Bei der Durchführung von Due-Diligence-Prüfungen im Rahmen von Risikobewertungen Dritter geht es darum, die von den Dritten bereitgestellten Informationen zu verifizieren und zu validieren sowie potenzielle Risiken oder Probleme, die sich aus der Beziehung ergeben könnten, zu identifizieren und zu bewerten. Die Methoden der Due-Diligence-Prüfung können je nach Art, Umfang und Komplexität des Engagements des Dritten variieren, umfassen aber im Allgemeinen die folgenden Schritte123:
* Befragung von Fachleuten oder Kontrollverantwortlichen: Bei dieser Methode werden die relevanten Interessenvertreter sowohl des Unternehmens als auch des Dritten befragt, z. B. Geschäftsinhaber, Projektmanager, Rechtsberater, Compliance-Beauftragte, Sicherheitsanalysten usw. Ziel der Gespräche ist es, mehr Informationen über die Fähigkeiten, Prozesse, Richtlinien, Leistungen und Herausforderungen des Dritten zu sammeln sowie Fragen oder Bedenken zu klären, die sich aus dem Fragebogen oder anderen Quellen ergeben. Die Gespräche können auch dazu beitragen, eine Beziehung und Vertrauen zwischen den Parteien aufzubauen und etwaige Lücken oder Unstimmigkeiten in den bereitgestellten Informationen zu ermitteln.
* Überprüfung von Compliance-Artefakten: Bei dieser Methode werden die Nachweise oder Unterlagen untersucht, die die Ansprüche oder Behauptungen des Dritten stützen, z. B. Zertifizierungen, Akkreditierungen, Auditberichte, Richtlinien, Verfahren, Verträge, SLAs usw. Der Zweck der Überprüfung besteht darin, die Richtigkeit, Vollständigkeit und Gültigkeit der Artefakte zu verifizieren und zu beurteilen, inwieweit sie den geltenden Normen, Vorschriften und bewährten Verfahren entsprechen. Die Überprüfung kann auch dazu beitragen, Verbesserungsmöglichkeiten oder Schwachstellen in den Kontrollen oder Prozessen des Drittanbieters zu ermitteln.
* Validierung der Kontrollen: Bei dieser Methode wird die tatsächliche Umsetzung und Wirksamkeit der Kontrollen oder Prozesse des Dritten getestet oder überprüft, z. B. Sicherheitsmaßnahmen, Qualitätssicherung, Datenschutz, Reaktion auf Vorfälle usw. Der Zweck der Validierung besteht darin, zu bestätigen, dass die Kontrollen wie beabsichtigt und erwartet funktionieren und dass sie ausreichen, um die in der Bewertung ermittelten Risiken oder Probleme zu mindern. Die Validierung kann auch dazu beitragen, etwaige Schwachstellen oder Lücken in den Kontrollen oder Verfahren des Dritten zu ermitteln.
Die anderen Optionen sind nicht so umfassend oder genau wie die oben beschriebenen Methoden, da sie möglicherweise nicht alle Aspekte oder Dimensionen der Risikobewertung für Dritte abdecken oder sich auf unvollständige oder veraltete Informationen stützen können. Die Inspektion der physischen und umgebungsbezogenen Sicherheitskontrollen durch eine Betriebsbesichtigung ist nur ein Teil der Validierungsmethode und ist möglicherweise nicht für alle Arten von Dritten, wie z. B. Cloud-Service-Anbieter oder Remote-Mitarbeiter, anwendbar oder durchführbar. Die Überprüfung des Status der Feststellungen aus dem Fragebogen und die Festlegung von Abhilfeplänen ist eher eine Folge- oder Überwachungsmaßnahme als eine Sorgfaltsprüfungsmethode, da sie davon ausgeht, dass der Fragebogen bereits ausgefüllt und analysiert wurde. Die Überprüfung und Bewertung nur der vertraglich festgelegten Verpflichtungen ist ein enger und begrenzter Ansatz, da er möglicherweise nicht den vollen Umfang oder die Komplexität der Beziehung zu Dritten oder die dynamische und sich entwickelnde Natur der damit verbundenen Risiken oder Probleme erfasst. Referenzen:
* Due-Diligence-Prüfung von Dritten - ein wichtiger, aber schwieriger Prozess
* Der Leitfaden für risikobasierte Due-Diligence-Prüfungen bei Dritten - VinciWorks
* Risikobewertung für Dritte - Checkliste und bewährte Praktiken

Die Richtlinien für die Zugänglichkeit von Web-Inhalten (WCAG) sind eine Reihe von Standards, die darauf abzielen, Web-Inhalte für Menschen mit Behinderungen, wie z. B. visuellen, auditiven, kognitiven oder motorischen Beeinträchtigungen, besser zugänglich zu machen. Die WCAG sind zwar eine gute Praxis für die Webentwicklung und die Benutzerfreundlichkeit, haben aber keinen direkten Bezug zur Sicherheit von Webanwendungen.
Die WCAG befassen sich nicht mit den üblichen Sicherheitsrisiken, denen Webanwendungen ausgesetzt sind, wie z. B. Injektion, fehlerhafte Authentifizierung, Fehlkonfiguration oder anfällige Komponenten. Daher ist die Einhaltung der WCAG im Gegensatz zu den anderen Optionen keine Methode zur Sicherung von Webanwendungen. Referenzen:
* 4: OWASP Top 10, ein Standarddokument für die Sicherheit von Webanwendungen, listet die kritischsten Sicherheitsrisiken für Webanwendungen auf und bietet bewährte Praktiken, um diese zu verhindern oder abzuschwächen.
* 5: Das SANS Institute, ein führender Anbieter von Schulungen und Zertifizierungen im Bereich Cybersicherheit, bietet eine Sicherheitscheckliste für Webanwendungstechnologien (SWAT) an, die bewährte Verfahren für die Fehlerbehandlung, den Datenschutz, die Konfiguration, die Authentifizierung, die Sitzungsverwaltung, die Behandlung von Eingaben und Ausgaben sowie die Zugriffskontrolle umfasst.
* 6: Built In, eine Plattform für Tech-Profis, bietet 13 Best Practices für die Sicherheit von Webanwendungen, z. B. die Verwendung einer Web Application Firewall, die Überwachung von APIs, die Durchsetzung des erwarteten Anwendungsverhaltens und die Einhaltung der OWASP Top 10.

