ISO 27001 leveranciersbeoordelingOm een kwalitatief goed eindproduct op te kunnen leveren aan je klant maak je ongetwijfeld gebruik van leveranciers. Je werkt met software van andere partijen? Je koopt producten in bij leveranciers voor je webshop? Je maakt gebruik van licenties van derden? Allemaal mogelijke manieren waarop je in aanraking komt met leveranciers. Wanneer zij niet of onvoldoende (kwaliteit) leveren, niet werken volgens jouw standaarden, geen rekening houden met de beveiliging van data die wordt verwerkt of zich niet houden aan eisen, wetten en/of uitgangspunten, dan heeft dat gevolgen voor de kwaliteit van jouw producten of diensten. Om die reden is het zaak dat leveranciers periodiek beoordeeld worden. Wanneer je werkt conform ISO 27001 dan is het bovendien vanuit de norm ook verplicht om dat te doen. In dit artikel vertellen we je meer over ISO 27001 en leveranciersmanagement.

Artikeltip: Lees ook het artikel ‘ISO 27002 wijzigingen in 2021, wat betekent dat voor jouw organisatie?‘ 

Download de handige ISO 27001 informatiegids

Wil je meer weten over ISO 27001 – de norm voor informatiebeveiliging? Download dan geheel vrijblijvend onze handige ‘ISO 27001 informatiegids’ met daarin antwoord op al je vragen.

DOWNLOAD INFORMATIEGIDS

Informatiegids ISO 27001

Een leveranciersbeleid conform ISO 27001

In de ISO 27001 norm is leveranciersmanagement opgenomen. Van daaruit is het dus zaak dat je aan de slag gaat met een leveranciersbeleid en periodieke -beoordeling. Zo kun je komen tot het maken van afspraken met je leveranciers en periodiek toetsen of de leverancier de gemaakte afspraken kan waarmaken en dus nakomt. Door aandacht te leggen op leveranciersmanagement kun je de samenwerking met leveranciers optimaliseren en professionaliseren om op die manier te borgen dat het bijdraagt aan de korte en lange termijn doelstellingen van je organisatie. Je kunt bijvoorbeeld leveranciers tegen het licht houden in het kader van doelen als:

  • Het verlenen van een optimale dienstverlening en toelevering aan jouw organisatie en aan die van jouw opdrachtgevers;
  • Het mitigeren van risico’s om zo continuïteit van bedrijfsprocessen te borgen, imagoschade te voorkomen;
  • Etc.

Om te beginnen is het verstandig om in een ISO 27001 leveranciersbeleid vast te leggen wat belangrijke waarden zijn voor jouw organisatie die je zoekt in de samenwerking met je leveranciers. Denk bijvoorbeeld aan waarden als Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV), praktijkgerichtheid en flexibiliteit, maar ook aan de optimale prijs/kwaliteitverhouding. Door dit vast te leggen kun je jouw leveranciers daarop selecteren en ‘toetsen’.

Lees ook het artikel: Dataclassificatie bij informatiebeveiliging: Beschikbaarheid, integriteit en vertrouwelijkheid (BIV)

ISO 27001 scopeDaarnaast kun je in je leveranciersbeleid diverse uitgangspunten/eisen opnemen waarop je jouw leveranciers gaat selecteren en (periodiek) beoordelen. Denk aan uitgangspunten als:

  • Voldoen aan wet- en regelgeving;
  • Contractuele voorwaarden;
  • Inkoopvoorwaarden;
  • Criteria voor contractverlening;
  • Gegevensverwerking die voldoet aan de veiligheidseisen conform gemaakte afspraken (zoals een verwerkersovereenkomst en/of SLA);
  • Naleven van een eventuele SLA;
  • Het (op)volgen van privacyrichtlijnen;
  • Snelheid van reageren;
  • Proactiviteit;
  • Voldoen aan gestelde verwachtingen en eisen op gebied van bijvoorbeeld kwaliteit, informatiebeveiliging e.d.
  • Het ondertekenen van eventuele geheimhoudingsverklaringen;
  • Het in bezit zijn van bepaalde certificeringen en vergunningen;
  • Hoe ze omgaan met informatieclassificatie (BIV);
  • Etc.

Het is overigens niet de bedoeling dat je eisen stelt die voor jouw eigen organisatie niet eens haalbaar zijn. Houd het werkbaar en wees redelijk.

Ook kan in het leveranciersbeleid vast worden gelegd hoe de communicatie met leveranciers, bij voorkeur, dient te verlopen. Welke middelen worden daarvoor gebruikt? Op welke wijze en met welke frequentie wenst je organisatie facturen te ontvangen? Tot slot kun je in een leveranciersbeleid vastleggen op welke wijze en met welke frequentie je leveranciers beoordeeld en door wie dit binnen je organisatie wordt uitgevoerd.

Meer lezen over ISO 27001 en ISO 27002? Bekijk het artikel: Het verschil tussen ISO 27001 en 27002, hoe zit dat?

De ISO 27001 leveranciersbeoordeling opzetten

1) Breng je leveranciers in kaart

Wat is een ISMS - ISO 27001Zodra je jouw leveranciersbeleid hebt vastgelegd, is het aan jou als organisatie om in kaart te brengen met welke leveranciers je momenteel zakendoet. Vervolgens kun je per leverancier beoordelen of deze past bij de dienstverlening/producten die je bij die leverancier inkoopt/wilt inkopen. Neem bij de ISO 27001 leveranciersbeoordeling wel in ogenschouw dat je niet iedere leverancier op exact dezelfde manier kunt beoordelen. Niet iedere leverancier is, in het kader van je doelstellingen, namelijk ‘even belangrijk’, want niet iedere leverancier heeft bijvoorbeeld invloed op je informatiebeveiliging.

Het is daarom goed om te kijken naar de impact die een leverancier heeft op jouw eindproduct en op je informatie. Daarvoor kun je bijvoorbeeld een risicoprofiel per leverancier maken. Van daaruit kun je eventueel per leverancier concrete afspraken maken. Voor een leverancier met grote impact zullen die anders liggen dan voor een leverancier van bijvoorbeeld je koffiebonen. Voorbeeld: Bij een accountant kun je werken middels een verwerkersovereenkomst, waar je bij een facilitair dienstverlener eerder kijkt naar zaken als afdwingen dat er altijd dezelfde medewerkers in je pand werken en/of in bezit zijn van een VOG.

Wat in veel organisaties gebeurt is het creëren van standaardlijstjes die vervolgens, meestal net voordat de externe audit plaatsvindt, ingevuld worden voor iedere leverancier zodat er een leveranciersbeoordeling is uitgevoerd. Simpelweg omdat ‘het moet van ISO’. Dat is echter onzin! Je kan, mag en/of moet misschien wel iedere leverancier op een andere manier benaderen en beoordelen.

Ook relevant? Artikel: Leveranciersmanagement en de leveranciersbeoordeling vanuit ISO

2) Maak afspraken met je leveranciers en leg die vast

Zodra je leveranciers in kaart hebt gebracht en hebt besloten met welke leveranciers je samenwerkt is het zaak dat er met alle leveranciers (contractuele) afspraken worden gemaakt en dienen er (daarin) ook afspraken op het gebied van informatiebeveiliging te worden gemaakt. Die afspraken moeten ook worden vastgelegd. Daarbij is het ook van belang om rekening te houden met de afspraken die je met jouw klant(en) hebt: matchen die met de afspraken met je leveranciers?

Een afnemer van jouw product of dienst associeert dat product of dienst immers met jouw bedrijfsnaam. Wanneer er ook maar iets, al is dat het kleinste component, niet aan de eisen voldoet, dan komt jouw bedrijfsnaam in een kwaad daglicht te staan. Uiteraard kun je dan de schuld bij je leverancier leggen, maar daar koop je uiteraard niets voor.

Afspraken maken en eisen stellen is één ding, maar het is belangrijk dat je checkt of die afspraken ook daadwerkelijk worden nagekomen. Als een leverancier aangeeft in het bezit te zijn van bijvoorbeeld een ISO 27001 certificeringen, vraag daar dan om. Garanderen ze bepaalde voorwaarden, vraag dan bijvoorbeeld om testresultaten. Kortom: zoek naar bewijs dat bevestigt dat hetgeen dat een leverancier belooft ook daadwerkelijk zo is.

Tip: Gratis hulpmiddel bij ISO 27001: De PDCA duidelijker en beter toepasbaar!

3) Beoordeel je leveranciers periodiek

Wanneer je als opdrachtgever eisen stelt aan een leverancier, dan is het natuurlijk ook zaak om de prestaties van je leveranciers te monitoren. Dat kun je doen tijdens de periodieke leveranciersbeoordeling die je vanuit ISO 27001 ook verplicht bent om te doen. Zorg er daarbij wel voor dat het beoordelen van je leveranciers daadwerkelijk toegevoegde waarde oplevert voor je organisatie. Je moet geen ISO 27001 leveranciersbeoordeling gaan doen omdat het ‘moet van ISO’.

Stappenplan ISO 27001

Tijdens de periodieke beoordeling leg je jouw leveranciers naast je leveranciersbeleid en kijk je naar de gemaakte afspraken, waaronder de gemaakte afspraken op gebied van informatiebeveiliging, per leverancier. Je kunt dan beoordelen:

  • In hoeverre een leverancier bijdraagt aan de gestelde organisatiedoelen;
  • Of een leverancier (nog altijd) past bij de (kern)waarden die jij als organisatie koppelt aan de samenwerking met leveranciers;
  • Of je leverancier de gemaakte afspraken, eisen en verwachtingen nakomt;
  • Of er afgelopen periode fouten of klachten zijn geconstateerd;
  • Of er verbeteringen mogelijk zijn;
  • Etc.

Een ISO 27001 leveranciersbeoordeling is, zoals gezegd, geen kwestie van een checklist afwerken. Je kunt leveranciersmanagement binnen ISO 27001 inrichten op een manier die voor jouw organisatie het beste werkt. Hoe je dat doet is aan jou. Wat in elk geval belangrijk is, is dat je als organisatie leert van goede en slechte ervaringen met leveranciers en dat je continu blijft monitoren, ervaringen bespreekt met directie en daarop acteert. Alleen door scherp en alert te blijven op de prestaties van je leverancier, kun je stappen maken ter verbetering. Op die manier kun je een continue verbetering met betrekking tot je inkoopproces op gang helpen. En dat is het precies waar het om draait!

Jan Penning, Algemeen Directeur bij WSB Solutions: “Het hele ISO 9001 & 27001 traject heeft ons een managementsysteem opgeleverd dat bij ons past. Al met al denk ik dat de grootste winst van het hele traject is dat we onze informatiebeveiliging op een veel hoger plan gebracht hebben, dat er structuur is gebracht in de organisatie en, het belangrijkste, dat we continu kritisch kijken naar wat er beter kan en dit dan ook aanpakken!” – Wil je de hele ervaring van WSB Solutions lezen? Bekijk dan de WSB Solutions klantcase.

Wil je meer informatie?

Wil je aan de slag met ISO 27001 of kun je wel wat ondersteuning gebruiken bij de ISO 27001 leveranciersbeoordeling? Neem dan gerust contact met ons op. Onze adviseur helpen je graag op weg!


Download Informatiegids ISO 27001

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl