1. Allgemein

    Dieses Dokument beschreibt den grundsätzlichen Umgang mit Informationssicherheit bei Lieferanten, den Umgang mit Unterauftragnehmern / Sublieferanten und die für die Nutzung von Informationen und IT-Geräten (z.B. Desktop-PCs, Notebooks, Smartphones, Tablets) zu beachtenden IT-Sicherheitsregelungen für Lieferanten der M&M.

    Die Vorgaben richten sich an die Geschäftsleitung der Lieferanten, deren Mitarbeiter sowie deren Erfüllungs-/Verrichtungsgehilfen (nachfolgend Auftragnehmer genannt).

    Die Geschäftsführung ist verpflichtet, dieses Dokument eigenständig an ihre Mitarbeiter, Erfüllungs-/Verrichtungsgehilfen und ggf. Sublieferanten weiterzugeben.

    1.1 Normverweis / Standard

    Norm / Standard Control
    ISO 27001:2022 A.5.19; A.5.20; A.5.21
    TISAX ISA 6.0 Informationssicherheit 6.1.1 Informationssicherheit 6.1.2

    1.1 Normverweis / Standard

    • Lieferantenmanagement

    2. Austausch von Informationen

    Bei allen Gesprächen über vertrauliche oder geheime Informationen der M&M, einschließlich Telefongesprächen, ist darauf zu achten, dass diese nicht von Unbefugten mitgehört werden können. Es ist sicherzustellen, dass alle notwendigen und geeigneten Vorkehrungen (z.B. Verschlüsselung) getroffen werden, um die Informationen während des Transports vor unbefugter Einsichtnahme, Veränderung und Löschung (auch durch Familienangehörige und Freunde) zu schützen.

    3. Physischer Transport von Medien

    Generell sind Datenträger mit Informationen der M&M beim Transport, auch über Organisationsgrenzen hinweg, vor unberechtigtem Zugriff, Missbrauch oder Verfälschung zu schützen.

    Es ist darauf zu achten, dass alle notwendigen und geeigneten Vorkehrungen (z.B. Verschlüsselung) getroffen werden, um die Informationen während des Transportes vor Einsichtnahme, Veränderung und Löschung durch Unbefugte (dazu zählen auch Angehörige des Familien- und Freundeskreises) zu schützen. Datenträger sind verdeckt zu transportieren. Datenträger mit geheimen Informationen sind grundsätzlich in Begleitung eines Mitarbeiters des Lieferanten / Auftragnehmers zu transportieren. Dokumente sind vor Einblick zu schützen, z.B. in einer nicht durchsichtigen Mappe.

    4. Physischer Transport von Notebooks

    Notebooks, auf denen Informationen der M&M gespeichert sind, müssen so transportiert werden, dass sie von außen nicht einsehbar sind. Darüber hinaus ist beim Gebrauch in der Öffentlichkeit dafür Sorge zu tragen, dass Dritte keine Bildschirminformationen mitlesen und/oder die Eingabe geheimer Authentisierungsinformationen ausspähen können.

    5. Umgang mit Informationssicherheitsvorfällen und Kommunikation

    Schwerwiegende Informationssicherheitsereignisse (z.B. auftretende Störungen, Datenverluste, rechtswidrige Handlungen, Cybercrime-Angriffe) sind unverzüglich dem Ansprechpartner für Informationssicherheit (ISB) unter isb.de@mumnet.com zu melden. Bei Verdacht auf Verlust von vertraulichen oder geheimen Informationen ist dies ebenfalls dem Ansprechpartner für Informationssicherheit (ISB) zu melden.

    6. Einhaltung der Informationssicherheit (Lieferkette)

    Der Lieferant / Auftragnehmer hat im Rahmen der Beauftragung von Unterauftragnehmern / Subunternehmern sicherzustellen, dass die Anforderungen der M&M zur Einhaltung der Informationssicherheit gemäß TISAX bzw. ISO27001 auch von den Unterauftragnehmern / Subunternehmern eingehalten werden. Dies schließt auch den Abschluss von Geheimhaltungsvereinbarungen mit Unterauftragnehmern / Subunternehmern ein. Der Nachweis der Einhaltung obliegt dem Lieferanten / Auftragnehmer und ist der M&M auf Verlangen jederzeit nachzuweisen.

    Ist der Lieferant / Auftragnehmer zur Vergabe von Unteraufträgen berechtigt, so haftet er hierfür in vollem Umfang, unabhängig von etwaigen vertraglichen oder gesetzlichen Haftungsbeschränkungen oder -ausschlüssen.

    7. Auditrechte in Bezug auf Informationssicherheit

    Der Lieferant / Auftragnehmer räumt der M&M das jederzeit auszuübende Recht ein, nach vorheriger Anmeldung sämtliche Daten, die den Geschäftsverkehr zwischen dem Lieferanten / Auftragnehmer und der M&M in Bezug auf die Informationssicherheit betreffen, einzusehen und zu prüfen sowie die Maßnahmen zur IT- und Datensicherheit zu überprüfen.

    Mitarbeiter der M&M oder von der M&M beauftragte Dritte sind zu diesem Zweck berechtigt, die Geschäftsräume des Lieferanten / Auftragnehmers während der üblichen Geschäftszeiten zu betreten. Die Kosten der Überprüfung gehen zu Lasten des Lieferanten / Auftragnehmers, wenn dabei Verstöße gegen die Informationssicherheit und/oder die Vereinbarungen der jeweiligen Beauftragung festgestellt werden, es sei denn, diese Verstöße beruhen nicht auf einem Verschulden des Auftragnehmers.

    8. Geheimhaltungsvereinbarung zwischen dem Lieferanten / Auftragnehmer und seinen Mitarbeitern

    Der Lieferant / Auftragnehmer der M&M verpflichtet sich, mit all seinen Mitarbeitern, die im Rahmen der Zusammenarbeit Informationen der M&M erhalten oder Zugang zu solchen Informationen haben, eine Geheimhaltungsvereinbarung (separat oder als Bestandteil des Arbeitsvertrages) abzuschließen. Der Nachweis der Einhaltung obliegt dem Lieferanten/Auftragnehmer und ist auf Verlangen der M&M jederzeit zu erbringen.

    9. Unterauftragnehmer / Subunternehmer

    Die Beauftragung weiterer Auftragnehmer (Subunternehmer) durch den Lieferanten/Auftragnehmer beim Umgang mit geheimen Projektdaten / in Bezug auf geheime Projekte bedarf der ausdrücklichen schriftlichen Zustimmung der M&M. Die Zustimmung kann jederzeit widerrufen werden. Dies gilt insbesondere, wenn schwerwiegende Pflichtverletzungen oder nicht unerhebliches Fehlverhalten des Subunternehmers oder seiner Erfüllungsgehilfen im Rahmen der Leistungserbringung dies rechtfertigen. Darüber hinaus können eine außerordentliche Kündigung aus wichtigem Grund und/oder Schadensersatzansprüche geltend gemacht werden.

    10. Ansprechpartner

    Bei weiteren Nachfragen wenden Sie sich bitte an die Ansprechpartner zum Thema
    Informationssicherheit:

    • Maja Scheunemann, isb.de@mumnet.com
    Zurück zur Übersicht