Schatten-IT bezieht sich auf die Verwendung von IT-Systemen, -Diensten oder -Geräten, die nicht von der offiziellen IT-Abteilung autorisiert, genehmigt oder unterstützt werden. Schatten-IT kann erhebliche Risiken für die Datensicherheit, die Einhaltung von Vorschriften, die Leistung und den Ruf eines Unternehmens mit sich bringen. Eines der Hauptrisiken der Schatten-IT besteht darin, dass es ihr oft an Governance und Sicherheitsaufsicht mangelt. Das bedeutet, dass die Schatten-IT-Funktionen möglicherweise nicht den etablierten Richtlinien, Standards und Best Practices für die IT-Verwaltung folgen, wie z. B. Datenschutz, Zugriffskontrolle, Verschlüsselung, Backup, Patching, Auditing und Reporting. Dies kann das Unternehmen verschiedenen Bedrohungen aussetzen, z. B. Datenschutzverletzungen, Cyberangriffen, Malware-Infektionen, rechtlichen Verpflichtungen, Geldbußen und Rufschädigung. Darüber hinaus kann die Schatten-IT zu betrieblichen Ineffizienzen, Kompatibilitätsproblemen, Doppelarbeit und erhöhten Kosten für das Unternehmen führen.
Den Suchergebnissen des search_web-Tools zufolge ist Schatten-IT in vielen Unternehmen ein weit verbreitetes und wachsendes Phänomen, insbesondere mit der Verbreitung von Cloud-basierten Diensten und Anwendungen. In einigen Artikeln werden die folgenden bewährten Verfahren für die Verwaltung und Abschwächung von Schatten-IT-Risiken vorgeschlagen123:
* Durchführung von SaaS-Bewertungen zur proaktiven Aufdeckung von Schatten-IT
* Priorisierung der Benutzerfreundlichkeit (UX) und Unterstützung bei der Integration von Tools
* Rationalisierung der Verwaltung von Benutzerkonten und Identitäten
* Verwendung von Betriebssystemen und Geräten, mit denen die Mitarbeiter vertraut sind
* Kompromittierung und Zusammenarbeit mit Nutzern zur Minimierung von Schatten-IT-Risiken
* Aufklärung und Schulung der Nutzer über die Sicherheitsrisiken und Folgen der Schatten-IT
* Festlegung klarer Grundsätze und Leitlinien für die IT-Beschaffung und -Nutzung
* Schaffung einer Kultur des Vertrauens und der Transparenz zwischen der IT und den Geschäftsbereichen Die verifizierte Antwort auf die Frage lautet daher B. Den "Schatten-IT"-Funktionen mangelt es häufig an Governance und Sicherheitsaufsicht.
Referenzen:
* Schatten-IT erklärt: Risiken und Chancen - BMC Software
* Reduzieren Sie das Schatten-IT-Risiko Ihres Unternehmens in 3 Schritten
* Was ist Schatten-IT? - Artikel | SailPoint

Die Häufigkeit der Neubeurteilung eines Anbieters richtet sich nicht unbedingt nach den gesetzlichen Vorschriften, sondern vielmehr nach der Risikoeinstufung und der Kritikalität des Anbieters sowie nach den Veränderungen im Umfeld, der Leistung und den Kontrollen des Anbieters. Regulatorische Verpflichtungen können einige Anhaltspunkte oder Mindestanforderungen für die Neubeurteilung von Anbietern liefern, sie sind jedoch nicht die einzige Determinante für die Häufigkeit der Neubeurteilung. Im Shared Assessments Program Tools User Guide heißt es: "Die Häufigkeit der Neubewertung sollte sich nach der Risikoeinstufung und der Kritikalität des Anbieters sowie nach etwaigen Änderungen im Umfeld, der Leistung oder den Kontrollen des Anbieters richten. Die Häufigkeit der Neubewertung kann auch durch gesetzliche Vorgaben beeinflusst werden. "1 Ähnlich heißt es im CTPRP Study Guide: "Die Häufigkeit der Neubewertung sollte sich nach der Risikoeinstufung und der Kritikalität des Anbieters sowie nach etwaigen Änderungen im Umfeld, in der Leistung oder bei den Kontrollen des Anbieters richten. Auch gesetzliche Vorgaben können die Häufigkeit der Neubewertung beeinflussen. "2 Referenzen:
* Shared Assessments Program Tools Benutzerhandbuch
* CTPRP Studienführer

In den End-of-Life-Prozessen (EOL) für IT-Anlagen ist die Anforderung, regelmäßige Risikobewertungen durchzuführen, um das Ende der Lebensdauer zu bestimmen, in der Regel nicht enthalten. EOL-Prozesse konzentrieren sich im Allgemeinen auf die Verwaltung der Stilllegung und sicheren Entsorgung von IT-Anlagen, die das Ende ihrer Nutzungsdauer oder ihres Supportzeitraums erreicht haben. Dazu gehören die Verfolgung des Status von Anlagen, die Verwaltung von Updates und Support für Systeme und Anwendungen von Drittanbietern sowie die Festlegung von Verfahren für die sichere Vernichtung von Anlagen bei Ablauf der Nutzungsdauer. Risikobewertungen sind zwar für das gesamte IT-Asset-Management von entscheidender Bedeutung, doch sind sie in der Regel kein direkter Bestandteil der Bestimmung des EOL-Status eines Assets, der eher auf betrieblicher Effektivität, Herstellersupport und technologischer Veralterung beruht.
Referenzen:
* Bewährte Verfahren für die Verwaltung und Entsorgung von IT-Ressourcen, wie sie in den NIST-Richtlinien für die Mediensanierung (NIST SP 800-88) beschrieben sind, konzentrieren sich auf die sichere und umweltverträgliche Entsorgung von IT-Ressourcen, ohne regelmäßige Risikobewertungen für die EOL-Bestimmung vorzuschreiben.
* Der "IT Asset Disposal (ITAD) Best Practice Guide" der International Association of IT Asset Managers (IAITAM) bietet Einblicke in effektive EOL-Prozesse, einschließlich der Verfolgung, Aktualisierung und sicheren Vernichtung von IT-Assets.

Verfahren für den physischen Zugang und Aktivitätsprotokolle sind wichtige Bestandteile des Risikomanagements für Dritte, da sie dazu beitragen, die Sicherheit und Integrität der physischen Vermögenswerte und Daten der Organisation und ihrer Dritten zu gewährleisten.
Die Forderung, physische Zugangsprotokolle für Prüfungszwecke unbegrenzt aufzubewahren, ist jedoch keine optimale Praxis, da dies rechtliche, regulatorische und betriebliche Probleme mit sich bringen kann. Gemäß den ergänzenden Prüfungsverfahren für das Risikomanagement von Beziehungen zu Dritten sollten physische Zugangsprotokolle während eines angemessenen Zeitraums aufbewahrt werden, der mit den Richtlinien und Verfahren der Organisation übereinstimmt und die geltenden Gesetze und Vorschriften einhält1. Die Aufbewahrung von Zugangsprotokollen auf unbestimmte Zeit kann das Risiko von unbefugtem Zugriff, Datenschutzverletzungen und Rechtsstreitigkeiten erhöhen2. Daher ist Aussage B die richtige Antwort, da sie als einzige keine Best Practice für physische Zugangsverfahren und Aktivitätsprotokolle darstellt.
Referenzen:
* 1: Wie man Richtlinien und Verfahren für das Risikomanagement von Drittanbietern (TPRM) schreibt - SecurityScorecard Blog
* 2: Fünf bewährte Praktiken zur Verwaltung und Kontrolle von Risiken Dritter - Broadcom Inc.
* 3: Eine Checkliste für Risikomanagement-Plattformen Dritter - Crowe LLP
* 4: Ergänzende Prüfungsverfahren für das Risikomanagement von Drittpartei-Beziehungen
* 5: Risikomanagement für Dritte: Warum es wichtig ist und worauf man achten sollte - Expert Insights

