Das Contract Management spielt eine wichtige Rolle im Geschäftsbetrieb eines Unternehmens und bildet die Basis sämtlicher Geschäftsbeziehungen. In der heutigen digitalen Zeit ist die Sicherheit des Vertragsmanagements von großer Bedeutung. Bevor Sie sich für eine Vertragsmanagementlösung (CLM) entscheiden, sollten Sie einige Punkte beachten. Der Softwareanbieter sollte sich der Sicherheitsherausforderungen und -risiken bewusst sein und die Sicherheit Ihrer vertraglichen Daten gewährleisten.
In diesem Artikel präsentieren wir Ihnen 15 Fragen, die Sie Ihrem Anbieter stellen sollten, bevor Sie eine CLM auswählen.
Bevor Sie sich eine Contract Management Lösung anschaffen, sollten Sie vorher folgende Fragen klären, damit Ihre Verträge und Daten in Zukunft in sicheren Händen sind.
1. Warum sollte ich mir um die Sicherheit meiner Verträge Sorgen machen?
Es mag eine offensichtliche Frage sein, aber ein guter Anbieter für das Management der Vertragsverwaltung sollte in der Lage sein, Ihre Frage zu beantworten.
Einfach ausgedrückt: Ihre Verträge enthalten Informationen über Recht und Pflichten Ihrer Organisation und personenbezogene Daten Ihrer Mitarbeiter. Dies umfasst Namen, Verpflichtungen, Preise, Fristen, Strafen usw. Diese Daten sind entscheidend für Ihr Unternehmen und Sie müssen sie schützen. Daher benötigen Sie einen „digitalen Safe“.
2. Was sind heute die größten Cyber-Sicherheits-Bedrohungen?
In Deutschland wurden 2022 15 Millionen Meldungen zu Schadprogramm-Infektionen vom BSI berichtet (siehe Bericht: Die Lage der IT-Sicherheit in Deutschland 2022).
Heutzutage werden Unternehmen zunehmend von Cyberangriffen ins Visier genommen. Hier sind die drei häufigsten Angriffsarten:
- Ransomware
Mit einer Ransomware nimmt ein Hacker die Daten eines Unternehmens als Geisel und verlangt ein Lösegeld. Dafür wird in der Regel ein schädliches Programm in einem E-Mail-Anhang versteckt und greift das Gerät an, sobald es geöffnet wird. Laut Sophos kostete die Wiederherstellung gestohlener Daten im Jahr 2020 durchschnittlich 130.000 Euro.
- Spearphishing
Dies sind E-Mails, die eine private Firma oder eine Person vortäuschen und gezielt an eine bestimmte Person oder Organisation gerichtet sind.
?Hier sind einige Tipps, wie Sie sich vor diesen Sicherheitsbedrohungen schützen können:
- Seien Sie immer vorsichtig bei Anhängen, die möglicherweise infiziert sind.
- Fahren Sie mit der Maus über Links, um das Quellziel zu sehen und achten Sie auf die Rechtschreibung.
- Wenn Sie Zweifel am Absender einer E-Mail haben, kontaktieren Sie ihn über einen anderen Kanal (z. B. Telefon).
- Hacking oder Datenlecks
Dies kann intern oder extern, absichtlich oder unbeabsichtigt geschehen. Ein Datenleck kann durch einen Hacker verursacht werden, der in das Computernetzwerk eindringt. Allerdings kann das auch durch einen Mitarbeiter geschehen.
3. Ist Ihr Unternehmen zertifiziert? Wenn ja, in welchem Umfang?
Die einfachste Möglichkeit ist, einen zertifizierten Dienstleister zu wählen. Somit können Sie davon ausgehen, dass Ihre Daten sicher sind. Die ISO/IEC 27001:2013-Zertifizierung ist international anerkannt und deckt die IT-Sicherheit ab. Ebenso gilt dies für ISO 27701:2019, die den Datenschutz betrifft. Um diese Zertifizierung zu erhalten, muss ein Unternehmen eine klare Bestandsaufnahme seiner Sicherheitsmaßnahmen erstellen und einen Plan für den Umgang mit Cyberangriffen entwickeln. Nach der Zertifizierung werden über einen Zeitraum von drei Jahren drei Audits durchgeführt, um die Einhaltung der Standards zu überprüfen.
✨DiliTrust ist nach ISO/IEC 27001:2013 und ISO 27701:2019 zertifiziert. Erfahren Sie diesem Artikel mehr darüber: Datenschutz und Datensicherheit: DiliTrust zertifiziert nach ISO 27001 und ISO 27701
4. Welche Compliance-Standards gelten für sensible Daten?
Wenn Sicherheit für Sie wichtig ist, sollte dies auch für Ihren Contract Management-Serviceanbieter gelten. Als Beispiel die oben erwähnte ISO-Zertifizierung von DiliTrust, die belegt, dass unser Unternehmen die besten Methoden zum Schutz der Daten unserer Kunden und Geschäftspartner implementiert hat.
DiliTrust folgt einem strengen Verfahren bei der Zusammenarbeit mit neuen „Contract Management Service Provider“, bei dem bestimmte Informationen überprüft werden, wie zum Beispiel:
- Sind sie ISO/IEC 27701:2019 oder SOC 1-2-3 (Service Organization Control) zertifiziert?
- Entsprechen sie den Datenschutzrichtlinien? Speichern sie ihre Daten in der Europäischen Union?
- Welche Prozesse und Methoden hat das Unternehmen für die Verarbeitung personenbezogener Daten?
? Diese Art von Verfahren ermöglicht eine strenge Überwachung personenbezogener Daten.
5. Wo werden meine Vertragsdaten gehostet?
Es ist dringlichst zu empfehlen die Daten in der Europäischen Union zu hosten. Denn die EU-Mitgliedstaaten unterliegen dem Datenschutzrecht (DSGVO), dass die Verarbeitung personenbezogener Daten regelt und Bürgern mehr Kontrolle darüber gibt, wie ihre Daten verwendet werden.
Die Daten unterliegen auch nicht dem US CLOUD Act.
6. Wie werden meine Vertragsdaten geschützt?
Verschlüsselt Ihr Anbieter von Contract Management die Daten seiner Kunden. Wenn ja, wie?
DiliTrust verwendet einen „One Time Use“-Schlüssel für jedes Dokument. Dabei wird ein externes Knowledge Management System (KMS) eingesetzt, und die Entschlüsselung erfolgt auf den Arbeitsplätzen unserer Kunden. So wird sichergestellt, dass die Übertragung verschlüsselt bleibt. Ein KMS ist ein Tool zur Organisation von Unternehmensdokumenten.
7. Ist Ihre Infrastruktur zertifiziert?
Achten Sie darauf, dass Ihr Anbieter eine oder mehrere der folgenden Zertifizierungen hat: ISO/IEC 27001:2013, SSAE16 SOC1, SOC2, SOC3.
8. Sind Sie DSGVO-konform?
Die Datenschutz-Grundverordnung ist verbindlich und gilt für alle EU-Mitgliedstaaten bzw. für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten oder speichern.
? GUT ZU WISSEN: Fragen Sie den von Ihnen gewählten Anbieter nach seiner Datenschutz- und Datenverarbeitungspolitik sowie einer Liste der zugelassenen Anbieter, mit denen er zusammenarbeitet. Zögern Sie nicht, diese Informationen anzufordern.
9. Sind Ihre Mitarbeiter in Informationssicherheit und Risikomanagement geschult?
Jeder Mitarbeiter sollte zu diesen Themen geschult werden, schließlich ist Sicherheit eine Teamangelegenheit. Die Zertifizierung nach ISO/IEC 27001:2013 bedeutet, dass die Teammitglieder die Informationssicherheitspolitik des Unternehmens und die Ziele sowie die Rollen und Verantwortlichkeiten jedes Einzelnen kennen sollten.
10. Gibt es Backups meiner Daten?
Die regelmäßige Erstellung von Backups Ihrer Daten ist von entscheidender Bedeutung. Dadurch können Sie Ihre Daten in dem Zustand wiederherstellen, in dem sie sich vor Schäden oder Verlust befanden, und es dient als zusätzliche Schutzmaßnahme.
11. Welche Maßnahmen wurden werden im Falle eines Cyberangriffs ergriffen und auf welcher Ebene?
Die Infrastruktur ist so etwas wie das Gerüst der Informationssysteme, das aus Servern, Netzen, Software und Daten besteht. Dies ist der Ausgangspunkt für die Sicherheit. Fragen Sie Ihren Anbieter nach den Maßnahmen, die er auf der Infrastrukturebene getroffen hat.
⚡️Die nächsten drei Fragen sind einige spezifische Fragen, die Sie zur Sicherheit ihrer Infrastruktur stellen können.
12. Ist die Struktur mehrstufig?
Dies bedeutet, dass eine Anwendung in mehrere Schichten unterteilt wird, um sie unabhängig voneinander ändern zu können, ohne die gesamte Anwendung zu beeinträchtigen. Stellen Sie sich ein Raum vor, der durch Brandschutztüren getrennt ist, um die Ausbreitung eines Feuers zu verhindern. Dadurch bleibt der Rest des Gebäudes geschützt und funktionsfähig.
13. Haben Sie Maßnahmen gegen Flooding-Angriffe eingerichtet?
Flooding bezeichnet das Senden großer Mengen veralteter Daten, um ein Netzwerk zu „überfluten“ und es instabil zu machen. Ihr Dienstleister sollte Vorkehrungen treffen, um dies zu verhindern.
14. Gibt es ein System zur Verhinderung von Angriffen?
Ein Intrusion Prevention System (IPS) ist ein System, das Netzwerke oder Systeme analysiert und potenzielle Vorfälle wie Cyberangriffe erkennt und abwehrt.
15. Mit welchen Vertragspartnern arbeitet Ihr Anbieter für das Contract Management zusammen?
Der von Ihnen gewählte Contract Management -Anbieter sollte Ihnen eine vollständige Liste aller Subunternehmer zur Verfügung stellen können, mit denen er zusammenarbeitet.
✅ GUT ZU WISSEN: Um die ISO/IEC 27001:2013 Zertifizierung zu erhalten, werden auch die Sicherheitsstandards der Vertragspartner des Unternehmens überprüft.
? Das könnte Sie auch interessieren: