Leestijd: 7 minuten

Een leveranciersbeoordeling opzetten conform ISO 27001

ISO 27001 en leveranciersmanagement: hoe vlieg je dat aan? En hoe werkt de leveranciersbeoordeling?

ISO 27001 leveranciersbeoordeling
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Om een kwalitatief goed eindproduct op te kunnen leveren aan je klant maak je ongetwijfeld gebruik van leveranciers. Je werkt met software van andere partijen? Je koopt producten in bij leveranciers voor je webshop? Je maakt gebruik van licenties van derden? Allemaal mogelijke manieren waarop je in aanraking komt met leveranciers. Wanneer zij niet of onvoldoende (kwaliteit) leveren, niet werken volgens jouw standaarden, geen rekening houden met de beveiliging van data die wordt verwerkt of zich niet houden aan eisen, wetten en/of uitgangspunten, dan heeft dat gevolgen voor de kwaliteit van jouw producten of diensten. Om die reden is het zaak dat leveranciers periodiek beoordeeld worden. Wanneer je werkt conform ISO 27001 dan is het bovendien vanuit de norm ook verplicht om dat te doen. In dit artikel vertellen we je meer over ISO 27001 en leveranciersmanagement.

Een leveranciersbeleid conform ISO 27001

In de ISO 27001 norm is leveranciersmanagement opgenomen. Van daaruit is het dus zaak dat je aan de slag gaat met een leveranciersbeleid en periodieke -beoordeling. Zo kun je komen tot het maken van afspraken met je leveranciers en periodiek toetsen of de leverancier de gemaakte afspraken kan waarmaken en dus nakomt. Door aandacht te leggen op leveranciersmanagement kun je de samenwerking met leveranciers optimaliseren en professionaliseren om op die manier te borgen dat het bijdraagt aan de korte en lange termijn doelstellingen van je organisatie. Je kunt bijvoorbeeld leveranciers tegen het licht houden in het kader van doelen als:

  • Het verlenen van een optimale dienstverlening en toelevering aan jouw organisatie en aan die van jouw opdrachtgevers;
  • Het mitigeren van risico’s om zo continuïteit van bedrijfsprocessen te borgen, imagoschade te voorkomen;
  • Etc.

Om te beginnen is het verstandig om in een ISO 27001 leveranciersbeleid vast te leggen wat belangrijke waarden zijn voor jouw organisatie die je zoekt in de samenwerking met je leveranciers. Denk bijvoorbeeld aan waarden als Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV), praktijkgerichtheid en flexibiliteit, maar ook aan de optimale prijs/kwaliteitverhouding. Door dit vast te leggen kun je jouw leveranciers daarop selecteren en ‘toetsen’.

NIS2 eist zicht op cyberbeveiliging van leveranciers

De NIS2 wetgeving komt eraan. Naar alle waarschijnlijkheid zal deze eind 2024 van kracht worden.

Eén van de eisen vanuit de NIS2 is dat er zicht is op en bijhouden van de staat en het niveau van cyberbeveiliging van leveranciers, het monitoren van hun activiteiten en het nemen van passende maatregelen om eventuele zwakke plekken te verhelpen.

Meer lezen over de NIS2? Bekijk het artikel: De NIS2-richtlijn: wat is NIS2 en wat betekent het voor (mkb-)bedrijven?

Daarnaast kun je in je leveranciersbeleid diverse uitgangspunten/eisen opnemen waarop je jouw leveranciers gaat selecteren en (periodiek) beoordelen. Denk aan uitgangspunten als:

  • Voldoen aan wet- en regelgeving;
  • Contractuele voorwaarden;
  • Inkoopvoorwaarden;
  • Criteria voor contractverlening;
  • Gegevensverwerking die voldoet aan de veiligheidseisen conform gemaakte afspraken (zoals een verwerkersovereenkomst en/of SLA);
  • Naleven van een eventuele SLA;
  • Het (op)volgen van privacyrichtlijnen;
  • Snelheid van reageren;
  • Proactiviteit;
  • Voldoen aan gestelde verwachtingen en eisen op gebied van bijvoorbeeld kwaliteit, informatiebeveiliging e.d.
  • Het ondertekenen van eventuele geheimhoudingsverklaringen;
  • Het in bezit zijn van bepaalde certificeringen en vergunningen;
  • Hoe ze omgaan met informatieclassificatie (BIV);
  • Etc.

Het is overigens niet de bedoeling dat je eisen stelt die voor jouw eigen organisatie niet eens haalbaar zijn. Houd het werkbaar en wees redelijk.

Ook kan in het leveranciersbeleid vast worden gelegd hoe de communicatie met leveranciers, bij voorkeur, dient te verlopen. Welke middelen worden daarvoor gebruikt? Op welke wijze en met welke frequentie wenst je organisatie facturen te ontvangen? Tot slot kun je in een leveranciersbeleid vastleggen op welke wijze en met welke frequentie je leveranciers beoordeeld en door wie dit binnen je organisatie wordt uitgevoerd.

De ISO 27001 leveranciersbeoordeling opzetten

Vaak wordt gevraagd om een leveranciersbeoordeling ISO 27001 voorbeeld. Een concreet voorbeeld van de leveranciersbeoordeling ISO 27001 kunnen we hier niet geven. Wel kunnen we je een aantal handvaten geven voor het opzetten van je ISO 27001 leveranciersbeoordeling.

1) Breng je leveranciers in kaart

Zodra je jouw leveranciersbeleid hebt vastgelegd, is het aan jou als organisatie om in kaart te brengen met welke leveranciers je momenteel zakendoet. Vervolgens kun je per leverancier beoordelen of deze past bij de dienstverlening/producten die je bij die leverancier inkoopt/wilt inkopen. Neem bij de ISO 27001 leveranciersbeoordeling wel in ogenschouw dat je niet iedere leverancier op exact dezelfde manier kunt beoordelen. Niet iedere leverancier is, in het kader van je doelstellingen, namelijk ‘even belangrijk’, want niet iedere leverancier heeft bijvoorbeeld invloed op je informatiebeveiliging.

Het is daarom goed om te kijken naar de impact die een leverancier heeft op jouw eindproduct en op je informatie. Daarvoor kun je bijvoorbeeld een risicoprofiel per leverancier maken. Van daaruit kun je eventueel per leverancier concrete afspraken maken. Voor een leverancier met grote impact zullen die anders liggen dan voor een leverancier van bijvoorbeeld je koffiebonen. Voorbeeld: Bij een accountant kun je werken middels een verwerkersovereenkomst, waar je bij een facilitair dienstverlener eerder kijkt naar zaken als afdwingen dat er altijd dezelfde medewerkers in je pand werken en/of in bezit zijn van een VOG.

Wat in veel organisaties gebeurt is het creëren van standaardlijstjes die vervolgens, meestal net voordat de externe audit plaatsvindt, ingevuld worden voor iedere leverancier zodat er een leveranciersbeoordeling is uitgevoerd. Simpelweg omdat ‘het moet van ISO’. Dat is echter onzin! Je kan, mag en/of moet misschien wel iedere leverancier op een andere manier benaderen en beoordelen.

2) Maak afspraken met je leveranciers en leg die vast

Zodra je leveranciers in kaart hebt gebracht en hebt besloten met welke leveranciers je samenwerkt is het zaak dat er met alle leveranciers (contractuele) afspraken worden gemaakt en dienen er (daarin) ook afspraken op het gebied van informatiebeveiliging te worden gemaakt. Die afspraken moeten ook worden vastgelegd. Daarbij is het ook van belang om rekening te houden met de afspraken die je met jouw klant(en) hebt: matchen die met de afspraken met je leveranciers?

Een afnemer van jouw product of dienst associeert dat product of dienst immers met jouw bedrijfsnaam. Wanneer er ook maar iets, al is dat het kleinste component, niet aan de eisen voldoet, dan komt jouw bedrijfsnaam in een kwaad daglicht te staan. Uiteraard kun je dan de schuld bij je leverancier leggen, maar daar koop je uiteraard niets voor.

Afspraken maken en eisen stellen is één ding, maar het is belangrijk dat je checkt of die afspraken ook daadwerkelijk worden nagekomen. Als een leverancier aangeeft in het bezit te zijn van bijvoorbeeld een ISO 27001 certificeringen, vraag daar dan om. Garanderen ze bepaalde voorwaarden, vraag dan bijvoorbeeld om testresultaten. Kortom: zoek naar bewijs dat bevestigt dat hetgeen dat een leverancier belooft ook daadwerkelijk zo is.

3) Beoordeel je leveranciers periodiek

Wanneer je als opdrachtgever eisen stelt aan een leverancier, dan is het natuurlijk ook zaak om de prestaties van je leveranciers te monitoren. Dat kun je doen tijdens de periodieke leveranciersbeoordeling die je vanuit ISO 27001 ook verplicht bent om te doen. Zorg er daarbij wel voor dat het beoordelen van je leveranciers daadwerkelijk toegevoegde waarde oplevert voor je organisatie. Je moet geen ISO 27001 leveranciersbeoordeling gaan doen omdat het ‘moet van ISO’.

Tijdens de periodieke beoordeling leg je jouw leveranciers naast je leveranciersbeleid en kijk je naar de gemaakte afspraken, waaronder de gemaakte afspraken op gebied van informatiebeveiliging, per leverancier. Je kunt dan beoordelen:

  • In hoeverre een leverancier bijdraagt aan de gestelde organisatiedoelen;
  • Of een leverancier (nog altijd) past bij de (kern)waarden die jij als organisatie koppelt aan de samenwerking met leveranciers;
  • Of je leverancier de gemaakte afspraken, eisen en verwachtingen nakomt;
  • Of er afgelopen periode fouten of klachten zijn geconstateerd;
  • Of er verbeteringen mogelijk zijn;
  • Etc.

Een ISO 27001 leveranciersbeoordeling is, zoals gezegd, geen kwestie van een checklist afwerken. Je kunt leveranciersmanagement binnen ISO 27001 inrichten op een manier die voor jouw organisatie het beste werkt. Hoe je dat doet is aan jou. Wat in elk geval belangrijk is, is dat je als organisatie leert van goede en slechte ervaringen met leveranciers en dat je continu blijft monitoren, ervaringen bespreekt met directie en daarop acteert. Alleen door scherp en alert te blijven op de prestaties van je leverancier, kun je stappen maken ter verbetering. Op die manier kun je een continue verbetering met betrekking tot je inkoopproces op gang helpen. En dat is het precies waar het om draait!

Jan Penning, Algemeen Directeur bij WSB Solutions: “Het hele ISO 9001 & 27001 traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!” – Wil je de hele ervaring van WSB Solutions lezen? Bekijk dan de WSB Solutions klantcase.

Wil je meer informatie?

Wil je aan de slag met ISO 27001 of kun je wel wat ondersteuning gebruiken bij de ISO 27001 leveranciersbeoordeling? Of wil je een leveranciersbeoordeling ISO 27001 voorbeeld ontvangen? Neem dan gerust contact met ons op. Onze adviseur helpen je graag op weg!

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Krijg hulp bij je leveranciers-beoordeling!

Wij hanteren een praktische methode met direct inzicht.

  • Advies op maat
  • Praktische tips
  • Antwoord op al je vragen
  • Vrijblijvende offerte op maat

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields