BES.4.7 — ISMS beim Dienstleister
SOLLTE
Security level: normal-SdT
Effort 4
BSI-Stand-der-Technik-Kernel
Statement (Anforderung)
Beschaffungsmanagement für Outsourcing SOLLTE ein Managementsystem für Informationssicherheit (ISMS) vereinbaren.
Guidance (Erläuterung)
Ohne klare Vorgaben zum Managementsystem könnte ein Anbieter vertrauliche Daten unverschlüsselt übertragen, Sicherheitslücken in seiner Infrastruktur nicht rechtzeitig schließen oder sicherheitsrelevante Vorfälle nicht transparent melden. Durch abgestimmte Sicherheitsstandards kann dagegen die Vertraulichkeit von Daten gewahrt, die Integrität von Prozessen gesichert und die Nachvollziehbarkeit bei Vorfällen verbessert werden. Das Vorhandensein lässt sich durch ein Zertifikat nachweisen, z.B. nach ISO/IEC 27001:2022 oder BSI IT-Grundschutz.
Tags:
Lieferketten
Statement properties
| Name | Value |
|---|---|
| target_object_categories | Outsourcing |
| documentation | Beschaffungskriterien |
| result | ein Managementsystem für Informationssicherheit (ISMS) |
| action_word | vereinbaren |
| modal_verb | SOLLTE |
Control properties
| Name | Value |
|---|---|
| alt-identifier | b70e7569-2d18-482b-8f7f-720cd0b1fcb7 |
| sec_level | normal-SdT |
| effort_level | 4 |
| tags | Lieferketten |
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "BES.4.7",
"parts": [
{
"id": "BES.4.7_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Outsourcing"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Beschaffungskriterien"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "ein Managementsystem für Informationssicherheit (ISMS)"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "vereinbaren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Beschaffungsmanagement für Outsourcing SOLLTE ein Managementsystem für Informationssicherheit (ISMS) vereinbaren."
},
{
"id": "BES.4.7_gdn",
"name": "guidance",
"prose": "Ohne klare Vorgaben zum Managementsystem könnte ein Anbieter vertrauliche Daten unverschlüsselt übertragen, Sicherheitslücken in seiner Infrastruktur nicht rechtzeitig schließen oder sicherheitsrelevante Vorfälle nicht transparent melden. Durch abgestimmte Sicherheitsstandards kann dagegen die Vertraulichkeit von Daten gewahrt, die Integrität von Prozessen gesichert und die Nachvollziehbarkeit bei Vorfällen verbessert werden. Das Vorhandensein lässt sich durch ein Zertifikat nachweisen, z.B. nach ISO/IEC 27001:2022 oder BSI IT-Grundschutz."
}
],
"props": [
{
"name": "alt-identifier",
"value": "b70e7569-2d18-482b-8f7f-720cd0b1fcb7"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "4"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Lieferketten"
}
],
"title": "ISMS beim Dienstleister"
}