Ein internationaler Konzern will die Informationssicherheit bei seinen Lieferanten überprüfen, denn sensible Geschäftsdaten sollen in der gesamten Lieferkette geschützt sein. Manche Lieferanten können zwar eine Zertifizierung nach ISO 27001 oder IT-Grundschutz nachweisen, andere aber nicht. Eigene Lieferantenaudits durchzuführen wäre jedoch aufwendig und kostspielig.
Hier war erst einmal eine Analyse der bisherigen unternehmensinternen Bewertung von Lieferanten und den Anforderungen an die Informationssicherheit notwendig. Ein Vergleich mit der ISO 27001 und dem IT-Grundschutz sollte zeigen, welche normativen Anforderungen bereits erfüllt waren. So entstand ein Bewertungskatalog für die vorhandenen Zertifizierungen bei manchen Lieferanten, und es wurde einheitlich definiert, welche den Anforderungen entsprachen und insofern eigene Audits überflüssig machten.
Auf diese Weise kann die Informationssicherheit bereits zertifizierter Lieferanten vergleichsweise einfach überwacht und die Lieferkette entsprechend abgesichert werden. Nicht zertifizierte Lieferanten lassen sich im Hinblick auf die Sicherheitsanforderungen einheitlich anhand des Bewertungskatalogs beurteilen, ebenfalls ohne den Aufwand eines teuren Lieferantenaudits.
