A.15 Leveranciersrelaties
ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie
Norm | Titel | Doelstellingen en beheersmaatregelen | Deelnemer | BSNk | BO | Opmerkingen | Toelichting en referenties |
|---|---|---|---|---|---|---|---|
A.15 | Leveranciersrelaties | ||||||
A.15.1 | Informatiebeveiliging in leveranciersrelaties | De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor leveranciers. | |||||
A.15.1.1 | Informatiebeveiligingsbeleid voor | Met de leverancier moeten de informatiebeveiligingseisen om risico’s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, worden overeengekomen en gedocumenteerd. | v | v | v | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |
A.15.1.2 | Opnemen van beveiligingsaspecten in leveranciersovereenkomsten | Alle relevante informatiebeveiligingseisen moeten worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. | Sv | Sv | Sv | Bij uitbesteding (deel) van de rol/activiteiten aan een onderaannemer, dienen de stelselspecifieke (beveiligings)eisen doorvertaald te worden, de opdrachtgever (deelnemer, BSNk,BO) blijft verantwoordelijk. | Iedere overeenkomst met een derde moet een paragraaf/onderdeel te bevatten met eisen ten aanzien van informatiebeveiliging. Deze eisen moeten zijn gebaseerd op een risicoanalyse. |
A.15.1.3 | Toeleveringsketen van informatie- en | Overeenkomsten met leveranciers moeten eisen bevatten die betrekking hebben op de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. | Sv | Sv | Sv | Bij uitbesteding (deel) van de rol/activiteiten aan een onderaannemer, dienen de stelselspecifieke (beveiligings)eisen doorvertaald te worden, de opdrachtgever (deelnemer, BSNk,BO) blijft verantwoordelijk. | Iedere overeenkomst met een derde moet een paragraaf/onderdeel te bevatten met eisen ten aanzien van informatiebeveiliging m.b.t. de toeleveringsketen. Deze eisen moeten zijn gebaseerd op een risicoanalyse. |
A.15.2 | Beheer van dienstverlening van leveranciers | Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven. | |||||
A.15.2.1 | Monitoring en beoordeling van dienstverlening van leveranciers | Organisaties moeten regelmatig de dienstverlening van leveranciers monitoren, beoordelen en auditen. | Sv | Sv | Sv | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |
A.15.2.2 | Beheer van veranderingen in dienstverlening van leveranciers | Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor | Sv | Sv | Sv | Deelnemers, BSNk en BO vullen dit naar eigen inzicht in. | |