Du hast Sicherheitsanforderungen an deinen Cloud-Anbieter definiert (A.5.19), vertraglich verankert (A.5.20) und die Lieferkette geprüft (A.5.21). Jetzt kommt der Teil, den viele Organisationen vergessen: die laufende Überwachung. A.5.22 stellt sicher, dass vereinbarte Sicherheitsmaßnahmen auch dauerhaft eingehalten werden — und dass Änderungen beim Lieferanten deine Sicherheit nicht gefährden.
Was verlangt die Norm?
- Leistung regelmäßig überwachen. Die Organisation überprüft regelmäßig, ob Lieferanten die vereinbarten Sicherheitsanforderungen und Service-Levels einhalten.
- Änderungen managen. Änderungen in den Diensten des Lieferanten (neue Technologien, neue Subunternehmer, Standortwechsel) werden bewertet und genehmigt.
- Vorfälle auswerten. Sicherheitsvorfälle beim Lieferanten werden dokumentiert, analysiert und mit Maßnahmen hinterlegt.
- Eskalation definieren. Bei Nicht-Einhaltung greifen definierte Eskalationsstufen bis hin zur Vertragskündigung.
In der Praxis
Überwachungsplan im Lieferantenregister verankern. Pro Lieferant: Überwachungsfrequenz, nächster Review-Termin, verantwortliche Person, Prüfumfang. Das Lieferantenregister wird zum Steuerungsinstrument für die laufende Überwachung.
SLA-Monitoring implementieren. Für Cloud- und IT-Dienste: Verfügbarkeits-Monitoring, Reaktionszeit-Tracking, Incident-Reporting. Die Daten fließen in die periodische Bewertung ein. Achte darauf, dass du die SLA-Einhaltung unabhängig vom Lieferanten messen kannst.
Änderungsbenachrichtigungen einfordern. Vereinbare vertraglich, dass der Lieferant dich über wesentliche Änderungen vorab informiert: neue Subunternehmer, Rechenzentrum-Wechsel, technologische Umstellungen, Personaländerungen im Sicherheitsteam.
Eskalationsprozess dokumentieren. Definiere klar: Ab welchem Schweregrad wird eskaliert? Wer entscheidet? Welche Maßnahmen stehen zur Verfügung? Der Eskalationsprozess muss vor dem Ernstfall stehen.
Typische Audit-Nachweise
Auditoren erwarten bei A.5.22 typischerweise diese Nachweise:
- Überwachungsplan — dokumentierte Frequenz und Umfang pro Lieferant (→ Lieferantenregister im Starter Kit)
- Review-Protokolle — Ergebnisse der periodischen Lieferanten-Reviews
- SLA-Berichte — Kennzahlen zur Servicequalität und Sicherheit
- Vorfallberichte — Dokumentation von Sicherheitsvorfällen beim Lieferanten
- Maßnahmenverfolgung — Status offener Maßnahmen aus Reviews
KPI
% der Lieferanten mit planmäßig durchgeführten IS-Leistungsüberprüfungen
Gemessen am Überwachungsplan: Wie viele der fälligen Reviews wurden tatsächlich durchgeführt? Ziel: 100%. Überfällige Reviews deuten auf einen nicht funktionierenden Prozess hin.
Ergänzende KPIs:
- Anteil der Lieferanten mit dokumentierten SLA-Ergebnissen
- Anzahl der offenen Maßnahmen aus Lieferanten-Reviews
- Anzahl der Sicherheitsvorfälle bei Lieferanten pro Jahr
BSI IT-Grundschutz
A.5.22 mappt auf die BSI-Anforderungen zur laufenden Überwachung:
- OPS.2.3.A18 (Kontrolle der Leistungserbringung) — verlangt regelmäßige Überprüfung, ob der Dienstleister die vereinbarten Sicherheitsanforderungen einhält.
- OPS.3.2.A9 (Kontrolle und Überwachung des Betriebs) — laufende Kontrolle der Betriebsqualität und Sicherheit bei externen Betreibern.
Verwandte Kontrollen
A.5.22 schließt den Lieferanten-Lebenszyklus:
- A.5.19 — IS in Lieferantenbeziehungen: Die Anforderungen, deren Einhaltung A.5.22 überwacht.
- A.5.20 — IS in Lieferantenvereinbarungen: Die vertragliche Basis für die Überwachung.
- A.5.23 — IS für Cloud-Dienste: Cloud-Dienste erfordern spezifische Überwachung.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.22 — Überwachung von Lieferantendiensten
- ISO/IEC 27002:2022 Abschnitt 5.22 — Umsetzungshinweise
- BSI IT-Grundschutz, OPS.2.3 — Nutzung von Outsourcing