BES — Beschaffungsmanagement
109 controls
5 MUSS
72 SOLLTE
32 KANN
Die Praktik Beschaffungsmanagement sorgt für die frühzeitige Integration von Informationssicherheit in fachliche Anforderungs-, Planungs- und Beschaffungsverfahren, einschließlich angehender Projekte. Dabei erfolgt keine Unterscheidung zwischen den Bereichen Organisation, Personal, Dienstleister, IT-Infrastruktur, Komponenten oder Gebäuden. Ziel ist es, Sicherheitsanforderungen frühzeitig in die strategische Planung einzubinden – von der "Make-or-Buy"-Entscheidung bis hin zur konkreten Beschaffung. Während die Praktik Compliance sich explizit auf Anforderungen auf die Informationssicherheit konzentriert, umfasst das Beschaffungsmanagement alle fachlichen, regulatorischen und technischen Anforderungen, die in die Organisation, Personal-, Dienstleisterverträge, IT-Infrastruktur, Komponenten und Gebäude integriert werden müssen.
BES.1Grundlagen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| BES.1.1 | Verfahren und Regelungen | MUSS | normal-SdT | 3 |
| BES.1.2 | Regelmäßige Überprüfung | MUSS | normal-SdT | |
| BES.1.3 | Lieferanten- und Dienstleisterverzeichnis | SOLLTE | normal-SdT | 1 |
| BES.1.4 | Outsourcing-Strategie | SOLLTE | erhöht | 1 |
| BES.1.5 | Autorisierung des Bereitstellungsmodells | SOLLTE | normal-SdT | |
| BES.1.6 | Dokumentation des Bereitstellungsmodells | SOLLTE | normal-SdT | |
| BES.1.7 | Vereinbarung der geteilten Verantwortung | SOLLTE | normal-SdT |
BES.2Bedarfserfassung
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| BES.2.1 | Erfassung des Bedarfes | SOLLTE | normal-SdT | 6 |
| BES.2.2 | Dokumentation des Rechtsraums und der Datenlokation | SOLLTE | normal-SdT | |
| BES.2.3 | Vereinbarung des Rechtsraums und der Datenlokation | KANN | erhöht | |
| BES.2.4 | Anhörung Nutzender | SOLLTE | normal-SdT | |
| BES.2.5 | Anhörung Adminstrierender | SOLLTE | normal-SdT | |
| BES.2.6 | Outsourcing auf Grundlage der Geschäftsprozessprofile | KANN | erhöht |
BES.3Auswahl von Lieferanten
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| BES.3.1 | Klassifizierung von Lieferantenbeziehungen | SOLLTE | normal-SdT | |
| BES.3.2 | Auswahlkriterien | SOLLTE | normal-SdT | 2 |
| BES.3.3 | Unzuverlässige Lieferanten | SOLLTE | normal-SdT |
BES.4Auswahl von Produkten und Dienstleistungen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| BES.4.1 | Klassifizierung von Beschaffungsvorhaben | SOLLTE | normal-SdT | |
| BES.4.2 | Dokumentation der Beschaffungskriterien | SOLLTE | normal-SdT | |
| BES.4.3 | Beschaffung anhand der Kriterien | SOLLTE | normal-SdT | |
| BES.4.4 | Vertragsvorlage für Outsourcing | SOLLTE | normal-SdT | |
| BES.4.5 | Security by Design github-security-controls · GH-APP-01 +4 | SOLLTE | normal-SdT | 2 |
| BES.4.6 | Security by Default | SOLLTE | normal-SdT | 3 |
| BES.4.7 | ISMS beim Dienstleister | SOLLTE | normal-SdT | |
| BES.4.8 | Konformitätsnachweise | SOLLTE | normal-SdT | 4 |
| BES.4.9 | Sicherheitsüberprüfung (extern) | KANN | erhöht |
BES.5Auswahl von Produkten und Dienstleistungen - Zusammenarbeit
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| BES.5.1 | Kompetenzen | SOLLTE | normal-SdT | |
| BES.5.2 | Service Level Agreement | SOLLTE | normal-SdT | |
| BES.5.3 | Compliance-Verpflichtungen | SOLLTE | normal-SdT | |
| BES.5.4 | Informationssicherheitskontrollmechanismen | SOLLTE | normal-SdT | |
| BES.5.5 | Nutzungsregelungen | SOLLTE | normal-SdT | 2 |
| BES.5.6 | Vergabe von Unteraufträgen | SOLLTE | normal-SdT | 3 |
| BES.5.7 | Schulung | KANN | erhöht | |
| BES.5.8 | Rechte für geistges Eigentum | SOLLTE | normal-SdT | |
| BES.5.9 | Umgang mit Änderungen | SOLLTE | normal-SdT | 1 |
| BES.5.10 | Behandlung von Vorfällen | SOLLTE | normal-SdT | 5 |
| BES.5.11 | Recht auf Audit | SOLLTE | normal-SdT | |
| BES.5.12 | Informationspflichten | SOLLTE | normal-SdT | |
| BES.5.13 | Bereitstellung von Datensicherungen | SOLLTE | normal-SdT | 1 |
| BES.5.14 | Löschregeln | SOLLTE | normal-SdT |
BES.6Auswahl von Produkten und Dienstleistungen - Kündigung
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| BES.6.1 | Entziehung der Zugangsberechtigungen | SOLLTE | normal-SdT | |
| BES.6.2 | Löschung von Daten | SOLLTE | normal-SdT | 1 |
| BES.6.3 | Übertragbarkeit von Daten | SOLLTE | normal-SdT | |
| BES.6.4 | Übertragung von Supportdienstleistungen | KANN | erhöht | |
| BES.6.5 | Behandlung aufzubewahrender Aufzeichnungen | SOLLTE | normal-SdT | |
| BES.6.6 | Rückgewähr von Assets | SOLLTE | normal-SdT |
BES.7Abnahme
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| BES.7.1 | Eingangskontrolle | SOLLTE | normal-SdT | 2 |
| BES.7.2 | Prozesse vor Netzanbindung | SOLLTE | normal-SdT | |
| BES.7.3 | Anhörung Prozessbeteiligter | SOLLTE | normal-SdT | |
| BES.7.4 | Vollständigkeit der Unterlagen | SOLLTE | normal-SdT | 12 |
BES.8Kompensierende Kontrollmechanismen
| ID | Title | Requirement | Level | Sub-controls |
|---|---|---|---|---|
| BES.8.1 | Bereithaltung alternativer Lieferanten | KANN | erhöht | |
| BES.8.2 | Verfahren zur Übertragung von Geschäftsprozessen | KANN | erhöht | |
| BES.8.3 | Ressourcensouveränität | KANN | erhöht | |
| BES.8.4 | Individuelle Implementierung kritischer Komponenten | KANN | erhöht | |
| BES.8.5 | Treuhand | KANN | erhöht |