ISO 27001
ISO 27001 Lieferantenmanagement mit Jira sauber abbilden
Von Joachim Reinke
Gründer & Geschäftsführer
Wenn Sie ISO 27001 pragmatisch umsetzen wollen, brauchen Sie für das Lieferantenmanagement nicht zwingend ein Spezialtool. In vielen Unternehmen reicht Jira völlig aus - wenn Sie nicht nur eine Lieferantenliste pflegen, sondern den ganzen Prozess sauber abbilden. Genau darum geht es hier. Jira ist flexibel genug, um eigene Work Types beziehungsweise Issue Types und passende Custom Fields einzurichten.
Was ISO 27001 beim Lieferantenmanagement praktisch von Ihnen will
Im Kern geht es nicht einfach darum, irgendwo Namen von Lieferanten zu sammeln. Lieferantenmanagement unter ISO 27001 bedeutet, dass Sie sicherheitsrelevante Lieferanten erkennen, bewerten, vertraglich sauber einbinden und regelmäßig überprüfen. ISO 27002 beschreibt dafür unter anderem Controls zu Informationssicherheit in Lieferantenbeziehungen sowie zur laufenden Überwachung und Änderung von Lieferantendienstleistungen
Für die Praxis heißt das:
Sie sollten nachvollziehbar festhalten,
- welcher Lieferant überhaupt relevant ist,
- warum er sicherheitsrelevant ist,
- welche Anforderungen an ihn gestellt werden,
- welche Risiken mit ihm verbunden sind,
- und wann die nächste Überprüfung ansteht.
Warum Jira dafür gut geeignet ist
Jira ist nicht deshalb geeignet, weil es offiziell ein ISO 27001-Tool wäre. Es ist geeignet, weil es Arbeitsobjekte, Verantwortlichkeiten, Fristen, Status, Verknüpfungen und Automatisierungen gut abbilden kann. Genau dafür sind Work Types und Custom Fields in Jira gedacht.
Der große Vorteil: Wenn Sie Ihr ISMS ohnehin schon teilweise in Jira organisieren, können Sie Lieferanten direkt mit anderen Themen verknüpfen, zum Beispiel mit Risiken, Maßnahmen, Incidents oder Auditthemen. Das macht das System deutlich stärker als jede isolierte Excel-Liste.
1. Eigener Work Type für Lieferanten
Legen Sie einen eigenen Work Type beziehungsweise Issue Type an, zum Beispiel: Lieferant
Atlassian dokumentiert ausdrücklich, dass Sie Work Types an Ihre eigene Arbeitsweise anpassen können. Genau das ist hier sinnvoll.
2. Pflichtfelder, die wirklich helfen
Diese Felder sollte man bspw. vorsehen:
- Lieferantenname: z.B. "Müller GmbH";
- Lieferantenadresse;
- Kategorie: bspw. "Hardware", "Software", "SaaS", "Dienstleistungen" etc.;
- Verantwortliche Person intern;
- Gelieferte Leistung;
- Zugriff auf Informationen oder Systeme;
- vorhandene Nachweise oder Zertifikate: bspw. "ISO 27001", "ISO 9001" etc.
- Reviewintervall: bspw. quartalsweise, halbjährlich oder jährlich;
- nächstes Review-Datum (Due date): Wann Sie das nächste Mal überprüfen werden, ob der Lieferant noch für Sie geeignet ist;
- Risiken: Liste der Risiken, die mit dem Lieferanten verbunden sind - entweder als Text oder als verbundene weitere Items des Typs "Risiko";
Custom Fields lassen sich in Jira genau für solche zusätzlichen Informationen anlegen.
3. Statusmodell statt toter Datenbankeintrag
Jira-Items erhalten ein Status-Modell. Hier lassen sich die folgenden Status vorsehen:
- Vorgeschlagen/ in Prüfung: Wenn ein neuer potenzieller Lieferant in der Qualifizierungsphase ist.
- Freigegeben: Der Lieferant ist freigegeben und kann beauftragt werden.
- Review fällig: Ein Lieferantenreview ist fällig.
- Gesperrt: Der Lieferant darf (derzeit) nicht beauftragt werden (bspw., weil das Review ungünstig ausfiel).
- Beendet: Die Lieferantenbeziehung wurde dauerhaft beendet.
Damit wird Jira nicht nur ein Register, sondern ein echter Steuerungsmechanismus. Das passt besser zu einem Managementsystem als eine statische Liste.
So nutzen Sie Due Dates und Automation sinnvoll
Das Due-Date-Feld ist für Lieferantenreviews tatsächlich nützlich. Jira-Automation kann laut Atlassian nicht direkt "bei überschrittenem Due Date" triggern, aber genau dafür lässt sich ein Scheduled Trigger einrichten, der einmal täglich prüft, welche Tickets heute fällig oder überfällig sind.
Praktisch heißt das:
- Wenn ein Review-Datum erreicht ist, bekommt der Verantwortliche automatisch eine Erinnerung.
- Der Status wird automatisch auf "Review fällig" gesetzt.
- Wenn der Verantwortliche den Lieferanten überprüft hat und wieder auf "Freigegeben" setzt, greift eine weitere Automatisierung, die das "Due date" gem. "Review Intervall" neu setzt.
Damit wird aus einem einfachen Jira-Issue ein wiederkehrender Kontrollmechanismus.
Was Sie mit Lieferanten in Jira verknüpfen sollten
Der eigentliche Mehrwert entsteht oft erst durch Verknüpfungen.
Sinnvoll sind bspw. Links zu Risiken, Maßnahmen und Sicherheitsvorfällen.
Gerade wenn ein Lieferant ein relevantes Risiko verursacht oder kompensiert, sollte diese Beziehung in Jira direkt sichtbar sein. Das ist viel stärker als ein isolierter Lieferantendatensatz und kann durch geeignete Filter und Dashboards in Sekundenschnelle ausgewertet werden.
Der häufigste Fehler bei Lieferantenmanagement mit Jira
Der größte Fehler ist nicht, dass Unternehmen Jira verwenden. Der größte Fehler ist, dass sie Jira nur als Ablage nutzen.
Dann gibt es zwar ein Ticket pro Lieferant, aber keine saubere Logik dahinter:
- keine Kritikalität
- keine Fristen
- keine Reviews
- keine Verknüpfung zu Risiken
- keine klare Verantwortlichkeit
Dann ist das formal nett, praktisch aber wenig wert.
Für wen dieser Ansatz gut funktioniert
Dieser Jira-Ansatz passt besonders gut, wenn Sie
- Jira ohnehin schon im Unternehmen nutzen,
- andere ISMS-Themen ebenfalls dort abbilden,
- kein zusätzliches Spezialtool einführen wollen,
- und ein pragmatisches, auditfähiges System suchen.
Wenn Sie dagegen sehr viele Lieferanten, komplexe Vertragsbeziehungen oder stark regulierte Prüfprozesse haben, kann irgendwann ein spezialisiertes Vendor-Management-Tool sinnvoller werden. Für viele kleine und mittlere Unternehmen reicht Jira aber erstaunlich weit.
Wenn Sie Jira nicht nur für Tasks, sondern als praxistaugliches Werkzeug für Ihr ISMS nutzen wollen, vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns.
Häufig gestellte Fragen
Reicht Jira für ISO 27001-Lieferantenmanagement aus?
Oft ja. Für viele kleine und mittlere Unternehmen reicht Jira aus, wenn Sie nicht nur eine Liste bauen, sondern Verantwortlichkeiten, Fristen, Risiken, Reviews und Nachweise sauber abbilden. Jira unterstützt dafür anpassbare Work Types, Custom Fields und Automatisierungen.
Welche Anforderungen muss Lieferantenmanagement nach ISO 27001 praktisch abdecken?
Praktisch geht es um risikobasierte Steuerung von Lieferantenbeziehungen, passende Sicherheitsanforderungen, vertragliche Absicherung und laufende Überwachung von Supplier Services. Genau diese Themen greifen die relevanten ISO-27002-Controls zu Supplier Relationships und Monitoring auf.
Reicht es, in Jira nur Zertifikate und Prüfintervalle zu speichern?
Nein. Das ist zu wenig. Wichtiger sind zusätzlich Kritikalität, Verantwortlicher, Sicherheitsbezug, Review-Datum, Vertragsbezug, Nachweise und Verknüpfungen zu Risiken oder Maßnahmen.
Sollte jeder Lieferant ein Jira-Ticket bekommen?
Nicht zwingend. Sinnvoll ist das vor allem für sicherheitsrelevante Lieferanten. Eine Pauschalliste aller Lieferanten hilft im ISMS meist weniger als eine saubere Steuerung der wirklich kritischen.
Kann Jira an überfällige Lieferantenreviews erinnern?
Ja. Atlassian beschreibt dafür eine Lösung über einen Scheduled Trigger, der einmal täglich fällige oder überfällige Tickets anhand des Due-Date-Felds prüft.
Was ist der größte Vorteil von Jira in diesem Kontext?
Die Verknüpfbarkeit. Wenn Lieferanten direkt mit Risiken, Maßnahmen, Verträgen und Incidents verbunden sind, entsteht ein deutlich belastbareres ISMS als mit einer isolierten Liste.
Dieser Artikel gehört zum Thema ISO 27001 Zertifizierung — erfahren Sie mehr über die Zertifizierung.