5.19 Informatiebeveiliging in leveranciersrelaties
Beheersmaatregel
Er behoren processen en procedures te worden vastgesteld en geïmplementeerd om de
informatiebeveiligingsrisico’s in verband met het gebruik van producten of diensten van de
leverancier te beheersen.
Doel
Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
Richtlijn
De organisatie behoort een onderwerpspecifiek beleid inzake leveranciersrelaties vast te stellen en
aan alle relevante belanghebbenden mee te delen.
De organisatie behoort processen en procedures te identificeren en te implementeren om de
beveiligingsrisico’s in verband met het gebruik van door leveranciers geleverde producten en diensten
op te pakken. Dit behoort ook van toepassing te zijn op het gebruik door de organisatie van middelen
van aanbieders van clouddiensten. Deze processen en procedures behoren de door de organisatie te
implementeren processen en procedures te omvatten, alsmede de processen en procedures waarvan
de organisatie vereist dat de leverancier ze implementeert om te starten met het gebruik van de
producten of diensten van een leverancier of voor de beëindiging van het gebruik van de producten en
diensten van een leverancier, zoals:
a) het vaststellen en documenteren van de soorten leveranciers, bijv. ICT-diensten, logistieke
voorzieningen, financiële diensten, ICT-infrastructuurcomponenten die gevolgen kunnen hebben
voor de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie;
b) het vaststellen hoe leveranciers worden geëvalueerd en geselecteerd op basis van de gevoeligheid
van informatie, producten en diensten (bijv. met marktanalyse, referenties van klanten,
beoordeling van documenten, beoordelingen op locatie, certificeringen);
c) het evalueren en selecteren van producten of diensten van een leverancier met toereikende
beheersmaatregelen voor informatiebeveiliging en deze beoordelen; met name de juistheid en
volledigheid van de door de leverancier geïmplementeerde beheersmaatregelen die de integriteit
van de informatie van, en de informatieverwerking door, de leverancier en daarmee de
informatiebeveiliging van de organisatie garanderen;
d) het definiëren van de informatie, ICT-diensten en fysieke infrastructuur van de organisatie waartoe
leveranciers toegang hebben en die ze kunnen monitoren, beheersen of gebruiken;
e) het definiëren van de door leveranciers geleverde soorten ICT-infrastructuurcomponenten
en -diensten die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid
van de informatie van de organisatie;
f) het beoordelen en beheersen van de informatiebeveiligingsrisico’s in verband met:
1) het gebruik door leveranciers van de informatie en andere gerelateerde bedrijfsmiddelen van
de organisatie, met inbegrip van risico’s die uitgaan van mogelijk kwaadwillig personeel van de
leverancier;
2) storingen of kwetsbaarheden van de door de leveranciers geleverde producten (met inbegrip
van softwarecomponenten en subcomponenten die in deze producten worden gebruikt) of
diensten;
g) het monitoren van het voldoen aan vastgestelde informatiebeveiligingseisen voor elke soort
leverancier en elke soort toegang, met inbegrip van beoordeling van derden en productvalidatie;
h) het beperken van het niet voldoen door een leverancier ongeacht of dit is opgemerkt door
monitoring of door andere middelen;
i) het omgaan met incidenten en noodsituaties die verband houden met producten en diensten van
leveranciers, met inbegrip van verantwoordelijkheden van zowel de organisatie als van de
leveranciers;
j) veerkracht- en, indien nodig, herstel- en calamiteitenmaatregelen om de beschikbaarheid te
bewerkstelligen van de informatie van, en de informatieverwerking door, de leverancier en als
gevolg daarvan de beschikbaarheid van de informatie van de organisatie;
k) bewustwording en training voor het personeel van de organisatie dat contacten onderhoudt met
personeel van de leverancier betreffende passende regels van betrokkenheid, onderwerpspecifieke
beleidsregels, processen en procedures en gedrag, gebaseerd op het type leverancier en het soort
toegang dat de leverancier heeft tot systemen en informatie van de organisatie;
l) het beheren van het nodige transport van informatie, gerelateerde bedrijfsmiddelen en al het
andere dat moet worden veranderd, en waarborgen dat informatiebeveiliging tijdens de gehele
transportperiode wordt gehandhaafd;
m)eisen om veilige beëindiging van de leveranciersrelatie te bewerkstelligen, met inbegrip van:
1) het intrekken van toegangsrechten;
2) het omgaan met informatie;
3) het vaststellen van de eigendom van intellectuele eigendom die tijdens de verbintenis is
ontwikkeld;
4) de overdraagbaarheid van informatie in geval van verandering van leverancier of ‘insourcing’;
6) beheer van registraties; *)
7) het retourneren van bedrijfsmiddelen;
8) beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen;
9) voortdurende geheimhoudingseisen;
n) het niveau van beveiliging van personeel en fysieke beveiliging dat wordt verwacht van personeel
en faciliteiten van de leverancier.
Er behoort te worden nagedacht over de procedures voor het voortzetten van de verwerking van
informatie indien de leverancier zijn producten of diensten niet meer kan leveren (bijv. als gevolg van
een incident, omdat de leverancier zijn bedrijf heeft gestaakt, of bepaalde onderdelen niet meer levert
als gevolg van technologische ontwikkelingen) om vertraging bij het regelen van vervangende
producten of diensten te voorkomen (bijv. door van tevoren een alternatieve leverancier aan te wijzen
of altijd gebruik te maken van alternatieve leveranciers).
Overige informatie
In gevallen waarin het voor een organisatie niet mogelijk is eisen te stellen aan een leverancier,
behoort de organisatie:
a) de in deze beheersmaatregel gegeven richtlijnen in aanmerking te nemen bij het nemen van
beslissingen over de keuze van een leverancier en zijn product of dienst;
b) op basis van een risicobeoordeling benodigde compenserende beheersmaatregelen te
implementeren.
Informatie kan in gevaar worden gebracht door leveranciers met een ontoereikend
informatiebeveiligingsbeheer. Om de toegang tot informatie en andere gerelateerde bedrijfsmiddelen
door de leverancier te beheren, behoren beheersmaatregelen te worden vastgesteld en toegepast.
Indien er bijvoorbeeld een speciale noodzaak is om de informatie vertrouwelijk te houden, kunnen
geheimhoudingsovereenkomsten of cryptografische technieken worden gebruikt. Een ander
voorbeeld vormen risico’s voor de bescherming van persoonlijke gegevens als de
leveranciersovereenkomst betrekking heeft op de overdracht van, of toegang tot informatie over de
grens. De organisatie behoort zich ervan bewust te zijn dat de wettelijke of contractuele
verantwoordelijkheid voor het beschermen van de informatie bij de organisatie ligt.
Risico’s kunnen ook worden veroorzaakt door ontoereikende beheersmaatregelen van door
leveranciers geleverde ICT-infrastructuurcomponenten of -diensten. Componenten of diensten met
storingen of kwetsbaarheden kunnen inbreuken op de informatiebeveiliging in de organisatie of voor
een andere entiteit veroorzaken. Ze kunnen bijvoorbeeld besmetting met malware, aanvallen of
andere schade aan andere entiteiten dan de organisatie veroorzaken.
Zie ISO/IEC 27036-2 voor nadere details.
5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten
Richtlijn
Leveranciersovereenkomsten behoren te worden vastgesteld en gedocumenteerd om te waarborgen
dat er tussen de organisatie en de leverancier duidelijkheid bestaat ten aanzien van de verplichtingen
van beide partijen om te voldoen aan relevante informatiebeveiligingseisen.
Om aan de vastgestelde informatiebeveiligingseisen te voldoen kan worden overwogen de volgende
voorwaarden in de overeenkomsten op te nemen:
a) omschrijving van de te verstrekken of te benaderen informatie en methoden om de informatie te
verschaffen of toegankelijk te maken;
b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie
(zie 5.10, 5.12, 5.13);
c) mapping tussen het eigen classificatieschema van de organisatie en het classificatieschema van de
leverancier;
d) eisen van wet- en regelgeving, statutaire en contractuele eisen, met inbegrip van
gegevensbescherming, het omgaan met persoonsgegevens, rechten van intellectuele eigendom en
auteursrecht, en een beschrijving van hoe wordt gewaarborgd dat eraan wordt voldaan;
e) de verplichting van elke contractpartij om overeengekomen beheersmaatregelen te
implementeren, met inbegrip van toegangsbeveiliging, prestatiebeoordeling, monitoren, melden,
rapportage en auditen en de verplichtingen van de leverancier om te voldoen aan de
informatiebeveiligingseisen van de organisatie;
f) de regels van aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen, met
inbegrip van onaanvaardbaar gebruik indien noodzakelijk;
g) procedures of voorwaarden voor autorisatie en voor het intrekken van de autorisatie voor het
gebruik van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie door
personeel van de leverancier (bijv. aan de hand van een specifieke lijst van personeel van
leveranciers dat bevoegd is om de informatie en andere gerelateerde bedrijfsmiddelen van de
organisatie te gebruiken);
h) informatiebeveiligingseisen met betrekking tot de ICT-infrastructuur van de leverancier; met name
minimale informatiebeveiligingseisen voor elk type informatie en elk type toegang, te gebruiken als
basis voor individuele overeenkomsten met leveranciers op basis van de bedrijfsbehoeften en
risicocriteria van de organisatie;
i) schadeloosstellingen en herstel indien de contractant niet aan de eisen voldoet;
j) eisen voor incidentbeheer en -procedures (in het bijzonder notificatie en samenwerking tijdens
herstel van het incident);
k) trainings- en bewustwordingseisen voor specifieke procedures en informatiebeveiligingseisen
(bijv. voor incidentresponsprocedures, autorisatieprocedures);
l) relevante voorzieningen voor uitbesteding, met inbegrip van de te implementeren
beheersmaatregelen, zoals een overeenkomst over de inzet van onderleveranciers (bijv. eisen dat
voor hen dezelfde verplichtingen gelden als voor de leverancier, eisen dat er een lijst van
onderleveranciers wordt verstrekt en kennisgeving telkens voordat er iets verandert);
m)relevante contacten, met inbegrip van een contactpersoon voor aangelegenheden betreffende
informatiebeveiliging;
n) screeningeisen, indien wettelijk toegestaan, voor het personeel van leveranciers, met inbegrip van
verantwoordelijkheden voor het uitvoeren van de screening en kennisgevingsprocedures indien de
screening niet is voltooid of de resultaten aanleiding geven tot twijfel of bezorgdheid;
o) de bewijs- en borgingsmechanismen van attesten van derden voor relevante informatiebeveili-
gingseisen met betrekking tot de processen van leveranciers en een onafhankelijk rapport over de
doeltreffendheid van beheersmaatregelen;
p) het recht om de processen en beheersmaatregelen van de leverancier in verband met de
overeenkomst te auditen;
q) verplichting van de leverancier om periodiek een rapport te verstrekken over de doeltreffendheid
van beheersmaatregelen, en overeenkomst over tijdige correctie van relevante kwesties die in het
rapport aan de orde worden gesteld;
r) procedures voor het oplossen van defecten en conflicten;
s) voorzien in back-up die is afgestemd op de behoeften van de organisatie (wat betreft frequentie en
type en opslaglocatie);
t) het bewerkstelligen van de beschikbaarheid van een alternatieve faciliteit (d.w.z.
noodherstellocatie) waarvoor niet dezelfde dreigingen gelden als voor de primaire faciliteit en
overwegingen met betrekking tot alternatieve beheersmaatregelen waarop wordt teruggevallen
indien de primaire beheersmaatregelen falen;
u) de beschikking over een proces voor wijzigingsbeheer dat bewerkstelligt dat de organisatie vooraf
op de hoogte wordt gebracht en de mogelijkheid heeft om wijzigingen niet te aanvaarden;
v) fysieke beveiligingsbeheersmaatregelen die passen bij de classificatie van de informatie;
w)beheersmaatregelen voor overdragen van informatie om de informatie te beschermen tijdens
fysiek transport of tijdens logische overdracht;
x) beëindigingsclausules bij het afsluiten van de overeenkomst, met inbegrip van beheer van
registraties, het retourneren van bedrijfsmiddelen, beveiligde verwijdering van informatie en
andere gerelateerde bedrijfsmiddelen en eventuele doorlopende geheimhoudingsverplichtingen;
y) het voorzien in een methode om de door de leverancier opgeslagen informatie van de organisatie
op beveiligde wijze te vernietigen zodra die informatie niet meer nodig is;
z) het bewerkstelligen van ondersteuning bij de overdracht aan een andere leverancier of aan de
organisatie zelf bij het einde van de overeenkomst.
De organisatie behoort een register van afspraken met externe partijen (bijv. contracten, een
memorandum van overeenstemming, overeenkomsten voor het delen van informatie) op te stellen en
te onderhouden om bij te houden waar haar informatie naartoe gaat. De organisatie behoort ook haar
overeenkomsten met externe partijen regelmatig te beoordelen, te valideren en bij te werken om te
garanderen dat ze nog steeds vereist zijn en geschikt zijn voor het doel en dat ze relevante clausules
over informatiebeveiliging bevatten.
Overige informatie
De overeenkomsten kunnen voor de verschillende organisaties en de verschillende soorten
leveranciers aanzienlijk variëren. Derhalve behoort erop te worden toegezien dat alle relevante eisen
voor het oppakken van informatiebeveiligingsrisico’s erin worden opgenomen.
Voor gegevens over overeenkomsten met leveranciers, zie de ISO/IEC 27036-reeks. Voor gegevens
over overeenkomsten voor clouddiensten, zie de ISO/IEC 19086-reeks.
5.21 Beheren van informatiebeveiliging in de ICT-toeleveringsketen
Er behoren processen en procedures te worden bepaald en geïmplementeerd om de informatie-
beveiligingsrisico’s in verband met de toeleveringsketen van ICT-producten en -diensten te beheersen.
Doel
Een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties in stand houden.
Richtlijn
In aanvulling op de algemene informatiebeveiligingseisen voor leveranciersrelaties behoren de
volgende informatiebeveiligingsonderwerpen in aanmerking te worden genomen binnen de
beveiliging van de ICT-toeleveringsketen:
a) informatiebeveiligingseisen definiëren die van toepassing zijn op het verwerven van ICT-producten
of -diensten;
b) eisen dat leveranciers de beveiligingseisen van de organisatie in de gehele toeleveringsketen
bekendmaken indien zij delen van de ICT-dienst die zij aan de organisatie leveren, uitbesteden;
c) eisen dat de leveranciers van ICT-producten passende beveiligingspraktijken in de gehele
toeleveringsketen bekendmaken indien deze producten componenten bevatten die worden
ingekocht bij of verkregen van andere leveranciers of andere entiteiten (bijv.
softwareontwikkelaars en leveranciers van hardwarecomponenten die op basis van
onderaanneming werken);
d) verzoeken dat de leveranciers van ICT-producten informatie verstrekken waarin de in producten
gebruikte softwarecomponenten worden beschreven;
e) verzoeken dat de leveranciers van ICT-producten informatie verstrekken waarin de
geïmplementeerde beveiligingsfuncties van hun product en de voor het veilige gebruik ervan
vereiste configuratie worden beschreven;
f) een monitoringproces en aanvaardbare methoden voor het valideren dat de geleverde ICT-
producten en -diensten voldoen aan de gestelde beveiligingseisen, implementeren. Voorbeelden
van zulke methoden voor het beoordelen van leveranciers zijn penetratietests en bewijs of validatie
van attesten van derden voor de informatiebeveiligingsactiviteiten van de leverancier;
g) een proces implementeren voor het vaststellen en documenteren van componenten van producten
of diensten die essentieel zijn voor het handhaven van de functionaliteit en daarom verhoogde
aandacht, toezicht en verdere opvolging vereisen als deze buiten de organisatie worden gebouwd,
in het bijzonder indien de leverancier delen van componenten van producten of diensten aan
andere leveranciers uitbesteedt;
h) zekerheid verkrijgen dat essentiële componenten en de herkomst ervan in de toeleveringsketen
kunnen worden getraceerd;
i) zekerheid verkrijgen dat de geleverde ICT-producten functioneren zoals voorzien zonder
onverwachte of ongewenste verschijnselen;
j) processen implementeren om te garanderen dat componenten van leveranciers echt zijn en
ongewijzigd zijn ten opzichte van de specificaties. Voorbeeldmaatregelen zijn labels tegen
manipulatie, cryptografische hashverificaties of digitale handtekeningen. Monitoren op prestaties
die niet aan de specificaties voldoen, kan een manier zijn om manipulatie of namaak aan te tonen.
Er behoort preventie en detectie van manipulatie te worden geïmplementeerd tijdens verschillende
fasen van de levenscyclus van systeemontwikkeling, met inbegrip van de ontwerp-, ontwikkel-,
integratie-, operationele en onderhoudsfasen;
k) waarborgen dat ICT-producten de vereiste beveiligingsniveaus halen, bijv. door middel van een
formele certificerings- of beoordelingsregeling, zoals de Common Criteria Recognition
Arrangement;
l) regels definiëren voor het delen van informatie met betrekking tot de toeleveringsketen en
potentiële kwesties en compromissen tussen de organisatie en leveranciers;
m)specifieke processen implementeren voor het beheren van de levenscyclus en beschikbaarheid van
ICT-componenten en het beheersen van gerelateerde beveiligingsrisico’s. Dit omvat het beheersen
van de risico’s dat onderdelen niet langer beschikbaar zijn omdat leveranciers hun bedrijf hebben
gestaakt of deze onderdelen als gevolg van technologische ontwikkelingen niet meer aanbieden.
Het identificeren van een alternatieve leverancier en het proces om software en competentie naar
de alternatieve leverancier over te brengen behoren te worden overwogen.
Overige informatie
De specifieke risicomanagementpraktijken betreffende de ICT-toeleveringsketen komen boven op de
algemene praktijken van informatiebeveiliging, kwaliteit, projectmanagement en systeemengineering,
maar vervangen deze niet.
Organisaties wordt geadviseerd om samen te werken met leveranciers voor een goed begrip van de
ICT-toeleveringsketen en de aangelegenheden die een belangrijke uitwerking hebben op de producten
en diensten die worden geleverd. De organisatie kan informatiebeveiligingspraktijken van de ICT-
toeleveringsketen beïnvloeden door in overeenkomsten met leveranciers de aangelegenheden bekend
te maken waaraan door andere leveranciers in de ICT-toeleveringsketen invulling behoort te worden
gegeven.
ICT behoort te worden verkregen van bronnen met een goede reputatie. De betrouwbaarheid van
software en hardware is een kwestie van kwaliteitscontrole. Hoewel het voor een organisatie over het
algemeen niet mogelijk is om de kwaliteitscontrolesystemen van haar leveranciers te inspecteren, kan
zij wel een betrouwbaar oordeel vellen op basis van de reputatie van de leverancier.
De ICT-toeleveringsketen zoals hier bedoeld omvat ook clouddiensten.
Voorbeelden van ICT-toeleveringsketens zijn:
a) ‘cloud services provisioning’, waar de aanbieder van de clouddienst afhankelijk is van de
softwareontwikkelaars, aanbieders van telecommunicatiediensten, hardware-aanbieders;
b) internet of things (IoT), waarbij de dienst ook de fabrikanten van apparatuur, de aanbieders van de
clouddienst (bijv. de exploitanten van het IoT-platform), de ontwikkelaars voor mobiele en
internettoepassingen en de leverancier van softwarebibliotheken betreft;
c) hostingdiensten, waar de aanbieder op externe servicebalies vertrouwt, met inbegrip van eerste,
tweede en derde niveaus van ondersteuning.
Zie ISO/IEC 27036-3 voor nadere details met inbegrip van richtlijnen voor risicobeoordeling.
Software-identificatietags (SWID) kunnen ook bijdragen aan betere informatiebeveiliging in de
toeleveringsketen, door informatie te geven over de herkomst van software. Zie ISO/IEC 19770-2 voor
nadere details.
5.22 Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten
Beheersmaatregel
De organisatie behoort de informatiebeveiligingspraktijken en de dienstverlening van leveranciers
regelmatig te monitoren, beoordelen, evalueren en veranderingen daaraan te beheren.
Doel
Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met
de leveranciersovereenkomsten handhaven.
Richtlijn
Het monitoren en beoordelen van, en het beheren van veranderingen aan, leveranciersdiensten
behoort te bewerkstelligen dat aan de informatiebeveiligingsvoorwaarden van de overeenkomsten
wordt voldaan, informatiebeveiligingsincidenten en -problemen naar behoren worden beheerd en
veranderingen in leveranciersdiensten of de bedrijfsstatus niet van invloed zijn op de dienstverlening.
Hiertoe behoort een proces voor het beheer van de relatie tussen de organisatie en de leverancier te
bestaan om:
a) de prestatieniveaus van de dienstverlening te monitoren om de naleving van de overeenkomsten te
verifiëren;
b) door leveranciers aangebrachte veranderingen te monitoren, waaronder:
1) verbeteringen van de huidige aangeboden dienstverlening;
2) ontwikkelingen van nieuwe toepassingen en systemen;
3) wijzigingen in of updates van beleid en procedures van de leverancier;
4) nieuwe of gewijzigde beheersmaatregelen om informatiebeveiligingsincidenten op te lossen en
om de informatiebeveiliging te verbeteren;
c) veranderingen in leveranciersdiensten te monitoren, waaronder:
1) veranderingen en verbeteringen van netwerken;
2) gebruik van nieuwe technologieën;
3) aanvaarding van nieuwe producten of nieuwere versies of uitgaven;
4) nieuwe ontwikkelinstrumenten en omgevingen;
5) veranderingen in fysieke locatie van dienstverleningsfaciliteiten;
6) verandering van onderleveranciers;
7) uitbesteding aan een andere leverancier;
d) de rapporten over de dienstverlening die zijn opgesteld door de leverancier, te beoordelen en
regelmatig voortgangsbesprekingen te regelen voor zover door de overeenkomsten vereist;
e) audits van leveranciers en onderleveranciers uit te voeren, in samenhang met de beoordeling van
rapporten van onafhankelijke auditoren, indien beschikbaar, en vastgestelde kwesties op te volgen;
f) informatie te verstrekken over informatiebeveiligingsincidenten en deze informatie te beoordelen
voor zover vereist door de overeenkomsten en ondersteunende richtlijnen en procedures;
g) audittrajecten van leveranciers en registraties van informatiebeveiligingsgebeurtenissen,
operationele problemen, weigeringen, opsporing van storingen en onderbrekingen in verband met
de geleverde dienst te beoordelen;
h) te reageren op geïdentificeerde informatiebeveiligingsgebeurtenissen of -incidenten en deze te
beheren;
i) kwetsbaarheden in de informatiebeveiliging te identificeren en beheren;
j) informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen leveranciers te
beoordelen;
k) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met
werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen
continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening
worden onderhouden (zie 5.29, 5.30, 5.35, 5.36, 8.14);
l) ervoor te zorgen dat leveranciers verantwoordelijkheden toewijzen voor het beoordelen van
naleving en voor het dwingend uitvoeren van de eisen van de overeenkomsten;
m)regelmatig te evalueren of de leveranciers afdoende informatiebeveiligingsniveaus in stand
houden.
De verantwoordelijkheid voor het beheer van leveranciersrelaties behoort te worden toegekend aan
een daarvoor aangewezen persoon of team. Om te monitoren dat de eisen van de overeenkomst, in het
bijzonder de informatiebeveiligingseisen, worden nagekomen, behoren voldoende technische
vaardigheden en middelen beschikbaar te worden gesteld. Als tekortkomingen in de dienstverlening
worden waargenomen behoren passende maatregelen te worden getroffen.
Beoordelingen
Er zijn nog geen beoordelingen.