Informatiebeveiligingsbeleid voor leveranciersrelaties

Uit NORA Online
Ga naar: navigatie, zoeken
Versie 1.1 van 30 maart 2021 van de BIO Thema-uitwerking Softwarepakketten is vervangen door versie 1.2 van 26 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 1.2 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Objectdefinitie

Betreft het resultaat van een besluitvorming, in welk tijdbestek en met welke middelen de doelstellingen voor informatiebeveiliging voor de relatie met leveranciers bereikt moeten worden.

Objecttoelichting

De kwaliteit die een klant als geheel ervaart van een softwarepakket wordt in belangrijke mate bepaald door de ondersteuning die de leverancier biedt gedurende de levenscyclus van een product in zowel goede als slechte tijden. Hiervoor is het nodig dat een passende leverancier wordt gekozen. Dit maakt onderdeel uit van het selectieproces. Randvoorwaardelijk is het maken van goede contractuele afspraken.

Schaalgrootte

Elke schaalgrootte.

Voor wie

Klant.


Criterium

Met de leverancier behoren de informatiebeveiligingseisen en een periodieke actualisering daarvan te worden overeengekomen.

Doelstelling

Het beheersen van de leveranciersrelatie specifiek gericht op informatiebeveiliging.

Risico

Onvoldoende mogelijkheid om sturing te geven aan leveranciersrelaties specifiek voor informatiebeveiliging.

Indeling binnen ISOR

Dit beveiligingsprincipe:

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is BIO (Baseline Informatiebeveiliging Overheid) 15.1.1

Onderliggende normen

IDConformiteitsindicatorStelling
SWP_B.02.01 Informatiebeveiligingseisen

De overeenkomsten en documentatie omvatten afspraken over:

  • procedures voor levenscyclusmanagement, actualisaties en patches;
  • beveiligingseisen voor fysieke toegang, monitoring en beheer op afstand;
  • verplichtingen voor leveranciers om vertrouwelijke informatie van de klant te beschermen;
  • het bepalen van aanvullende beveiligingseisen zoals het recht op een audit;
  • de bewaking van informatiebeveiligingsprestaties met overeengekomen beveiligingsafspraken voor externe leveranciers;
  • het vaststellen van een methode voor het afsluiten, beëindigen, verlengen en heronderhandelen van contracten met externe leveranciers (exit-strategie);
  • de wijze van rapportage over de dienstverlening.