Leveranciersovereenkomsten

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CLD_U.01
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Intentie

Objectdefinitie

In een leveranciersovereenkomst worden informatiebeveiligingseisen, processen en procedures vastgelegd die overeengekomen worden met een leverancier. Wat wordt overeengekomen hangt samen met de informatiebeveiligingsrisico’s die verband houden met het gebruik van de producten en diensten van deze leverancier.

Objecttoelichting

Gegevens en bestanden op de systemen van de CSP die tijdens het gebruik van de clouddienst worden aangemaakt of gewijzigd, kunnen van cruciaal belang zijn voor de veilige werking, het herstel en de continuïteit van de dienst. Afspraken hierover, inclusief het eigendom van alle bedrijfsmiddelen en de informatie en de partijen die verantwoordelijk zijn voor de activiteiten die verband houden met deze bedrijfsmiddelen, zoals back-up- en hersteloperaties, moeten worden gedefinieerd en gedocumenteerd. Anders bestaat het risico dat de CSP ervan uitgaat dat de CSC bepaalde vitale taken uitvoert (of andersom) en kan er gegevensverlies optreden.

Criterium

Relevante informatiebeveiligingseisen behoren te worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie te worden overeengekomen, hierbij wordt ook gekeken naar de toeleveringsprocessen van de CSP.

Doelstelling

Overeenkomen van afspraken over en het niveau van dienstverlening waaronder informatiebeveiliging in de leveranciersrelaties CSC-CSP.

Risico

Als afspraken over dienstverlening en informatiebeveiliging tussen CSC en CSP niet expliciet, eenduidig en volledig zijn vastgelegd, bestaat het risico dat verantwoordelijkheden en verwachtingen verschillend worden geïnterpreteerd, waardoor essentiële beveiligings- en beheertaken niet of niet tijdig worden uitgevoerd en dit kan leiden tot verlies van gegevens, verstoring van de dienstverlening en verminderde continuïteit.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Intentie.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002:2022 5.20

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_U.01.01	Overeengekomen	De CSC moet de rollen en verantwoordelijkheden op het gebied van de dienstverlening waaronder informatiebeveiliging met betrekking tot de clouddienst bevestigen, zoals beschreven in de serviceovereenkomst. Deze kunnen de volgende processen omvatten: malware bescherming; back-up; cryptografische controles; kwetsbaarheidsbeheer; probleembehandeling; technische nalevingscontrole; beveiligingstests; auditing; verzamelen, onderhouden en beschermen van bewijsmateriaal, inclusief logboeken en audittrails; bescherming van informatie bij beëindiging van de dienstverleningsovereenkomst; authenticatie en toegangscontrole; identiteits- en toegangsbeheer.
CLD_U.01.02	Overeengekomen	De serviceovereenkomst tussen de CSC en de CSP bevat in ieder geval de volgende bepalingen en/of voorwaarden: de omvang, kenmerken en locatie van zakelijke relaties en aangeboden diensten; de informatiebeveiligingseisen; het verandermanagementproces; de mogelijkheid tot registratie en monitoring; de incidentbeheer- en communicatieprocedures; het recht op audit en beoordeling door derden; beëindiging van de dienst; vereisten voor interoperabiliteit en portabiliteit; de vereisten voor het waarborgen van de privacy van degene waarvan de gegevens worden verwerkt.
CLD_U.01.03	Overeengekomen	De CSP moet als onderdeel van een overeenkomst de relevante informatiebeveiligingsmaatregelen specificeren die de CSP zal implementeren om misverstanden tussen de CSP en de CSC te voorkomen.
CLD_U.01.04	Overeengekomen	De relevante informatiebeveiligingsmaatregelen die de CSP zal implementeren, kunnen variëren afhankelijk van het type clouddienst dat de CSC gebruikt.
CLD_U.01.05	Toeleveringsprocessen	Als een CSP clouddiensten van collega-CSP’s gebruikt, moet de CSP ervoor zorgen dat de informatiebeveiligingsniveaus voor zijn eigen CSC’s worden gehandhaafd of overschreden.
CLD_U.01.06	Toeleveringsprocessen	Wanneer de CSP clouddiensten levert op basis van een toeleveringsketen, moet de CSP informatiebeveiligingsdoelstellingen aan leveranciers verstrekken en elk van de leveranciers verzoeken risicobeheeractiviteiten uit te voeren om de doelstellingen te bereiken en geeft de CSC gedetailleerde informatie over het toepassen van de informatiebeveiligingsdoelstellingen en het periodiek uitvoeren van beveiligingsbeoordelingen in de hele toeleveringsketen.
CLD_U.01.07	Toeleveringsprocessen	De CSP geeft de CSC duidelijkheid over hoe derde partijen wier diensten bijdragen aan het aanbieden van de clouddienst, met daarin: hoe de risico’s die voortvloeien uit de inkoop van diensten van derden zijn beperkt; duidelijkheid dat hier sprake is van een subverwerker in het kader van de AVG; duidelijkheid over het gebruik van erkende industriestandaards; duidelijkheid over toepasselijke wettelijke en regelgevende vereisten; eisen aan het omgaan met kwetsbaarheden, beveiligingsincidenten en storingen. Met daarbij de: specificaties voor de contractuele overeenstemming van deze eisen; specificaties voor het monitoren van deze eisen; en specificaties om deze eisen ook toe te passen op door de derde partijen gebruikte dienstverleners, voor zover de door deze dienstverleners geleverde diensten ook bijdragen aan het aanbieden van de clouddienst.