informationsfluss innerhalb der Organisation zu regulieren.
- Definieren Sie Ziele, Erwartungen und Vorgaben anhand von KPIs (Key Performance Indicators) aus den zugewiesenen Rollen.
Risikotoleranzniveaus festlegen
Der Umgang mit Risiken ist nicht einfach; er erfordert Ressourcen und Zeit. Unternehmen legen Risikotoleranzgrenzen basierend auf ihren Zielen und bestehenden Kontrollmechanismen fest, um zu entscheiden, ob sich eine Partnerschaft tatsächlich lohnt.
Eine Möglichkeit zur Risikobewertung besteht in der gründlichen Prüfung der Projektdokumentation. Achten Sie auf Konsistenz und Genauigkeit – ein Mangel daran deutet in der Regel auf Risiken hin. Prüfen Sie Dokumente wie Beschaffungspläne, Kostenschätzungen, Projektaufträge und die bestehenden Sicherheitsvorkehrungen.
Im Großen und Ganzen lassen sich drei Arten von Risikotoleranzniveaus unterscheiden:
- Hohe Toleranz: Auch als hohe Risikotoleranz bezeichnet, bei der die Organisation bereit ist, ihre Sicherheit für eine bessere Leistung zu beeinträchtigen.
- Mittlere Toleranz: Diese Organisationen sind bereit, gewisse strategische Risiken in Kauf zu nehmen. Dies stellt einen ausgewogenen Ansatz zwischen Risiken und operativer Stabilität dar.
- Geringe Toleranz: Organisationen mit geringer Toleranz priorisieren ihr Budget gegenüber der Leistung. Sie haben in der Regel zahlreiche Compliance-Verpflichtungen und ein hohes Maß an Sicherheitsbewusstsein.
Strategie zur Bedrohungskartierung
Zunächst müssen Sie die Risiken jedes Drittanbieters hinsichtlich seines Datenzugriffs und des potenziellen Schadensausmaßes bewerten. Anschließend können Sie anhand dieser Bewertung feststellen, ob eine Partnerschaft Ihrem Risikoprofil entspricht.
Erstellen Sie anschließend detaillierte Richtlinien, die darlegen, wie Ihre Organisation Drittparteirisiken bewertet, einschließlich der Instrumente und Schritte für jede an der Risikobewertung beteiligte Rolle.
Ihre TPRM-Richtlinie sollte Fragen wie die folgenden beantworten:
- Auf welche Art von Daten kann der Anbieter zugreifen? Es sollte genau angegeben werden, ob es sich um Geschäftsgeheimnisse, geschützte Gesundheitsdaten (PHI), Finanzdaten oder sonstige sensible Daten handelt.
- Verfügt der Anbieter über angemessene und ausreichende Sicherheitsmaßnahmen und Kontrollmechanismen zur Abwehr von Bedrohungen?
- Verfügt der Anbieter über ausreichende Kontrollmechanismen oder Maßnahmen zur Behebung von Sicherheitslücken, um die Geschäftskontinuität im Falle eines Verstoßes zu gewährleisten?
- Hat der Anbieter eine Prüfung durchlaufen? Sicherheitskonformität Schulungen oder Audits, je nachdem, welche Art von Daten sie verarbeiten, auf welche sie zugreifen und welche sie verwalten?
Risiken überwachen
Ihre TPRM-Richtlinienvorlage sollte darlegen, wie Sie die kontinuierliche Einhaltung der regulatorischen Anforderungen durch Ihren Lieferanten sicherstellen. Falls Ihr Unternehmen mehreren Rahmenwerken unterliegen muss, ist es möglicherweise erforderlich, mehrere Richtlinien zu erstellen, insbesondere wenn die Kontrollanforderungen nicht identisch sind.
Lesen Sie auch bitte: Wie man ein Rahmenwerk für das Management von Drittparteirisiken implementiert
Idealerweise beinhaltet dies die Durchführung von Lieferantenbewertungen und gegebenenfalls die Prüfung ihrer Prüfberichte. Beschreiben Sie die Instrumente, den Prozess und die Häufigkeit der Überwachung. Erläutern Sie außerdem die Schritte, die zu ergreifen sind, falls die Risikobewertung etwaige Lücken aufdeckt.
Sind Sie von Anbieterbewertungen und endlosen Rezensionen überwältigt? Laden Sie „Der CISO-Leitfaden zur Skalierung des Lieferantenrisikomanagements“ herunter, um einen praktischen Fahrplan für die Kategorisierung von Lieferanten, die Automatisierung der kontinuierlichen Überwachung und den reibungslosen Betrieb des VRM zu erhalten, ohne Ihr Team zu überlasten.
Sicherheitstipp: Sie können weithin anerkannte und vorgefertigte Standards wie die folgenden verwenden: NIST-Risikomanagementrahmen oder ISO/IEC 27036 (Informationssicherheit für Lieferantenbeziehungen), um die Einhaltung branchenüblicher Standards zu gewährleisten.
Kompatible Sicherheitsframeworks evaluieren
Lassen Sie uns dies anhand einiger Beispiele verstehen:
- Wenn Sie verarbeiten PHI (geschützte Gesundheitsdaten), Ihr Anbieter sollte HIPAA Die Einhaltung der HIPAA-Bestimmungen ist für Business Analysts und Clinical Engineers (CEs) verpflichtend, um sicherzustellen, dass geschützte Gesundheitsdaten (PHI) nicht in die falschen Hände geraten.
- Wenn Sie verarbeiten PII (personenbezogene Daten) von Bürgern mit Wohnsitz in der Europäischen Union, der Anbieter muss Einhaltung der DSGVODas Gesetz gilt für Sie unabhängig von Ihrem Hauptgeschäftssitz.
