Leestijd: 12 minuten

Een leveranciersbeoordeling opzetten conform ISO 27001

ISO 27001 en leveranciersmanagement: hoe vlieg je dat aan? En hoe werkt de leveranciersbeoordeling?

ISO 27001 leveranciersbeoordeling
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Innovatiemanager & Adviseur

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Om een kwalitatief goed eindproduct op te kunnen leveren aan je klant maak je ongetwijfeld gebruik van leveranciers. Je werkt met software van andere partijen? Je koopt producten in bij leveranciers voor je webshop? Je maakt gebruik van licenties van derden? Allemaal mogelijke manieren waarop je in aanraking komt met leveranciers. Wanneer zij niet of onvoldoende (kwaliteit) leveren, niet werken volgens jouw standaarden, geen rekening houden met de beveiliging van data die wordt verwerkt of zich niet houden aan eisen, wetten en/of uitgangspunten, dan heeft dat gevolgen voor de kwaliteit van jouw producten of diensten. Om die reden is het zaak dat leveranciers periodiek beoordeeld worden. Wanneer je werkt conform ISO 27001 dan is het bovendien vanuit de norm ook verplicht om dat te doen. In dit artikel vertellen we je meer over ISO 27001 en leveranciersmanagement.

Een leveranciersbeleid conform ISO 27001

In de ISO 27001 norm is leveranciersmanagement opgenomen. Van daaruit is het dus zaak dat je aan de slag gaat met een leveranciersbeleid en periodieke -beoordeling. Zo kun je komen tot het maken van afspraken met je leveranciers en periodiek toetsen of de leverancier de gemaakte afspraken kan waarmaken en dus nakomt. Door aandacht te leggen op leveranciersmanagement kun je de samenwerking met leveranciers optimaliseren en professionaliseren om op die manier te borgen dat het bijdraagt aan de korte en lange termijn doelstellingen van je organisatie. Je kunt bijvoorbeeld leveranciers tegen het licht houden in het kader van doelen als:

  • Het verlenen van een optimale dienstverlening en toelevering aan jouw organisatie en aan die van jouw opdrachtgevers;
  • Het mitigeren van risico’s om zo continuïteit van bedrijfsprocessen te borgen, imagoschade te voorkomen;
  • Etc.

Om te beginnen is het verstandig om in een ISO 27001 leveranciersbeleid vast te leggen wat belangrijke waarden zijn voor jouw organisatie die je zoekt in de samenwerking met je leveranciers. Denk bijvoorbeeld aan waarden als Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV), praktijkgerichtheid en flexibiliteit, maar ook aan de optimale prijs/kwaliteitverhouding. Door dit vast te leggen kun je jouw leveranciers daarop selecteren en ‘toetsen’.

NIS2 eist zicht op cyberbeveiliging van leveranciers

De NIS2 wetgeving komt eraan. Naar alle waarschijnlijkheid zal deze eind 2024 van kracht worden.

Eén van de eisen vanuit de NIS2 is dat er zicht is op en bijhouden van de staat en het niveau van cyberbeveiliging van leveranciers, het monitoren van hun activiteiten en het nemen van passende maatregelen om eventuele zwakke plekken te verhelpen.

Meer lezen over de NIS2? Bekijk het artikel: De NIS2-richtlijn: wat is NIS2 en wat betekent het voor (mkb-)bedrijven?

Daarnaast kun je in je leveranciersbeleid diverse uitgangspunten/eisen opnemen waarop je jouw leveranciers gaat selecteren en (periodiek) beoordelen. Denk aan uitgangspunten als:

  • Voldoen aan wet- en regelgeving;
  • Contractuele voorwaarden;
  • Inkoopvoorwaarden;
  • Criteria voor contractverlening;
  • Gegevensverwerking die voldoet aan de veiligheidseisen conform gemaakte afspraken (zoals een verwerkersovereenkomst en/of SLA);
  • Naleven van een eventuele SLA;
  • Het (op)volgen van privacyrichtlijnen;
  • Snelheid van reageren;
  • Proactiviteit;
  • Voldoen aan gestelde verwachtingen en eisen op gebied van bijvoorbeeld kwaliteit, informatiebeveiliging e.d.
  • Het ondertekenen van eventuele geheimhoudingsverklaringen;
  • Het in bezit zijn van bepaalde certificeringen en vergunningen;
  • Hoe ze omgaan met informatieclassificatie (BIV);
  • Etc.

Het is overigens niet de bedoeling dat je eisen stelt die voor jouw eigen organisatie niet eens haalbaar zijn. Houd het werkbaar en wees redelijk.

Ook kan in het leveranciersbeleid vast worden gelegd hoe de communicatie met leveranciers, bij voorkeur, dient te verlopen. Welke middelen worden daarvoor gebruikt? Op welke wijze en met welke frequentie wenst je organisatie facturen te ontvangen? Tot slot kun je in een leveranciersbeleid vastleggen op welke wijze en met welke frequentie je leveranciers beoordeeld en door wie dit binnen je organisatie wordt uitgevoerd.

De ISO 27001 leveranciersbeoordeling opzetten

Vaak wordt gevraagd om een leveranciersbeoordeling ISO 27001 voorbeeld. Een concreet voorbeeld van de leveranciersbeoordeling ISO 27001 kunnen we hier niet geven. Wel kunnen we je een aantal handvaten geven voor het opzetten van je ISO 27001 leveranciersbeoordeling.

1) Breng je leveranciers in kaart

Zodra je jouw leveranciersbeleid hebt vastgelegd, is het aan jou als organisatie om in kaart te brengen met welke leveranciers je momenteel zakendoet. Vervolgens kun je per leverancier beoordelen of deze past bij de dienstverlening/producten die je bij die leverancier inkoopt/wilt inkopen. Neem bij de ISO 27001 leveranciersbeoordeling wel in ogenschouw dat je niet iedere leverancier op exact dezelfde manier kunt beoordelen. Niet iedere leverancier is, in het kader van je doelstellingen, namelijk ‘even belangrijk’, want niet iedere leverancier heeft bijvoorbeeld invloed op je informatiebeveiliging.

Het is daarom goed om te kijken naar de impact die een leverancier heeft op jouw eindproduct en op je informatie. Daarvoor kun je bijvoorbeeld een risicoprofiel per leverancier maken. Van daaruit kun je eventueel per leverancier concrete afspraken maken. Voor een leverancier met grote impact zullen die anders liggen dan voor een leverancier van bijvoorbeeld je koffiebonen. Voorbeeld: Bij een accountant kun je werken middels een verwerkersovereenkomst, waar je bij een facilitair dienstverlener eerder kijkt naar zaken als afdwingen dat er altijd dezelfde medewerkers in je pand werken en/of in bezit zijn van een VOG.

Wat in veel organisaties gebeurt is het creëren van standaardlijstjes die vervolgens, meestal net voordat de externe audit plaatsvindt, ingevuld worden voor iedere leverancier zodat er een leveranciersbeoordeling is uitgevoerd. Simpelweg omdat ‘het moet van ISO’. Dat is echter onzin! Je kan, mag en/of moet misschien wel iedere leverancier op een andere manier benaderen en beoordelen.

2) Maak afspraken met je leveranciers en leg die vast

Zodra je leveranciers in kaart hebt gebracht en hebt besloten met welke leveranciers je samenwerkt is het zaak dat er met alle leveranciers (contractuele) afspraken worden gemaakt en dienen er (daarin) ook afspraken op het gebied van informatiebeveiliging te worden gemaakt. Die afspraken moeten ook worden vastgelegd. Daarbij is het ook van belang om rekening te houden met de afspraken die je met jouw klant(en) hebt: matchen die met de afspraken met je leveranciers?

Een afnemer van jouw product of dienst associeert dat product of dienst immers met jouw bedrijfsnaam. Wanneer er ook maar iets, al is dat het kleinste component, niet aan de eisen voldoet, dan komt jouw bedrijfsnaam in een kwaad daglicht te staan. Uiteraard kun je dan de schuld bij je leverancier leggen, maar daar koop je uiteraard niets voor.

Afspraken maken en eisen stellen is één ding, maar het is belangrijk dat je checkt of die afspraken ook daadwerkelijk worden nagekomen. Als een leverancier aangeeft in het bezit te zijn van bijvoorbeeld een ISO 27001 certificeringen, vraag daar dan om. Garanderen ze bepaalde voorwaarden, vraag dan bijvoorbeeld om testresultaten. Kortom: zoek naar bewijs dat bevestigt dat hetgeen dat een leverancier belooft ook daadwerkelijk zo is.

3) Beoordeel je leveranciers periodiek

Wanneer je als opdrachtgever eisen stelt aan een leverancier, dan is het natuurlijk ook zaak om de prestaties van je leveranciers te monitoren. Dat kun je doen tijdens de periodieke leveranciersbeoordeling die je vanuit ISO 27001 ook verplicht bent om te doen. Zorg er daarbij wel voor dat het beoordelen van je leveranciers daadwerkelijk toegevoegde waarde oplevert voor je organisatie. Je moet geen ISO 27001 leveranciersbeoordeling gaan doen omdat het ‘moet van ISO’.

Tijdens de periodieke beoordeling leg je jouw leveranciers naast je leveranciersbeleid en kijk je naar de gemaakte afspraken, waaronder de gemaakte afspraken op gebied van informatiebeveiliging, per leverancier. Je kunt dan beoordelen:

  • In hoeverre een leverancier bijdraagt aan de gestelde organisatiedoelen;
  • Of een leverancier (nog altijd) past bij de (kern)waarden die jij als organisatie koppelt aan de samenwerking met leveranciers;
  • Of je leverancier de gemaakte afspraken, eisen en verwachtingen nakomt;
  • Of er afgelopen periode fouten of klachten zijn geconstateerd;
  • Of er verbeteringen mogelijk zijn;
  • Etc.

Een ISO 27001 leveranciersbeoordeling is, zoals gezegd, geen kwestie van een checklist afwerken. Je kunt leveranciersmanagement binnen ISO 27001 inrichten op een manier die voor jouw organisatie het beste werkt. Hoe je dat doet is aan jou. Wat in elk geval belangrijk is, is dat je als organisatie leert van goede en slechte ervaringen met leveranciers en dat je continu blijft monitoren, ervaringen bespreekt met directie en daarop acteert. Alleen door scherp en alert te blijven op de prestaties van je leverancier, kun je stappen maken ter verbetering. Op die manier kun je een continue verbetering met betrekking tot je inkoopproces op gang helpen. En dat is het precies waar het om draait!

Jan Penning, Algemeen Directeur bij WSB Solutions: “Het hele ISO 9001 & 27001 traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!” – Wil je de hele ervaring van WSB Solutions lezen? Bekijk dan de WSB Solutions klantcase.

Applicaties en leveranciers binnen scope van een ISMS en hun beheersing

De scope van een ISMS beschrijft welke informatiebeveiliging binnen een organisatie wordt beheerst, afgestemd op producten, diensten en stakeholderverwachtingen. De scope kan variëren van alle informatie binnen de organisatie tot een specifieke subset, zoals bepaalde processen, locaties, informatiesystemen of personen. Elementen buiten de scope mogen geen onbeheerst risico vormen en moeten afdoende beveiligd worden. Een duidelijke afbakening voorkomt risico’s en helpt bij de naleving van wet- en regelgeving. Bij complexe IT-landschappen is een overzicht van systemen en hun classificatie essentieel voor effectieve beveiliging.

Relevante eisen aan leveranciers

Wat zijn dan relevante eisen aan leveranciers? Praktisch uitgangspunt is dat de leverancier een passende beheersing moet krijgen [ISO 27001 8.1].*

  • Voorbeeld: Een leverancier van een fysiek product kan zeer beperkte formele eisen krijgen indien de organisatie zelf een zeer uitgebreide controle doet van dat product voordat ze het in gebruik neemt.
  • Voorbeeld: Een leverancier van maatwerksoftware kan óf zijn gehele ontwikkelstraat en testresultaten laten zien, of de software kan intern getest worden.

Leveranciers die de scope kunnen beïnvloeden, moeten zijn geïnformeerd over de voor hen relevante regels uit het managementsysteem [ISO 27001 5.2g].

  • Voorbeeld: Een monteur die in een serverruimte werkt moet de regels kennen van de apparatuur waar hij bij kan. De regels van een tweede ruimte waar hij niet bij kan, hoeft hij niet te kennen.

Breder gesproken kunnen leveranciers op meerdere plaatsen een rol krijgen in het managementsysteem [ISO 27001 5.3], bijvoorbeeld bij inhuur van een Security Officer, of kennis moeten nemen van doelstellingen en beleid waar zij aan moeten bijdragen [ISO 27001 6.2h, 7.3]. Eenvoudig gezegd: zorg dat belangrijke leveranciers een duidelijke taak krijgen, competent personeel leveren en weten wat ze moeten doen (dit komt in vervolgeisen hieronder ook terug):

  • Mogelijk moet er structureel of projectgebonden overleg zijn met deze leveranciers [ISO 27001 7.4], of rapportage [7.5] ten behoeve van monitoring [9.1].
  • Het is mogelijk dat de organisatie ervoor kiest om de leverancier zelf te ‘auditen’ of anderszins te monitoren [ISO 27001 9.2]. Dit is in veel gevallen al bedongen in een verwerkersovereenkomst met die leverancier [ISO 27001 A.18.1.4] en gebruikelijker bij hoge afhankelijkheid van een niet ISO 27001 gecertificeerde leverancier.
  • Het is gebruikelijk de relevante leveranciers te beoordelen bij directiebeoordeling [ISO 27001 9.1, 15.2.1].

Het hangt uiteraard af van wat de dienstverlening inhoudt welke uitvoerende taken en relevante beheersmaatregelen men dient na te leven. De eisen aan iemand die back-ups uitvoert [ISO 27001 A.12.3.1] zullen anders zijn dan die aan een organisatie die nieuwe medewerkers helpt screenen [ISO 27001 A.7.1.1]. Leveranciers welke op locatie komen, zullen meestal worden behandeld als bezoeker [ISO 27001 A.11] en zich mogelijk aan bedieningsprocedures moeten houden [ISO 27001 A.12.1.1]. Dat gezegd hebbende, zijn er een aantal beheersmaatregelen waar expliciet aandacht gevraagd wordt:

  • Leveranciers die feitelijk werken als personeel dienen beheerst te worden conform A.7, veilig personeel, en zich verder aan alles te houden dat regulier personeel ook dient te doen. Hiertoe dient meestal het reguliere HRM proces.
  • Leveranciers die toegang tot informatie(systemen) krijgen, zijn een vorm van gebruiker. Er moet dus worden bepaald wie waartoe toegang krijgt conform A.9. Hiertoe dient meestal een intern IT-beheer proces.
  • Daar waar de leverancier belangrijk is voor informatietransport, moeten er overeenkomsten zijn [ISO 27001 A.13.2.2].
  • Leveranciers zullen zich moeten houden aan geheimhoudingovereenkomsten, passend bij de behoefte van de organisatie [ISO 27001 A.13.2.3].
  • Er dient expliciet supervisie en monitoring te zijn voor eventuele uitbestede softwareontwikkeling [ISO 27001 A.14.2.7].

 * Daarbij is het aannemelijker dat ISO 27001 gecertificeerde leveranciers (met de juiste scope en verklaring van toepasselijkheid) zaken goed beheersen indien er een goed contract met die leverancier ligt. De externe auditor van die leverancier dient namelijk te controleren of dat bedrijf in staat is aan de stakeholdereisen te voldoen. Daarbij is er natuurlijk geen garantie dat bij die externe audit de steekproeven zo genomen zijn dat er voldoende vertrouwen ontstaat in de praktijk. Een alternatief kan de ISAE 3402 zijn.

Eisen met betrekking tot de leveranciersrelatie

Met betrekking tot de leveranciersrelatie, zijn er de volgende expliciete eisen (bron: NEN ISO 27002):

  • “Met de leverancier behoren de informatiebeveiligingseisen om risico’s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden overeengekomen en gedocumenteerd.” Dit ziet toe op de sturing hiervan door middel van beleid, dat over het algemeen gestandaardiseerd wordt voor alle leveranciers (met nuances n.a.v. de daadwerkelijke dienstverlening, zie volgende punt).
  • “Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt.”. Hierbij is van belang dat er een overeenkomst is die, na overweging, de relevante voorwaarden bevat. Het kan zijn dat de organisatie akkoord gaat met het aanbod van een leverancier (bijvoorbeeld met grote SaaS leveranciers).
  • “Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie”. Dit wordt tegenwoordig vaak gedekt door bepalingen in de verwerkersovereenkomst onder de Algemene Verordening Gegevensbescherming (AVG).
  • “Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren, te beoordelen en te auditen.” Zie de opmerkingen hierboven.
  • “Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor informatiebeveiliging, behoren te worden beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico’s.” De leverancier moet niet zomaar eenzijdig zijn dienstverlening (kunnen) veranderen.

Op basis van o.a. de AVG/GDPR zal ook bedongen zijn dat de leverancier melding doet van datalekken. Het is daarnaast ook de bedoeling dat de leverancier relevante incidenten of kwetsbaarheden meldt [ISO 27001 A.16.1.2].

Op basis van de bovenstaande informatie en set aan eisen dient bepaald te worden welke leveranciers relevant zijn en met deze leveranciers zullen er dus overeenkomsten moeten zijn. Voor dat laatste is het verstandig de ISO 27002 normtekst, hoofdstuk 15 leveranciersbeheersing (gelijk aan ISO 27001 Annex A 15) bij NEN aan te schaffen, en in detail door te lezen.

Praktisch gezien zal er vaak een algemeen geldend leveranciersbeleid zijn dat aan de inkoopverantwoordelijke (of bevoegden) de taak geeft om per leverancier:

  • Het algemeen geldende informatiebeveiligingsbeleid van de organisatie aan die leverancier op te leggen
  • Samen met de Security Officer te reviewen welke expliciete overeenkomst en aantoonbaar bewijs van naleving daarvoor met de leveranciers in scope nodig zijn.

Wil je meer informatie?

Wil je aan de slag met ISO 27001 of kun je wel wat ondersteuning gebruiken bij de ISO 27001 leveranciersbeoordeling? Of wil je een leveranciersbeoordeling ISO 27001 voorbeeld ontvangen? Neem dan gerust contact met ons op. Onze adviseur helpen je graag op weg!

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Innovatiemanager & Adviseur

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Krijg hulp bij je leveranciers-beoordeling!

Experts met veel kennis en handige tips

  • Ook in combi met ISO 27001
  • Al 500+ organisaties gingen je voor
  • Verlaag direct risico's

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields