• FINAAL CONCEPT
    • Document toolboxDocument toolbox


    Digitaal Vlaanderen | Team Informatieveiligheid (TIV)

    Leveranciersrelaties

    Owned by
    Fabrice Meunier
    Last updated: 05 Jun, 2024 by
    Vincent Alwicher
    9 min read

    Een duidelijk afsprakenkader met leveranciers en partners over de informatiebeveiligingseisen, alsook het monitoren, evalueren en beoordelen ervan. Contractueel dient er een afgesproken niveau van informatiebeveiliging en dienstverlening in leveranciersovereenkomsten te worden overeengekomen en gehandhaafd. Dit beleid is gericht op de interne organisatie. In het bijzonder de afdelingen en teams die de relaties met leveranciers beheren.

    Inhoud

     

     

    Doel

     

    Het doel van het beheer van leveranciersrelaties is om een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten in stand te houden en te handhaven.

    DOELSTELLINGEN

    Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

    • Page:
      OD.09

      We maken duidelijke afspraken met onze partners en volgen dit op.

    DREIGINGEN

    Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

     

    Beleid

     

    Risicobeheer in leveranciersrelaties

    Informatiebeveiligingsrisico’s in verband met het gebruik van producten of diensten van leveranciers dienen te worden beoordeeld en behandeld middels het risicobeheerproces.

    Implementatiemaatregel

    Het volgende MOET minimaal worden vastgesteld in een risicobeoordeling bij uitbesteding / inkoop / aankoop:

    • De geleverde producten en/of diensten en de mogelijke impact op vertrouwelijkheid, integriteit en beschikbaarheid van informatie(verwerking), met als uitkomst een informatieklassebepaling en risicorating

    • De informatie, ICT-diensten en fysieke infrastructuur van onze organisatie waartoe leveranciers toegang hebben

    • Veiligheidscriteria hoe leveranciers worden geëvalueerd en geselecteerd

    • Beoordeling en beheersing van informatiebeveiligingsrisico’s in verband met het gebruik of beheer door leveranciers van informatie en bedrijfsmiddelen van onze organisatie of organisaties die waar wij informatie van verwerken

    • Recente storingen en/of kwetsbaarheden van de door de leverancier geleverde producten of diensten

    Adresseren van informatiebeveiliging in leveranciersovereenkomsten

    Relevante informatiebeveiligingseisen dienen te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie contractueel te worden overeengekomen. Het informatieveiligheidsbeleid en de implementatiemaatregelen van onze organisatie is leidend in de vaststelling van de eisen. Hierbij dient het volgende in ogenschouw te worden genomen:

    • Stuur leveranciers zo veel mogelijk op doelstellingen (“WAT ze moeten doen”)

    • Stuur leveranciers zo min mogelijk op operationele uitvoering (“HOE ze het moeten doen”)

    • Stuur leveranciers op het aantoonbaar voldoen aan industriestandaarden voor informatiebeveiliging middels certificering of attesten (bijv. ISO 27001, NIST, ISAE, SSAE)

    • Bij uitzondering kan, gebaseerd op een risicoanalyse, worden gestuurd op HOE. Bijvoorbeeld in het geval van hoge (wettelijke) eisen, kritieke informatieveiligheidsrisico’s, of de verwerking van zeer vertrouwelijke informatie.

    Er dient te worden vastgelegd wat de procedure is voor het voortzetten of het herstel van de verwerking van informatie of toegang tot de informatie, indien de leverancier zijn producten of diensten niet meer kan leveren. Bijvoorbeeld als gevolg van een calamiteit, of omdat de leverancier zijn bedrijf heeft gestaakt, of omdat bepaalde onderdelen niet meer leverbaar of vernieuwbaar zijn als gevolg van technologische ontwikkelingen.

    De leverancier zal zich bij het verlenen van de diensten houden aan de beveiligingsrichtlijnen van de organisatie en de voor elk van hen aangegeven toegangsprivileges en -rechten waarbij de nodige voorzorgs- en veiligheidsmaatregelen in acht worden genomen. Niet-naleving van deze richtlijnen kan leiden tot beëindiging van de overeenkomst en/of opeising van aansprakelijkheid/schade als gevolg van niet-naleving van deze instructies.

    De toegang van externe partijen tot informatie, informatiesystemen of informatieverwerkende faciliteiten moet gebaseerd zijn op een formele overeenkomst die de nodige informatiebeveiligingseisen bevat.

    Tot slot, overeenkomsten met externe partijen dienen regelmatig te worden beoordeeld en gevalideerd, en indien nodig, geactualiseerd te worden om te garanderen dat voldaan wordt aan (veranderende) informatiebeveiligingseisen. Overeenkomsten voor clouddiensten zijn vaak vooraf gedefinieerd door de leveranciers, zonder dat het mogelijk is erover te onderhandelen. Voor alle clouddiensten geldt dat deze standaard cloud-overeenkomsten dienen te worden beoordeeld in welke mate ze conform zijn met ons informatieveiligheidsbeleid en dient te worden vastgesteld of eventuele restrisico’s gemitigeerd of geaccepteerd dienen te worden.

     

    Implementatiemaatregel - Minimale algemene voorwaarden

    De volgende voorwaarden MOETEN minimaal worden overwogen om op te nemen in overeenkomsten met leveranciers:

    • Omschrijving van de te verstrekken producten en/of diensten door de leverancier

    • Omschrijving van de te benaderen informatie en informatiesystemen van onze organisatie

    • Classificatie van de informatie in overeenstemming met de informatieklassebepaling procedure

    • Specifieke eisen van wet- en regelgeving, zoals bescherming persoonsgegevens, rechten van intellectuele eigendom en auteursrecht

    • Informatiebeveiligingseisen voor elk type informatie en elk type toegang

    • De verplichting van elke contractpartij om overeengekomen beheersmaatregelen te implementeren, met inbegrip van prestatiebeoordeling, monitoren, melden, rapportage en audits

    • De regels van aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen

    • Procedures of voorwaarden voor autorisatie en voor het intrekken van de autorisatie voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie door personeel van de leverancier

    • Rollen en verantwoordelijkheden met betrekking tot het gebruik en beheer van clouddiensten, daar waar functioneel beheer (deels) belegd kan zijn bij onze eigen organisatie

    • Schadeloosstellingen en herstel indien de contractant niet aan de eisen voldoet

    • Eisen voor incidentbeheer en -procedures (in het bijzonder notificatie en samenwerking tijdens herstel van het incident)

    • Procedures voor het oplossen van defecten en conflicten

    • Afspraken over bewustwording en training van personeel van de leverancier betreffende beleidsregels, processen, procedures en gedrag

    • Relevante contacten, met inbegrip van een contactpersoon voor aangelegenheden betreffende informatiebeveiliging

    • Screeningeisen voor het personeel van leveranciers

    • Voorzien in back-up afgestemd op de informatieklassebepaling

    • Het bewerkstelligen van de beschikbaarheid van een alternatieve faciliteit waarvoor niet dezelfde dreigingen gelden als voor de primaire faciliteit

    • De beschikking over een proces voor wijzigingsbeheer dat bewerkstelligt dat onze organisatie vooraf op de hoogte wordt gebracht en de mogelijkheid heeft om wijzigingen niet te aanvaarden

    • Fysieke beveiligingsbeheersmaatregelen die passen bij de informatieklassebepaling

    • Het verwerken op goedgekeurde locaties (bijv. een bepaald land of bepaalde regio) of binnen een bepaald rechtsgebied of krachtens een bepaalde rechtsbevoegdheid opslaan van gevoelige informatie en/of persoonsgegevens

    • Beheersmaatregelen voor overdragen van informatie om de informatie te beschermen tijdens fysiek transport of tijdens logische overdracht

    • Het voorzien in een methode om de door de leverancier opgeslagen informatie van onze organisatie op beveiligde wijze te vernietigen zodra die informatie niet meer nodig is

    Implementatiemaatregel - Overeenkomsten over de toegang van externe partijen

    Er MOET gezorgd worden dat externe partijen pas toegang krijgen tot bedrijfsmiddelen en informatieverwerkende faciliteiten nadat een toegangsovereenkomst is ingevuld en ondertekend. De toegangsovereenkomsten MOETEN het volgende omvatten:

    • Rollen en verantwoordelijkheden van binnen de organisatie en de externe partij.

    • Geheimhoudingsovereenkomsten.

    • Vereisten voor uitbesteding.

    • Gespecialiseerde beveiligingsmaatregelen (d.w.z. voldoen aan bijzondere bedrijfs- en beveiligingsregelingen, wettelijke of regelgevende vereisten).

    • Voorwaarden voor beëindiging van het contract.

    • Rechten, verantwoordelijkheden en processen over audit en toezicht op de naleving.

    • Rapportageverplichtingen voor vermeende of daadwerkelijke beveiligings- en privacy incidenten.

    • Voorwaarden voor verlenging en hernieuwing van de overeenkomst.

    • Vereisten voor regelmatige beoordelingen van de naleving.

    Goedgekeurde vormen van overeenkomsten zijn onder meer:

    • Algemene dienstverleningsovereenkomst voor de aankoop van goederen of diensten;

    • Overeenkomsten voor alternatieve dienstverlening;

    • Overeenkomst voor het delen van informatie; of,

    • Andere vormen van overeenkomsten zoals goedgekeurd door de Juridische Dienst.

    Beheren van informatiebeveiliging in de ICT-keten (onderaannemers)

    Informatiebeveiligingsrisico’s vanwege de toeleveringsketen van producten en diensten dienen te worden beheerd. Leveranciers kunnen onderaannemers hebben en daarmee dienen ook duidelijke afspraken te worden gemaakt.

    Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten

    Leveranciers dienen regelmatig te worden gemonitord, beoordeeld en geëvalueerd op het voldoen aan contractueel vastgestelde informatiebeveiligingseisen.

    Verantwoording

    Deze maatregel is optioneel maar ten sterkste aan te bevelen in situaties waar vertrouwelijke informatie wordt verwerkt en/of de dienstverlening kritieke bedrijfsprocessen ondersteunt.

    Uitbestede systeemontwikkeling

    Als softwareontwikkeling wordt uitbesteed, dienen eisen en verwachtingen te worden vastgesteld en overeengekomen met de leverancier.

    Vertrouwelijkheids- of geheimhoudingsovereenkomsten

    Vertrouwelijkheids- of geheimhoudingsovereenkomsten behoren te worden geïdentificeerd, gedocumenteerd, regelmatig te worden beoordeeld en ondertekend door de leverancier, en indien noodzakelijk geacht, door individuele personeelsleden van de leverancier (bijv. individuen die toegang hebben tot zeer vertrouwelijke informatie).

     

    Appendix

     

    Relatie van het beleid met andere richtlijnen en standaarden

     

    Regelgeving en standaarden (L1)

    ISO 27001:2022 (Annex A)

    Document status

     

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Eerste versie

    Vincent Alwicher, Fabrice Meunier

    03 juni 2024

    1.0

    FINAAL CONCEPT

     

     

     

     

     

     

     

     

    Dit is een document voor intern gebruik.