De volgende voorwaarden MOETEN minimaal worden overwogen om op te nemen in overeenkomsten met leveranciers:
Omschrijving van de te verstrekken producten en/of diensten door de leverancier
Omschrijving van de te benaderen informatie en informatiesystemen van onze organisatie
Classificatie van de informatie in overeenstemming met de informatieklassebepaling procedure
Specifieke eisen van wet- en regelgeving, zoals bescherming persoonsgegevens, rechten van intellectuele eigendom en auteursrecht
Informatiebeveiligingseisen voor elk type informatie en elk type toegang
De verplichting van elke contractpartij om overeengekomen beheersmaatregelen te implementeren, met inbegrip van prestatiebeoordeling, monitoren, melden, rapportage en audits
De regels van aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen
Procedures of voorwaarden voor autorisatie en voor het intrekken van de autorisatie voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie door personeel van de leverancier
Rollen en verantwoordelijkheden met betrekking tot het gebruik en beheer van clouddiensten, daar waar functioneel beheer (deels) belegd kan zijn bij onze eigen organisatie
Schadeloosstellingen en herstel indien de contractant niet aan de eisen voldoet
Eisen voor incidentbeheer en -procedures (in het bijzonder notificatie en samenwerking tijdens herstel van het incident)
Procedures voor het oplossen van defecten en conflicten
Afspraken over bewustwording en training van personeel van de leverancier betreffende beleidsregels, processen, procedures en gedrag
Relevante contacten, met inbegrip van een contactpersoon voor aangelegenheden betreffende informatiebeveiliging
Screeningeisen voor het personeel van leveranciers
Voorzien in back-up afgestemd op de informatieklassebepaling
Het bewerkstelligen van de beschikbaarheid van een alternatieve faciliteit waarvoor niet dezelfde dreigingen gelden als voor de primaire faciliteit
De beschikking over een proces voor wijzigingsbeheer dat bewerkstelligt dat onze organisatie vooraf op de hoogte wordt gebracht en de mogelijkheid heeft om wijzigingen niet te aanvaarden
Fysieke beveiligingsbeheersmaatregelen die passen bij de informatieklassebepaling
Het verwerken op goedgekeurde locaties (bijv. een bepaald land of bepaalde regio) of binnen een bepaald rechtsgebied of krachtens een bepaalde rechtsbevoegdheid opslaan van gevoelige informatie en/of persoonsgegevens
Beheersmaatregelen voor overdragen van informatie om de informatie te beschermen tijdens fysiek transport of tijdens logische overdracht
Het voorzien in een methode om de door de leverancier opgeslagen informatie van onze organisatie op beveiligde wijze te vernietigen zodra die informatie niet meer nodig is