Help Center
News
Help Center
News
Sign in
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Datenschutz-Folgenabschätzung (DPIA)
Assessments
Verarbeitungstätigkeiten (ROPA)
Assets
Internationale Standards & Rahmenwerke
TOMs & Kontrollen
Kategorien & Attribute
Datenerhebungspunkte
Rechtsgrundlage
Berechtigtes Interesse
Dokumente & Richtlinien
Aufbewahrung & Löschung
Datenfluss
Lieferanten
Fragebögen
Verwalten
Prozessrisiko ÜbersichtData flow
Dashboards
KI-Unterstützung & Automatisierung
Projekte
Aufgaben
Besprechungen & Aktivitäten
Workflows & Automatisierungen
Berichte
Reagieren & Lösen
AufgabenProjekteEreignisse und VorfälleBetroffenenrechte
Risikoszenarien & Behandlungen
Übersicht organisatorischer RisikenÜbersicht IT-Risiken Lieferanten
Vorfälle & Datenpannen
Versionshinweise
Q2 2026
Q1 2026
Q4 2025
Q3 2025
Q2 2025
Q1 2025
Q4 2024
Q3 2024
Q2 2024
Q1 2024
Q4 2023
Q3 2023
Q2 2023
Q1 2023
Q4 2022
Q3 2022
Erste Schritte
Anleitung zum EinstiegFragebögenAufgabenProzessrisiko ÜbersichtIT Einstellungen FrameworksDas Risikomodell für Informationssicherheit / AssetsBetroffenenrechteDownload von ElementenDokumentation Ihres berechtigten InteressesZugang von Gruppen auf ElementeDokumente und RichtlinienTechnische- und Organisatorische Massnahmen (TOMs)Compliance EinstellungenErstellen von passenden Attributen für Ihre BrancheDokumentenliste für das OnboardingDas DatenschutzrisikomodellEreignisse und VorfälleProjekteGruppenverwaltungDokumente zu Lieferanten hinzufügenAnleitung zum Beantworten von Assessments (Fragebögen)Einrichtung der ersten Organisation oder des ersten UnternehmensDatenerhebungspunkte (DEP)Elemente erstellen mittels AIRisko Modelle in Allgemeinen EinstellungenTeilen von ElementenWie kann ein Benutzer die Sprache ändern?Data flowVerzeichnis der Verarbeitungstätigkeiten (VVT)Time machineAssessments erstellen und auswerten Company Widget FeatureVerzeichnis der AssetsLieferantenFolgenabschätzungenOrganisatorische Einheiten erstellenVerzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenMeetings und AktivitätenBegriffe der rechtmässigen VerarbeitungAufbewahrungs- und Löschfristen Anlegen von neuen Benutzer:innen und Ändern des Passworts für die AnmeldungBerichteDas ReifegradmodellHinzufügen von Risikoszenarien zu Assets oder Asset-GruppenRelevante RiskoszenarienÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Benutzerkonto
Teilen und Gruppenfunktionen
Features
Anleitungen & Tipps
Unterstützung erhalten
Einstellungen
Allgemeine Einstellungen
Compliance-Einstellungen
Identitäts- und Zugriffsverwaltung
IT Einstellungen
Risiko Einstellungen

Übersicht IT-Risiken Lieferanten

Überwachen Sie IT- und Informationssicherheitsrisiken durch Lieferanten.

Übersicht IT-Risiken Lieferanten

Die Übersicht IT-Risiken Lieferanten ist Ihr zentrales Dashboard, um auf einen Blick zu erkennen, wie gut Ihre Lieferanten die Anforderungen Ihrer Organisation an die Informationssicherheit erfüllen. Datenschutzbeauftragte, IT-Sicherheitsverantwortliche, IT-Administratoren und Compliance-Officer nutzen diesen Bereich täglich, um herauszufinden, welche Lieferanten die geforderten Reifegradestufen nicht erreichen – und um diese Lücken direkt zu den technischen und organisatorischen Maßnahmen (TOMs) zu verfolgen, die sie schließen sollen. Der Bereich verbindet das Lieferantenmanagement mit der Informationssicherheitsbewertung: Sobald ein Lieferant eine Bewertung im Bereich Informationssicherheit abgeschlossen hat, aggregiert DPMS die Ergebnisse hier zu einem visuellen Reifegrid – so gelangen Sie in einem einzigen Arbeitsfluss vom Gesamtbild der Risiken zu den konkreten Dokumenten der Abhilfemaßnahmen.

So öffnen Sie diesen Bereich

Navigieren Sie in der linken Seitenleiste zu Lieferanten und klicken Sie dann auf den Tab IT-Risiken am oberen Rand des Lieferantenbereichs. Dieser Tab ist nur für Benutzer mit der Leseberechtigung für Lieferanten sichtbar. Falls Sie ihn nicht sehen, wenden Sie sich an Ihre DPMS-Administration.

Screenshot

Was Sie sehen

Wenn Sie den Bereich öffnen, sehen Sie eine vollbreite, scrollbare Tabelle mit allen Ihren Lieferanten. Über der Tabelle befindet sich links eine Suchleiste; oben rechts erscheint die Schaltfläche Erstellen, mit der Sie neue Lieferanten anlegen können. Jede Zeile steht für einen Lieferanten. Wenn Sie mit der Maus über eine Zeile fahren, erscheint rechts ein Drei-Punkte-Aktionsmenü.

Wenn Sie auf einen bestimmten Lieferanten klicken, wechselt die Ansicht zur Detailansicht. Oben befindet sich eine Rücknavigationsleiste mit dem Pfeil-links-Symbol und der Beschriftung IT-Risiken. Darunter wird der Name des Lieferanten prominent angezeigt. Unterhalb des Namens erscheinen zwei Dropdown-Auswahlfelder – eines ist auf ISO 27001 voreingestellt, das andere auf eine kombinierte Reifegradbezeichnung – gefolgt vom Reifegrid, der den Großteil der Seite einnimmt.

Das Reifegrid ist in horizontalen Zeilen organisiert, von denen jede einen Sicherheitsbereich repräsentiert (zum Beispiel „Zugriffskontrolle" oder „Netzwerksicherheit"). Eine dunkelblau hinterlegte Bezeichnung auf der linken Seite jeder Zeile benennt den Bereich; ein hellblauer Behälter rechts davon enthält die Fragenkarten für diesen Bereich. Jede Karte ist entweder grün (der Lieferant erreicht den erforderlichen Reifegrad) oder rot (er tut es nicht).

Arbeiten in diesem Bereich

Einen bestimmten Lieferanten suchen und prüfen

Beginnen Sie in der Indexansicht, indem Sie den Namen des Lieferanten in die Suchleiste oben in der Tabelle eingeben. Die Liste filtert sich in Echtzeit. Sobald Sie den gewünschten Lieferanten sehen, klicken Sie irgendwo auf die Zeile, um die Detailansicht zu öffnen.

Die Detailansicht lädt mit dem Namen des Lieferanten ganz oben. Unterhalb der beiden Dropdown-Auswahlfelder sehen Sie das vollständige Reifegrid. Arbeiten Sie sich systematisch von oben nach unten durch die Bereichszeilen. Die dunkelblau hinterlegte Bezeichnung links zeigt Ihnen, welchen Sicherheitsbereich Sie gerade betrachten. Innerhalb jedes Bereichs geben Ihnen die Fragenkarten durch ihre Farbe sofort eine Auskunft: Grün bedeutet, dass der aktuelle Reifegrad des Lieferanten das Ziel Ihrer Organisation erreicht oder übertrifft; rot bedeutet, dass er es nicht tut.

Jede Karte enthält folgende Informationen:

  • Einen Fortschrittsbalken, der proportional dazu gefüllt ist, wie nahe der Lieferant am geforderten Niveau ist. Gefüllte Punkte stehen für bereits erreichte Stufen, ungefüllte für noch ausstehende.
  • Eine CMMI-Stufenbezeichnung (z. B. „Initial" oder „Managed"), die als schwebendes Label über dem Balken den qualitativen Stand des Lieferanten anzeigt.
  • Einen Zielindikator rechts neben dem Balken mit dem Namen der geforderten CMMI-Stufe und dem prozentualen Fortschritt zum Ziel.
  • Den Namen oder die Abkürzung der Frage als anklickbaren Link am unteren Rand der Karte.

Wenn Sie zur Gesamtliste zurückkehren möchten, klicken Sie oben auf der Seite auf den Rücknavigationslink IT-Risiken.

Von einer Lücke zu den Abhilfemaßnahmen navigieren

Wenn Sie eine rote Karte entdecken – also ein Sicherheitskontrollbereich, in dem der Lieferant die geforderte Reifestufe nicht erreicht –, klicken Sie auf den Fragelink am unteren Rand dieser Karte. DPMS navigiert zur Ansicht Verknüpfte TOMs für genau diese Frage und zeigt Ihnen alle technischen und organisatorischen Maßnahmen, die als Kontrollen für diese Lücke dokumentiert sind.

Prüfen Sie die Liste der TOMs. Ist die Liste leer, bedeutet das, dass für diese Kontrolle noch keine Abhilfemaßnahme dokumentiert wurde. Sie können sofort auf die Schaltfläche Erstellen oben rechts in der Ansicht „Verknüpfte TOMs" klicken und eine neue TOM direkt in diesem Arbeitsfluss anlegen. Nach dem Speichern erscheint die neue TOM bei allen zukünftigen Prüfungen dieses Lieferanten hier.

Sind bereits TOMs aufgelistet, klicken Sie auf eine beliebige Zeile, um den vollständigen TOM-Detaildatensatz zu öffnen, wo Sie Status, verantwortliche Person und Beschreibung einsehen können.

Wenn Sie fertig sind, nutzen Sie den Zurück-Button am oberen Rand der Ansicht „Verknüpfte TOMs", um zur IT-Risiken-Detailseite des Lieferanten zurückzukehren.

Vorbereitung auf ein Lieferantenaudit oder eine Überprüfung

Navigieren Sie vor einem vierteljährlichen Lieferantenreview zur Detailansicht des Lieferanten und arbeiten Sie das Reifegrid systematisch durch:

  • Notieren Sie den Bereichsnamen in der dunkelblau hinterlegten Bezeichnung links.
  • Prüfen Sie, ob die Fragenkarten innerhalb des Bereichs weiter in Tag-Gruppen unterteilt sind – hellblaue Unterbehälter mit einer Bezeichnung oben. Diese repräsentieren Unterkategorien innerhalb des Bereichs (z. B. „Verschlüsselung ruhender Daten" und „Verschlüsselung in der Übertragung" innerhalb von „Kryptographie").
  • Notieren Sie für jede rote Karte die angezeigte CMMI-Stufe (z. B. „Initial") und die im Zielindikator angezeigte Zielstufe. Eine große Lücke – etwa „Initial" gegenüber einem Ziel von „Defined" – signalisiert eine erhebliche Kontrollschwäche.
  • Klicken Sie auf den Fragelink bei jeder roten Karte, um zu prüfen, ob bereits Abhilfemaßnahmen (TOMs) vorhanden sind. Ist die Tabelle „Verknüpfte TOMs" leer, erstellen Sie eine neue TOM vor dem Meeting, damit Sie etwas Konkretes besprechen können.
  • Grüne Karten mit 100 % im Zielindikator stehen für Bereiche, in denen der Lieferant vollständig compliant ist. Notieren Sie diese als positive Punkte für die Überprüfung.

Am Ende dieses Prozesses haben Sie ein vollständiges Bild der Compliance-Situation des Lieferanten und der spezifischen Kontrollen, die Aufmerksamkeit benötigen.

Einen neuen Lieferanten anlegen und den Leerzustand verstehen

Wenn Sie einen Lieferanten hinzufügen möchten, der noch nicht in DPMS vorhanden ist, klicken Sie auf die Schaltfläche Erstellen oben rechts in der Indexansicht. Ein kleines Menü öffnet sich; wählen Sie den passenden Lieferantentyp aus und füllen Sie das Anlageformular aus. Nach dem Speichern erscheint der neue Lieferant in der IT-Risiken-Übersicht.

Klicken Sie auf die Zeile des neuen Lieferanten, um die Detailansicht zu öffnen. Da noch keine Informationssicherheitsbewertung mit diesem Lieferanten verknüpft ist, erscheint das Reifegrid unterhalb der Dropdown-Auswahlfelder leer. Das ist erwartetes Verhalten. Das Grid wird automatisch befüllt, sobald der Lieferant eine Informationssicherheitsbewertung mit mindestens einer geschlossenen Frage abgeschlossen hat. Vermerken Sie dies als offene Aufgabe in Ihrem Workflow: Der nächste Schritt ist, im Bereich Bewertungen eine Bewertung zu erstellen und an diesen Lieferanten zu versenden.

Feldreferenz

Die Detailansicht enthält kein Dateneingabeformular, aber das Reifegrid enthält mehrere nicht auf den ersten Blick offensichtliche Anzeigen:

  • Fortschrittsbalken-Füllung — Der Balken füllt sich von links nach rechts proportional. Jeder gefüllte Punkt steht für eine bereits erreichte CMMI-Stufe, ungefüllte Punkte für noch ausstehende. Grün bedeutet: Ziel erreicht; rot bedeutet: Ziel nicht erreicht.
  • CMMI-Stufenbezeichnung — Das schwebende Label über dem Fortschrittsbalken zeigt die qualitative CMMI-Stufe des aktuellen Stands des Lieferanten an (z. B. „Initial", „Managed", „Defined", „Quantitatively Managed", „Optimising"). Es erscheint nur, wenn die aktuelle Stufe größer als null ist.
  • Zielindikator — Zeigt den geforderten CMMI-Stufennamen (gemäß den Reifegradeinstellungen Ihrer Organisation in den IT-Einstellungen) und den prozentualen Fortschritt, berechnet als aktuelle Stufe ÷ Zielstufe × 100. Ist für eine Frage im Template keine eigene Zielstufe gesetzt, greift DPMS auf das organisationsweite Ziel aus den IT-Einstellungen zurück.
  • Fragelink — Zeigt die Abkürzung der Frage an, falls vorhanden, sonst den vollständigen Fragenamen. Ein Klick öffnet die Ansicht „Verknüpfte TOMs". Achtung: Dieser Link funktioniert nur für Fragen in Bereichen ohne Tag-Gruppierung (siehe Tipps & häufige Fehler weiter unten).
  • Framework-Auswahl (ISO 27001) — Wird derzeit nur zur Information angezeigt. Ein Klick öffnet eine leere Dropdown-Liste. Dies ist ein Platzhalter für eine zukünftige Filterfunktion.
  • Kombinierte Reifegradauswahl — Ebenfalls derzeit nicht funktional. Ignorieren Sie dieses Feld vorerst.

Verbindung mit dem Rest von DPMS

Die Übersicht IT-Risiken Lieferanten ist eine Lese- und Navigationsebene – sie stellt Daten dar, die in anderen Bereichen erfasst werden, und bietet Drill-down-Wege in andere Module.

Damit dieser Bereich nützlich ist, müssen in anderen Teilen von DPMS drei Voraussetzungen erfüllt sein: (1) Reifegradsziele müssen in den IT-Einstellungen konfiguriert sein, (2) Lieferanten müssen angelegt und mit Informationssicherheitsbewertungen verknüpft worden sein, und (3) diese Bewertungen müssen mindestens einige geschlossene Fragen im Bereich Informationssicherheit enthalten.

Von diesem Bereich aus gelangen Sie zu:

  • Der Ansicht „Verknüpfte TOMs" für jede spezifische Fragenkarte, wo Sie Abhilfemaßnahmen einsehen und erstellen können.
  • Dem vollständigen TOM-Detaildatensatz, indem Sie in der Ansicht „Verknüpfte TOMs" auf eine TOM-Zeile klicken.
  • Dem TOM-Erstellungsformular über die Schaltfläche Erstellen in der Ansicht „Verknüpfte TOMs".

Andere Bereiche, die Daten für diesen Bereich liefern:

  • Das Bewertungsmodul, wo Informationssicherheitsbewertungen erstellt, an Lieferanten versandt und abgeschlossen werden. Bis Fragen dort als geschlossen markiert sind, erscheinen sie nicht im Reifegrid.
  • Die IT-Einstellungen, wo das organisationsweite Reifegradziel konfiguriert wird. Eine Änderung dieser Einstellung wirkt sich sofort auf die Berechnung und Färbung aller Karten aus.
  • Das allgemeine Lieferantenprofil, das Lieferantenstammdaten verwaltet und Bewertungen mit Lieferanten verknüpft.

Nach der Identifizierung von Lücken in diesem Bereich bestehen die typischen nächsten Schritte darin, TOMs in der Ansicht „Verknüpfte TOMs" zu erstellen oder zu aktualisieren, offene Bewertungen im Bewertungsmodul weiterzuverfolgen und Lieferantendatensätze im Zuge der Abhilfemaßnahmen zu pflegen.

Tipps & häufige Fehler

Achtung: Wenn das Reifegrid nach dem Klick auf einen Lieferanten vollständig leer ist, liegt das fast immer daran, dass die Informationssicherheitsbewertung des Lieferanten noch keine geschlossenen Fragen enthält. Prüfen Sie den Status der Bewertung im Bewertungsmodul, bevor Sie ein Datenproblem vermuten.
Achtung: Die beiden Dropdown-Auswahlfelder – das mit „ISO 27001" und das mit der kombinierten Reifegradbezeichnung – sind derzeit Platzhalter. Ein Klick darauf öffnet eine leere Liste und ändert nichts. Das ist erwartetes Verhalten; die Filterfunktion ist noch nicht aktiviert.
  • Das Reifegradziel kann unerwartet variieren. Jede Fragenkarte verwendet idealerweise einen Zielreifegrad, der direkt im Bewertungstemplate gesetzt wurde. Fehlt dieser Wert, greift DPMS stillschweigend auf das organisationsweite Ziel in den IT-Einstellungen zurück. Das bedeutet, dass zwei Lieferanten mit demselben Template scheinbar gegen unterschiedliche Ziele bewertet werden können, wenn das globale Ziel zwischen den Bewertungen geändert wurde. Stellen Sie sicher, dass Ihre Templates explizit per-Frage-Ziele gesetzt haben.
  • Fragelinks funktionieren möglicherweise nicht bei allen Karten. Bei Fragen in Bereichen, die in Tag-Gruppen unterteilt sind, führt der Link am unteren Rand der Karte zu einem Platzhalter, und ein Klick bewirkt nichts. Dies ist eine aktuelle Einschränkung: Die Navigationsparameter, die für die Auflösung der Route „Verknüpfte TOMs" erforderlich sind, stehen nur für Fragen in Bereichen ohne Tag-Gruppierung zur Verfügung. Wenn Sie die TOMs für eine Frage in einer Tag-Gruppe einsehen möchten, navigieren Sie direkt zur TOM-Liste und filtern Sie nach der betreffenden Bewertung.
  • Der Zurück-Button führt nicht immer zur IT-Risiken-Übersicht. Wenn Sie die Detailansicht eines Lieferanten über einen Direktlink aus einem anderen Modul geöffnet haben (z. B. aus einer Aufgabe oder einer Benachrichtigung), kehrt der Zurück-Button zu diesem Ursprungsbereich zurück und nicht zur IT-Risiken-Liste. Um zuverlässig zur IT-Risiken-Übersicht zurückzukehren, nutzen Sie den Pfad Lieferanten > IT-Risiken in der linken Seitenleiste.
  • Die Sprachanzeige hängt von der Vollständigkeit der Templates ab. Bereichsnamen, Tag-Bezeichnungen und Fragentexte werden in Ihrer aktuellen DPMS-Sprache angezeigt. Wurde ein Bewertungstemplate nicht vollständig in diese Sprache übersetzt, können einige Bezeichnungen leer erscheinen. Stellen Sie sicher, dass Templates vollständig in alle von Ihrem Team verwendeten Sprachen übersetzt sind, bevor Bewertungen an Lieferanten versandt werden.
  • Das endlose Scrollen lädt automatisch weitere Lieferanten. Es gibt keine „Nächste Seite"-Schaltfläche. Scrollen Sie einfach in der Indexansicht nach unten, und weitere Lieferanten werden automatisch geladen. Falls die Liste abgeschnitten wirkt, scrollen Sie einfach weiter.


Was this article helpful?

German
Powered by Product Fruits