Hinweis: Es ist außerdem entscheidend, die Feinheiten der Datenweitergabevorschriften Ihres regulatorischen Rahmens zu verstehen. Die DSGVO beispielsweise sieht verschiedene Anforderungen für die Weitergabe und Übermittlung von Daten unter bestimmten Umständen vor. Auch HIPAA enthält mehrere Ausnahmen für die Weitergabe von Patientendaten an Dritte.
- Das Gesetz zum Schutz der Verbrauchergesetze in Kalifornien Der CCPA (California Consumer Privacy Act) reguliert in Kalifornien ansässige Unternehmen, die personenbezogene Daten von Einwohnern dieses Bundesstaates erheben und verarbeiten. Er zielt darauf ab, Verbrauchern mehr Kontrolle über ihre personenbezogenen Daten zu geben.
- SOC 2 ist ein freiwilliger Berichtsrahmen, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde, um Dienstleistungsorganisationen dabei zu helfen, nachzuweisen, dass sie über die richtigen und wirksamen Sicherheitsvorkehrungen zum Schutz von Kundendaten verfügen. Er listet auf 21 Policen rund um die fünf Kriterien für Vertrauensdienste.
- Der Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS) ist ein weit verbreitetes Regelwerk für Händler, die Kredit- und Zahlungskartentransaktionen abwickeln.
- Die Internationale Organisation für Normung (ISO) ist ein weltweit anerkannter Normenhersteller, der eine Reihe von Rahmenwerken rund um das Informationssicherheitsmanagementsystem (ISMS) eines Unternehmens umfasst. ISO 27001-Richtlinien als Herzstück.
Ihre Richtlinien sollten detailliert beschreiben, welche Art von Informationen mit den Anbietern geteilt wird, wann dies geschieht, in welchem Umfang, ob es Ausnahmen gibt und welche Kontrollmechanismen Sie implementieren möchten, um ein absichtliches oder versehentliches Datenleck zu verhindern.
Sprinto transformiert Richtlinienprozesse von restriktiv zu generativ und sorgt so für ein dynamisches und gut dokumentiertes Richtlinienmanagement. Das Richtlinienmodul bietet sofort einsatzbereite Richtlinien, konsolidiert Versionen und automatisiert Bestätigungen. Dies entlastet Ihr IT-Sicherheitsteam von der manuellen Verwaltung und reduziert Lücken und Fehler. Jetzt Demo anfordern.
Ihr zentrales Kontrollzentrum für Lieferantenrisikorichtlinien
Richtlinien von Grund auf neu zu erstellen ist mühsam, fehleranfällig und zeitaufwändig.
Mit Sprinto können Sie Richtlinien für das Lieferantenrisikomanagement einführen und die Bestätigung von Dokumenten über ein einziges Dashboard verwalten.
Fallstudie: Wie HackerRank die Sicherheitsprüfung optimierte und 20 % der Entwicklungszeit zurückgewann.
Sprinto bietet sofort einsatzbereite, anpassbare Richtlinienvorlagen, die Sie anhand Ihrer Risikostufen, bestehenden Lieferantenverträge, der Historie von Sicherheitsvorfällen und des Restrisikos sowie weiterer Risikofaktoren bearbeiten können. Die umfassende Lösung der Plattform für das Lieferantenrisikomanagement unterstützt Sie bei der Einführung eines Risikomanagementprogramms, das auf Ihre bestehende Risikotoleranz abgestimmt ist.
Häufig gestellte Fragen
Was sind die Schlüsselelemente des Drittparteienrisikomanagements?
Die wichtigsten Elemente einer Service-Level-Vereinbarung für das Risikomanagement von Drittanbietern sind Sorgfaltsprüfung, Onboarding, Wartung, laufende Überwachung, Offboarding und Risikomanagementrichtlinien.
Was sind Viertparteirisiken?
Viertanbieterrisiken sind die betrieblichen oder Cyberrisiken, die von den Drittanbietern Ihrer Drittanbieter ausgehen. Ihre Richtlinie zur Lieferantenrisikobewertung sollte diese ebenfalls berücksichtigen.
Was ist ein Beispiel für einen Sicherheitsmanagementstandard eines Drittanbieters?
Ein gutes Beispiel für einen Standard für das Sicherheitsmanagement von Drittanbietern ist ISO/IEC 27036-1:2021 (Cybersicherheit – Lieferantenbeziehungen). Er unterstützt Käufer und Lieferanten bei der Bewertung und dem Umgang mit Lieferantenrisiken.
Welche Risiken bestehen im Zusammenhang mit Beziehungen zu Dritten?
Compliance-Risiken, finanzielle Risiken, operationelle Risiken, Reputationsrisiken, Cybersicherheitsrisiken, Lieferantenabhängigkeitsrisiken, strategische Risiken und geopolitische Risiken sind einige Beispiele.
Autorin
Anwita
Anwita ist Cybersicherheits-Enthusiastin und erfahrene Bloggerin in einer Person. Ihre Leidenschaft für Cybersicherheit führte sie in die Welt der Compliance. Mit zahlreichen Cybersicherheitszertifizierungen im Gepäck hat sie es sich zum Ziel gesetzt, komplexe Sicherheitsthemen für alle Zielgruppen verständlich zu machen. Sie liest gern Sachbücher, hört Progressive Rock und sieht sich am Wochenende Sitcoms an.Mehr erfahren
Recherchen und Erkenntnisse, die Ihnen helfen sollen, sich einen Platz am Tisch zu sichern.




















