Implementatiemaatregel

Het volgende MOET minimaal worden vastgesteld:

• De geleverde producten en/of diensten en de mogelijke impact op vertrouwelijkheid, integriteit en beschikbaarheid van informatie(verwerking), met als uitkomst een informatieklassebepaling en risicorating

• De informatie, ICT-diensten en fysieke infrastructuur van onze organisatie waartoe leveranciers toegang hebben

• Veiligheidscriteria hoe leveranciers worden geëvalueerd en geselecteerd

• Juistheid en volledigheid van de door de leverancier geïmplementeerde beheersmaatregelen IM - Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten

• Beoordeling en beheersing van informatiebeveiligingsrisico’s in verband met het gebruik door leveranciers van informatie en bedrijfsmiddelen van onze organisatie en storingen en kwetsbaarheden van de door de leverancier geleverde producten of diensten

Implementatiemaatregel - Overeenkomsten over de toegang van externe partijen

Er MOET gezorgd worden dat externe partijen pas toegang krijgen tot bedrijfsmiddelen en informatieverwerkende faciliteiten nadat een toegangsovereenkomst is ingevuld en ondertekend. De toegangsovereenkomsten MOETEN het volgende omvatten:

• Rollen en verantwoordelijkheden van binnen de organisatie en de externe partij.

• Geheimhoudingsovereenkomsten.

• Vereisten voor uitbesteding.

• Gespecialiseerde beveiligingsmaatregelen (d.w.z. voldoen aan bijzondere bedrijfs- en beveiligingsregelingen, wettelijke of regelgevende vereisten).

• Voorwaarden voor beëindiging van het contract.

• Rechten, verantwoordelijkheden en processen over audit en toezicht op de naleving.

• Rapportageverplichtingen voor vermeende of daadwerkelijke beveiligings- en privacy incidenten.

• Voorwaarden voor verlenging en hernieuwing van de overeenkomst.

• Vereisten voor regelmatige beoordelingen van de naleving.

Goedgekeurde vormen van overeenkomsten zijn onder meer:

• Algemene dienstverleningsovereenkomst voor de aankoop van goederen of diensten;

• Overeenkomsten voor alternatieve dienstverlening;

• Overeenkomst voor het delen van informatie; of,

• Andere vormen van overeenkomsten zoals goedgekeurd door de Juridische Dienst.

Implementatiemaatregel - Vereisten over beveiliging

Er MOET gezorgd worden dat de informatiebeveiligingseisen van toegangsovereenkomsten met externe partijen het volgende omvatten:

• Kennisgeving van verplichtingen van de partijen om de wet- en regelgeving na te leven.

• Vereisten om zich te houden aan overeengekomen informatieveiligheidsbeleid en -procedures.

• Processen voor het wijzigen van de overeenkomst.

• Erkenning door de externe partij dat de organisatie eigenaar blijft van de informatie.

• Vertrouwelijkheidsverplichtingen van de externe partij en haar werknemers of vertegenwoordigers.

• Vereisten voor het gebruik van unieke gebruikersidentificatiemiddelen.

• Processen voor het uitvoeren van audits en het toezicht op de naleving.

• Verantwoordelijkheden en processen voor het melden van beveiligings- en privacy incidenten.

• De verzekering dat disciplinaire maatregelen zullen worden toegepast op werknemers of contractanten die de voorwaarden van de overeenkomst niet naleven.

Implementatiemaatregel - Continuïteit van het dienstverleningsniveau

Er MOET gezorgd worden dat dienstverleningsovereenkomsten met leveranciers de vereisten over continuïteit van de dienstverlening documenteren en processen omvatten voor:

• Voortdurende beoordeling van servicelevel vereisten met eigenaren van bedrijfsprocessen.

• Rechten en verantwoordelijkheden voor controle en toezicht op de naleving.

• Het communiceren van vereisten aan dienstverleners.

• Het verzamelen van periodieke bevestiging van dienstverleners dat voldoende capaciteit wordt voorzien.

• Het beoordelen van de geschiktheid van de noodplannen van de dienstverlener om te reageren op calamiteiten of grote dienststoringen.

• Vaststellen van de indicatoren voor het niveau van dienstverlening (met inbegrip van risicoprofielen en niveaus voor het starten van audits).

Implementatiemaatregel - Beëindiging van de dienstverleningsovereenkomst

Afspraken over veilige beëindiging van de leveranciersrelatie MOETEN vooraf contractueel worden gemaakt met inbegrip van:

• Het intrekken van toegangsrechten.

• Het omgaan met informatie.

• Het vaststellen van intellectuele eigendom die tijdens de verbintenis is ontwikkeld.

• De overdraagbaarheid van informatie in geval van verandering van leverancier.

• Beheer van registraties.

• Het retourneren van bedrijfsmiddelen.

• Veilige verwijdering van informatie.

• Voortdurende geheimhoudingseisen.

Implementatiemaatregel - Onderaannemers

De volgende voorwaarden MOETEN worden overwogen om op te nemen in overeenkomsten met de hoofdleveranciers:

• Eisen dat voor onderleveranciers dezelfde informatiebeveiligingseisen gelden als voor de hoofdleverancier

• Eisen dat er een lijst van onderleveranciers wordt verstrekt en kennisgeving telkens voordat er iets verandert

• Eisen dat leveranciers de beveiligingsvereisten in de gehele toeleveringsketen bekendmaken bij uitbesteding

• Een monitoringproces en aanvaardbare methoden (bijv. penetratietests, security certificaten, attesten) voor het valideren dat de geleverde producten en diensten door onderaannemers voldoen aan de gestelde beveiligingseisen

• Een proces implementeren voor het vaststellen en documenteren van componenten van producten of diensten die essentieel zijn voor het handhaven van de functionaliteit en daarom verhoogde aandacht, toezicht en verdere opvolging vereisen als deze door onderleveranciers worden geleverd

• Regels definiëren voor het delen van informatie met betrekking tot de toeleveringsketen en potentiële kwesties en compromissen tussen onze organisatie en onderleveranciers via de hoofdleverancier    

Implementatiemaatregel - Monitoringproces

Het volgende MOET worden overwogen en vastgesteld:

• De verantwoordelijkheid voor het beheer van een of meerdere leveranciersrelaties behoort te worden toegekend aan een daarvoor aangewezen persoon of team binnen de organisatie.

• De implementatie van een proces en metrieken voor het monitoren en meten van de prestaties.

• Het monitoren van door leveranciers aangebrachte veranderingen, waaronder: Verbeteringen en ontwikkelingen van toepassingen en systemen, wijzigingen in of updates van beleid en procedures van de leverancier, nieuwe of gewijzigde beheersmaatregelen, veranderingen en verbeteringen van netwerken, gebruik van nieuwe technologieën, veranderingen in fysieke locatie van dienstverleningsfaciliteiten, verandering van onderleveranciers, et cetera.

• Informatie te verkrijgen over informatiebeveiligingsincidenten en -kwetsbaarheden en deze informatie te beoordelen en opvolging aan te geven indien nodig, middels procedures voor het omgaan met incidenten en noodsituaties die verband houden met producten en diensten van leveranciers.

• Informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen onderleveranciers te beoordelen. (zie IM - Beheren van informatiebeveiliging in de ICT-keten)

• Procedures voor het beperken van het niet voldoen door een leverancier ongeacht of dit is opgemerkt door monitoring of door andere middelen.

Implementatiemaatregel - Bewijs

Met betrekking tot bewijs dat leveranciers voldoen aan de informatiebeveiligingseisen, MOET het volgende worden overwogen en contractueel vastgelegd:

• Het recht om beheerprocessen en beheersmaatregelen van de leverancier te auditen door onze eigen of een externe auditor.

• De verplichting van de leverancier om vast te stellen of geleverde producten en diensten voldoen aan de gestelde technologische informatiebeveiligingseisen middels security reviews en/of penetratietesten door een gecertificeerde en onafhankelijke specialist.

• De verplichting van de leverancier om periodiek een rapport te verstrekken over de doeltreffendheid van beheersmaatregelen en overeenkomst over tijdige correctie van relevante kwesties die in het rapport aan de orde worden gesteld.

• De verplichting van de leverancier om haar onderleveranciers te auditen door een onafhankelijke auditor, indien dit noodzakelijk wordt geacht op basis van de risicoanalyse

• Optioneel, de verplichting van de leverancier om te certificeren conform een informatiebeveiligingsstandaard en/of het verstrekken door de leverancier van formele attesten - zie maatregel “Verantwoording” (verder hieronder)

Implementatiemaatregel

Relevante eisen rondom formele verantwoording middels certificering en/of attesten ZOUDEN kunnen worden vastgesteld en met de leverancier contractueel worden overeengekomen. Hierbij dient het volgende in ogenschouw te worden genomen:

• De verplichting van de leverancier om een industrie informatiebeveiligingscertificaat te hebben of te behalen voor de diensten en producten in scope van de overeenkomst, zoals ISO/IEC 27001 of equivalent

• Aanvullend op de plicht van ISO/IEC 27001 certificering: Voor producten en diensten van informatieklasse 3 of hoger, de verplichting van de leverancier om de doeltreffendheid van beheersmaatregelen te laten toetsen en rapporteren middels een industrie-gebaseerde attest door een onafhankelijke geaccrediteerde auditor

• Richtlijn voor attesten rapportage:

  • Informatieklasse 1: Geen specifieke eisen voor attesten

  • Informatieklasse 2: SSAE SOC 3, ISO 27001 certificaat of equivalent

  • Informatieklasse 3: Type 1 van ISAE 3000/3402, SSAE SOC1/2 of equivalent

  • Informatieklasse 4: Type 2 van ISAE 3000/3402, SSAE SOC1/2 of equivalent

  • Informatieklasse 5: Type 2 van ISAE 3000/3402, SSAE SOC1/2 of maatwerkattest als de standaard rapportage niet de gehele scope of risico afdekt

Implementatiemaatregel

Implementatiemaatregel

Document status (Metadata)

Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister

status opties: