- Evidence
- Owner
Trust Center
Software Supply Chain Resilience
Methodology and control framework for secure software supply chains: artifact sourcing, dependency governance, and build integrity.
Note: This page is an implementation aid and does not replace legal advice or binding supervisory interpretation.
Management-Zusammenfassung
- Dual-gate model with central protective shields and decentralized project hardening for multi-layered supply chain security.
- Internal proxy registries and artifact scanning prevent uncontrolled sourcing and vulnerability injection.
- Lockfile enforceability and PR-based dependency updates ensure reproducibility and traceability.
- Build evidence records per release with full audit history for review and oversight.
Filter:
Total Controls:
Gate 1:
Gate 2:
No controls found for this gate.
Note: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung und keine institutsspezifische Prüfung.
ISO 27001 Verbindung
Software Supply Chain Resilience addresses requirements from ISO/IEC 27001:2022.
- A.5.1 Information security policies
- A.5.7 Threat and vulnerability management
- A.5.34 Change management
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung