Ein RFP (Request for Proposal) ist ein formales Dokument, mit dem ein Unternehmen potenzielle Anbieter zur Abgabe eines Angebots auffordert. Im Kontext der Informationssicherheit enthält ein RFP häufig spezifische Sicherheitsanforderungen: Zertifizierungen (z. B. ISO 27001), Anforderungen an Datenhaltung, SLAs für Verfügbarkeit und Incident Response. Du solltest Sicherheitskriterien frühzeitig im Beschaffungsprozess verankern, damit sie in die Anbieterbewertung einfließen. Im ISMS gehört die Bewertung von Lieferantenrisiken zu den Kontrollen gemäß Annex A 5.19-5.22.