Excerpt | ||
---|---|---|
| ||
Een duidelijk afsprakenkader met leveranciers en partners over de informatiebeveiligingseisen, alsook het monitoren, evalueren en beoordelen ervan. Contractueel dient er een afgesproken niveau van informatiebeveiliging en dienstverlening in leveranciersovereenkomsten te worden overeengekomen en gehandhaafd. Dit beleid is gericht op de interne organisatie. In het bijzonder de afdelingen en teams die de relaties met leveranciers beheren. |
Het doel van het beheer van leveranciersrelaties is om een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten in stand te houden en te handhaven.
DOELSTELLINGENHet beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:
|
DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:
|
Risicobeheer in leveranciersrelaties
Informatiebeveiligingsrisico’s in verband met het gebruik van producten of diensten van leveranciers dienen te worden beoordeeld en behandeld middels het risicobeheerproces.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelHet volgende MOET minimaal worden vastgesteld in een risicobeoordeling bij uitbesteding / inkoop / aankoop:
|
Adresseren van informatiebeveiliging in leveranciersovereenkomsten
Relevante informatiebeveiligingseisen dienen te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie contractueel te worden overeengekomen. Het informatieveiligheidsbeleid en de implementatiemaatregelen van onze organisatie is leidend in de vaststelling van de eisen. Hierbij dient het volgende in ogenschouw te worden genomen:
Stuur leveranciers zo veel mogelijk op doelstellingen (“WAT ze moeten doen”)
Stuur leveranciers zo min mogelijk op operationele uitvoering (“HOE ze het moeten doen”)
Stuur leveranciers op het aantoonbaar voldoen aan industriestandaarden voor informatiebeveiliging middels certificering of attesten (bijv. ISO 27001, NIST, ISAE, SSAE)
Bij uitzondering kan, gebaseerd op een risicoanalyse, worden gestuurd op HOE. Bijvoorbeeld in het geval van hoge (wettelijke) eisen, kritieke informatieveiligheidsrisico’s, of de verwerking van zeer vertrouwelijke informatie.
Er dient te worden vastgelegd wat de procedure is voor het voortzetten of het herstel van de verwerking van informatie of toegang tot de informatie, indien de leverancier zijn producten of diensten niet meer kan leveren. Bijvoorbeeld als gevolg van een calamiteit, of omdat de leverancier zijn bedrijf heeft gestaakt, of omdat bepaalde onderdelen niet meer leverbaar of vernieuwbaar zijn als gevolg van technologische ontwikkelingen.
De leverancier zal zich bij het verlenen van de diensten houden aan de beveiligingsrichtlijnen van de organisatie en de voor elk van hen aangegeven toegangsprivileges en -rechten waarbij de nodige voorzorgs- en veiligheidsmaatregelen in acht worden genomen. Niet-naleving van deze richtlijnen kan leiden tot beëindiging van de overeenkomst en/of opeising van aansprakelijkheid/schade als gevolg van niet-naleving van deze instructies.
De toegang van externe partijen tot informatie, informatiesystemen of informatieverwerkende faciliteiten moet gebaseerd zijn op een formele overeenkomst die de nodige informatiebeveiligingseisen bevat.
Tot slot, overeenkomsten met externe partijen dienen regelmatig te worden beoordeeld en gevalideerd, en indien nodig, geactualiseerd te worden om te garanderen dat voldaan wordt aan (veranderende) informatiebeveiligingseisen. Overeenkomsten voor clouddiensten zijn vaak vooraf gedefinieerd door de leveranciers, zonder dat het mogelijk is erover te onderhandelen. Voor alle clouddiensten geldt dat deze standaard cloud-overeenkomsten dienen te worden beoordeeld in welke mate ze conform zijn met ons informatieveiligheidsbeleid en dient te worden vastgesteld of eventuele restrisico’s gemitigeerd of geaccepteerd dienen te worden.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel - Minimale algemene voorwaardenDe volgende voorwaarden MOETEN minimaal worden overwogen om op te nemen in overeenkomsten met leveranciers:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel - Overeenkomsten over de toegang van externe partijenEr MOET gezorgd worden dat externe partijen pas toegang krijgen tot bedrijfsmiddelen en informatieverwerkende faciliteiten nadat een toegangsovereenkomst is ingevuld en ondertekend. De toegangsovereenkomsten MOETEN het volgende omvatten:
Goedgekeurde vormen van overeenkomsten zijn onder meer:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel - Vereisten over beveiligingEr MOET gezorgd worden dat de informatiebeveiligingseisen van toegangsovereenkomsten met externe partijen het volgende omvatten:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel - Continuïteit van het dienstverleningsniveauEr MOET gezorgd worden dat dienstverleningsovereenkomsten met leveranciers de vereisten over continuïteit van de dienstverlening documenteren en processen omvatten voor:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel - Beëindiging van de dienstverleningsovereenkomstAfspraken over veilige beëindiging van de leveranciersrelatie MOETEN vooraf contractueel worden gemaakt met inbegrip van:
|
Beheren van informatiebeveiliging in de ICT-keten (onderaannemers)