Eine Verordnung ist eine Rechtsvorschrift mit Gesetzeskraft, die von einer übergeordneten oder zuständigen Behörde erlassen wird und sich auf die Handlungen derjenigen bezieht, die der Kontrolle der Behörde unterliegen. Verordnungen werden von verschiedenen Ministerien und Behörden erlassen, um die Absicht der vom Gesetzgeber der jeweiligen Gerichtsbarkeit erlassenen Gesetze zu verwirklichen. Verordnungen dienen auch dazu, eine einheitliche Anwendung des Gesetzes zu gewährleisten. Eine Norm ist ein Leitfaden, der in der Regel von privatwirtschaftlichen Einrichtungen erstellt wird und von jeder Person oder Organisation, ob privat oder staatlich, verwendet werden kann. Der Begriff umfasst sowohl die so genannten "Industrienormen" als auch
Konsensnormen". Normen werden in einem freiwilligen Prozess der Zusammenarbeit und des Konsenses zwischen Interessengruppen wie Herstellern, Verbrauchern, Regulierungsbehörden und Experten entwickelt. Normen können bewährte Verfahren, technische Spezifikationen, Leistungskriterien oder Qualitätsanforderungen widerspiegeln. Normen haben keine Gesetzeskraft, es sei denn, sie werden von einer Verordnung übernommen oder es wird auf sie verwiesen. Daher muss eine Vorschrift von allen Unternehmen, die ihren Anforderungen unterliegen, eingehalten werden. Unternehmen können sich jedoch freiwillig für die Einhaltung von Normen entscheiden, die für ihre Geschäftstätigkeit, Produkte oder Dienstleistungen relevant und vorteilhaft sind. Referenzen:
* Der Unterschied zwischen Vorschriften und Normen
* Vorschriften vs. Normen: Klärung der Verwirrung - AEM
* Normen vs. Vorschriften
* Zertifizierter Risikofachmann für Drittparteien (CTPRP) Studienführer

Ein Asset-Management-Programm ist eine Reihe von Richtlinien, Verfahren und Praktiken, die darauf abzielen, den Wert, die Leistung und den Lebenszyklus der Vermögenswerte einer Organisation zu optimieren, z. B. physische, finanzielle, personelle oder informationelle Vermögenswerte123. Ein Asset-Management-Programm definiert in der Regel Richtlinienanforderungen für die folgenden Aspekte des Asset-Managements:
* Die Richtlinie enthält Anforderungen für die Wiederverwendung von physischen Medien (z. B. Geräte, Server, Festplattenlaufwerke usw.):
Diese Anforderung stellt sicher, dass die Organisation ordnungsgemäße Verfahren zur Reinigung, Löschung oder Vernichtung von physischen Datenträgern einhält, die sensible oder vertrauliche Daten enthalten, bevor sie wiederverwendet, recycelt oder entsorgt werden123. Diese Anforderung trägt dazu bei, Datenlecks, Diebstahl oder Verlust zu verhindern und schützt den Ruf der Organisation und die Einhaltung der Vorschriften123.
* Die Richtlinie verlangt, dass Mitarbeiter und Auftragnehmer bei Beendigung ihres Arbeitsverhältnisses, Vertrags oder ihrer Vereinbarung alle Unternehmensdaten und -werte zurückgeben: Diese Anforderung stellt sicher, dass die Organisation alle Daten und Vermögenswerte zurückerhält, die von den Mitarbeitern und Auftragnehmern während ihrer Beschäftigung, ihres Vertrags oder ihrer Vereinbarung zugewiesen oder ausgeliehen wurden bzw. auf die sie Zugriff hatten123. Diese Anforderung trägt dazu bei, die Sicherheit, Integrität und Verfügbarkeit der Daten und Vermögenswerte der Organisation aufrechtzuerhalten und deren unbefugte oder unangemessene Nutzung oder Offenlegung zu verhindern123.
* Die Richtlinie definiert Anforderungen für die Inventarisierung, Identifizierung und Entsorgung von Geräten und/oder physischen Medien: Diese Anforderung stellt sicher, dass die Organisation eine genaue und aktuelle
* Aufzeichnungen über alle Geräte und physischen Medien, die sie besitzt, mietet oder nutzt, und weist ihnen eindeutige Kennungen zu123. Diese Anforderung stellt auch sicher, dass die Organisation ordnungsgemäße Verfahren für die Entsorgung von Geräten und physischen Medien einhält, die nicht mehr benötigt werden, nicht mehr nützlich oder funktionsfähig sind123. Diese Anforderung trägt dazu bei, die Effizienz, Effektivität und Rechenschaftspflicht der Vermögensverwaltungsprozesse der Organisation zu verbessern und die Risiken von Verschwendung, Betrug oder Missbrauch der Ressourcen der Organisation zu verringern123.
Die Option D, die vorschreibt, dass sich Besucher (einschließlich anderer Mieter und Wartungspersonal) beim Betreten und Verlassen der Einrichtung abzumelden haben und stets begleitet werden müssen, wird jedoch in der Regel nicht in einem Asset-Management-Programm definiert. Diese Anforderung wird eher in einem Programm für physische Sicherheit definiert, das eine Reihe von Richtlinien, Verfahren und Praktiken enthält, die darauf abzielen, die Räumlichkeiten, Vermögenswerte und Mitarbeiter der Organisation vor unbefugtem Zugang, Beschädigung oder Verletzung zu schützen. In einem Programm für physische Sicherheit werden in der Regel Anforderungen für die folgenden Aspekte der physischen Sicherheit definiert:
* Die Richtlinie schreibt vor, dass Besucher (einschließlich anderer Mieter und des Wartungspersonals) sich beim Betreten und Verlassen der Einrichtung anmelden und jederzeit begleitet werden müssen: Diese Anforderung stellt sicher, dass die Organisation den Zugang von Besuchern zur Einrichtung kontrolliert und überwacht und ihre Identität, ihren Zweck und ihre Berechtigung prüft.
Diese Anforderung stellt auch sicher, dass die Organisation Besucher daran hindert, auf eingeschränkte oder sensible Bereiche, Geräte oder Informationen zuzugreifen, und sie während ihres Besuchs begleitet. Diese Anforderung trägt dazu bei, die Sicherheit, den Schutz und die Einhaltung der Vorschriften für die Einrichtung, die Vermögenswerte und das Personal der Organisation zu verbessern und potenzielle Bedrohungen, Zwischenfälle oder Verstöße zu verhindern.
* Die Richtlinie definiert die Anforderungen für die Verriegelung, Alarmierung und Überwachung der Einrichtung und ihrer Ein- und Ausgänge: Diese Anforderung stellt sicher, dass die Organisation die Umgebung und das Innere der Einrichtung sichert und alle unbefugten oder verdächtigen Aktivitäten oder Eindringlinge erkennt und darauf reagiert. Diese Anforderung stellt auch sicher, dass die Organisation angemessene und wirksame physische Sicherheitsmaßnahmen wie Schlösser, Alarme, Kameras, Wachen oder Barrieren einsetzt, um unbefugten Zugang abzuschrecken, zu verhindern oder zu verzögern. Diese Anforderung trägt dazu bei, die Einrichtungen, Vermögenswerte und Mitarbeiter der Organisation vor Diebstahl, Vandalismus, Sabotage oder Angriffen zu schützen.
* Die Richtlinie legt die Anforderungen an die Notfallbereitschaft und -reaktion der Einrichtung und ihrer Bewohner fest: Diese Anforderung stellt sicher, dass die Organisation Verfahren für den Umgang mit Notfällen wie Feuer, Überschwemmung, Erdbeben, Stromausfall oder Schießerei plant und umsetzt, die die Einrichtung und ihre Bewohner betreffen können. Diese Anforderung stellt auch sicher, dass die Organisation angemessene und zugängliche Ausrüstungen, Ressourcen und Schulungen für die Vorbereitung auf Notfälle und die Reaktion darauf bereitstellt, wie z. B. Feuerlöscher, Erste-Hilfe-Kästen, Evakuierungsrouten, Notfallkontakte oder -übungen. Diese Anforderung trägt dazu bei, die Sicherheit, Gesundheit und Kontinuität der Einrichtung, der Vermögenswerte und des Personals der Organisation zu gewährleisten und die Auswirkungen und Schäden von Notfällen zu minimieren.
Daher ist Option D die richtige Antwort, da sie als einzige keine der in einem Asset-Management-Programm typischerweise definierten Richtlinienanforderungen widerspiegelt. Referenzen: Die folgenden Quellen unterstützen die verifizierte Antwort und Erklärung:
* 1: Leitfaden für die Vermögensverwaltung + kostenlose Vorlage | Fiix
* 2: Vermögensverwaltungspolitik: Wie man eine von Grund auf neu erstellt - Limble CMMS
* 3: Wie man eine Politik, eine Strategie und einen Governance-Rahmen für die Vermögensverwaltung entwickelt: Einführung eines kohärenten Ansatzes für die Vermögensverwaltung in Ihrer Gemeinde
* : Physische Sicherheitspolitik - SANS
* : Physische Sicherheitspolitik - IT-Governance

Der Prozess zur Bewertung des Lieferantenrisikos eines Outsourcers sollte alle in den Optionen A, B und C genannten Schritte umfassen, da sie für eine einheitliche, umfassende und wirksame Bewertung der Leistung, der Einhaltung der Vorschriften und des Risikoprofils des Lieferanten unerlässlich sind. Option D ist jedoch kein notwendiger oder empfehlenswerter Teil der Risikobewertung des Anbieters, da sie nicht das tatsächliche Risikoniveau des Anbieters widerspiegelt, sondern vielmehr die Verfügbarkeit von Ressourcen innerhalb der Organisation des Outsourcers. Die Festlegung der Beurteilungshäufigkeit auf der Grundlage der Ressourcenkapazität könnte dazu führen, dass die Anbieter je nach Arbeitsbelastung, Budget und Personal des Outsourcers unter- oder überbewertet werden. Dies könnte dazu führen, dass kritische Probleme übersehen werden, Zeit und Geld verschwendet werden oder Lücken im Programm zur Überwachung der Anbieter entstehen. Daher ist Option D die richtige Antwort, da sie die einzige ist, die nicht zum Prozess der Risikobewertung von Lieferanten gehört. Referenzen: Die folgenden Quellen unterstützen die verifizierte Antwort und Erklärung:
* Im CTPRP-Auftragsleitfaden von Shared Assessments, Seite 10, Abschnitt 2.1.1, heißt es: "Die Häufigkeit der Bewertungen sollte sich nach der Risikostufe des Dritten richten, nicht nach der Verfügbarkeit von Ressourcen."
* Im Abschnitt "Schritt 3: Bestimmen Sie die Häufigkeit der Risikobewertungen von Lieferanten" des Leitfadens zur Risikobewertung von Lieferanten heißt es: "Die Häufigkeit der Risikobewertungen von Lieferanten sollte sich nach dem Risikograd richten, den jeder Lieferant für Ihr Unternehmen darstellt, und nicht nach der Verfügbarkeit von Ressourcen oder der Bequemlichkeit."
* Im Abschnitt "Schritt 8: Bestimmen Sie die Häufigkeit der Risikobewertungen von Lieferanten" des Handbuchs "How to Conduct a Successful Vendor Risk Assessment in 9 Steps" heißt es: "Die Häufigkeit der Risikobewertungen von Lieferanten sollte sich nach dem Risikoniveau richten, das jeder Lieferant für Ihr Unternehmen darstellt, und nicht nach der Verfügbarkeit von Ressourcen oder der Bequemlichkeit".

Infrastructure as a Service (IaaS) ist ein Cloud-Bereitstellungsmodell, das Benutzern Zugang zu virtualisierten Hardwareressourcen wie Servern, Speicher- und Netzwerkgeräten bietet. Die Benutzer können ihre eigenen Betriebssysteme und Anwendungen auf der Cloud-Infrastruktur installieren und ausführen und haben die volle Kontrolle über die Konfiguration und Verwaltung der Hardwareausrüstung. IaaS ist für Unternehmen geeignet, die eine hohe Skalierbarkeit, Flexibilität und Anpassbarkeit ihrer Cloud-Umgebung benötigen. IaaS unterscheidet sich von anderen Cloud-Bereitstellungsmodellen wie "Function as a Service" (FaaS), "Platform as a Service" (PaaS) und "Software as a Service" (SaaS), die den Benutzern übergeordnete Dienste zur Verfügung stellen und die zugrundeliegenden Hardware-Details nicht berücksichtigen. Referenzen:
* Cloud-Infrastruktur: 4 Schlüsselkomponenten und Bereitstellungsmodelle
* Cloud-Bereitstellungsmodelle - GeeksforGeeks
* On-Premises Cloud-Bereitstellungsmodell: Organisationseigene Hardware - Erläuterung

TPRM-Programmkennzahlen sind die Indikatoren, die die Leistung, Effektivität und Reife des TPRM-Programms messen. Sie helfen dabei, den Fortschritt, die Erfolge und die Herausforderungen des TPRM-Programms zu überwachen und den verschiedenen Interessengruppen, wie Geschäftsbereichen, der Geschäftsleitung, Risikoausschüssen und dem Vorstand, zu vermitteln. Der Umfang der Berichterstattung und die Häufigkeit von Änderungen der TPRM-Kennzahlen hängen jedoch von der Rolle, der Verantwortung und dem Interesse des jeweiligen Akteurs ab123:
* Geschäftseinheit: Diese Berichtsebene konzentriert sich auf die operativen Aspekte des TPRM-Programms, wie z. B. den Status von Lieferantenbewertungen, Abhilfemaßnahmen, Problemen und Vorfällen. Die Änderungen der TPRM-Programmkennzahlen auf dieser Ebene sind häufig und granular, da sie die täglichen Aktivitäten und Ergebnisse des TPRM-Programms widerspiegeln.
* Die Geschäftsleitung: Diese Ebene der Berichterstattung konzentriert sich auf die strategischen Aspekte des TPRM-Programms, wie z. B. die Ausrichtung auf die Geschäftsziele, die Einhaltung der gesetzlichen Vorschriften, das Management der Hauptrisiken und die Optimierung der Ressourcen und Kosten. Die Änderungen der TPRM-Programmkennzahlen auf dieser Ebene erfolgen weniger häufig und sind stärker aggregiert, da sie die Gesamtrichtung und Leistung des TPRM-Programms widerspiegeln.
* Risikoausschuss: Diese Ebene der Berichterstattung konzentriert sich auf die Überwachungsaspekte des TPRM-Programms, wie die Bewertung der Risikobereitschaft, die Überprüfung des Risikoprofils, die Genehmigung der Risikorichtlinien und die Eskalation von Risikoproblemen. Die Änderungen der TPRM-Programmkennzahlen auf dieser Ebene sind gelegentlich und eher analytisch, da sie die Steuerung und Sicherung des TPRM-Programms widerspiegeln.
* Vorstand: Diese Ebene der Berichterstattung konzentriert sich auf die beratenden Aspekte des TPRM-Programms, wie z. B. die Befürwortung der Risikostrategie, das Bewusstsein für die Risikotrends, die Anleitung der Risikokultur und die Unterstützung der Risikoinitiativen. Die Änderungen der TPRM-Programmkennzahlen auf dieser Ebene sind selten und außergewöhnlich, da sie die hochrangige und langfristige Vision und den Wert des TPRM-Programms widerspiegeln.
Die richtige Antwort lautet daher D. Vorstand, da dies die Ebene der Berichterstattung ist, auf der Änderungen der TPRM-Programmkennzahlen selten und außergewöhnlich sind. Referenzen:
* 1: 15 KPIs & Metriken zur Messung des Erfolgs Ihres TPRM-Programms | UpGuard
* 2: Metriken zum Risikomanagement für Dritte: Bewährte Verfahren zur Verbesserung Ihrer ... | Diligent
* 3: TPRM-Metriken - Telling Your Risk Story - Gemeinsame Bewertungen | Gemeinsame Bewertungen

Entschädigung ist eine vertragliche Verpflichtung, durch die sich eine Partei bereit erklärt, eine andere Partei für Verluste oder Schäden zu entschädigen, die durch ein bestimmtes Ereignis oder einen bestimmten Umstand entstehen können. Gegenseitige Entschädigung bedeutet, dass beide Parteien zustimmen, sich gegenseitig für bestimmte Verluste oder Schäden zu entschädigen, z. B. für solche, die durch Vertragsbruch, Fahrlässigkeit oder Gesetzesverstöße entstehen. Die gegenseitige Schadloshaltung kann jede Partei in die Lage versetzen, das Informationssicherheitsrisiko zu teilen, da sie einen Mechanismus für die Zuweisung der Verantwortung und Haftung für Sicherheitsvorfälle oder -verletzungen bietet, die eine der Parteien oder ihre Kunden betreffen können. Die gegenseitige Entschädigung kann auch einen Anreiz für jede Partei darstellen, angemessene Sicherheitskontrollen und -praktiken aufrechtzuerhalten sowie im Falle eines Sicherheitsvorfalls oder einer Sicherheitsverletzung effektiv zu kooperieren und zu kommunizieren.
Bei den anderen Optionen handelt es sich nicht um Vertragsklauseln, die es jeder Partei ermöglichen, den Umfang des Informationssicherheitsrisikos zu teilen, denn:
* A. Eine Haftungsbeschränkung ist eine Vertragsklausel, die den Betrag oder die Art des Schadensersatzes begrenzt, den eine Partei von einer anderen Partei im Falle eines Vertragsbruchs oder einer anderen rechtlichen Maßnahme fordern kann. Die Haftungsbeschränkung ermöglicht es nicht jeder Partei, das Informationssicherheitsrisiko zu teilen, da sie die Haftung einer Partei reduzieren oder begrenzen kann, aber nicht notwendigerweise das Risiko zwischen beiden Parteien verteilt oder ausgleicht.
* B. Eine Cyber-Versicherung ist eine Art von Versicherungspolice, die die Kosten und Verluste abdeckt, die durch Cyber-Angriffe, Datenschutzverletzungen oder andere Cyber-Vorfälle entstehen. Die Cyberversicherung ermöglicht es nicht jeder Partei
* die Höhe des Informationssicherheitsrisikos zu teilen, da sie das Risiko auf einen Drittversicherer übertragen oder mindern kann, aber nicht notwendigerweise das Risiko zwischen beiden Parteien aufteilt oder verteilt.
* C. Höhere Gewalt ist eine Vertragsklausel, die eine oder beide Parteien von der Erfüllung ihrer vertraglichen Verpflichtungen entbindet, wenn ein unvorhergesehenes oder unvermeidbares Ereignis oder ein Umstand eintritt, der sich ihrer Kontrolle entzieht, wie z. B. eine Naturkatastrophe, ein Krieg oder eine Pandemie. Höhere Gewalt ermöglicht es den Parteien nicht, das Informationssicherheitsrisiko zu teilen, da der Vertrag im Falle höherer Gewalt ausgesetzt oder gekündigt werden kann, das Risiko aber nicht unbedingt auf beide Parteien verteilt oder ausgeglichen wird.
Referenzen:
* Shared Assessments CTPRP Study Guide, Seite 62, Abschnitt 5.2.2: Vertragliche Bedingungen
* Risikomanagement für Dritte: Vertragsbedingungen für Lieferanten, Abschnitt: Entschädigung
* Cybersecurity-Risiken von Drittanbietern: PwC, Abschnitt: Vertragsklauseln und Bedingungen
* [Risikomanagement für Drittparteien: Das 3rd-Party-Ökosystem: Wie man das Risiko verwaltet und den Nutzen behält], Abschnitt: Vertragliche Bestimmungen und Bedingungen

Das beschriebene Szenario deutet auf einen Mangel im Asset-Management-Programm des Anbieters hin. Zu einem wirksamen Vermögensverwaltungsprogramm gehört es, ein genaues Inventar von Hardware und Geräten zu führen, ihren Status zu überwachen und etwaige Verluste oder Unstimmigkeiten umgehend zu erkennen und darauf zu reagieren. Die Tatsache, dass der Verlust von Laptops und eines Tablets, auf dem zwei Jahre lang Unternehmensdaten verarbeitet wurden, nicht entdeckt wurde, deutet auf Mängel bei der Verfolgung und Verwaltung physischer Vermögenswerte hin. Dieses Versäumnis kann zu Risiken im Zusammenhang mit der Datensicherheit, der Einhaltung von Vorschriften und der betrieblichen Integrität führen. Ein solides Vermögensverwaltungsprogramm sollte sicherstellen, dass alle Vermögensgegenstände erfasst werden, ihre Nutzung überwacht wird und etwaige Anomalien oder Verluste schnell erkannt und behoben werden.
Referenzen:
* IT-Asset-Management-Standards wie ISO/IEC 27001 (Information Security Management) betonen die Bedeutung der Bestandsaufnahme von Assets und der Implementierung geeigneter Kontrollen zum Schutz der IT-Assets.
* Organisatorisches Vermögen.
* Das "IT Asset Management Handbook" der International Association of IT Asset Managers (IAITAM) enthält Richtlinien für die Einrichtung eines umfassenden Asset-Management-Programms, einschließlich bewährter Verfahren für die Verfolgung, Überwachung und Verhinderung von Verlusten.

Unter Risikomanagement für Dritte (TPRM) versteht man den Prozess der Identifizierung, Bewertung und Abschwächung der Risiken, die mit der Auslagerung von Geschäftstätigkeiten oder Funktionen an externe Unternehmen verbunden sind. Das TPRM wird von verschiedenen Vorschriften beeinflusst, die darauf abzielen, die Interessen von Kunden, Stakeholdern und Aufsichtsbehörden vor dem potenziellen Schaden zu schützen, der durch Versagen oder Fehlverhalten Dritter entsteht. Diese Vorschriften können je nach Branche, Gerichtsbarkeit und Art der Beziehung zu Dritten variieren. Daher ist es wichtig, dass Unternehmen im Rahmen ihrer jährlichen Risikobewertung ihr Inventar an Vorschriften, die sich auf ihr TPRM-Programm auswirken, aktualisieren und die Vorschriften, die für ihre Geschäftsziele und Risikobereitschaft am relevantesten und kritischsten sind, nach Prioritäten ordnen.
Der optimale Ansatz für die Priorisierung der Vorschriften besteht darin, die geltenden Vorschriften zu ermitteln, die eine Ausweitung der spezifischen Verpflichtungen auf die Dienstleister erfordern. Das bedeutet, dass sich die Organisation auf die Vorschriften konzentrieren sollte, die der Organisation und ihren Drittpartnern bestimmte Anforderungen oder Erwartungen auferlegen, z. B. in Bezug auf Datenschutz, Sicherheit, Einhaltung von Vorschriften, Berichterstattung, Rechnungsprüfung oder Leistungsstandards. In diesen Vorschriften können auch die Rollen und Verantwortlichkeiten der Organisation und des Dienstleisters, der Umfang und die Häufigkeit von Due-Diligence- und Überwachungsaktivitäten, die Vertragsklauseln und -bedingungen sowie die Abhilfe- und Kündigungsverfahren festgelegt sein. Durch die Identifizierung dieser Vorschriften kann die Organisation sicherstellen, dass ihr TPRM-Programm mit den gesetzlichen Erwartungen und Verpflichtungen übereinstimmt und dass sie die mit ihren Beziehungen zu Dritten verbundenen Risiken wirksam verwalten und mindern kann.
Einige Beispiele für Verordnungen, die eine Ausweitung spezifischer Verpflichtungen auf Dienstleistungsanbieter vorsehen, sind:
* Die Allgemeine Datenschutzverordnung (GDPR): Hierbei handelt es sich um eine Verordnung der Europäischen Union, die die Erhebung, Verarbeitung und Übermittlung personenbezogener Daten von Einzelpersonen in der EU regelt. Die GDPR verpflichtet Organisationen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen und nur mit Dienstleistern zusammenzuarbeiten, die ausreichende Datenschutzgarantien bieten können.
Die DSGVO verlangt auch, dass Organisationen schriftliche Verträge mit ihren Dienstleistern abschließen, in denen der Gegenstand, die Dauer, die Art und der Zweck der Datenverarbeitung sowie die Rechte und Pflichten beider Parteien festgelegt sind. Die DSGVO schreibt auch strenge Melde- und Berichtspflichten im Falle von Datenverstößen vor.
* Der Health Insurance Portability and Accountability Act (HIPAA): Hierbei handelt es sich um ein US-Bundesgesetz, das die Privatsphäre und die Sicherheit von Gesundheitsdaten von Einzelpersonen regelt. Der HIPAA verlangt von den betroffenen Einrichtungen, wie Gesundheitsdienstleistern, Gesundheitsplänen und Clearingstellen für das Gesundheitswesen, die Gesundheitsdaten ihrer Patienten zu schützen und sie nur an befugte Parteien weiterzugeben. Der HIPAA verpflichtet die betroffenen Einrichtungen außerdem, mit ihren Dienstleistern, die in ihrem Namen Gesundheitsdaten verarbeiten oder darauf zugreifen, Vereinbarungen über die Zusammenarbeit mit Unternehmen abzuschließen. In diesen Vereinbarungen müssen die zulässigen und erforderlichen Verwendungen und Offenlegungen der Gesundheitsdaten, die Sicherheitsvorkehrungen und Maßnahmen zum Schutz der Gesundheitsdaten sowie die Melde- und Benachrichtigungspflichten im Falle von Verstößen oder Zwischenfällen festgelegt werden.
* Der Sarbanes-Oxley Act (SOX): Hierbei handelt es sich um ein US-Bundesgesetz, das die Genauigkeit und Zuverlässigkeit der Finanzberichterstattung und Offenlegung von Unternehmen verbessern soll. Nach dem SOX müssen börsennotierte Unternehmen interne Kontrollen für ihre Finanzberichterstattung einrichten und beibehalten sowie die Wirksamkeit dieser Kontrollen bewerten und darüber berichten. Außerdem müssen Aktiengesellschaften sicherstellen, dass ihre externen Prüfer unabhängig und qualifiziert sind, und alle wesentlichen Schwächen oder Mängel in ihren internen Kontrollen offenlegen. Das SOX gilt auch für die Dienstleister, die die Finanzberichterstattung der öffentlichen Unternehmen durchführen oder unterstützen, wie z. B. Wirtschaftsprüfungsunternehmen, Anbieter von Informationstechnologie oder Berater. Nach dem SOX müssen börsennotierte Unternehmen die internen Kontrollen ihrer Dienstleister bewerten und überwachen und sie in ihren Prüfungs- und Berichtsumfang einbeziehen.
Referenzen:
* Risikomanagement und Risikominderung bei Dritten | Gartner
* Bewährte Praktiken für den Start eines Risikomanagementprogramms für Dritte
* Bewährte Methoden des Risikomanagements für Dritte und warum sie wichtig sind
* GDPR und Risikomanagement für Drittparteien
* HIPAA-Konformität für Geschäftspartner und Drittanbieter von Dienstleistungen
* SOX-Compliance-Anforderungen für Drittanbieter von Dienstleistungen

Ein dokumentierter Prozess zur Einholung von Genehmigungen für die Verwendung von Open-Source-Anwendungen ist in der Regel nicht Teil der Bewertung der Patch-Management-Kontrollen des Anbieters, da er nicht direkt mit dem Patching-Prozess verbunden ist. Patch-Management-Kontrollen sind die Richtlinien, Verfahren und Tools, die es einer Organisation ermöglichen, Patches für Software-Schwachstellen zu identifizieren, zu erwerben, zu installieren und zu überprüfen. Die Kontrollen der Patch-Verwaltung zielen darauf ab, das Risiko der Ausnutzung bekannter Software-Schwachstellen zu verringern und die Funktionalität und Kompatibilität der gepatchten Systeme zu gewährleisten. Ein dokumentierter Prozess zur Erlangung von Genehmigungen für die Verwendung von Open-Source-Anwendungen ist eher für die Softwareentwicklungs- und Beschaffungsprozesse relevant, da er die Bewertung der rechtlichen, sicherheitstechnischen und betrieblichen Auswirkungen der Verwendung von Open-Source-Softwarekomponenten in den Produkten oder Dienstleistungen des Anbieters beinhaltet. Open-Source-Software kann andere Lizenzbedingungen, Qualitätsstandards und Support-Levels haben als proprietäre Software und kann zusätzliche Schwachstellen oder Abhängigkeiten mit sich bringen, die verwaltet werden müssen. Daher ist ein dokumentierter Prozess zur Einholung von Genehmigungen für die Verwendung von Open-Source-Anwendungen eine gute Praxis für Anbieter, aber keine Patch-Management-Kontrolle per se. Referenzen:
* Leitfaden für die Planung des Patch-Managements in Unternehmen
* Steuerung der wichtigsten Aspekte des System-Patch-Managements
* Zertifizierter Risikofachmann für Drittparteien (CTPRP) Studienführer

Ein Programm zur Bewertung von Cloud-Hosting-Anbietern ist ein Prozess zur Bewertung der Sicherheit, Compliance und Leistung eines Cloud-Service-Anbieters (CSP), der die Daten oder Anwendungen eines Unternehmens hostet. Ein Programm zur Bewertung von Cloud-Hosting-Anbietern umfasst in der Regel die folgenden Komponenten123:
* Überprüfung des Prozesses zur Genehmigung und Verwaltung von Image-Snapshots der Organisation: Bei dieser Komponente wird überprüft, wie der CSP Image-Snapshots der virtuellen Maschinen oder Container, auf denen die Arbeitslasten des Unternehmens ausgeführt werden, erstellt, genehmigt, speichert und löscht. Image-Snapshots können sensible Daten oder Konfigurationseinstellungen enthalten, die vor unbefugtem Zugriff oder Änderungen geschützt werden müssen.
* Anforderung der Dokumentation von Sicherheitsdiensten und der Prüfbescheinigungen: Diese Komponente umfasst die Anforderung und Überprüfung der Dokumentation und Berichte des CSP, die die Sicherheitskontrollen und -praktiken belegen, die der CSP zum Schutz der Daten und Anwendungen des Unternehmens einsetzt. Dazu können Service Level Agreements (SLAs), Sicherheitsrichtlinien und -verfahren, Sicherheitszertifizierungen und -standards, Berichte über Schwachstellen-Scans und Patches, Pläne für die Reaktion auf Vorfälle und die Notfallwiederherstellung sowie unabhängige Auditberichte wie SOC 2 oder ISO 27001 gehören.
* Anforderung von Nachweisen für die Einhaltung der Vorschriften, in denen die Zuständigkeiten für das Patchen festgelegt sind: Bei dieser Komponente geht es darum, zu erfragen und zu überprüfen, wie der CSP das Patching der Betriebssysteme, Anwendungen und Bibliotheken, die auf der Cloud-Infrastruktur laufen, handhabt. Das Patchen ist ein wichtiger Vorgang, um Sicherheitsverletzungen zu verhindern und die Einhaltung gesetzlicher Vorschriften zu gewährleisten. Die Organisation muss die Rollen und Verantwortlichkeiten des CSP und der Organisation beim Patching der Cloud-Umgebung sowie die Häufigkeit und den Umfang der Patching-Aktivitäten verstehen.
Die Komponente, die normalerweise NICHT Teil eines Bewertungsprogramms für Cloud-Hosting-Anbieter ist, ist die Durchführung von Penetrationstests durch den Kunden. Bei Penetrationstests wird ein Cyberangriff auf ein System oder Netzwerk simuliert, um Schwachstellen und Schwachpunkte zu identifizieren und auszunutzen. Obwohl Penetrationstests ein wertvolles Instrument zur Bewertung der Sicherheitslage eines CSP sein können, sind sie in der Regel aus den folgenden Gründen nicht Bestandteil eines Bewertungsprogramms für Cloud-Hosting-Anbieter:
* Penetrationstests können gegen die Nutzungsbedingungen des CSP verstoßen, die dem Kunden unbefugte oder störende Aktivitäten in der Cloud-Infrastruktur verbieten oder einschränken können. Der Kunde kann mit rechtlichen oder vertraglichen Konsequenzen rechnen, wenn er Penetrationstests ohne die Zustimmung oder das Wissen des CSP durchführt.
* Penetrationstests können den normalen Betrieb des CSP stören oder die Verfügbarkeit und Leistung der Cloud-Dienste für andere Kunden beeinträchtigen. Der Kunde kann unbeabsichtigte Schäden oder Störungen an den Systemen oder Netzen des CSP verursachen oder Fehlalarme oder -warnungen auslösen, die die Ressourcen oder die Aufmerksamkeit des CSP ablenken können.
* Penetrationstests liefern möglicherweise keine umfassende oder genaue Bewertung der Sicherheit des CSP, da der Kunde möglicherweise nur begrenzten Einblick oder Zugang zu den internen Systemen oder Netzen des CSP hat oder auf Sicherheitsmechanismen oder Gegenmaßnahmen stößt, die die Penetrationstests verhindern oder einschränken. Der Kunde kann auch mit ethischen oder rechtlichen Problemen konfrontiert werden, wenn er auf die Daten oder Systeme anderer Kunden oder des CSP zugreift oder diese gefährdet.
Daher lautet die verifizierte Antwort auf die Frage D. Durchführung von Penetrationstests durch Kunden.
Referenzen:
* Vier wichtige Best Practices für die Bewertung von Cloud-Anbietern
* Die 11 wichtigsten Fragebögen zur Bewertung von IT-Anbietern im Jahr 2024
* Cloud-Anbieter-Bewertungen | Richtig gemacht
* [Penetrationstests in der Cloud: Was Sie wissen müssen]
* [Cloud Penetration Testing: Herausforderungen und bewährte Verfahren]

Due Diligence ist der Prozess der Bewertung der Risiken und Chancen, die mit einem potenziellen oder bestehenden Drittanbieter verbunden sind. Due Diligence kann in Umfang und Tiefe variieren, je nachdem, wie hoch das Risiko ist, das der Lieferant für das Unternehmen darstellt. Anbieter mit einem geringeren Risiko sind solche, die nur minimale Auswirkungen auf den Betrieb, den Ruf oder die Einhaltung von Vorschriften haben und die nicht mit sensiblen oder vertraulichen Daten oder Systemen arbeiten. Bei Anbietern mit geringerem Risiko kann die Due-Diligence-Prüfung darin bestehen, dass die Antworten des Dienstleisters auf den Fragebogen zur Selbsteinschätzung als ausreichender Nachweis für seine Fähigkeiten, seine Leistung und seine Compliance akzeptiert werden. Ein Selbstbewertungsfragebogen ist ein Instrument, mit dem der Anbieter Informationen über seine Organisation, Dienstleistungen, Prozesse, Kontrollen und Richtlinien bereitstellen kann. Die Organisation kann den Fragebogen verwenden, um die Identität des Anbieters, seine Qualifikationen, Referenzen und Zertifizierungen zu überprüfen und die Übereinstimmung des Anbieters mit den Standards und Erwartungen der Organisation zu bewerten. Wenn die Antworten auf den Fragebogen zur Selbsteinschätzung des Anbieters als Hauptquelle für die Due-Diligence-Prüfung akzeptiert werden, kann die Organisation Zeit und Ressourcen sparen und Vertrauen in den Anbieter zeigen. Die Organisation sollte jedoch auch sicherstellen, dass der Fragebogen umfassend, relevant und aktuell ist und dass die Antworten des Anbieters korrekt, vollständig und konsistent sind.
Die Organisation sollte sich auch das Recht vorbehalten, bei Bedarf zusätzliche Informationen oder Unterlagen vom Anbieter anzufordern und regelmäßige Überprüfungen oder Audits der Leistung und Einhaltung der Vorschriften durch den Anbieter durchzuführen.
Die anderen Optionen beschreiben die Durchführung der Due-Diligence-Prüfung eines Verkäufers mit geringerem Risiko nicht am besten, da sie entweder umfassendere oder strengere Methoden der Due-Diligence-Prüfung beinhalten oder nicht direkt mit der Due-Diligence-Prüfung zusammenhängen.
Die Erstellung von Berichten an die Geschäftsleitung über den Stand des Risikomanagements und der Abhilfemaßnahmen Dritter ist ein wichtiger Bestandteil der Überwachung und Verwaltung der Lieferantenbeziehung, aber keine Due-Diligence-Aktivität per se. Die Überprüfung des Fragebogens zur Selbsteinschätzung des Dienstleisters und des/der externen Audit-Berichts/Berichte ist eine gründlichere Form der Due-Diligence-Prüfung, die jedoch bei Anbietern mit geringerem Risiko möglicherweise nicht notwendig oder durchführbar ist, insbesondere wenn der/die externe(n) Audit-Bericht(e) nicht ohne weiteres verfügbar oder relevant sind. Die Anforderung und Archivierung des/der externen Auditberichts/e eines Dienstleisters für künftige Referenzzwecke ist eine gute Praxis, um die Dokumentation und den Nachweis der Sorgfaltspflicht aufrechtzuerhalten, aber es ist keine Sorgfaltspflichtaktivität an sich.
Referenzen:
* Risikomanagement für Dritte (TPRM) | Gemeinsame Bewertungen
* Leitfaden und Checkliste für die Due-Diligence-Prüfung von Lieferanten | Prevalent
* Sorgfaltspflicht des Verkäufers: ein praktischer Leitfaden und eine Checkliste

Das Leistungsrisiko, definiert als das Risiko, dass ein Dritter aufgrund unzureichender Systeme oder Verfahren nicht in der Lage ist, seine Verpflichtungen zu erfüllen, beschreibt die Situation genau. Diese Art von Risiko beinhaltet Bedenken hinsichtlich der Fähigkeit des Dritten, Dienstleistungen oder Produkte auf dem geforderten Leistungsniveau zu erbringen, möglicherweise aufgrund von Einschränkungen in der technologischen Infrastruktur, den Betriebsverfahren oder den Managementpraktiken. Die Identifizierung und das Management von Leistungsrisiken ist ein wesentlicher Bestandteil des Risikomanagements für Drittanbieter (TPRM), um sicherzustellen, dass Drittanbieter die vertraglichen Vereinbarungen und Service-Level-Vereinbarungen zuverlässig einhalten können und so die Auswirkungen auf die Betriebsabläufe und die Leistungserbringung der Organisation minimieren.
Referenzen:
* TPRM-Richtlinien, wie die des Office of the Comptroller of the Currency (OCC) und des Federal Financial Institutions Examination Council (FFIEC), betonen die Bedeutung der Bewertung und
* Management von Leistungsrisiken im Zusammenhang mit Beziehungen zu Dritten.
* Der "Third-Party Risk Management Guide" von ISACA erörtert verschiedene Arten von Risiken, einschließlich des Leistungsrisikos, die mit der Beauftragung von Drittanbietern verbunden sind, und betont die Notwendigkeit einer gründlichen Due-Diligence-Prüfung und laufenden Überwachung.

Gemäß dem Shared Assessments Certified Third Party Risk Professional (CTPRP) Study Guide besteht die Aufgabe des Risikobewerters für Dritte darin, die Konzeption und die operative Wirksamkeit der Kontrollen des Dritten auf der Grundlage eines Branchenrahmens wie ISO, NIST, COBIT oder COSO1 zu bewerten. Die Aufgabe des Assessors besteht nicht darin, eine Meinung über die Wirksamkeit der Kontrollen abzugeben, sondern die Ergebnisse der Bewertung sachlich und objektiv darzustellen2. Die Rolle des Bewerters besteht auch darin, mit Fachexperten Gespräche zu führen, um das Kontrollumfeld zu verstehen, Antworten aus dem Fragebogen zur Risikobewertung zu ermitteln und zu validieren, indem er Kontrollen testet oder validiert, und Artefakte zur Einhaltung der Vorschriften zu überprüfen und potenzielle Kontrolllücken auf der Grundlage der Bewertung des Vorhandenseins von Kontrollattributen zu identifizieren1. Dies sind alles zutreffende Aussagen, die die Rolle des Bewerters bei der Durchführung einer Kontrollbewertung unter Verwendung eines Branchenrahmens beschreiben.
Referenzen:
* 1: Gemeinsame Bewertungen Certified Third Party Risk Professional (CTPRP) Study Guide, Seite 29
* 2: Was ist eine Risikobewertung durch Dritte? - RiskOptik

Benachrichtigungspflichten bei der Reaktion auf Vorfälle sind die gesetzlichen oder vertraglichen Verpflichtungen, die betroffenen Parteien über eine Sicherheitsverletzung oder einen Vorfall zu informieren, der ihre Daten oder Systeme betrifft. Diese Pflichten können je nach Art, Umfang und Auswirkung des Vorfalls sowie je nach Gerichtsbarkeit, Branche und vertraglichen Vereinbarungen variieren. Die Faktoren, die am ehesten eine Meldepflicht auslösen, sind:
* Gesetzliche Anforderungen: Verschiedene Gesetze und Vorschriften können Organisationen, die einen Sicherheitsvorfall erleben oder verursachen, unterschiedliche Meldepflichten auferlegen. Die Datenschutz-Grundverordnung (DSGVO) verlangt beispielsweise, dass die für die Datenverarbeitung Verantwortlichen die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen und die betroffenen Personen ohne unnötige Verzögerung benachrichtigen, wenn die Verletzung ein hohes Risiko für ihre Rechte und Freiheiten darstellt1. In ähnlicher Weise verlangt die Computer-Security Incident Notification Rule von Banken und ihren Dienstleistern, ihre primäre Bundesaufsichtsbehörde so schnell wie möglich, spätestens jedoch 36 Stunden nach einem Computer-Sicherheitsvorfall zu benachrichtigen, der ihren Betrieb, ihre Dienstleistungen oder ihre Kunden wesentlich stört, verschlechtert oder beeinträchtigt2.
* Datenklassifizierung oder Sensibilität: Die Art und Sensibilität der von einem Sicherheitsvorfall betroffenen Daten kann sich ebenfalls auf die Meldepflichten auswirken. Enthalten die Daten beispielsweise personenbezogene Daten, Gesundheitsdaten, Finanzdaten oder andere vertrauliche oder sensible Daten, muss die Organisation möglicherweise die Dateneigentümer, Aufsichtsbehörden, Strafverfolgungsbehörden oder andere Beteiligte über den Vorfall und die potenziellen Risiken für ihre Privatsphäre oder Sicherheit informieren3. Die Klassifizierung oder Sensibilität der Daten kann auch den Inhalt und den Zeitpunkt der Benachrichtigung sowie die zu verwendenden Kommunikationskanäle bestimmen.
* Vertragliche Bestimmungen: In den vertraglichen Vereinbarungen zwischen einer Organisation und ihren Drittanbietern oder Dienstleistern können auch die Meldepflichten im Falle eines Sicherheitsvorfalls festgelegt werden. Der Vertrag kann beispielsweise die Aufgaben und Zuständigkeiten der einzelnen Parteien, die Meldeverfahren und -fristen, die weiterzugebenden Informationen, die zu ergreifenden Abhilfemaßnahmen und die Strafen oder Haftungen bei Vertragsbruch festlegen. Die Vertragsbedingungen können auch die für die Organisation oder den Dritten geltenden gesetzlichen Bestimmungen oder Branchenstandards widerspiegeln.
Der Faktor, der am wenigsten wahrscheinlich eine Meldepflicht auslöst, ist:
* Verschlüsselung von Daten: Die Verschlüsselung von Daten ist eine Sicherheitsmaßnahme, die die Daten vor unbefugtem Zugriff, unbefugter Änderung oder Offenlegung schützt. Die Verschlüsselung von Daten kann die Auswirkungen oder den Schweregrad eines Sicherheitsvorfalls verringern, da sie die Exposition der Daten gegenüber böswilligen Akteuren verhindern oder begrenzen kann. Die Verschlüsselung von Daten entbindet jedoch nicht von der Meldepflicht, da die Organisation nach wie vor die Art und das Ausmaß des Vorfalls bewerten und feststellen muss, ob die Verschlüsselung wirksam war oder beeinträchtigt wurde. Außerdem reicht die Verschlüsselung von Daten möglicherweise nicht aus, um die Daten vor anderen Bedrohungen wie Löschung, Beschädigung oder Ransomware zu schützen. Daher ist die Verschlüsselung von Daten kein Faktor, der die Meldepflichten bei der Reaktion auf Vorfälle beeinflusst.
Referenzen:
* 1: GDPR Artikel 33: Benachrichtigung der Aufsichtsbehörde über eine Verletzung des Schutzes personenbezogener Daten
* 2: Regel für die Meldung von Computer-Sicherheitsvorfällen
* 3: Management von Drittpartei-Vorfällen (TPIM): Wie man ein Gleichgewicht zwischen IRPs und Drittparteien herstellt
* : [Verbesserung der Reaktion auf Zwischenfälle durch Dritte]
* : [Playbook zur Reaktion auf Vorfälle bei Dritten]
* : [Schützt Verschlüsselung Sie vor einer Datenpanne?]