Een leveranciersbeoordeling opzetten conform ISO 27001

Om een kwalitatief goed eindproduct op te kunnen leveren aan je klant maak je ongetwijfeld gebruik van leveranciers. Je werkt met software van andere partijen? Je koopt producten in bij leveranciers voor je webshop? Je maakt gebruik van licenties van derden? Allemaal mogelijke manieren waarop je in aanraking komt met leveranciers. Wanneer zij niet of onvoldoende (kwaliteit) leveren, niet werken volgens jouw standaarden, geen rekening houden met de beveiliging van data die wordt verwerkt of zich niet houden aan eisen, wetten en/of uitgangspunten, dan heeft dat gevolgen voor de kwaliteit van jouw producten of diensten. Om die reden is het zaak dat leveranciers periodiek beoordeeld worden. Wanneer je werkt conform ISO 27001 dan is het bovendien vanuit de norm ook verplicht om dat te doen. In dit artikel vertellen we je meer over ISO 27001 en leveranciersmanagement.

In de ISO 27001 norm is leveranciersmanagement opgenomen. Van daaruit is het dus zaak dat je aan de slag gaat met een leveranciersbeleid en periodieke -beoordeling. Zo kun je komen tot het maken van afspraken met je leveranciers en periodiek toetsen of de leverancier de gemaakte afspraken kan waarmaken en dus nakomt. Door aandacht te leggen op leveranciersmanagement kun je de samenwerking met leveranciers optimaliseren en professionaliseren om op die manier te borgen dat het bijdraagt aan de korte en lange termijn doelstellingen van je organisatie. Je kunt bijvoorbeeld leveranciers tegen het licht houden in het kader van doelen als:

Om te beginnen is het verstandig om in een ISO 27001 leveranciersbeleid vast te leggen wat belangrijke waarden zijn voor jouw organisatie die je zoekt in de samenwerking met je leveranciers. Denk bijvoorbeeld aan waarden als Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV), praktijkgerichtheid en flexibiliteit, maar ook aan de optimale prijs/kwaliteitverhouding. Door dit vast te leggen kun je jouw leveranciers daarop selecteren en ‘toetsen’.

Daarnaast kun je in je leveranciersbeleid diverse uitgangspunten/eisen opnemen waarop je jouw leveranciers gaat selecteren en (periodiek) beoordelen. Denk aan uitgangspunten als:

Het is overigens niet de bedoeling dat je eisen stelt die voor jouw eigen organisatie niet eens haalbaar zijn. Houd het werkbaar en wees redelijk.

Ook kan in het leveranciersbeleid vast worden gelegd hoe de communicatie met leveranciers, bij voorkeur, dient te verlopen. Welke middelen worden daarvoor gebruikt? Op welke wijze en met welke frequentie wenst je organisatie facturen te ontvangen? Tot slot kun je in een leveranciersbeleid vastleggen op welke wijze en met welke frequentie je leveranciers beoordeeld en door wie dit binnen je organisatie wordt uitgevoerd.

Vaak wordt gevraagd om een leveranciersbeoordeling ISO 27001 voorbeeld. Een concreet voorbeeld van de leveranciersbeoordeling ISO 27001 kunnen we hier niet geven. Wel kunnen we je een aantal handvaten geven voor het opzetten van je ISO 27001 leveranciersbeoordeling.

Zodra je jouw leveranciersbeleid hebt vastgelegd, is het aan jou als organisatie om in kaart te brengen met welke leveranciers je momenteel zakendoet. Vervolgens kun je per leverancier beoordelen of deze past bij de dienstverlening/producten die je bij die leverancier inkoopt/wilt inkopen. Neem bij de ISO 27001 leveranciersbeoordeling wel in ogenschouw dat je niet iedere leverancier op exact dezelfde manier kunt beoordelen. Niet iedere leverancier is, in het kader van je doelstellingen, namelijk ‘even belangrijk’, want niet iedere leverancier heeft bijvoorbeeld invloed op je informatiebeveiliging.

Het is daarom goed om te kijken naar de impact die een leverancier heeft op jouw eindproduct en op je informatie. Daarvoor kun je bijvoorbeeld een risicoprofiel per leverancier maken. Van daaruit kun je eventueel per leverancier concrete afspraken maken. Voor een leverancier met grote impact zullen die anders liggen dan voor een leverancier van bijvoorbeeld je koffiebonen. Voorbeeld: Bij een accountant kun je werken middels een verwerkersovereenkomst, waar je bij een facilitair dienstverlener eerder kijkt naar zaken als afdwingen dat er altijd dezelfde medewerkers in je pand werken en/of in bezit zijn van een VOG.

Wat in veel organisaties gebeurt is het creëren van standaardlijstjes die vervolgens, meestal net voordat de externe audit plaatsvindt, ingevuld worden voor iedere leverancier zodat er een leveranciersbeoordeling is uitgevoerd. Simpelweg omdat ‘het moet van ISO’. Dat is echter onzin! Je kan, mag en/of moet misschien wel iedere leverancier op een andere manier benaderen en beoordelen.

Zodra je leveranciers in kaart hebt gebracht en hebt besloten met welke leveranciers je samenwerkt is het zaak dat er met alle leveranciers (contractuele) afspraken worden gemaakt en dienen er (daarin) ook afspraken op het gebied van informatiebeveiliging te worden gemaakt. Die afspraken moeten ook worden vastgelegd. Daarbij is het ook van belang om rekening te houden met de afspraken die je met jouw klant(en) hebt: matchen die met de afspraken met je leveranciers?

Een afnemer van jouw product of dienst associeert dat product of dienst immers met jouw bedrijfsnaam. Wanneer er ook maar iets, al is dat het kleinste component, niet aan de eisen voldoet, dan komt jouw bedrijfsnaam in een kwaad daglicht te staan. Uiteraard kun je dan de schuld bij je leverancier leggen, maar daar koop je uiteraard niets voor.

Afspraken maken en eisen stellen is één ding, maar het is belangrijk dat je checkt of die afspraken ook daadwerkelijk worden nagekomen. Als een leverancier aangeeft in het bezit te zijn van bijvoorbeeld een ISO 27001 certificeringen, vraag daar dan om. Garanderen ze bepaalde voorwaarden, vraag dan bijvoorbeeld om testresultaten. Kortom: zoek naar bewijs dat bevestigt dat hetgeen dat een leverancier belooft ook daadwerkelijk zo is.

Wanneer je als opdrachtgever eisen stelt aan een leverancier, dan is het natuurlijk ook zaak om de prestaties van je leveranciers te monitoren. Dat kun je doen tijdens de periodieke leveranciersbeoordeling die je vanuit ISO 27001 ook verplicht bent om te doen. Zorg er daarbij wel voor dat het beoordelen van je leveranciers daadwerkelijk toegevoegde waarde oplevert voor je organisatie. Je moet geen ISO 27001 leveranciersbeoordeling gaan doen omdat het ‘moet van ISO’.

Tijdens de periodieke beoordeling leg je jouw leveranciers naast je leveranciersbeleid en kijk je naar de gemaakte afspraken, waaronder de gemaakte afspraken op gebied van informatiebeveiliging, per leverancier. Je kunt dan beoordelen:

Een ISO 27001 leveranciersbeoordeling is, zoals gezegd, geen kwestie van een checklist afwerken. Je kunt leveranciersmanagement binnen ISO 27001 inrichten op een manier die voor jouw organisatie het beste werkt. Hoe je dat doet is aan jou. Wat in elk geval belangrijk is, is dat je als organisatie leert van goede en slechte ervaringen met leveranciers en dat je continu blijft monitoren, ervaringen bespreekt met directie en daarop acteert. Alleen door scherp en alert te blijven op de prestaties van je leverancier, kun je stappen maken ter verbetering. Op die manier kun je een continue verbetering met betrekking tot je inkoopproces op gang helpen. En dat is het precies waar het om draait!

Wil je aan de slag met ISO 27001 of kun je wel wat ondersteuning gebruiken bij de ISO 27001 leveranciersbeoordeling? Of wil je een leveranciersbeoordeling ISO 27001 voorbeeld ontvangen? Neem dan gerust contact met ons op. Onze adviseur helpen je graag op weg!