„Securing the Supply Chain”: Neuer Report des Information Security Forums

ISF-Bericht unterstützt Unternehmen beim Umgang mit Informationssicherheitsrisiken entlang der Lieferkette

[datensicherheit.de, 17.04.2013] Das Information Security Forum (ISF), eine unabhängige Organisationen für Informations- und Cybersicherheit sowie Risikomanagement, veröffentlicht einen neuen Report für den Umgang mit Informationssicherheitsrisiken in der Supply Chain. „Securing the Supply Chain“ thematisiert die Sicherheitsrisiken für geschäftskritische Daten entlang der Lieferkette. Dabei gibt der Bericht Unternehmen Handlungsempfehlungen für die Identifikation und den Umgang mit Gefahren für ihre geschäftskritischen Informationen in ihrer Supply Chain an die Hand und beschreibt, wie sie das Informationsrisikomanagement in ihre Beschaffungs- und Lieferantenmanagementprozesse integrieren können. Der Bericht basiert auf der Forschungsarbeit der Analysten des ISF sowie den Erfahrungen und Best Practices der ISF-Mitgliedsunternehmen weltweit. Eine Kurzzusammenfassung steht unter  zum kostenlosen Download bereit. Im Online-Shop des ISF können Nichtmitglieder den ausführlichen Bericht ab sofort erwerben.

Unternehmen vernachlässigen Informationssicherheit

Unternehmen sind mehr denn je durch ein Netz an ein- und ausgehenden Informationen und damit gegenseitigen Abhängigkeiten miteinander verbunden. Von allen mit der Supply Chain verbundenen Gefahren, vernachlässigen sie trotzdem nach Auffassung des ISF das Risiko für ihre geschäftskritischen Informationen am meisten. Und das obwohl der reibungslose Austausch von Informationen Vorraussetzung für das Funktionieren von Versorgungs- und Lieferketten und so für den Unternehmenserfolg ist. Das liegt auch daran, dass es für Unternehmen beinahe unmöglich ist, für zum Teil hunderte oder sogar tausende externe Partner, Lieferanten oder Service-Provider, mit denen sie direkt oder indirekt über eine Lieferkette verbunden sind, eine Bewertung bezüglich ihrer Informationssicherheit und ihres Risikomanagements durchzuführen.

Der ISF Supply Chain Information Risk and Assurance Process (SCIRAP)

Das ISF hat deshalb den Supply Chain Risk Assurance Process (SCIRAP) entwickelt, um Unternehmen beim Management ihres Supply Chain Informationsrisikos zu unterstützen. Mithilfe dieser Vorgehensweise können Unternehmen ihre Top-Risiken schnell erfassen und bewerten, externe Partner evaluieren und miteinander vergleichen sowie Kernhandlungsfelder definieren. SCIRAP greift auf bestehende Standards und Richtlinien wie ISO/IEC 27002, ISO/IEC 27036 oder den Standard of Good Practice (SOGP) des ISF zurück und übertragt diese auf die Anforderungen der Supply Chain. Der neue Report „Securing the Supply Chain“ beschreibt die SCIRAP detailliert mithilfe von vier übergeordneten Handlungsfeldern. Dabei werden auch die für eine effiziente Umsetzung notwendigen Tools sowie Handlungsanweisungen vorgestellt, beispielsweise für die Integration in einen typischen Beschaffungsprozess. Auf diese Art und Weise können Unternehmen die Risiken für ihre Informationen entlang der Supply Chain minimieren und flexibel auf Veränderungen reagieren.

„Supply Chains sind aufgrund ihrer Struktur für Unternehmen generell mit Risiken verbunden. Insbesondere der Austausch von Informationen mit Lieferanten oder Partnern birgt schwer kalkulierbare Gefahren, die viele Unternehmen überfordern. In der Folge gibt es in vielen Organisationen ein ‚schwarzes Loch’ undefinierter oder unbekannter Informationsrisiken entlang ihrer Lieferkette. Unser neuer Report ‚Securing the Supply Chain’ und die darin vorgestellte Methode SCIRAP zeigen Unternehmen einen Weg auf, wie sie die Risiken für ihre geschäftskritischen Daten und Informationen innerhalb ihrer Supply Chain identifizieren und managen können“, sagt Steve Durbin, Global Vice President des Information Security Forums.

Weitere Informationen zum Thema:

Information Security Forum
the world’s leading independent authority on information security