40–80 Fragen. Microsoft Excel oder ein Vendor-Portal. Häufig mit Frist von 2–4 Wochen und der Pflicht zu Nachweisen.
Vorgegebener Anhang zum bestehenden Vertrag — MFA, Patch-Stand, Incident-Meldung in 24h. Unterschreiben oder Auftrag verlieren.
Onsite-Begehung oder Video-Audit. Konzern-interne Auditoren, manchmal externe Prüfer. Zwei Stunden, mit Checkliste.