Kontrollpflichten externer Lieferanten. Resilience

Ähnliche Dokumente
Kontrollpflichten externer Lieferanten. EUDA von Endbenutzern entwickelte Anwendungen (End User Developed Applications)

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Kontrollpflichten externer Lieferanten. Kundenbeschwerden

4.3 Planung (Auszug ISO 14001:2004+Korr 2009) Die Organisation muss (ein) Verfahren einführen, verwirklichen und aufrechterhalten,

Kontrollpflichten externer Lieferanten. Datensatzmanagement

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Vorbereitetsein. ist Macht. Elastizität. BK Strategie. Business Kontinuität Krisenmanagement. Reputation. Identifizierung der Bedrohungen

Übersicht über ISO 9001:2000

Kontrollpflichten externer Lieferanten. Zahlungsprozess

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Management- und Organisationsberatung. Business Continuity Management (BCM)

Änderung der Clearing-Bedingungen und weiterer darauf Bezug nehmender Dokumente der Eurex Clearing AG

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Fragebogen. zur Beurteilung der Zertifizierungsfähigkeit des Betrieblichen Gesundheitsmanagements nach DIN SPEC

TEIL 1 allgemeiner Teil

Risikomanagement - Prozessmodelle im Kontext von Verträgen Nutzen und Standards

Grundsätze Unternehmen und Menschenrechte. 1 Einleitung 2 Verpflichtung 3 Umsetzung 4 Kontrolle

Kontrollpflichten externer Lieferanten. Überprüfung personenbezogener Daten

Checkliste zur Korruptionsprävention in KMU

NIS-RL und die Umsetzung im NISG

Digitalforensische Maßnahmen des OLAF Informationsbroschüre

Disaster Recovery Plan

Fragenkatalog 2 CAF-Gütesiegel - Fragenkatalog für den CAF-Aktionsplan (Verbesserungsplan)

Krisenmanagement 0 SYMPOSIUM GRABENLOS 2018

Risikomanagementsysteme

Norm Revision ISO 9001:2015. Konsequenzen für Unternehmung, Prozesseigner und Auditoren

Kontrollpflichten externer Lieferanten

Verfahrensanweisung Umgang_mit_Einspruechen.doc INHALT

Verhaltenskodex für Lieferanten und Unterlieferanten

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

Umweltmanagement nach ISO 14001:2015

DAS IT-SICHERHEITSGESETZ

Management- Handbuch. Entwicklung, Produktion, Dienstleistung und Vertrieb. DIN EN ISO 9001:2015. Auflage 1.1

Aareal Bank Group Dokumente, Organisation, Zertifizierung Wichtige Themen

Charta der Rechte und Pflichten von Pflege Empfängern Häusliche Pflege

ISO 14001:2015 die Änderungen aus der Sicht der Unternehmen

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

Arbeitskreis IDW Arbeitshilfen zur Qualitätssicherung" des Instituts der Wirtschaftsprüfer in Deutschland e.v.

Bericht der Revisionsstelle an den Stiftungsrat

Fahrschule Handbuch. Fahrschule Simonstr Fürth

Krisenfest. durch Business Continuity Management nach ISO Klaus Weitmann, Auditor, Quality Austria und CIS

FACHNACHRICHTEN plus WIRTSCHAFTLICHES PRÜFUNGSWESEN

VERFAHREN ZUR IDENTIFIZIERUNG UND EVALUIERUNG VON UMWELTASPEKTEN UND RISIKEN

Revision der DIN EN ISO 9001 Dokumentierte Informationen. Ausschlüsse : nicht zutreffende Anforderungen begründen

Informationsveranstaltung zu den Level 2-Entwürfen vom 7. April 2016 betreffend die Richtlinie 2014/65/EU ( MiFID II )

VORSORGE in globo M. Spreitenbach. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2016

