Vendor Management — IT-Definition
Strukturierte Verwaltung des Lebenszyklus der IT-Lieferanten: Auswahl, Vertragsabschluss, Leistungssteuerung, Risikomanagement, Erneuerung und Ausstieg.
Das Vendor Management (Verwaltung der IT-Lieferanten) ist die strukturierte Praxis der Steuerung des Lebenszyklus der IT-Lieferanten: Auswahl, Vertragsabschluss, Leistungssteuerung, Risikomanagement, Erneuerung und Ausstiegsplan.
Das Thema hat strategische Bedeutung gewonnen mit der Verallgemeinerung des SaaS, mit dem regulatorischen Druck (DORA und NIS2) und mit der Explosion der Supply Chain-Angriffe.
Die sechs Etappen des Vendor Management
### 1. Auswahl (Sourcing)
- •Definition der Bedürfnisse.
- •Marktstudie, RFI/RFP.
- •Vergleichende Bewertung.
- •POC / Pilot.
- •Entscheidung.
### 2. Vertragsabschluss
- •Verhandlung der vertraglichen Bedingungen.
- •Obligatorische Klauseln: SLA, DSGVO-DPA, Audit, Ausstieg.
- •Rechtliche, sicherheitstechnische, finanzielle Validierung.
- •Unterzeichnung.
### 3. Onboarding
### 4. Operative Steuerung
### 5. Erneuerung
### 6. Ausstieg
Vendor Risk Management (VRM)
- •Cyber-Risiko: .
- •Kontinuitätsrisiko: .
- •Finanzielles Risiko: .
- •Konformitätsrisiko: .
- •Geopolitisches Risiko: .
- •Konzentrationsrisiko: .
- •Ausstiegsrisiko (Vendor Lock-in): .
Tiering der Lieferanten
- •Tier 1 — Kritisch: .
- •Tier 2 — Wichtig: .
- •Tier 3 — Standard: .
- •Tier 4 — Zubehör: .
Vendor Management und FinOps
- •Neuverhandlung: .
- •Konsolidierung: .
- •Kostenallokation: Chargeback.
- •Rightsizing: der Verpflichtungen.
- •Antizipation: der Erneuerungen.
Vendor Management und regulatorische Konformität
- •[DORA](/de/glossary/dora): (Artikel 28).
- •[NIS2](/de/glossary/nis2): .
- •DSGVO: .
- •[ISO 42001](/de/glossary/iso-42001): .
Vendor Management und Kartografie
Kabeen kreuzt automatisch Anwendungen, Lieferanten, Verträge und Nutzungen.
Häufig gestellte Fragen
Was ist Vendor Management?
+
Das Vendor Management ist die strukturierte Praxis der Steuerung des Lebenszyklus der IT-Lieferanten: Auswahl, Vertragsabschluss, Leistungssteuerung, Risikomanagement, Erneuerung und Ausstiegsplan. Es ist eine transversale Disziplin, die Beschaffung, Recht, SI-Governance, Cybersicherheit und FinOps kombiniert.
Welche Vertragsklauseln sind obligatorisch geworden?
+
Mit DORA (Artikel 30) und NIS2 sind mehrere Klauseln für die kritischen IT-Lieferanten obligatorisch geworden: dokumentierte SLAs, DSGVO-DPA, Auditrecht (einschließlich vor Ort), formalisierter Ausstiegsplan, Beschränkungen der Unterauftragsvergabe, Datenlokalisierung, Vorfall-Benachrichtigung in kurzen Fristen (24-72h), Konformität mit den Standards (ISO 27001, SOC 2).
Wie klassifiziert man die IT-Lieferanten (Tiering)?
+
Vier Tiers nach Kritikalität: Tier 1 kritisch (ihr Ausfall stoppt die Aktivität, monatliche Verfolgung, jährliches Audit, obligatorischer Ausstiegsplan), Tier 2 wichtig (verschlechtern signifikant die Aktivität, vierteljährliche Verfolgung), Tier 3 Standard (begrenzter Impact, jährliche Verfolgung), Tier 4 Zubehör (Commodity, minimale Überprüfung).
Was sind die Risiken im Zusammenhang mit den IT-Lieferanten?
+
Sieben strukturierende Risiken: (1) Cyber-Risiko (Sicherheitslage des Lieferanten), (2) Kontinuitätsrisiko, (3) finanzielles Risiko, (4) Konformitätsrisiko, (5) geopolitisches Risiko (Cloud Act, Souveränität), (6) Konzentrationsrisiko, (7) Vendor-Lock-in-Risiko. DORA verlangt eine jährliche Bewertung dieser Risiken für die kritischen Lieferanten.
Alle Begriffe
5R-Methode
Eine Strategie bei der Anwendungsrationalisierung zur Bestimmung des besten Ansatzes für das Anwendungsmanagement.
8R-Methode
Eine erweiterte Version der 5R-Methode für Application Portfolio Management und Migrationsstrategien.
Anwendung
Ein Computerprogramm oder eine Reihe von Programmen zur Rationalisierung von Geschäftsabläufen.
Architektur
Bezieht sich auf die Struktur und das Verhalten von IT-Systemen, Prozessen und Infrastruktur innerhalb einer Organisation.
Brauchen Sie Hilfe bei der Kartierung Ihrer IT-Landschaft?
Kabeen hilft Ihnen, Ihr Anwendungsportfolio zu inventarisieren, zu analysieren und zu optimieren.