Lieferantenverwaltung
Bewerten und überwachen Sie Sicherheitsrisiken von Drittanbietern.
Überblick
Lieferantenverwaltung hilft Ihnen dabei:
- Alle Drittanbieter-Lieferanten zu verfolgen
- Lieferanten-Sicherheitslage zu bewerten
- Laufendes Lieferantenrisiko zu überwachen
- Lieferantendokumentation zu verwalten
- Compliance-Anforderungen für Drittanbieter-Risiko zu erfüllen
Navigieren Sie zu Lieferanten in der Seitenleiste.
Lieferanteninventar
Lieferantendatensatz
Jeder Lieferant enthält:
| Feld | Beschreibung |
|---|---|
| Name | Lieferanten-Firmenname |
| Kategorie | Dienstleistungskategorie |
| Kritikalität | Geschäftskritikalitätsstufe |
| Risikostufe | Bewertetes Risikoniveau |
| Status | Aktiv, Inaktiv, In Prüfung |
| Eigentümer | Interner Beziehungsverantwortlicher |
| Vertragsende | Vertragsablaufdatum |
| Datenzugriff | Arten von zugegriffenen Daten |
Lieferantenkategorien
Organisieren Sie Lieferanten nach Dienstleistungstyp:
- Cloud-Infrastruktur: AWS, Azure, GCP
- SaaS-Anwendungen: Business-Software
- Entwicklungswerkzeuge: CI/CD, Code-Repos
- Sicherheitsdienste: Pen-Testing, SOC
- Professionelle Dienste: Berater
- IT-Dienste: MSPs, Support
- HR/Gehaltsabrechnung: Mitarbeitersysteme
- Finanzen: Zahlungsabwickler
Lieferanten hinzufügen
Manuelle Eingabe
- Gehen Sie zu Lieferanten → Lieferant hinzufügen
- Geben Sie Lieferantendetails ein:
- Firmenname
- Kategorie
- Hauptansprechpartner
- Bereitgestellte Dienste
- Datenzugriffsebene
- Klicken Sie auf Erstellen
Massen-Import
Importieren Sie mehrere Lieferanten:
- Klicken Sie auf Importieren
- Laden Sie CSV-Vorlage herunter
- Füllen Sie Lieferantendaten aus
- Laden Sie Datei hoch
- Überprüfen und bestätigen Sie
Aus Integrationen
Professional-Funktion
Automatische Lieferantenentdeckung erfordert Professional- oder Enterprise-Plan.
Auto-Entdeckung von Lieferanten aus:
- Cloud-Provider-Marktplätzen
- SSO-Provider-App-Katalogen
- Spesenverwaltungssystemen
Risikobewertung
Risikostufen
Kategorisieren Sie Lieferanten nach Risikoniveau:
| Stufe | Beschreibung | Prüfungshäufigkeit |
|---|---|---|
| Stufe 1 (Kritisch) | Zugriff auf sensible Daten, geschäftskritisch | Vierteljährlich |
| Stufe 2 (Hoch) | Moderater Datenzugriff, wichtige Dienste | Halbjährlich |
| Stufe 3 (Mittel) | Begrenzter Datenzugriff, ersetzbar | Jährlich |
| Stufe 4 (Niedrig) | Kein Datenzugriff, standardisiert | Alle 2 Jahre |
Kritikalitätsbewertung
Bewerten Sie Lieferantenkritikalität basierend auf:
- Datenzugriff: Auf welche Daten können sie zugreifen?
- Geschäftsauswirkung: Was passiert, wenn sie nicht verfügbar sind?
- Compliance-Umfang: Sind sie im Compliance-Audit-Umfang?
- Integrationstiefe: Wie tief integriert?
- Ersetzbarkeit: Wie leicht ersetzbar?
Sicherheitsbewertung
Bewerten Sie Lieferantensicherheit:
- Öffnen Sie Lieferantendatensatz
- Klicken Sie auf Tab Bewertungen
- Klicken Sie auf Bewertung starten
- Füllen Sie Fragebogen aus oder laden Sie Lieferanterantworten hoch
- Überprüfen und bewerten Sie
Bewertungsfragebogen
Integrierter Fragebogen deckt ab:
- Informationssicherheit: Richtlinien, Kontrollen
- Zugriffsverwaltung: Authentifizierung, Autorisierung
- Datenschutz: Verschlüsselung, Handhabung
- Vorfallreaktion: Breach-Benachrichtigung
- Business Continuity: DR, Backups
- Compliance: Zertifizierungen, Audits
Vertrauenssignale
Sammeln Sie Lieferanten-Sicherheitsnachweise:
| Signal | Gewicht | Beispiel |
|---|---|---|
| SOC 2-Bericht | Hoch | SOC 2 Type II |
| ISO 27001 | Hoch | ISO-Zertifizierung |
| Pen-Test-Bericht | Mittel | Jährlicher Pen-Test |
| Sicherheitsrichtlinie | Mittel | Veröffentlichte Richtlinie |
| Fragebogen | Niedrig | Ausgefülltes SIG |
Risiko-Scoring
Automatische Risiko-Score-Berechnung:
Lieferant: Cloud-Provider X
Risikofaktoren:
- Datenzugriff: Kunden-PII (Hoch)
- Kritikalität: Geschäftskritisch (Hoch)
- Sicherheit: SOC 2 Type II (Niedriges Risiko)
- Compliance: Im Umfang (Hoch)
Risiko-Score: 68/100 (Mittel)
Empfohlene Stufe: Stufe 2Due Diligence
Initialbewertung
Für neue Lieferanten:
- Basisinformationen sammeln
- Kritikalitätsstufe bestimmen
- Sicherheitsdokumentation anfordern
- Risikobewertung durchführen
- Mit Stakeholdern überprüfen
- Genehmigen oder ablehnen
Dokumentenerfassung
Verfolgen Sie erforderliche Dokumente:
| Dokument | Erforderlich für | Status | Läuft ab |
|---|---|---|---|
| SOC 2-Bericht | Stufe 1-2 | Erhalten | Dez 2026 |
| Versicherungszertifikat | Stufe 1-3 | Erhalten | Jun 2026 |
| Pen-Test | Stufe 1 | Ausstehend | - |
| DPA | Alle | Erhalten | - |
| BAA | HIPAA | Erhalten | - |
Anfrage-Portal
Professional-Funktion
Lieferanten-Self-Service-Portal erfordert Professional- oder Enterprise-Plan.
Senden Sie Lieferanten einen Link zu:
- Sicherheitsfragebogen ausfüllen
- Dokumentation hochladen
- Firmeninformationen aktualisieren
Laufende Überwachung
Kontinuierliche Überwachung
Enterprise-Funktion
Kontinuierliche Lieferantenüberwachung erfordert Enterprise-Plan.
Automatisierte Überwachung für:
- Sicherheitsbewertungsänderungen
- Nachrichtenalarme (Breaches, Vorfälle)
- Zertifikatsänderungen
- Dark-Web-Erwähnungen
Geplante Überprüfungen
Richten Sie periodische Überprüfungen ein:
- Öffnen Sie Lieferantendatensatz
- Setzen Sie Überprüfungshäufigkeit basierend auf Stufe
- System sendet Erinnerungen
- Füllen Sie Überprüfungscheckliste aus
- Aktualisieren Sie Risikobewertung
Überprüfungscheckliste
- [ ] Verifizieren Sie, dass Lieferant noch aktiv ist
- [ ] Prüfen Sie auf Sicherheitsvorfälle
- [ ] Überprüfen Sie aktualisierte Zertifizierungen
- [ ] Bewerten Sie Dienstleistungsänderungen
- [ ] Aktualisieren Sie Dateninventar
- [ ] Bestätigen Sie Vertragsstatus
- [ ] Überprüfen Sie SLA-Leistung
Vertragsverwaltung
Vertragsdetails
Verfolgen Sie Vertragsinformationen:
- Startdatum
- Enddatum
- Auto-Verlängerungsbedingungen
- Kündigungsfrist
- Schlüsselbedingungen
Vertragsbenachrichtigungen
Erhalten Sie Benachrichtigungen für:
- Vertragsablauf (90, 60, 30 Tage)
- Auto-Verlängerungsdaten
- Erforderliche Überprüfungszeiträume
SLA-Verfolgung
Überwachen Sie Lieferanten-SLA-Einhaltung:
Lieferant: Hosting-Provider
SLA: 99,9% Verfügbarkeit
Leistung:
Jan: 99,95% ✓
Feb: 99,92% ✓
Mär: 99,87% ✗
Apr: 99,94% ✓Compliance-Mapping
Framework-Anforderungen
Ordnen Sie Lieferanten Compliance-Anforderungen zu:
SOC 2 CC9.2 - Lieferantenverwaltung
Erforderlich:
- Lieferanteninventar pflegen ✓
- Risikobewertungsprozess ✓
- Laufende Überwachung ✓
- Vertragsüberprüfung ✓
Nachweise:
- Lieferanteninventarbericht
- Bewertungsfragebögen
- ÜberprüfungsdokumentationAudit-Nachweise
Generieren Sie Nachweispakete:
- Gehen Sie zu Berichte → Lieferantenbericht
- Wählen Sie Zeitraum aus
- Einschließen:
- Lieferanteninventar
- Risikobewertungen
- Überprüfungsprotokolle
- Exportieren Sie für Auditoren
Berichterstattung
Lieferanten-Dashboard
Lieferantenübersicht
Gesamt-Lieferanten: 45
Nach Risikostufe:
Stufe 1 (Kritisch) ███ 3 (7%)
Stufe 2 (Hoch) ████████ 8 (18%)
Stufe 3 (Mittel) ███████████████ 15 (33%)
Stufe 4 (Niedrig) ███████████████████ 19 (42%)
Prüfungen fällig (30 Tage): 5
Ausstehende Bewertungen: 2
Ablaufende Verträge: 3Risikobericht
Zeigen Sie Lieferanten-Risikoverteilung an:
| Risikoniveau | Anzahl | % von Gesamt |
|---|---|---|
| Hohes Risiko | 4 | 9% |
| Mittleres Risiko | 12 | 27% |
| Niedriges Risiko | 29 | 64% |
Compliance-Bericht
Zeigen Sie Lieferanten-Compliance-Status:
- Lieferanten mit SOC 2: 28 (62%)
- Lieferanten mit ISO 27001: 15 (33%)
- Lieferanten mit abgeschlossenen Bewertungen: 40 (89%)
API-Zugriff
bash
# Lieferanten auflisten
GET /api/v1/vendors?tier=1
# Lieferantendetails abrufen
GET /api/v1/vendors/{vendor_id}
# Lieferant erstellen
POST /api/v1/vendors
{
"name": "Cloud Provider Inc",
"category": "cloud_infrastructure",
"criticality": "critical",
"owner_id": "user_123"
}
# Bewertung aktualisieren
POST /api/v1/vendors/{vendor_id}/assessments
{
"type": "security",
"score": 75,
"notes": "Starke Sicherheitslage"
}
# Dokument hochladen
POST /api/v1/vendors/{vendor_id}/documents
Content-Type: multipart/form-dataSiehe API-Referenz für vollständige Dokumentation.
Best Practices
- Alle Lieferanten inventarisieren: Verpassen Sie keine Drittanbieter
- Nach Risiko stufen: Wenden Sie angemessene Prüfung pro Stufe an
- Nachweise sammeln: Sammeln Sie SOC 2, ISO-Zertifikate
- Regelmäßige Überprüfungen: Überprüfen Sie nach Stufenplan
- Verträge verfolgen: Überwachen Sie Ablaufdaten
- Alles dokumentieren: Pflegen Sie Audit-Trail
- Stakeholder einbeziehen: Sicherheit, Recht, Geschäft einbeziehen