A5.19 Informatiebeveiliging in leveranciersrelaties
Beheersmaatregel
Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de
informatiebeveiligingsrisico’s in verband met het gebruik van producten of diensten van de
leverancier te beheersen.
Doel
Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
Richtlijn
De organisatie behoort een onderwerpspecifiek beleid inzake leveranciersrelaties vast te stellen en
aan alle relevante belanghebbenden mee te delen.
De organisatie behoort processen en procedures te identificeren en te implementeren om de
beveiligingsrisico’s in verband met het gebruik van door leveranciers geleverde producten en diensten
op te pakken. Dit behoort ook van toepassing te zijn op het gebruik door de organisatie van middelen
van aanbieders van clouddiensten. Deze processen en procedures behoren de door de organisatie te
implementeren processen en procedures te omvatten, alsmede de processen en procedures waarvan
de organisatie vereist dat de leverancier ze implementeert om te starten met het gebruik van de
producten of diensten van een leverancier of voor de beëindiging van het gebruik van de producten en
diensten van een leverancier, zoals:
a) het vaststellen en documenteren van de soorten leveranciers, bijv. ICT-diensten, logistieke
voorzieningen, financiële diensten, ICT-infrastructuurcomponenten die gevolgen kunnen hebben
voor de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie;
b) het vaststellen hoe leveranciers worden geëvalueerd en geselecteerd op basis van de gevoeligheid
van informatie, producten en diensten (bijv. met marktanalyse, referenties van klanten,
beoordeling van documenten, beoordelingen op locatie, certificeringen);
c) het evalueren en selecteren van producten of diensten van een leverancier met toereikende
beheersmaatregelen voor informatiebeveiliging en deze beoordelen; met name de juistheid en
volledigheid van de door de leverancier geïmplementeerde beheersmaatregelen die de integriteit
van de informatie van, en de informatieverwerking door, de leverancier en daarmee de
informatiebeveiliging van de organisatie garanderen;
d) het definiëren van de informatie, ICT-diensten en fysieke infrastructuur van de organisatie waartoe
leveranciers toegang hebben en die ze kunnen monitoren, beheersen of gebruiken;
e) het definiëren van de door leveranciers geleverde soorten ICT-infrastructuurcomponenten
en -diensten die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid
van de informatie van de organisatie;
Dit document is door NEN onder licentie verstrekt aan: / This document has been supplied under license by NEN to:
Conformiso B.V. / h.kuyten@conformiso.nl 14-12-2022 23:01
NEN-EN-ISO/IEC 27002:2022
55
f) het beoordelen en beheersen van de informatiebeveiligingsrisico’s in verband met:
1) het gebruik door leveranciers van de informatie en andere gerelateerde bedrijfsmiddelen van
de organisatie, met inbegrip van risico’s die uitgaan van mogelijk kwaadwillig personeel van de
leverancier;
2) storingen of kwetsbaarheden van de door de leveranciers geleverde producten (met inbegrip
van softwarecomponenten en subcomponenten die in deze producten worden gebruikt) of
diensten;
g) het monitoren van het voldoen aan vastgestelde informatiebeveiligingseisen voor elke soort
leverancier en elke soort toegang, met inbegrip van beoordeling van derden en productvalidatie;
h) het beperken van het niet voldoen door een leverancier ongeacht of dit is opgemerkt door
monitoring of door andere middelen;
i) het omgaan met incidenten en noodsituaties die verband houden met producten en diensten van
leveranciers, met inbegrip van verantwoordelijkheden van zowel de organisatie als van de
leveranciers;
j) veerkracht- en, indien nodig, herstel- en calamiteitenmaatregelen om de beschikbaarheid te
bewerkstelligen van de informatie van, en de informatieverwerking door, de leverancier en als
gevolg daarvan de beschikbaarheid van de informatie van de organisatie;
k) bewustwording en training voor het personeel van de organisatie dat contacten onderhoudt met
personeel van de leverancier betreffende passende regels van betrokkenheid, onderwerpspecifieke
beleidsregels, processen en procedures en gedrag, gebaseerd op het type leverancier en het soort
toegang dat de leverancier heeft tot systemen en informatie van de organisatie;
l) het beheren van het nodige transport van informatie, gerelateerde bedrijfsmiddelen en al het
andere dat moet worden veranderd, en waarborgen dat informatiebeveiliging tijdens de gehele
transportperiode wordt gehandhaafd;
m)eisen om veilige beëindiging van de leveranciersrelatie te bewerkstelligen, met inbegrip van:
1) het intrekken van toegangsrechten;
2) het omgaan met informatie;
3) het vaststellen van de eigendom van intellectuele eigendom die tijdens de verbintenis is
ontwikkeld;
4) de overdraagbaarheid van informatie in geval van verandering van leverancier of ‘insourcing’;
6) beheer van registraties; *)
7) het retourneren van bedrijfsmiddelen;
8) beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen;
9) voortdurende geheimhoudingseisen;
n) het niveau van beveiliging van personeel en fysieke beveiliging dat wordt verwacht van personeel
en faciliteiten van de leverancier.
*) Nederlandse voetnoot: Nummering als in de brontekst.
Dit document is door NEN onder licentie verstrekt aan: / This document has been supplied under license by NEN to:
Conformiso B.V. / h.kuyten@conformiso.nl 14-12-2022 23:01
NEN-EN-ISO/IEC 27002:2022
56
Er behoort te worden nagedacht over de procedures voor het voortzetten van de verwerking van
informatie indien de leverancier zijn producten of diensten niet meer kan leveren (bijv. als gevolg van
een incident, omdat de leverancier zijn bedrijf heeft gestaakt, of bepaalde onderdelen niet meer levert
als gevolg van technologische ontwikkelingen) om vertraging bij het regelen van vervangende
producten of diensten te voorkomen (bijv. door van tevoren een alternatieve leverancier aan te wijzen
of altijd gebruik te maken van alternatieve leveranciers).
Overige informatie
In gevallen waarin het voor een organisatie niet mogelijk is eisen te stellen aan een leverancier,
behoort de organisatie:
a) de in deze beheersmaatregel gegeven richtlijnen in aanmerking te nemen bij het nemen van
beslissingen over de keuze van een leverancier en zijn product of dienst;
b) op basis van een risicobeoordeling benodigde compenserende beheersmaatregelen te
implementeren.
Informatie kan in gevaar worden gebracht door leveranciers met een ontoereikend
informatiebeveiligingsbeheer. Om de toegang tot informatie en andere gerelateerde bedrijfsmiddelen
door de leverancier te beheren, behoren beheersmaatregelen te worden vastgesteld en toegepast.
Indien er bijvoorbeeld een speciale noodzaak is om de informatie vertrouwelijk te houden, kunnen
geheimhoudingsovereenkomsten of cryptografische technieken worden gebruikt. Een ander
voorbeeld vormen risico’s voor de bescherming van persoonlijke gegevens als de
leveranciersovereenkomst betrekking heeft op de overdracht van, of toegang tot informatie over de
grens. De organisatie behoort zich ervan bewust te zijn dat de wettelijke of contractuele
verantwoordelijkheid voor het beschermen van de informatie bij de organisatie ligt.
Risico’s kunnen ook worden veroorzaakt door ontoereikende beheersmaatregelen van door
leveranciers geleverde ICT-infrastructuurcomponenten of -diensten. Componenten of diensten met
storingen of kwetsbaarheden kunnen inbreuken op de informatiebeveiliging in de organisatie of voor
een andere entiteit veroorzaken. Ze kunnen bijvoorbeeld besmetting met malware, aanvallen of
andere schade aan andere entiteiten dan de organisatie veroorzaken.
Beoordelingen
Er zijn nog geen beoordelingen.