Informatiebeveiligingsrisico’s vanwege de toeleveringsketen van producten en diensten dienen te worden beheerd. Leveranciers kunnen onderaannemers hebben en daarmee dienen ook duidelijke afspraken te worden gemaakt.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel - OnderaannemersDe volgende voorwaarden MOETEN worden overwogen om op te nemen in overeenkomsten met de hoofdleveranciers:
|
Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten
Leveranciers dienen regelmatig te worden gemonitord, beoordeeld en geëvalueerd op het voldoen aan contractueel vastgestelde informatiebeveiligingseisen.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel - MonitoringprocesHet volgende MOET worden overwogen en vastgesteld:
|
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
Implementatiemaatregel - BewijsMet betrekking tot bewijs dat leveranciers voldoen aan de informatiebeveiligingseisen, MOET het volgende worden overwogen en contractueel vastgelegd:
|
Verantwoording
Deze maatregel is optioneel maar ten sterkste aan te bevelen in situaties waar vertrouwelijke informatie wordt verwerkt en/of de dienstverlening kritieke bedrijfsprocessen ondersteunt.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelRelevante eisen rondom formele verantwoording middels certificering en/of attesten ZOUDEN kunnen worden vastgesteld en met de leverancier contractueel worden overeengekomen. Hierbij dient het volgende in ogenschouw te worden genomen:
|
Uitbestede systeemontwikkeling
Als softwareontwikkeling wordt uitbesteed, dienen eisen en verwachtingen te worden vastgesteld en overeengekomen met de leverancier.
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe volgende punten MOETEN voor de gehele externe toeleveringsketen van de leverancier in overweging worden genomen:
|
Vertrouwelijkheids- of geheimhoudingsovereenkomsten
Vertrouwelijkheids- of geheimhoudingsovereenkomsten behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door de leverancier, en indien noodzakelijk geacht, door individuele personeelsleden van de leverancier (bijv. individuen die toegang hebben tot zeer vertrouwelijke informatie).
Panel | ||||||||
---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelBij het vaststellen van de eisen MOETEN de volgende elementen in overweging worden genomen:
|
Regelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
Page Properties Report | ||||||||
---|---|---|---|---|---|---|---|---|
|
Informatieveiligheidsstrategie van de Vlaamse overheid (L2)
Het VO Informatieclassificatieraamwerk (ICR) bevat momenteel geen concrete instructies voor het beheren van leveranciersrelaties.
Uitvoering van het beleid (L4) - Alleen C2022 contracten
Voor de C2022 contracten zijn er diverse documenten gerelateerd aan het beheer van de dienstenleveranciers. Deze processen en procedures zijn de concrete invulling van bovenstaand beleid en de onderstaande tabel bevat referenties naar deze stukken. Het eigenaarschap hiervan is verdeeld tussen Digitaal Vlaanderen (contractuele eisen) en de dienstenleveranciers (concrete invulling).
Onderwerp
Verwijzing
Risicobeheer in leveranciersrelaties
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docx 3.28 Risicobeheer
Beheer van Informatieveiligheid 2.1.docx
63249_Basiscontract - ICT-contracten 2022 - Finaal bestek.docx
Adresseren van informatiebeveiliging in leveranciersovereenkomsten:
Minimale algemene voorwaarden
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docx
Beheer van Informatieveiligheid 2.1.docx
Overeenkomsten over de toegang van externe partijen
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docx
63249_Basiscontract - ICT-contracten 2022 - Finaal bestek.docx
Vereisten over beveiliging
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docx
Organisatie Change Management.docx
Beheer van Informatieveiligheid 2.1.docx
63249_Basiscontract - ICT-contracten 2022 - Finaal bestek.docx
Continuïteit van het dienstverleningsniveau
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docx
63249_Basiscontract - ICT-contracten 2022 - Finaal bestek.docx
Beëindiging van de dienstverleningsovereenkomst
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docx
63249_Basiscontract - ICT-contracten 2022 - Finaal bestek.docx
Beheren van informatiebeveiliging in de ICT-keten (onderaannemers)
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docx
Beheer van Informatieveiligheid 2.1.docx
63249_Basiscontract - ICT-contracten 2022 - Finaal bestek.docx
Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docx
Uitbestede systeemontwikkeling
63249_Basiscontract - ICT-contracten 2022 - Finaal bestek.docx
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docx
Vertrouwelijkheids- of geheimhoudingsovereenkomsten
63249_Basiscontract - ICT-contracten 2022 - Finaal bestek.docx
63249_Vereisten ondersteunende processen en overlegfora - ICT-contracten 2022.docxTitel | Auteur | Datum | Versie | Status | Opmerkingen |
---|---|---|---|---|---|
Eerste versie | Vincent Alwicher, Fabrice Meunier | 03 juni 2024 | 1.0 | FINAAL CONCEPT | |
Page Properties | ||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||
Document status (Metadata)Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister
status opties:
status eveneens aanpassen bovenaan deze pagina |