2 voor dat ‘alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt’. Oftewel: denk bij elke leverancier die toegang heeft tot informatie of IT na welke beveiligingseisen nuttig zijn en zorg dat de afspraken netjes worden gedocumenteerd in een contract, zodat daar later geen misverstand over kan ontstaan. Hierbij kan onder andere worden gedacht aan een beschrijving van de informatie of -systemen die toegankelijk zijn, de classificatie die daarop van toepassing is, afspraken met betrekking tot rapportage over naleving van het contract, regels voor aanvaardbaar gebruik, maar bijvoorbeeld ook de omgang met incidenten of procedures voor het oplossen van conflicten. ICT-toeleveringsketen Net zoals leveranciers een risico vormen voor de bedrijfsmiddelen van de organisatie, geldt dat ook voor onderaannemers van de leverancier. Het is daarom belangrijk om óók grip te houden op partijen in de keten die minder zichtbaar zijn. Als derde stap om bedrijfsmiddelen die toegankelijk zijn voor leveranciers te beschermen, schrijft NEN 7510-2 daarom voor dat contracten met leveranciers óók eisen moeten bevatten om de risico’s in verband met de toeleveringsketen van diensten en producten op het gebied van ICT te beheersen. Hierbij kan onder andere worden gedacht aan een verplichting om eisen die de leverancier op zich neemt door te leggen aan andere partijen in de keten. Gedacht kan ook worden aan een proces om te monitoren en controleren dat het geleverde aan de gestelde eisen voldoet, of aan regels om informatie over toekomstige kwesties in de keten door te geven. Beheer van dienstverlening van leveranciers De tweede doelstelling die NEN 7510 beschrijft met betrekking tot leveranciersrelaties is erop gericht om een vooraf bepaald niveau van beveiliging en dienstverlening te handhaven, in lijn met de gemaakte afspraken. Deze doelstelling draait dus niet in directe zin om het beschermen van bedrijfsmiddelen van de organisatie, maar meer om het in de gaten houden of de leverancier doet wat hij beloofd heeft. Monitoren en beoordelen dienstverlening De eerste stap om de doelstelling te behalen, is door regelmatig de dienstverlening van leveranciers te monitoren, te beoordelen en te auditen. Hierdoor kan ervoor worden gezorgd dat de gemaakte afspraken worden nagekomen en dat eventuele problemen met betrekking tot informatiebeveiliging tijdig en op de 6 ICTRecht in de Praktijk juiste manier worden behandeld. Hiertoe dient een proces te worden ingericht om leveranciersrelaties te beheren, en om (onder andere) te verifiëren of wordt geleverd wat is afgesproken conform de contracten, te rapporteren over de dienstverlening, audits uit te voeren en gesignaleerde problemen op te lossen. Beheer van veranderingen in dienstverlening De PDCA-cyclus die in het managementsysteem centraal staat, werkt ook door in het leveranciersmanagement. De wereld verandert, en zo ook de diensten die de organisatie afneemt van haar leverancier. Die veranderingen kunnen voortkomen uit (bijvoorbeeld) het doorontwikkelen en verbeteren van de dienst, het opvolgen van afspraken of bevindingen uit leverancierscontroles, of veranderingen in de dienst die voortvloeien uit nieuwe of aangepaste wetgevingsvereisten. Maar het kan natuurlijk ook zijn dat de dienst die initieel geleverd werd dusdanig goed beviel dat na verloop van tijd méér diensten worden afgenomen (of juist andersom: er worden minder diensten afgenomen). Het is belangrijk om zulke veranderingen in de gaten te houden en om erop in te spelen. Zulke veranderingen kunnen immers risico’s met zich brengen. Door regelmatig te beoordelen welke veranderingen er zijn geweest, welke risico’s daaraan kleven en hoe groot die risico’s precies zijn, kan tijdig worden bijgestuurd om die risico’s tot een acceptabel niveau te beperken. Tot slot Het hoofdstuk over leveranciersmanagement in NEN 7510 biedt een hoop inspiratie en aanknopingspunten waarmee organisaties ervoor kunnen zorgen dat hun informatie beschermd blijft, óók wanneer er externe leveranciers in het spel zijn. Tegelijkertijd kunnen ook onderwerpen uit de andere hoofdstukken uit NEN 7510 relevant zijn met betrekking tot leveranciers. Een goed voorbeeld is het hoofdstuk over bedrijfs - continuïteit: gezien de toenemende afhankelijkheid van leveranciers zal een goed bedrijfscontinuïteits - beheer óók leveranciers in scope hebben. De normen uit NEN 7510 kunnen in de praktijk overweldigend overkomen – zeker wanneer de lijst met alle leveranciers wordt bekeken en men daarbij bedenkt dat al die partijen periodiek beoordeeld en gecontroleerd moeten worden. Houd in dat geval altijd in het achterhoofd dat NEN 7510 tegenwoordig risk based is. Focus dus op informatie en -systemen die écht kritisch zijn, en besteed minder energie aan kleine tools die weinig of geen risico met zich dragen. Maar: zorg er wel voor dat je achteraf kunt onderbouwen en aantonen waarom je deze keuzes gemaakt hebt en op basis van welke inzichten en risico-afwegingen de beslissingen zijn genomen.
7 Online Touch Home