Zur Übersicht
§30 BSIG · Lieferkette

Evidence Annex / Nachweis-Anhang

Ergänzender Evidenz- und Antwortanhang zum Zulieferer-Status-Pass. Das Dokument dient der strukturierten Beantwortung von Kunden-, Einkaufs- und Compliance-Anfragen anhand vorhandener Nachweise.

Dokument-ID
SUP-02-EVIDENCE-ANNEX
Version
v1.0
Stand
[TT.MM.JJJJ]
Owner
[Name / Funktion]
Bezugsdokument
SUP-01-ZULIEFERER-STATUSPASS
Dokumentrolle
Evidenz- und Antwortanhang für strukturierte Nachweisführung
01 · Kurzbeschreibung

Zweck und Einordnung

SUP-02
Dokumentzweck

Dieser Anhang listet vorhandene Nachweise strukturiert auf und ordnet sie typischen Kunden-, Einkaufs- oder Compliance-Fragen zu. Er dient der schnellen Referenzierung und Vorbereitung von Antworten im Rahmen bestehender Lieferanten- oder Review-Prozesse.

02 · Evidenzregister

Strukturierte Übersicht vorhandener Nachweise

Evidenz-ID
IAM-04
Themenfeld
Zugriff / MFA
Nachweisbezeichnung
MFA-Regelung und Aktivierungsnachweis
Beschreibung
Absicherung privilegierter und externer Zugriffe mit dokumentierten Ausnahmen.
Status
Vorhanden
Letzte Aktualisierung
[TT.MM.JJJJ]
Owner
[Name / Funktion]
Verweis / Speicherort
[Ordner / Link / DMS-Pfad]
Evidenz-ID
OPS-03
Themenfeld
Backup / Restore
Nachweisbezeichnung
Restore-Testprotokoll und Sicherungskonzept
Beschreibung
Nachweis durchgeführter Wiederherstellungstests sowie Dokumentation kritischer Sicherungsobjekte.
Status
Vorhanden
Letzte Aktualisierung
[TT.MM.JJJJ]
Owner
[Name / Funktion]
Verweis / Speicherort
[Ordner / Link / DMS-Pfad]
Evidenz-ID
IR-01
Themenfeld
Incident Management
Nachweisbezeichnung
Incident-Prozess und Eskalationslogik
Beschreibung
Prozess für Erkennung, Bewertung, Eskalation, Meldung und Abschluss von Vorfällen.
Status
Teilweise vorhanden
Letzte Aktualisierung
[TT.MM.JJJJ]
Owner
[Name / Funktion]
Verweis / Speicherort
[Ordner / Link / DMS-Pfad]
Evidenz-ID
GOV-02
Themenfeld
Governance / Rollen
Nachweisbezeichnung
Rollenmatrix und Verantwortungszuordnung
Beschreibung
Dokumentierte Rollen, Eskalationswege und Freigabeverantwortung für Sicherheits- und Betriebsfragen.
Status
Vorhanden
Letzte Aktualisierung
[TT.MM.JJJJ]
Owner
[Name / Funktion]
Verweis / Speicherort
[Ordner / Link / DMS-Pfad]
Evidenz-ID
EVID-01
Themenfeld
Schulung / Awareness
Nachweisbezeichnung
GF-Schulungsnachweis
Beschreibung
Teilnahme- und Themennachweis für Geschäftsleitung oder Schlüsselrollen mit Stand und Freigabe.
Status
Vorhanden
Letzte Aktualisierung
[TT.MM.JJJJ]
Owner
[Name / Funktion]
Verweis / Speicherort
[Ordner / Link / DMS-Pfad]
Evidenz-ID
REV-01
Themenfeld
Review / Freigabe
Nachweisbezeichnung
Freigabe- und Reviewprotokoll
Beschreibung
Aktueller Review- oder Freigabenachweis für Sicherheitsentscheidungen mit Datum und Owner.
Status
Teilweise vorhanden
Letzte Aktualisierung
[TT.MM.JJJJ]
Owner
[Name / Funktion]
Verweis / Speicherort
[Ordner / Link / DMS-Pfad]
03 · Kundenanfragen / Standardantworten

Typische Rückfragen mit Evidenzverweis

Haben Sie MFA eingeführt?

IAM-04

Privilegierte und externe Zugriffe sind mit MFA abgesichert. Ausnahmen werden dokumentiert und freigegeben.

Gibt es einen Incident-Prozess?

IR-01

Ein Incident-Prozess mit Eskalations- und Meldelogik liegt vor; Review- und Übungsnachweise werden fortgeschrieben.

Liegt ein GF-Schulungsnachweis vor?

EVID-01

Ein Schulungsnachweis für Geschäftsleitung oder Schlüsselrollen liegt vor und ist im Evidenzregister referenziert.

Werden Backups getestet?

OPS-03

Wiederherstellungstests werden durchgeführt und mit Datum, Umfang und Ergebnis protokolliert.

Gibt es benannte Verantwortlichkeiten?

GOV-02

Rollen, Freigaben und Eskalationswege sind dokumentiert und einem Owner zugeordnet.

04 · Offene Evidenzen / in Erstellung

Geplante oder noch nicht vollständig belastbare Nachweise

Incident-Übungsnachweis

In Erstellung

Fehlender Nachweis: dokumentierter Übungs- oder Testlauf des Incident-Prozesses.

Zieltermin: [TT.MM.JJJJ] Owner: [Name / Funktion]

Kommentar: Abschluss abhängig von Terminierung und Management-Kenntnisnahme.

Review-Protokoll Lieferantenkontrollen

Teilweise

Fehlender Nachweis: einheitlich geführter Review-Nachweis für kritische Lieferanten- oder Change-Kontrollen.

Zieltermin: [TT.MM.JJJJ] Owner: [Name / Funktion]

Kommentar: Evidenzformat wird derzeit harmonisiert.

Management-Review Sicherheitsstatus

In Erstellung

Fehlender Nachweis: zyklischer Review- und Freigabenachweis für den aktuellen Sicherheitsstatus.

Zieltermin: [TT.MM.JJJJ] Owner: [Name / Funktion]

Kommentar: Abhängig von Terminbestätigung und Review-Prozess.

05 · Abschlussvermerk

Abgrenzung des Anhangs

Dieser Anhang dient der strukturierten Darstellung vorhandener Nachweise. Er ersetzt keine kundenindividuelle Risiko- oder Vertragsprüfung.

Weiter im Pfad
Vorheriger SchrittSUP-01 Statuspass ansehenWeiterführungGap-Übersicht als nächstes öffnen