Skip to main content

A.15 Leveranciersrelaties

ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie

Norm

Titel

Doelstellingen en beheersmaatregelen

Deelnemer

BSNk

BO

Opmerkingen

Toelichting en referenties

A.15

Leveranciersrelaties 

A.15.1

Informatiebeveiliging in leveranciersrelaties 

De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor leveranciers. 

A.15.1.1

Informatiebeveiligingsbeleid voor
leveranciersrelaties 

Met de leverancier moeten de informatiebeveiligingseisen om risico’s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, worden overeengekomen en gedocumenteerd. 

v

v

v

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.

A.15.1.2

Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

Alle relevante informatiebeveiligingseisen moeten worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. 

Sv

Sv

Sv

Bij uitbesteding (deel) van de rol/activiteiten aan een onderaannemer, dienen de stelselspecifieke (beveiligings)eisen doorvertaald te worden, de opdrachtgever (deelnemer, BSNk,BO) blijft verantwoordelijk.

Iedere overeenkomst met een derde moet een paragraaf/onderdeel te bevatten met eisen ten aanzien van informatiebeveiliging. Deze eisen moeten zijn gebaseerd op een risicoanalyse.

A.15.1.3

Toeleveringsketen van informatie- en
communicatietechnologie 

Overeenkomsten met leveranciers moeten eisen bevatten die betrekking hebben op de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. 

Sv

Sv

Sv

Bij uitbesteding (deel) van de rol/activiteiten aan een onderaannemer, dienen de stelselspecifieke (beveiligings)eisen doorvertaald te worden, de opdrachtgever (deelnemer, BSNk,BO) blijft verantwoordelijk.

Iedere overeenkomst met een derde moet een paragraaf/onderdeel te bevatten met eisen ten aanzien van informatiebeveiliging m.b.t. de toeleveringsketen. Deze eisen moeten zijn gebaseerd op een risicoanalyse.

A.15.2

Beheer van dienstverlening van leveranciers 

Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven. 

A.15.2.1

Monitoring en beoordeling van dienstverlening van leveranciers 

Organisaties moeten regelmatig de dienstverlening van leveranciers monitoren, beoordelen en auditen. 

Sv

Sv

Sv

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.

A.15.2.2

Beheer van veranderingen in dienstverlening van leveranciers 

Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor
informatiebeveiliging, moeten worden beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico’s.

Sv

Sv

Sv

Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.