ISO 27001 – Bijlage A.15: Relaties met leveranciers

Wat is het doel van bijlage A.15.1?

Bijlage A.15.1 gaat over informatiebeveiliging in leveranciersrelaties. Het doel hierbij is de bescherming van de waardevolle activa van de organisatie die toegankelijk zijn voor of beïnvloed worden door leveranciers.

We raden u ook aan om ook hier rekening te houden met andere belangrijke relaties, bijvoorbeeld partners als zij geen leverancier zijn, maar ook een impact hebben op uw vermogen die mogelijk niet alleen door een contract alleen wordt gedekt.

A.15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties

Leveranciers worden om twee belangrijke redenen gebruikt; één: je wilt dat ze werk doen waar je intern zelf voor hebt gekozen om het niet te doen, of; twee: je kunt het werk niet zo goed of zo kosteneffectief doen als de leveranciers.

Er zijn veel belangrijke zaken waarmee rekening moet worden gehouden bij de aanpak van de selectie en het beheer van leveranciers, maar er is niet één maatstaf voor iedereen en sommige leveranciers zullen belangrijker zijn dan andere. Als zodanig moeten uw controles en beleid dat ook weerspiegelen en is een segmentatie van de toeleveringsketen verstandig; wij pleiten voor vier categorieën leveranciers op basis van de waarde en het risico in de relatie. Deze variëren van leveranciers die bedrijfskritisch zijn tot andere leveranciers die geen materiële impact hebben op uw organisatie.

Sommige leveranciers zijn ook machtiger dan hun klanten (stel je voor dat je Amazon vertelt wat je moet doen als je hun AWS-services voor hosting gebruikt), dus het heeft geen zin om controles en beleid te hebben waar de leveranciers zich niet aan zullen houden. Daarom is het waarschijnlijker dat ze vertrouwen op hun standaardbeleid, controles en overeenkomsten – wat betekent dat de leveranciersselectie en het risicobeheer nog belangrijker worden.

Om een ​​meer vooruitstrevende benadering van informatiebeveiliging in de toeleveringsketen te hanteren bij de meer strategische (waardevolle/hogere risico)leveranciers, moeten organisaties ook binaire 'comply or die'-risicooverdrachtspraktijken vermijden, zoals vreselijke contracten die een goede samenwerking in de weg staan. In plaats daarvan raden we aan dat ze nauwere werkrelaties ontwikkelen met die leveranciers waar waardevolle informatie en bedrijfsmiddelen in gevaar zijn, of waar ze op een of andere (positieve) manier bijdragen aan uw informatiebronnen. Dit zal waarschijnlijk leiden tot betere werkrelaties en dus ook tot betere bedrijfsresultaten.

Een goed beleid beschrijft de leverancierssegmentatie, selectie, management, exit, hoe informatiemiddelen rond leveranciers worden beheerd om de bijbehorende risico's te beperken en toch de bedrijfsdoelen en doelstellingen te kunnen bereiken. Slimme organisaties zullen hun informatiebeveiligingsbeleid voor leveranciers in een breder raamwerk van relaties plaatsen en zich niet alleen op de beveiliging per se concentreren, maar ook naar de andere aspecten kijken.

Een organisatie wil misschien dat leveranciers toegang krijgen tot en bijdragen aan bepaalde waardevolle informatiemiddelen (bijvoorbeeld de ontwikkeling van softwarecodes, boekhoudkundige salarisinformatie). Ze zouden daarom duidelijke afspraken moeten hebben over welke toegang ze hen precies verlenen, zodat ze de beveiliging eromheen kunnen controleren. Dit is vooral belangrijk nu steeds meer informatiebeheer-, verwerkings- en technologiediensten worden uitbesteed. Dat betekent dat er een plek is waar je kunt laten zien dat het beheer van de relatie plaatsvindt; contracten, contacten, incidenten, relatieactiviteiten en risicobeheer etc. Als de leverancier ook nauw betrokken is bij de organisatie, maar mogelijk niet over een eigen gecertificeerd ISMS beschikt, zorg er dan voor dat het personeel van de leverancier is opgeleid en zich bewust is van de beveiliging, getraind is in uw beleid etc. Het is ook de moeite waard om compliance rond te demonstreren.

A.15.1.2 Aandacht voor beveiliging binnen leveranciersovereenkomsten

Alle relevante informatiebeveiligingseisen moeten aanwezig zijn bij elke leverancier die toegang heeft tot de informatie van de organisatie (of de middelen die deze verwerken) of deze kan beïnvloeden. Ook dit mag geen one-size-fits-all zijn; kies voor een risicogebaseerde aanpak met betrekking tot de verschillende soorten betrokken leveranciers en het werk dat zij doen. Samenwerken met leveranciers die al voldoen aan het merendeel van de informatiebeveiligingsbehoeften van uw organisatie voor de diensten die zij u leveren en die een goede staat van dienst hebben in het op verantwoorde wijze aanpakken van informatiebeveiligingsproblemen is een zeer goed idee, omdat het al deze processen veel eenvoudiger zal maken.

In eenvoudige bewoordingen: zoek naar leveranciers die zelf al een onafhankelijke ISO 27001-certificering of gelijkwaardig hebben behaald. Het is ook belangrijk om ervoor te zorgen dat de leveranciers op de hoogte worden gehouden en betrokken worden bij eventuele wijzigingen in het ISMS, of specifiek worden betrokken bij de onderdelen die van invloed zijn op hun diensten. Uw auditor wil dit graag bewezen zien. Door dit bij te houden in de onboardingprojecten van uw leveranciers of in de jaarlijkse beoordelingen, kunt u dit eenvoudig doen.

In de leveringsomvang en overeenkomsten moeten doorgaans worden opgenomen: het werk en de omvang ervan; informatie die gevaar loopt en classificatie; wettelijke en regelgevende vereisten, bijvoorbeeld naleving van de AVG en/of andere toepasselijke wetgeving; rapportage en beoordelingen; niet-openbaarmaking; IPR; probleembehandeling; specifiek beleid waaraan moet worden voldaan als dit belangrijk is voor de overeenkomst; verplichtingen voor onderaannemers; screening op personeel enz.

Een goed standaardcontract regelt deze punten, maar zoals hierboven is het soms niet nodig en kan het ver overdreven zijn voor het soort levering, of is het misschien niet mogelijk om een ​​leverancier te dwingen uw idee van goede praktijk te volgen. . Wees pragmatisch en risicogericht in de aanpak. Deze controledoelstelling sluit ook nauw aan bij bijlage A.13.2.4, waar vertrouwelijkheids- en geheimhoudingsovereenkomsten centraal staan.

A.15.1.3 Toeleveringsketen van informatie- en communicatietechnologie

Een goede controle bouwt voort op A.15.1.2 en is gericht op de ICT-leveranciers die mogelijk iets aanvullend of in plaats van de standaardaanpak nodig hebben. ISO 27002 pleit voor talrijke implementatiegebieden en hoewel deze allemaal goed zijn, is er ook enig pragmatisme nodig. De organisatie moet zich opnieuw bewust worden van haar omvang in vergelijking met enkele van de zeer grote aanbieders waarmee zij soms zal samenwerken (bijvoorbeeld datacentra en hostingdiensten, banken enz.), waardoor haar vermogen om praktijken verder in de toeleveringsketen te beïnvloeden mogelijk wordt beperkt. De organisatie moet zorgvuldig overwegen welke risico's er kunnen zijn op basis van het type informatie- en communicatietechnologiediensten dat wordt geleverd. Als de leverancier bijvoorbeeld een aanbieder is van infrastructuurkritieke diensten en toegang heeft tot gevoelige informatie (bijvoorbeeld de broncode voor de vlaggenschipsoftwareservice), moet hij ervoor zorgen dat er een grotere bescherming is dan wanneer de leverancier eenvoudigweg wordt blootgesteld aan openbaar beschikbare informatie (bijvoorbeeld een eenvoudige website).

Wat is het doel van bijlage A.15.2?

Bijlage A.15.2 gaat over het management van de ontwikkeling van leveranciersdiensten. Het doel van deze bijlage A-controle is ervoor te zorgen dat een overeengekomen niveau van informatiebeveiliging en dienstverlening wordt gehandhaafd in overeenstemming met de overeenkomsten met leveranciers.

A.15.2.1 Monitoring en beoordeling van leveranciersdiensten
Een goede controle bouwt voort op A15.1 en beschrijft hoe organisaties de dienstverlening van hun leveranciers regelmatig monitoren, beoordelen en auditen. Het uitvoeren van beoordelingen en monitoring kan het beste worden gedaan op basis van de informatie die gevaar loopt – aangezien een uniforme aanpak niet voor iedereen geschikt is. De organisatie moet ernaar streven haar beoordelingen uit te voeren in overeenstemming met de voorgestelde segmentatie van leveranciers om zo hun middelen te optimaliseren en ervoor te zorgen dat zij hun inspanningen richten op monitoring en beoordeling waar dit de meeste impact zal hebben. Net als bij A15.1 is er soms behoefte aan pragmatisme. Als u een zeer kleine organisatie bent, krijgt u bij AWS niet noodzakelijkerwijs een audit, een beoordeling van de menselijke relatie en specifieke serviceverbeteringen. U kunt echter (laten we zeggen) controleren of hun jaarlijks gepubliceerde SOC II-rapporten en beveiligingscertificeringen nog steeds geschikt zijn voor uw doel.

Het bewijs van de monitoring moet worden aangevuld op basis van uw macht, risico's en waarde, zodat uw auditor kan zien dat de monitoring is voltooid en dat eventuele noodzakelijke wijzigingen zijn beheerd via een formeel wijzigingscontroleproces.

A.15.2.2 Wijzigingen in de diensten van leveranciers beheren

Een goede controle beschrijft hoe eventuele wijzigingen in de dienstverlening door leveranciers, inclusief het onderhouden en verbeteren van bestaand informatiebeveiligingsbeleid, procedures en controles, worden beheerd. Er wordt rekening gehouden met de kriticiteit van de bedrijfsinformatie, de aard van de verandering, het/de betrokken leverancierstype(s), de betrokken systemen en processen en een herbeoordeling van de risico's. Bij veranderingen in de diensten van leveranciers moet ook rekening worden gehouden met de intimiteit van de relatie en het vermogen van de organisatie om veranderingen bij de leverancier te beïnvloeden of te controleren.

Hoe helpt ISMS.online bij leveranciersrelaties?

ISMS.online heeft dit controledoel zeer eenvoudig gemaakt door het bewijs te leveren dat uw relaties zorgvuldig zijn gekozen, goed worden beheerd in het leven, inclusief gecontroleerd en beoordeeld. Dat is precies wat ons gebruiksvriendelijke gebied Accountrelaties (bijvoorbeeld leveranciers) doet. De werkruimten voor samenwerkingsprojecten zijn ideaal voor belangrijke onboarding van leveranciers, gezamenlijke initiatieven, offboarding enz., die de auditor indien nodig ook gemakkelijk kan bekijken.

ISMS.online heeft dit controledoel ook voor uw organisatie eenvoudiger gemaakt door u in staat te stellen bewijs te leveren dat de leverancier zich formeel heeft gecommitteerd aan het naleven van de vereisten en zijn verantwoordelijkheden voor informatiebeveiliging heeft begrepen via onze Policy Packs. Beleidspakketten zijn ideaal als de organisatie specifieke beleidsregels en controles heeft die de medewerkers van leveranciers moeten volgen en er vertrouwen in moeten hebben dat ze deze hebben gelezen en zich ertoe hebben verbonden deze na te leven – buiten de bredere overeenkomsten tussen klant en leverancier.