Die Anforderungen der DIN EN ISO 9001:2015 Eine erste Einschätzung

Vereinbarung über die Auftragsdatenverarbeitung

External Supplier Control Obligations. Cyber-Sicherheit

MUSTER DES NEUEN BESTÄTIGUNGSVERMERKS 6.1 BESTÄTIGUNGSVERMERK DES UNABHÄNGIGEN ABSCHLUSSPRÜFERS. An die WGX. Prüfungsurteile

Rechte der Betroffenen Prozessbeschreibung

Inhaltsverzeichnis S. 1/220. Vorwort 7

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

STANDARD Systematische Qualitätssicherung

HERZLICH WILLKOMMEN. Revision der 9001:2015

Interne Strukturen des DRK

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

11. Westsächsisches Umweltforum 12. November 2015, Meerane. Informationen zur Revision der DIN EN ISO 14001:2015

Wesentliche Änderung EN 9100:2016 / EN 9120: München/Hamburg Michael Rotzsche/ Wolfgang Bott

Bericht der Revisionsstelle an den Stiftungsrat

TÜV NORD CERT GmbH DIN EN ISO 9001:2015 und Risikomanagement Anforderungen und Umsetzung

Grundsätze zum Umgang mit Interessenkonflikten

Arbeitsschutz-Management - neue Angebote der BG RCI -

Kundencheckliste zur DIN EN ISO 9001

Wartungs- und Instandhaltungs- Management für die betriebliche Praxis

Leitlinie zu Vertragsgrenzen

Gegenüberstellung von DIN EN ISO 9001:2015. und DIN EN ISO 9001:2008

EnergieManagement Erklärung zu den Normpunkten ISO 50001:2011.

Erzielen Sie größere Wertschöpfung in mehr Kategorien in weniger Zeit. Sourcing Services

Detlef Hofmann

Gegenüberstellung von DIN EN ISO 9001:2015. und DIN EN ISO 9001:2008

Zertifizierung Auditdauer und Preise

Die Komponenten eines effektiven Projektmanagements. Biel Tabea Wallner Vivien

Unternehmenspolitik Container Terminal Dortmund DIN EN ISO 9001:2008 / DIN EN ISO 14001:2009

E-Government Aargau Rahmenvereinbarung zwischen dem Kanton Aargau und den Gemeindepersonal-Fachverbänden des Kantons Aargau. Version 2.

MUSTERSICHERUNGSPLAN für UN Anwendung für Isolierstationen

- Leseprobe - Auditfeststellungen und deren Bewertungen. Auditfeststellungen und deren Bewertungen. von Ralph Meß

SEMINAR "WIRTSCHAFTSSTRAFRECHT- COMPLIANCE" (17./18. JUNI 2016)

ICB 3.0 ICB 4.0: Was ist neu? Was wird sich an der Zertifizierung ändern? club pm Über pma

Interne Strukturen des DRK

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Leitlinien für zuständige Behörden und OGAW-Verwaltungsgesellschaften

BCM Schnellcheck. Referent Jürgen Vischer

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Fact Sheet 2 Personalkosten

Business Continuity and Recovery Services, BCRS

Datenschutz-Management-System

DATENSCHUTZ in der Praxis

Service Level Agreement (SLA) Rechenzentrum SAAR1. Produkt Technikschrank

Service Level Agreement (SLA) Rechenzentrum SAAR1. Produkt Technikschrank

Kapitel I der Clearing-Bedingungen der Eurex Clearing AG. Allgemeine Bedingungen

EUROPÄISCHE KOMMISSION GENERALDIREKTION UMWELT MITTEILUNG

Vom BDSG zur DSGVO Ein Praxisbeitrag. 27. Oktober 2017 Dr Christoph Ritzer, Partner Norton Rose Fulbright LLP

Transkript:

Kontrollpflichten externer Lieferanten Resilience

Bezeichnung der Kontrolle 1. Geschäftsvorschriften für Resilience und Beschreibung der Kontrolle Der Lieferant muss für alle wichtigen Prozesse und Dienste effektive Geschäftskontrollen zur Aufrechterhaltung der Fähigkeiten für Resilience und schaffen, die ausreichend sind, um Störungen aufgrund von erheblichen Vorfällen zu minimieren. Der Lieferant bietet seinen Mitarbeitern die ihren jeweiligen Funktionen angemessenen Weiterbildungen und/oder sorgt für entsprechende Awareness zum Thema Resilience. Über die Bedeutung Für Barclays ist es aus betriebswirtschaftlicher (und risikoorientierter) Sicht erforderlich, erhebliche Prozessstörungen zu vermeiden und/oder in der Lage zu sein, sich rechtzeitig von ihnen zu erholen, d. h., Barclays muss hinreichend resilient sein. Barclays muss die Gewissheit haben und in der Lage sein, seinen Stakeholdern die Gewissheit zu geben, dass angemessene Geschäftskontrollen und Maßnahmen vorhanden sind, damit erhebliche Prozessstörungen, die dazu führen, dass Unternehmen von Barclays mehr Risiken ausgesetzt sind, als diese zu übernehmen bereit sind, möglichst vermieden werden, und dass mit solchen Störungen im Falle ihres Eintretens auf die vorab vereinbarte bzw. genehmigte Art und Weise unter Minimierung ihrer Auswirkungen (ob nun auf Kunden, in finanzieller und/oder den Ruf betreffender Hinsicht) umgegangen wird. 2. Identifizierung der Aktivitäten, die Vorkehrungen in Bezug auf Resilience bzw. erfordern Der Lieferant muss die Anforderungen in Bezug auf Resilience bzw. für wichtige Prozesse und Dienste festlegen, unter anderem die Zielvorgaben für die szeit (Recovery Time Objectives (RTOs)), die Zielvorgaben für den spunkt (Recovery Point Objectives (RPOs)) und die Geänderten Leistungsvorgaben für den Betrieb (Revised Operating Levels (ROLs)) (gemäß nachstehender Definition) entsprechend der jeweiligen von Barclays bestimmten Resilience-Kategorie. (Siehe nachfolgende Matrix zur Resilience-Kritikalität) Der Lieferant muss sich über den Ressourcenbedarf seiner Prozesse und Dienste in Zeiten von erheblichen Störungen im Klaren sein. Der Lieferant und Barclays müssen ein gemeinsames Verständnis der Anforderungen zu Resilience bzw. haben. 3. Festlegung von Resilience- bzw. splänen Der Lieferant muss spläne einrichten, mit denen sichergestellt wird, dass die für den Ablauf seiner wichtigen Prozesse und Dienste in Situationen mit erheblichen Störungen notwendigen Ressourcen (einschließlich Mitarbeiter, Einrichtungen, Lieferanten, IT- Anwendungen und -Infrastruktur) zeitnah verfügbar sind. Der Lieferant muss die spläne jährlich und in Zeiten von erheblichen Änderungen überprüfen und Barclays eine Zusammenfassung der Pläne zukommen lassen. Der Lieferant muss sich über die spläne für seine Prozesse und Dienste in Zeiten von erheblichen Störungen im Klaren sein. Der Lieferant und Barclays müssen ein gemeinsames Verständnis der Resilience- bzw. spläne haben.

Bezeichnung der Kontrolle 4. Identifizieren und Schließen von Lücken bei der Fähigkeit in Bezug auf Resilience bzw. 5. Effektives Vorfallmanagement Beschreibung der Kontrolle Der Lieferant testet und validiert sämtliche in den Plänen festgelegten Bestimmungen zu Resilience und, und festgestellte Mängel muss er sofort abstellen. Um die Einhaltung seiner Resilience- Strategie zu gewährleisten, muss der Lieferant in regelmäßigen Abständen sicherstellen, dass die für seine Prozesse und Dienste benötigen Ressourcen (einschließlich Mitarbeiter, Einrichtungen, Lieferanten, IT-Anwendungen und -Infrastruktur) verfügbar sind, wenn dies erforderlich ist. Im Einvernehmen mit Barclays kann der Lieferant Barclays in die Validierung von Plänen des Lieferanten einbeziehen, und unter Umständen kann vom Lieferanten in regelmäßigen Abständen verlangt werden, dass er bei der Validierung von Barclays' Plänen mitwirkt. Der Lieferant und Barclays vereinbaren den Umfang von Tests und Validierungen entsprechend der Bedeutung des Dienstes; durchzuführen sind sie mindestens so häufig, wie in der nachfolgenden Matrix für die Resilience-Kritikalität angegeben. Zu sämtlichen Bestimmungen in den Resilience- und splänen muss es einen aktuellen Validierungsbericht geben. Der Lieferant muss Barclays sofort nach den Tests eine Zusammenfassung dieser Validierungsberichte zukommen lassen. Der Lieferant muss jeden einzelnen bei den Tests festgestellten Fehlerpunkt erfassen und einen dokumentierten Abhilfeplan erarbeiten und die Verantwortung für dessen Erfüllung übernehmen; dieser muss allen abhängigen Beteiligten mitgeteilt und mit diesen vereinbart werden und mit Unterstützung der Geschäftsleitung, mit Ressourcenbereitstellung, Finanzierung und der Verpflichtung zur Einhaltung eines vereinbarten zeitlichen Rahmens bis zum Abschluss verwaltet werden. Der Lieferant muss Verfahren für die konsequente, effektive Handhabung, das Management und die Überprüfung von bedeutenden Ereignissen (d. h. von Ereignissen, die das Potenzial aufweisen, bedeutende Auswirkungen auf die regulären Abläufe zu haben) einrichten, die: etwaige Verhaltensrisikofragen (z. B. im Zusammenhang mit der Über die Bedeutung Sämtliche in Plänen festgelegten Bestimmungen zu Resilience und müssen zwecks Identifizierung und Vermeidung von nicht hinnehmbaren dienstlichen Unzulänglichkeiten getestet und validiert werden. Damit Dienste hinreichend resilient sind, muss jeder darin enthaltene Prozess bzw. jeder Dienst nach einer Störung (unabhängig vom Gefahrenereignis) entweder unbeeinträchtigt weiter funktionsfähig bleiben oder sich innerhalb festgelegter zeitlicher Vorgaben von der Störung erholen, oder der Lieferant muss in der Lage sein, (innerhalb festgelegter zeitlicher Vorgaben) zu einer Alternative für die Ausführung des Prozesses oder des Dienstes nach gleichem Qualitätsanspruch zu wechseln. Die Aufbewahrung der bei Validierungstests gesammelten Nachweise ist ebenfalls wichtig, da diese möglicherweise für Audits bzw. regulatorische Überprüfungen erforderlich sind. Der Lieferant muss sich über seine Verfahren für die Handhabung und Verwaltung seiner Dienste in Zeiten von bedeutenden Ereignissen oder Krisensituationen im Klaren sein. Der Lieferant und Barclays müssen ein gemeinsames Verständnis des unternehmensübergreifenden Dialogs und der betrieblichen Eskalationsverfahren bei bedeutenden Ereignissen und Krisensituationen haben.

Bezeichnung der Kontrolle Beschreibung der Kontrolle Einhaltung regulatorischer Vorschriften oder Auswirkungen auf Kunden oder Märkte) behandeln, die sich durch Prozessstörungen ergeben, Über die Bedeutung klare Vereinbarungen zum unternehmensübergreifenden Dialog und zu betrieblichen Eskalationsverfahren beinhalten, bis hin zu Barclays und zur Aktivierung von Verfahren des Krisenmanagements; und die spätere Erfassung und Meldung des Vorfalls sicherstellen. Der Lieferant muss Verfahren für die konsequente, effektive Handhabung und das Management von Krisensituationen (wenn erhebliche Auswirkungen eingetreten oder unvermeidbar sind) einrichten, die: die Einbeziehung von leitenden Angestellten aus allen betroffenen Bereichen zur Bildung eines geeigneten Krisenleitungsteams sicherstellen, also eines Teams, das die notwendigen Weisungsbefugnisse für alle erforderlichen Aktivitäten und Entscheidungen zur Bewältigung der vorliegenden Krise hat; und die Verpflichtung beinhalten, in regelmäßigen Abständen planmäßige Übungen zur Aktivierung und zum Ablauf des Krisenmanagements durchzuführen, einschließlich geeigneter Nachbesprechungen und Maßnahmen im Zusammenhang mit gezogenen Lehren, um Prozessverbesserungen zu ermöglichen. 6. Meldung zum Stand der Resilience bzw. Der Lieferant muss die Fähigkeit zur Koordinierung der Erstellung regelmäßiger Berichte über den allgemeinen Zustand der Resilience bzw. des Dienstes aufrechterhalten, die Barclays und der Unternehmensleitung vorgelegt werden. In den Berichten müssen Angaben zum Vergleich der tatsächlichen Resilience-Fähigkeit mit den vorgeschriebenen Resilience- und sanforderungen sowie zum Stand des Abhilfeprogramms enthalten sein. Die Berichte müssen einen Soll-Ist-Überblick zur Resilience bieten, nebst Angaben zum Fortschritt bei Abhilfemaßnahmen. In den Berichten müssen Änderungen der angestrebten wie auch der tatsächlichen Fähigkeit (mit Trendbestimmung) zum Ausdruck kommen.

Matrix der Resilience-Kritikalität Die Mindestanforderungen von Barclays zur Resilience, und Validierung sind durch die Resilience-Kategorie definiert, die Barclays einem Lieferanten (0-3) zuweist. Eine höhere Resilience-Kategorie (d. h. eine niedrigere Zahl) stellt entsprechend der Bedeutung des Dienstes höhere Ansprüche an die Resilience bzw.. Der Lieferant und Barclays müssen die Zielvorgabe für die szeit (Recovery Time Objective (RTO)), die Zielvorgabe für den spunkt (Recovery Point Objective (RPO)) und die Validierungsanforderungen für den Dienst bestimmen, die in der Resilience-Kategorie mit der höchsten Kritikalität (Kategorie 0) definiert sind und die mindestens den in der folgenden Übersicht zusammengefassten Anforderungen entsprechen. Die Geänderte Leistungsvorgabe für den Betrieb (Revised Operating Level (ROL)) muss zwischen Barclays und dem Lieferanten vereinbart werden. Resilience- Kategorie 0 1 2 3 RTO bis zu 5 Minuten bis zu 4 Stunden bis zu 12 Stunden bis zu 24 Stunden RPO bis zu 5 Minuten bis zu 30 Minuten bis zu 30 Minuten bis zu 24 Stunden ROL Test-/ Validierungsintervall nach Vereinbarung zwischen nach Vereinbarung zwischen nach Vereinbarung zwischen nach Vereinbarung zwischen dem Lieferanten und Barclays dem Lieferanten und Barclays dem Lieferanten und Barclays dem Lieferanten und Barclays 12 Monate 12 Monate 12 Monate 12 Monate Definitionen Zielvorgabe für den spunkt bezeichnet den angestrebten Stand der Datenverfügbarkeit zu Beginn des sprozesses. Sie ist ein Maß für den in einem sfall maximal hinnehmbaren Datenverlust.

Zielvorgabe für die szeit Geänderte Leistungsvorgabe für den Betrieb bezeichnet die angestrebte Zeitdauer zwischen einem unerwarteten Ausfall oder einer unerwarteten Unterbrechung und der Wiederaufnahme des Betriebs bei vereinbarten Leistungsniveaus. bezeichnet die zur Aufrechterhaltung der vereinbarten Leistungsniveaus in betrieblichen Abläufen erforderlichen Mindestressourcenumfänge.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback