Een leveranciersbeoordeling opzetten conform ISO 27001

Om een kwalitatief goed eindproduct op te kunnen leveren aan je klant maak je ongetwijfeld gebruik van leveranciers. Je werkt met software van andere partijen? Je koopt producten in bij leveranciers voor je webshop? Je maakt gebruik van licenties van derden? Allemaal mogelijke manieren waarop je in aanraking komt met leveranciers. Wanneer zij niet of onvoldoende (kwaliteit) leveren, niet werken volgens jouw standaarden, geen rekening houden met de beveiliging van data die wordt verwerkt of zich niet houden aan eisen, wetten en/of uitgangspunten, dan heeft dat gevolgen voor de kwaliteit van jouw producten of diensten. Om die reden is het zaak dat leveranciers periodiek beoordeeld worden. Wanneer je werkt conform ISO 27001 dan is het bovendien vanuit de norm ook verplicht om dat te doen. In dit artikel vertellen we je meer over ISO 27001 en leveranciersmanagement.

In de ISO 27001 norm is leveranciersmanagement opgenomen. Van daaruit is het dus zaak dat je aan de slag gaat met een leveranciersbeleid en periodieke -beoordeling. Zo kun je komen tot het maken van afspraken met je leveranciers en periodiek toetsen of de leverancier de gemaakte afspraken kan waarmaken en dus nakomt. Door aandacht te leggen op leveranciersmanagement kun je de samenwerking met leveranciers optimaliseren en professionaliseren om op die manier te borgen dat het bijdraagt aan de korte en lange termijn doelstellingen van je organisatie. Je kunt bijvoorbeeld leveranciers tegen het licht houden in het kader van doelen als:

Om te beginnen is het verstandig om in een ISO 27001 leveranciersbeleid vast te leggen wat belangrijke waarden zijn voor jouw organisatie die je zoekt in de samenwerking met je leveranciers. Denk bijvoorbeeld aan waarden als Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV), praktijkgerichtheid en flexibiliteit, maar ook aan de optimale prijs/kwaliteitverhouding. Door dit vast te leggen kun je jouw leveranciers daarop selecteren en ‘toetsen’.

Daarnaast kun je in je leveranciersbeleid diverse uitgangspunten/eisen opnemen waarop je jouw leveranciers gaat selecteren en (periodiek) beoordelen. Denk aan uitgangspunten als:

Het is overigens niet de bedoeling dat je eisen stelt die voor jouw eigen organisatie niet eens haalbaar zijn. Houd het werkbaar en wees redelijk.

Ook kan in het leveranciersbeleid vast worden gelegd hoe de communicatie met leveranciers, bij voorkeur, dient te verlopen. Welke middelen worden daarvoor gebruikt? Op welke wijze en met welke frequentie wenst je organisatie facturen te ontvangen? Tot slot kun je in een leveranciersbeleid vastleggen op welke wijze en met welke frequentie je leveranciers beoordeeld en door wie dit binnen je organisatie wordt uitgevoerd.

Vaak wordt gevraagd om een leveranciersbeoordeling ISO 27001 voorbeeld. Een concreet voorbeeld van de leveranciersbeoordeling ISO 27001 kunnen we hier niet geven. Wel kunnen we je een aantal handvaten geven voor het opzetten van je ISO 27001 leveranciersbeoordeling.

Zodra je jouw leveranciersbeleid hebt vastgelegd, is het aan jou als organisatie om in kaart te brengen met welke leveranciers je momenteel zakendoet. Vervolgens kun je per leverancier beoordelen of deze past bij de dienstverlening/producten die je bij die leverancier inkoopt/wilt inkopen. Neem bij de ISO 27001 leveranciersbeoordeling wel in ogenschouw dat je niet iedere leverancier op exact dezelfde manier kunt beoordelen. Niet iedere leverancier is, in het kader van je doelstellingen, namelijk ‘even belangrijk’, want niet iedere leverancier heeft bijvoorbeeld invloed op je informatiebeveiliging.

Het is daarom goed om te kijken naar de impact die een leverancier heeft op jouw eindproduct en op je informatie. Daarvoor kun je bijvoorbeeld een risicoprofiel per leverancier maken. Van daaruit kun je eventueel per leverancier concrete afspraken maken. Voor een leverancier met grote impact zullen die anders liggen dan voor een leverancier van bijvoorbeeld je koffiebonen. Voorbeeld: Bij een accountant kun je werken middels een verwerkersovereenkomst, waar je bij een facilitair dienstverlener eerder kijkt naar zaken als afdwingen dat er altijd dezelfde medewerkers in je pand werken en/of in bezit zijn van een VOG.

Wat in veel organisaties gebeurt is het creëren van standaardlijstjes die vervolgens, meestal net voordat de externe audit plaatsvindt, ingevuld worden voor iedere leverancier zodat er een leveranciersbeoordeling is uitgevoerd. Simpelweg omdat ‘het moet van ISO’. Dat is echter onzin! Je kan, mag en/of moet misschien wel iedere leverancier op een andere manier benaderen en beoordelen.

Zodra je leveranciers in kaart hebt gebracht en hebt besloten met welke leveranciers je samenwerkt is het zaak dat er met alle leveranciers (contractuele) afspraken worden gemaakt en dienen er (daarin) ook afspraken op het gebied van informatiebeveiliging te worden gemaakt. Die afspraken moeten ook worden vastgelegd. Daarbij is het ook van belang om rekening te houden met de afspraken die je met jouw klant(en) hebt: matchen die met de afspraken met je leveranciers?

Een afnemer van jouw product of dienst associeert dat product of dienst immers met jouw bedrijfsnaam. Wanneer er ook maar iets, al is dat het kleinste component, niet aan de eisen voldoet, dan komt jouw bedrijfsnaam in een kwaad daglicht te staan. Uiteraard kun je dan de schuld bij je leverancier leggen, maar daar koop je uiteraard niets voor.

Afspraken maken en eisen stellen is één ding, maar het is belangrijk dat je checkt of die afspraken ook daadwerkelijk worden nagekomen. Als een leverancier aangeeft in het bezit te zijn van bijvoorbeeld een ISO 27001 certificeringen, vraag daar dan om. Garanderen ze bepaalde voorwaarden, vraag dan bijvoorbeeld om testresultaten. Kortom: zoek naar bewijs dat bevestigt dat hetgeen dat een leverancier belooft ook daadwerkelijk zo is.

Wanneer je als opdrachtgever eisen stelt aan een leverancier, dan is het natuurlijk ook zaak om de prestaties van je leveranciers te monitoren. Dat kun je doen tijdens de periodieke leveranciersbeoordeling die je vanuit ISO 27001 ook verplicht bent om te doen. Zorg er daarbij wel voor dat het beoordelen van je leveranciers daadwerkelijk toegevoegde waarde oplevert voor je organisatie. Je moet geen ISO 27001 leveranciersbeoordeling gaan doen omdat het ‘moet van ISO’.

Tijdens de periodieke beoordeling leg je jouw leveranciers naast je leveranciersbeleid en kijk je naar de gemaakte afspraken, waaronder de gemaakte afspraken op gebied van informatiebeveiliging, per leverancier. Je kunt dan beoordelen:

Een ISO 27001 leveranciersbeoordeling is, zoals gezegd, geen kwestie van een checklist afwerken. Je kunt leveranciersmanagement binnen ISO 27001 inrichten op een manier die voor jouw organisatie het beste werkt. Hoe je dat doet is aan jou. Wat in elk geval belangrijk is, is dat je als organisatie leert van goede en slechte ervaringen met leveranciers en dat je continu blijft monitoren, ervaringen bespreekt met directie en daarop acteert. Alleen door scherp en alert te blijven op de prestaties van je leverancier, kun je stappen maken ter verbetering. Op die manier kun je een continue verbetering met betrekking tot je inkoopproces op gang helpen. En dat is het precies waar het om draait!

De scope van een ISMS beschrijft welke informatiebeveiliging binnen een organisatie wordt beheerst, afgestemd op producten, diensten en stakeholderverwachtingen. De scope kan variëren van alle informatie binnen de organisatie tot een specifieke subset, zoals bepaalde processen, locaties, informatiesystemen of personen. Elementen buiten de scope mogen geen onbeheerst risico vormen en moeten afdoende beveiligd worden. Een duidelijke afbakening voorkomt risico’s en helpt bij de naleving van wet- en regelgeving. Bij complexe IT-landschappen is een overzicht van systemen en hun classificatie essentieel voor effectieve beveiliging.

Wat zijn dan relevante eisen aan leveranciers? Praktisch uitgangspunt is dat de leverancier een passende beheersing moet krijgen [ISO 27001 8.1].*

Leveranciers die de scope kunnen beïnvloeden, moeten zijn geïnformeerd over de voor hen relevante regels uit het managementsysteem [ISO 27001 5.2g].

Breder gesproken kunnen leveranciers op meerdere plaatsen een rol krijgen in het managementsysteem [ISO 27001 5.3], bijvoorbeeld bij inhuur van een Security Officer, of kennis moeten nemen van doelstellingen en beleid waar zij aan moeten bijdragen [ISO 27001 6.2h, 7.3]. Eenvoudig gezegd: zorg dat belangrijke leveranciers een duidelijke taak krijgen, competent personeel leveren en weten wat ze moeten doen (dit komt in vervolgeisen hieronder ook terug):

Het hangt uiteraard af van wat de dienstverlening inhoudt welke uitvoerende taken en relevante beheersmaatregelen men dient na te leven. De eisen aan iemand die back-ups uitvoert [ISO 27001 A.12.3.1] zullen anders zijn dan die aan een organisatie die nieuwe medewerkers helpt screenen [ISO 27001 A.7.1.1]. Leveranciers welke op locatie komen, zullen meestal worden behandeld als bezoeker [ISO 27001 A.11] en zich mogelijk aan bedieningsprocedures moeten houden [ISO 27001 A.12.1.1]. Dat gezegd hebbende, zijn er een aantal beheersmaatregelen waar expliciet aandacht gevraagd wordt:

 * Daarbij is het aannemelijker dat ISO 27001 gecertificeerde leveranciers (met de juiste scope en verklaring van toepasselijkheid) zaken goed beheersen indien er een goed contract met die leverancier ligt. De externe auditor van die leverancier dient namelijk te controleren of dat bedrijf in staat is aan de stakeholdereisen te voldoen. Daarbij is er natuurlijk geen garantie dat bij die externe audit de steekproeven zo genomen zijn dat er voldoende vertrouwen ontstaat in de praktijk. Een alternatief kan de ISAE 3402 zijn.

Met betrekking tot de leveranciersrelatie, zijn er de volgende expliciete eisen (bron: NEN ISO 27002):

Op basis van o.a. de AVG/GDPR zal ook bedongen zijn dat de leverancier melding doet van datalekken. Het is daarnaast ook de bedoeling dat de leverancier relevante incidenten of kwetsbaarheden meldt [ISO 27001 A.16.1.2].

Op basis van de bovenstaande informatie en set aan eisen dient bepaald te worden welke leveranciers relevant zijn en met deze leveranciers zullen er dus overeenkomsten moeten zijn. Voor dat laatste is het verstandig de ISO 27002 normtekst, hoofdstuk 15 leveranciersbeheersing (gelijk aan ISO 27001 Annex A 15) bij NEN aan te schaffen, en in detail door te lezen.

Praktisch gezien zal er vaak een algemeen geldend leveranciersbeleid zijn dat aan de inkoopverantwoordelijke (of bevoegden) de taak geeft om per leverancier:

Wil je aan de slag met ISO 27001 of kun je wel wat ondersteuning gebruiken bij de ISO 27001 leveranciersbeoordeling? Of wil je een leveranciersbeoordeling ISO 27001 voorbeeld ontvangen? Neem dan gerust contact met ons op. Onze adviseur helpen je graag op weg!