DEEL 2
In deel 1 van deze blog, kon je lezen over de normtechnische eisen bij leveranciersmanagement en over risk-based keuzes maken voor leveranciers. In dit tweede deel geef ik een stappenplan, waar je direct een overzichtelijke indeling en een werkbare oplossing krijgt.
Stap 1
Definieer categorieën die de impact weergeven die een leverancier op je informatiebeveiliging heeft. Hierbij houd je rekening met de aspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid. Bepaal ook per categorie welke ‘zekerheden’ je vereist of welke activiteiten je wilt uitvoeren om de dienstverlening te monitoren en in control te zijn.
Het voortbestaan van onze eigen organisatie is in sterke mate afhankelijk van deze leverancier.
OF
Deze leverancier heeft de mogelijkheid om onze (klant)informatie in te zien en te wijzigen zonder dat dit door ons kan worden opgemerkt.
OF
Er worden bijzondere persoonsgegevens van klanten of zeer vertrouwelijke (bedrijfs)informatie verwerkt bij deze leverancier.
Minimale controleactiviteiten / eisen
- Contracten, verwerkersovereenkomsten en SLA’s zijn getoetst door eigen juristen.
- Service Level Rapportages worden beoordeeld door eigen medewerkers.
- Periodiek operationeel overleg vindt plaats.
- Periodiek strategisch overleg op directieniveau vindt plaats.
- Uitvoeren leveranciersaudits door onafhankelijk auditbureau.
- ISO 27001 / NEN 7510 certificaat + Verklaring van Toepasselijkheid wordt opgevraagd en beoordeeld op toereikendheid. De verloopdatum van het certificaat wordt bewaakt.
- ISAE 3402 of SOC 2 rapportage wordt jaarlijks opgevraagd en beoordeeld op toereikendheid.
- Met deze leverancier moet een partnership worden aangegaan.
Het plotseling wegvallen van deze leverancier is erg vervelend. Dienstverlening aan klanten valt stil maar dit is binnen afzienbare tijd op te lossen.
OF
Deze leverancier heeft de mogelijkheid om onze (klant)informatie in te zien en te wijzigen. Wij hebben zelf maatregelen geïmplementeerd die dat detecteren en loggen.
OF
Er worden persoonsgegevens van klanten of vertrouwelijke (bedrijfs)informatie verwerkt bij deze leverancier.
Minimale controleactiviteiten / eisen
- Contracten, verwerkersovereenkomsten en SLA’s zijn getoetst door juristen.
- Service Level Rapportages worden beoordeeld door eigen medewerkers.
- Periodiek operationeel overleg vindt plaats.
- Periodiek strategisch overleg op directieniveau vindt plaats.
- Uitvoeren leveranciersaudits door eigen medewerkers.
- ISO 27001 / NEN 7510 certificaat + Verklaring van Toepasselijkheid wordt opgevraagd en beoordeeld op toereikendheid. De verloopdatum van het certificaat wordt bewaakt.
- ISAE 3402 of SOC 2 rapportage wordt jaarlijks opgevraagd en beoordeeld op toereikendheid.
Het plotseling wegvallen van deze leverancier is vervelend. De dienstverlening aan klanten komt niet in gevaar.
OF
Deze leverancier heeft alleen toegang tot onze data nadat wij hun daar expliciet (eenmalig) toegang toe hebben gegeven. De uitgevoerde werkzaamheden worden gemonitord en gelogd.
OF
Alleen inlognamen en eventueel wachtwoorden van eigen medewerkers of informatie die als ‘intern’ is geclassificeerd worden verwerkt.
Minimale controleactiviteiten / eisen
- Contracten, verwerkersovereenkomsten en SLA’s zijn aanwezig.
- Service Level Rapportages worden beoordeeld door eigen medewerkers.
- Periodiek operationeel overleg vindt plaats.
- ISO 27001 / NEN 7510 certificaat + Verklaring van Toepasselijkheid wordt opgevraagd en beoordeeld op toereikendheid. De verloopdatum van het certificaat wordt bewaakt.
Het wegvallen van deze leveranciers heeft geen invloed op het voorbestaan van de eigen organisatie. Overstappen naar een andere leverancier is snel geregeld.
EN
Deze leverancier heeft geen toegang tot onze data.
EN
Deze leverancier verwerkt geen persoonsgegevens of andere (bedrijfs)informatie van ons.
Minimale controleactiviteiten / eisen
- Contracten zijn aanwezig of er is een online abonnement afgesloten.
- Eventuele certificaten kunnen worden opgevraagd, geen verdere actie hierop is nodig.
Overstappen naar een andere leverancier is snel geregeld en nauwelijks van invloed op de reguliere bedrijfsprocessen.
EN
Deze leverancier heeft geen toegang tot onze data.
EN
Deze leverancier verwerkt geen persoonsgegevens of andere (bedrijfs)informatie van ons.
Minimale controleactiviteiten / eisen
- Contracten zijn aanwezig of er is een online abonnement afgesloten.
Bovenstaande indeling en beschrijvingen zijn bedoeld als voorbeeld, pas deze aan voor je eigen organisatie.
TIP Gebruik deze indeling van leveranciers ook bij je stakeholderanalyse.
Stap 2
Nu je de categorieën met omschrijving hebt bepaald, is het een kwestie van de leveranciers verdelen over de verschillende categorieën. Toegegeven, dit is best een lastige klus en als er veel leveranciers zijn ook erg tijdrovend.
TIP Gebruik deze indeling van leveranciers ook bij de selectie van een nieuwe leverancier.
Stap 3
Nu alle leveranciers zijn ingedeeld is het een kwestie van de minimale controleactiviteiten uitvoeren en de diverse documenten opvragen of opstellen. Het meest praktische is om te beginnen bij de categorie 1 leveranciers en vervolgens af te dalen naar de overige categorieën. Breng in kaart wat er al is van een leverancier en maak duidelijk wat er nog ontbreekt.
Stap 4
Je zult merken dat niet alle leveranciers kunnen of willen voldoen aan de vereisten die je hebt gesteld. Dit is ook niet vreemd, want toen je met die leverancier in zee ging, had je deze vereisten waarschijnlijk ook niet zo geconcretiseerd en besproken.
Nu zijn jullie weer aan zet. Uiteraard kun je leveranciers aansporen om aan je vereisten te gaan voldoen, maar niet alle leveranciers kunnen of willen dat. Je zult dan een aantal vervolgacties in gang moeten zetten, hieronder enkele voorbeelden van acties die je kunt nemen:
- Je neemt afscheid van de leverancier en stapt over naar een partij die wel aan je voorwaarden voldoet.
- Je gaat op zoek naar een tweede leverancier zodat je je risico’s kunt spreiden.
- Je implementeert extra maatregelen waarbij je bijvoorbeeld kunt denken aan encryptie, backup, IP whitelisting, multi factor authenticatie en logging.
Stap 5
Als laatste stap bespreek je het overzicht van leveranciers met je directie, samen met de security officer en de Functionaris Gegevensbescherming. De directie zal het overzicht moeten goedkeuren waarmee ze ook eventuele restrisico’s accepteert.
Tot besluit
Het spreekt vanzelf dat je vanaf dit moment alleen maar met leveranciers in zee gaat, die voldoen aan de door jullie gestelde eisen.
En denk eraan: uitbesteden is een keuze, je blijft zelf verantwoordelijk!
In deze blogs neemt Paul Willems ons vanuit zijn oogpunt als (externe) auditor mee in zijn ervaring met informatiebeveiliging bij leveranciers van uitbestede diensten en processen.
