Leveranciers managen conform de norm – 1

DEEL 1

Als externe auditor zie ik dat veel organisaties die ISO 27001 en of NEN 7510 gecertificeerd zijn worstelen met het onderwerp Leveranciersrelaties. En dan met name de beheersing van uitbestede diensten en processen zoals SaaS diensten en diensten van cloud providers. Aangezien alle organisaties met leveranciers te maken hebben en de meeste organisaties ook wel één of meerdere diensten hebben uitbesteed, is dit onderwerp voor iedereen van belang.  

 

Er wordt wel eens gezegd dat als je compliant wilt zijn met ISO 27001 of NEN 7510, je leverancier ook gecertificeerd moet zijn als er sprake is van uitbesteding, maar is dat eigenlijk wel zo?


In deze blog (in 2 delen) ga ik in op hoe je kunt komen tot een algemeen aanvaarde, maar wel praktische aanpak van de beheersing van je leveranciers. Uiteraard in overeenstemming met de eisen die de normen daaraan stellen. 

Normtechnische eisen

Volgens § 8.1 moeten ‘uitbestede processen worden vastgesteld en beheerst’. Dit gaat verder in bijlage A, want daarin staat bij beheersmaatregel A.15.2.1: ‘Organisaties moeten regelmatig de dienstverlening van leveranciers monitoren, beoordelen en auditen.’ 

 

Mmmm, in § 8.1 staat ‘uitbestede processen’, terwijl in maatregel A.15.2.1 ‘leveranciers’ staat. Zit daar nog verschil in? In principe wel, een uitbesteed proces is altijd uitbesteed aan één of meerdere leveranciers. Maar er zijn natuurlijk ook leveranciers aan wie niet is uitbesteed, denk bijvoorbeeld aan de leverancier van je hardware of printpapier. Deze voeren geen proces uit, maar leveren simpelweg een product of dienst. 

 

Dus eigenlijk zegt A.15.2.1 dat je álle leveranciers moet monitoren, beoordelen en auditen. ALLEMAAL? Help, dat zijn er veel!! 

 

Gelukkig biedt de norm hierin een oplossing: § 4.3 (c). Daarin staat namelijk, vrij vertaald, dat je rekening mag houden met de voor jouw relevante leveranciers die van invloed zijn voor jouw informatiebeveiliging. Dit kunnen uitbestede processen zijn, maar ook partijen bij wie je inkoopt.  

Relevante leveranciers

We moeten dus een inventarisatie maken van de voor ons relevante leveranciers. Maar waar begin je? Er is al gauw sprake van honderden leveranciers. 

 

Om een compleet overzicht te krijgen, zou een uitdraai van je crediteuren uit de crediteurenadministratie een goed uitgangspunt kunnen zijn. Dit kan een gigantische lijst zijn, maar door slim te filteren (datum laatste betaling, orderbedrag, betaling per kas of bank etc.) kun je waarschijnlijk het kaf van het koren scheiden. Bekijk de ‘afvallers’ nog wel of daar toevallig een leverancier tussen zit die wel van belang is voor de informatiebeveiliging van je organisatie. 

 

Je zult een lijst overhouden van voor jouw organisatie relevante leveranciers. 

 

De volgende stap is vervolgens te analyseren (sorry, dit is even een klusje) welke voor je informatiebeveiliging van enig belang zijn. Denk hierbij aan leveranciers van o.a. ICT diensten, SaaS applicaties, passwordmanagers, (managed) hosting, software, werkplekbeheer, cloud diensten. Maar ook de partijen die het oud papier afvoeren, data dragers vernietigen, de schoonmaak verzorgen etc. kunnen van belang zijn. Het is handig als deze analyse wordt uitgevoerd door iemand die al langer in de organisatie werkt en meerdere afdelingen heeft gezien. Van leveranciers waarvan niet bekend is wat ze leveren, zul je navraag moeten doen. De naam van een softwareproduct is vaak anders dan de officiële naam van het bedrijf die het ontwikkeld heeft en dat maakt het soms lastig. 

Risk based keuzes voor leveranciers

Je houdt een lijst over van leveranciers die van enige invloed zijn op de informatiebeveiliging in je organisatie en hiermee moet je aan de slag. Het uitgangspunt is dat je de dienstverlening van deze leveranciers moet beheersen en monitoren, beoordelen en auditen. 

 

Het aantal leveranciers op deze lijst kan nog steeds hoog zijn. Met een risicogebaseerde aanpak kun je verdere keuzes maken om te komen tot een kortere lijst met leveranciers die er écht toe doen.  

In deze blogs neemt Paul Willems ons vanuit zijn oogpunt als (externe) auditor mee in zijn ervaring met informatiebeveiliging bij leveranciers van uitbestede diensten en processen. In deel 2 krijg je een stappenplan, waarmee je een overzichtelijke indeling en een werkbare oplossing krijgt.