Zum Inhalt springen
Resilience Platform Resilience Platform

Trust Center

Subunternehmer-Transparenz

Subprozessor-Verzeichnis, Due-Diligence-Prozess zur Drittparteienprüfung, Vertrags-Governance-Anforderungen und Onboarding-/Offboarding-Verfahren für Subprozessoren.

Zurück zum Trust Center

Disclaimer: Diese Seite beschreibt die Subprozessor-Transparenz als methodisches Rahmenwerk. Die tatsächliche Subprozessor-Liste ist Bestandteil der Auftragsverarbeitungsvereinbarung (AVV).

Management-Zusammenfassung

  • Das Subprozessor-Verzeichnis erfasst alle Auftragsverarbeiter mit Verarbeitungszweck, Standort, Datenkategorien und Sicherheitsniveau.
  • Der Due-Diligence-Prozess bewertet potenzielle Subprozessoren vor Vertragsschluss anhand standardisierter Kriterien.
  • Vertrags-Governance stellt sicher, dass AVV mit jedem Subprozessor geschlossen und regelmässig aktualisiert werden.
  • Onboarding- und Offboarding-Verfahren gewährleisten durchgängige Kontrolle über den gesamten Subprozessor-Lebenszyklus.

Due-Diligence-Prüfung

  • Sicherheitszertifikate (ISO 27001, SOC 2) werden geprüft und dokumentiert.
  • Datenschutz-Folgenabschätzung (DSFA) wird für risikoerhöhende Subprozessoren durchgeführt.
  • Referenzprüfungen und Marktanalyse ergänzen die strukturierte Bewertung.
  • Prüfergebnisse werden dokumentiert und in der Subprozessor-Bewertungsmatrix festgehalten.

Vertrags-Governance

  • Standard-AVV-Klauselwerk mit Mindestanforderungen an Sicherheit, Datenschutz und Kontrollrechte.
  • Regelmässige Überprüfung der AVV auf Aktualität und Vollständigkeit.
  • Kontrollrechte: Auditorzugang, Berichtspflichten und Mitteilungspflicht bei Sicherheitsvorfällen.
  • Kündigungs- und Ausstiegsklauseln mit definierten Fristen und Datenrückgabepflichten.

ISO 27001 Verbindung

ISO/IEC 27001:2022 definiert die Anforderungen an Lieferantenbeziehungen und deren Überwachung.

  • A.5.19 – Informationssicherheit in Lieferantenbeziehungen
  • A.5.20 – Informationssicherheit innerhalb von Lieferantenvereinbarungen
  • A.5.21 – Management von Informationssicherheit in IKT-Lieferketten
  • A.5.22 – Überwachung und Überprüfung von Lieferantendienstleistungen
  • A.5.23 – Änderungsmanagement von Lieferantendienstleistungen

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

ISO 27001 Verbindung

Subunternehmer-Transparenz ist integraler Bestandteil des IKT-Drittparteienrisikomanagements.

  • DSGVO Art. 28 – Auftragsverarbeiter
  • DSGVO Art. 32 – Sicherheit der Verarbeitung
  • DORA Artikel 25 – IKT-Drittparteienrisikomanagement
  • DORA Artikel 26 – Vertragliche Rechte und Pflichten
  • MaRisk BT 4 – Auslagerungen

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung