Leveranciersmanagement binnen de ISO 27001 en NEN 7510

Uw digitale weerbaarheid is over de as van leveranciersmanagement een belangrijk aandachtspunt. Omdat u de risico’s die ook buiten de deur liggen goed in kaart wil hebben. We zien in de media met regelmaat terug dat hackers succesvol inbreken bij (software) leveranciers. Op die manier komen ze ook bij uw bedrijfskritische gegevens. Alleen al afgelopen jaar zijn woningcorporaties, gemeentes en andere organisaties de dupe geworden van hackers die zich toegang hebben verschaft tot de systemen van hun softwareleverancier. Onwenselijk. Dat spreekt voor zich. Wat kunt u als organisatie doen om deze risico’s in kaart te brengen en zo goed mogelijk te beheersen? Goed leveranciersmanagement is één van de antwoorden. Onder goed leveranciersmanagement binnen de norm ISO27001 verstaan we de manier waarop afspraken met leveranciers van bepaalde software of tooling gemaakt zijn. Centraal hierin staan duidelijke afspraken over informatiebeveiliging en continuïteit. Welke stappen zijn hierin te nemen?

Welke partijen hebben beschikking over welke gegevens?

Wat kunt u in het kader van goed leveranciersmanagement doen? De eerste belangrijke stap is het in kaart brengen van uw leveranciers. Op basis daarvan kunt u prioriteiten stellen en keuzes maken waar de tijd en aandacht naar uit moet gaan.

Een aantal vragen en stappen om de lijst met leveranciers scherp te krijgen:

1. Wie zijn de belangrijkste IT-leveranciers?
2. Welke data/informatie beheren ze van u?
   – Om wat voor soort data gaat het: bijvoorbeeld (bijzondere) persoonsgegevens?
   – Hoe belangrijk is die data voor de eigen organisatie?
   – Om hoeveel data gaat het?
3. Kunt u verder werken als een leveranciers wegvalt/plotseling niet meer bereikbaar is?

U ziet dat naast de gevoeligheid en hoeveelheid van de data, het ook goed is om na te gaan wat het belang van die data is voor de continuïteit van uw organisatie (business continuity). Heeft u een groot aantal leveranciers, dan is het verstandig te categoriseren en prioriteiten aan te brengen. Prioriteiten kunt u bepalen op basis van gevoeligheid van de data en mate van geheimhouding. Daarnaast is beschikbaarheid een belangrijk onderwerp. Wat gebeurt er als data ineens voor mogelijke langere tijd niet beschikbaar is?

Welke grote risico’s zijn er?

Het grootste risico loopt uw organisatie wanneer u op een gewenst moment niet beschikt over de juiste informatie. Dit heeft te maken met beschikbaarheid van systemen, integriteit – onjuiste of verouderde gegevens – en vertrouwelijkheid – onbevoegden hebben toegang tot informatie.

Om deze risico’s te minimaliseren zijn goede afspraken met uw leveranciers belangrijk. Onderwerpen en vragen die daarbij aan de orde kunnen komen:

• Heeft uw leverancier zelf beleid rondom informatiebeveiliging? Komt dat overeen met uw beleid?
• Heeft uw leverancier relevante certificeringen (ISO 27001, NEN 7510, ISO 22031, ISAE 3402, ISO 22301)?

Daarnaast kunt u afspraken maken waarin u specifiekere (technische) eisen vastlegt. Hierbij kunt u in het kader van informatie denken aan:

• Opslagomvang
• Opslagplaats
• Beschikbaarheid
• Reactietijd bij calamiteiten
• Organisatie back-up
• Testbeleid

Eigenaarschap informatie en verantwoordelijkheid voor leveranciers

Een tweede stap in het kader van goed leveranciersmanagement is het in kaart brengen van de verantwoordelijkheid. Wie is er verantwoordelijk voor welke (categorie) leveranciers? In de regel is de afdeling die het meest hinder ondervindt – van het niet of niet volledig – beschikbaar hebben van informatie ook vaak de afdeling die verantwoordelijk is voor de leverancier. De beste manier om dit vast te leggen is een persoonlijke verantwoordelijkheid te benoemen. Deze medewerker heeft een belangrijke rol bij het aanscherpen van de eisen en de beoordeling van de prestaties van de leverancier. Hij of zij heeft ook een rol in het bepalen van de verbeteracties en opvolging van mogelijke bevindingen. Het eigenaarschap van deze maatregelen kan ook gedelegeerd zijn aan een afdeling IT en/of inkoop.

Contracten en afspraken maken

Na het in kaart brengen van het eigenaarschap, is een logische vervolgstap de volledigheid, locatie en actualiteit van de leverancierscontracten te behandelen. Wat is in deze contracten en servicelevel agreements opgenomen over informatiebeveiliging? Is er een verwerkersovereenkomst nodig? Is deze actueel? In de praktijk zien we dat aan de hand van de antwoorden op bovenstaande vragen al de eerste verbeteracties in beeld komen. Inkoop of IT kunnen het voortouw nemen in het nemen van maatregelen als het gaat om het in orde maken van de contracten. De betreffende eigenaar is hier ook op inhoud bij betrokken. Wanneer uw organisatie een (Chief Information) Security Officer in dienst heeft, is ook hij of zij hierbij betrokken.

Inkoopbeleid & inkoopvoorwaarden

Dit kunt u vastleggen in uw inkoopbeleid of inkoopvoorwaarden. Richtlijnen waarin duidelijk staat omschreven wat u tenminste van uw leverancier verwacht op het gebied van informatiebeveiliging.

Tip: Integreer deze specifieke eisen op het gebied van informatiebeveiliging met de algemene/overige eisen die u als organisatie hanteert voor bestaande en nieuwe leveranciers.

Leveranciersbeoordeling

Naast het inhoudelijk toetsen van de contracten, speelt ook het periodiek toetsen van rapportages samen met de leveranciers een rol. Een periodiek overleg kan op basis van rapportages uit de SLA’s gevoerd worden of omvat niet meer dan een rapportage over een bepaalde KPI.

Een meer ingrijpend voorbeeld is een leveranciersbeoordeling. Daarin komen onderstaande zaken aan de orde:

• Voldoen de huidige leveranciers aan de eisen die wij gesteld hebben in ons inkoopbeleid?
• Hebben ze de juiste certificeringen?
• Zijn deze actueel, met de juiste scope en zijn hier geen bijzondere afwijkingen op?
• Heeft de leverancier voldaan aan de gemaakte afspraken (gebruik hiervoor mogelijk de input vanuit de afstemmingsmomenten/opgeleverde rapportages)?
• Zijn er nog overige punten waarop we de leveranciers willen beoordelen (hier kunt u bijvoorbeeld de link maken met uw kwaliteitsmanagementsysteem)?

Er zijn verschillende manieren om een leveranciersbeoordeling te doen. Het opvragen van documentatie bijvoorbeeld. Het doen van een audit is het meest grondig. Vaak staat een leverancier hier niet positief tegenover. Het kost ze geld en tijd. Een ISO, NEN of ISAE-certificering is een belangrijke graadmeter. Dit  betekent dat een onafhankelijk auditor die bij hen een audit heeft gedaan.

Verklaring van toepasselijkheid

Als een leverancier een ISO 27001 of NEN 7510 certificering heeft, geeft dat aan dat ze volgens de norm hun informatiebeveiliging op orde hebben. Aanvullend daarop is een toepasselijkheidsverklaring voor uw organisatie van belang. Hier wordt specifiek in benoemd welke onderdelen uit de betreffende norm wel of niet binnen de organisatie van toepassing zijn. Ook wordt een niet toepasselijk verklaring hierin gemotiveerd.

Om de in- en uitsluitingen in de verklaring van toepasselijkheid of het ISAE Rapport goed te kunnen beoordelen is vak- en materiekennis nodig. De (Chief Information) Security Officer is hier de meest aangewezen persoon voor. Het is ook mogelijk om een SO hiervoor in te schakelen. Dit vraagt natuurlijk om een investering.  Die staat echter niet in verhouding tot de hoge kosten door een datalek of hack.

Bevindingen en acties

Uit een leveranciersbeoordeling komt doorgaans een actielijst. De actielijst komt tot stand door bevindingen te rangschikken naar meeste impact, grootste risico en kosten van de maatregelen. U kunt hier samen met u leverancier mee aan de slag gaan.

Partnerships

Een aantal risico’s rondom informatiebeveiliging en continuïteit liggen bij uw IT-leveranciers. Geef leveranciersmanagement en de relatie met uw leveranciers daarom voldoende aandacht. Het is belangrijk dit op orde te hebben. U legt op die manier een stevig fundament onder het veilig omgaan met uw informatie.

Blog geschreven door Sjoerd Marinussen, Business Consultant

Computerweg 22
3542 DR Utrecht

KvK: 30277648
BTW: NL 8217.37.612.B01