Richtlinie über die Anforderungen an die Informationssicherheit von Lieferanten

Gültig von: 17.06.2020
Eigentümer: Tarmo Randel, Information Security Manager

Umfang

Diese Anforderungen gelten für alle Dritten, die Zugang zu Bolt-Daten haben. Einige Anforderungen sind auf der Grundlage der Datenklassifizierung der vom Dritten verarbeiteten Daten gruppiert. Eine ausführliche Erläuterung der Klassifizierungskategorien findest du in der Richtlinie zur Datenklassifizierung. Bitte beachte, dass vor der Erprobung einer Dienstleistung oder eines Produkts ordnungsgemäß geprüft werden muss, ob der Dritte diese Anforderungen erfüllen kann.

Allgemeine Anforderungen

Eine unterzeichnete NDA ist immer dann erforderlich, wenn Daten durch einen Dritten als interne, eingeschränkte oder vertrauliche Daten verarbeitet werden. Wenn personenbezogene Daten mit einem Dritten ausgetauscht werden, MUSS eine Datenverarbeitungsvereinbarung unterzeichnet werden, bevor ein Datenaustausch stattfinden kann.

Jeder Lieferant muss alle vereinbarten und allgemeinen Best Practices der Informationssicherheit für alle gelieferten Komponenten und Materialien, einschließlich Software, Hardware und Informationen, umsetzen, um die Vertraulichkeit, Verfügbarkeit und Integrität der Daten von Bolt zu gewährleisten. Gegebenenfalls muss der Lieferant Bolt eine vollständige Dokumentation über die Umsetzung seiner Sicherheitskontrollen vorlegen.

Die folgenden Punkte müssen umgesetzt und überprüft werden:

  • in Fällen, in denen personenbezogene Daten ausgetauscht werden, ist eine GDPR-konforme Datenverarbeitungsvereinbarung erforderlich.
  • angemessene technische und organisatorische Maßnahmen, die auf den angeschlossenen Systemen durchgeführt werden müssen. Aus Gründen der Klarheit ist das absolut erforderliche Minimum wie folgt:
    • in Fällen, in denen personenbezogene Daten ausgetauscht werden, ist eine GDPR-konforme Datenverarbeitungsvereinbarung erforderlich.
    • angemessene technische und organisatorische Maßnahmen, die auf den angeschlossenen Systemen durchgeführt werden müssen. Aus Gründen der Klarheit ist das absolut erforderliche Minimum wie folgt:
    • Regeln und Mechanismen der Zugangskontrolle.
    • Die Sicherung exponierter Endpunkte.
    • Sicherung von Entwicklungs- und Testumgebungen.
    • Darstellung, wie Daten im Ruhezustand und bei der Übertragung gesichert werden.
    • Nachweis von Fähigkeiten zum Schwachstellen-Management.
    • Nachweis der Existenz eines Störungsmanagements und eines Software-Aktualisierungsprozesses.
    • PI-Geheimnisse und Passwortverwaltung.
    • Logsammlung und Überwachung.
    • Eine klar definierte Dienstleistungsvereinbarung mit Kontaktangaben.

Jeder Lieferant, der eine HIPAA-, PCI DSS-, GDPR- oder ISO27001-Zertifizierung bzw. -Validierung vorweisen kann, zeigt in der Regel, dass er diese Anforderungen umgesetzt hat; dies muss jedoch überprüft werden. Ein Verweis auf die entsprechenden Sicherheitskontrollen sollte auch in den Lieferantenvertrag aufgenommen werden.

Bei allen Anbietern von Informationsverarbeitungsgeräten und Kommunikationsdiensten muss eine ordnungsgemäße Risikobewertung durchgeführt werden, um mögliche Risiken zu beurteilen und gegebenenfalls die erforderlichen Abhilfemaßnahmen zu treffen.

Detaillierte Anforderungen

Die detaillierten Anforderungen an die Informationssicherheit sind nach der Unterzeichnung einer Vereinbarung und vor der eigentlichen Datenverarbeitung von einem Mitglied des internen IT- oder Informationssicherheitsteams zu prüfen. Zusätzlich zu den hier dargelegten Anforderungen muss der Dritte Zugang zum Bolt-Informationssicherheitskonzept haben und sich schriftlich verpflichten, dieses einzuhalten. Detaillierte Anforderungen sind in Form einer Checkliste in Anhang A aufgeführt.

Audit

Bolt hat das Recht, aber nicht die Pflicht, nach angemessener Vorankündigung oder Information und während der normalen Arbeitszeiten die Arbeitsabläufe, Prozesse und Systeme des Lieferanten, soweit sie sich auf die Dienstleistungen beziehen, regelmäßig zu überprüfen, um die Einhaltung der Bedingungen dieser Richtlinie durch den Lieferanten zu kontrollieren.

Überprüfung und Aktualisierung

Diese Anforderungen müssen mindestens einmal pro Jahr vom Dokumenteninhaber überprüft werden.

Anhang A

Checkliste für allgemeine Anforderungen an die Verarbeitung vertraulicher, eingeschränkter und interner Informationen

  • Zugriffskontrolle
    • werden Benutzerkonten zentral verwaltet
    • werden die Benutzerzugänge regelmäßig überprüft
    • bestehen zwingende Anforderungen an die Länge und Komplexität von Passwörtern
    • werden Zugangsstörungen registriert, gemeldet und untersucht
    • gibt es eine Multi-Faktor-Authentifizierung
    • wird die PKI für die Zugangskontrolle verwendet
    • werden Systeme über das öffentliche Internet direkt aufgerufen
    • gibt es eine Richtlinie oder Vorgehensweise für Home-Office
  • Vorbeugung von Zwischenfällen und Schwachstellenmanagement
    • wird die Software auf den Arbeitsplätzen regelmäßig, zentral verwaltet und aktualisiert
    • gibt es eine zentral verwaltete und überwachte Endpunktsicherheitssoftware
    • gibt es eine Vorschrift oder Vorgehensweise für die Verschlüsselung von Daten im Ruhezustand
    • gibt es eine Vorschrift oder Vorgehensweise für die Verschlüsselung von Daten bei der Übertragung
    • sind die Arbeitsstationen zentral verwaltbar
    • gibt es eine Art " zulässige Nutzungspolitik ", die allgemeine Themen der Cyber-Hygiene behandelt
    • gibt es eine Datensicherungsrichtlinie oder -verfahren
    • wird der externe und interne Netzwerkperimeter regelmäßig gescannt
  • Richtlinien und Verfahren zur Behandlung von Vorfällen
    • gibt es eine Matrix zur Klassifizierung und Priorisierung von Vorfällen
    • gibt es ein Eskalationsverfahren für die Lösung von Vorfällen
    • falls es eine Klassifizierung der Art der Datenverletzung für Vorfälle gibt - wie viele Datenverletzungen in den letzten 6 Monaten registriert wurden

Checkliste für die Verarbeitung vertraulicher Informationen

  • Richtlinien und Verfahren zur Behandlung von Vorfällen
    • welche zusätzlichen Datenvermeidungsmechanismen implementiert werden

Checkliste für die Verarbeitung öffentlicher Informationen

  • Datenintegrität
    • gibt für die Gewährleistung der Datenintegrität entsprechende Verfahren