Bij het overwegen van een nieuwe leverancier of nieuwe dienst van een bestaande leverancier overweegt de betreffende manager meerdere aspecten voordat deze een beslissing neemt. Dit wordt gedaan om te beoordelen of deze leverancier een bedreiging kan vormen voor de informatiebeveiliging van de organisatie en de kwaliteitsstandaard die Jump nastreeft. In het geval het aanstellen van de nieuwe leverancier of dienst gepaard gaat met een hoog risico t.o.v. de operationele activiteiten, een verhoogde financiële impact heeft of de betreffende manager niet de capaciteiten bezit om een deskundige afweging te maken, overlegt deze met de directie over de te nemen route. Vóór het aangaan van een bindende overeenkomst legt de manager het plan voor aan de Quality & Security Officer voor de beoordeling of aanvullende maatregelen genomen dienen te worden.
Bij de selectie van een nieuwe leverancier of aanpassing van de bestaande dienstverlening wordt rekening gehouden met de volgende aspecten:
In het geval dat Jump informatiesystemen wil uitbreiden/aanschaffen waar primair een hoge mate van persoons- en/of vertrouwelijke gegevens in (zal) worden verwerkt, is de betreffende manager verantwoordelijk voor het (laten) uitvoeren van de beoordeling van "Overzicht belangrijke leveranciers" (B-530a). Hierbij kijkt Jump naar de functionaliteiten, risico’s en overige eisen waar de (nieuwe) leverancier aan moet voldoen. In samenspraak met de directie en de hoofdgebruikers van het nieuwe systeem maakt de betreffende manager een besluit over de mogelijke alternatieven.
De Quality & Security Officer is verantwoordelijk voor het borgen dat eventuele risico’s welke naar voren komen in het selecteren van nieuwe leveranciers worden gemitigeerd tot een, voor de directie, acceptabel niveau. In het “Overzicht belangrijke leveranciers” (B-530a) is gespecificeerd welke eisen worden gesteld aan leveranciers. Dit kunnen contractuele afspraken bevatten zoals een verwerkersovereenkomst, een geheimhoudingsverklaring of een Service-Level Agreement (SLA), maar kan ook bestaan uit een eis voor een specifieke certificering (b.v. ISO 9001, ISO 27001 inclusief de verklaring van toepasselijkheid) of het recht om een leveranciersaudit uit te kunnen voeren.
Persoonsgegevens
Als leveranciers (fysieke en/of logische) toegang hebben tot persoonsgegevens (van werknemers, klanten of andere betrokkenen), zorgt de Quality & Security Officer ervoor dat er een “verwerkersovereenkomst” (B-530d) door beide partijen wordt ondertekend om te voldoen aan de AVG.
Vertrouwelijke gegevens
Als een leverancier vertrouwelijke informatie verwerkt (volgens het informatieclassificatie overzicht, B-410a), zorgt de Quality & Security Officer ervoor dat er een 'geheimhoudingsverklaring' (B-530c) wordt ondertekend of onderdeel is van de overige overeenkomsten.
Belangrijke leveranciers
Van de leveranciers waar zaken mee wordt gedaan, is een selectie gemaakt van bedrijven die een significante invloed hebben op de bedrijfsvoering of het informatiebeveiligingsniveau van de organisatie (zie "Overzicht belangrijke leveranciers"; B-530a).
De onboarding van leveranciersbeheer wordt gedaan in Orbit in het Leveranciersbeheer board. voor elke leverancier een to-do aangemaakt met een vaste checklist. Daarnaast wordt per leverancier een leveranciersbeoordelingsdocument opgesteld, waarin de risico's worden geanalyseerd.
Leveranciers worden geclassificeerd volgens de legenda die te vinden is in B-530a Belangrijke leveranciers.
Minimaal één keer per jaar evalueren de relevante managers de kritische leveranciers met behulp van het evaluatieformulier op het “Overzicht belangrijke leveranciers” (B-530a). De Quality & Security Officer coördineert en bewaakt de evaluatie en zorgt ervoor dat alle kritische leveranciers (minimaal) jaarlijks worden geëvalueerd, voordat de directiebeoordeling (P-650) plaatsvindt.
Tijdens de directiebeoordeling en de kwartaaloverleggen, evalueert de directie de beoordeling van de belangrijke leveranciers. Dit doen zij door te kijken naar het "Overzicht belangrijke leveranciers" (B-530a) en de daarop ingevulde scores van de managers. Daarnaast beoordeeld de directie de leveranciers op basis van eventuele verbeter notities en incidenten gerelateerd aan de leverancier en borgen zij dat de benodigde documentatie (overeenkomsten en certificaten) nog actueel is.
Vervolgens beslist de directie over de te nemen maatregelen, bijvoorbeeld:
Deze maatregelen worden vastgelegd in het "Overzicht belangrijke leveranciers" (B-530a) en gecommuniceerd aan de betrokkenen. De Quality & Security Officer houdt toezicht op de follow-up van deze acties middels de actielijst en zorgt ervoor dat de actiehouders de nodige acties uitvoeren binnen de gestelde deadline.
De organisatie kan een audit (laten) uitvoeren bij haar leveranciers om het niveau van informatiebeveiliging van derden en de naleving van het overeengekomen beleid te waarborgen. Hierbij gelden de volgende criteria:
Indien de afhankelijkheid van de leverancier (zie B-530a) hoog is en de leverancier in aanraking komt met vertrouwelijke informatie en/of persoonsgegevens maar geen ISO 27001 of vergelijkbaar certificaat kunnen overleggen, dan dient er één keer in de 3 jaar een onafhankelijke audit uitgevoerd te worden. Wanneer de leverancier kan aantonen dat de organisatie binnen nu en 12 maanden gecertificeerd zal zijn vervalt de audit eis ook.
Daarnaast zal deze leverancier ook toegevoegd worden aan de risicoanalyse, om er voor te zorgen dat er een jaarlijkse evaluatie plaatsvindt.
De organisatie heeft aanvullende eisen vastgesteld voor cloud service leveranciers. Deze eisen worden vastgelegd en beoordeeld in een leveranciersbeoordelingsdocument dat per leverancier wordt opgesteld.
De volgende maatregelen zijn geïmplementeerd:
De eisen voor cloud service leveranciers zijn formeel vastgelegd in het leveranciersbeleid en worden per leverancier beoordeeld en gedocumenteerd in een leveranciersbeoordelingsdocument.
In dit beoordelingsdocument worden expliciet criteria opgenomen voor cloud diensten, waaronder:
De beoordeling van deze eisen vindt plaats tijdens de selectie, onboarding en periodieke evaluatie van leveranciers. De resultaten van deze beoordelingen worden vastgelegd in het betreffende leveranciersbeoordelingsdocument.
De exit-strategie voor cloud services is reeds vastgelegd in het beleid en wordt toegepast tijdens de offboarding van leveranciers. Deze exit-strategie wordt eveneens opgenomen en geëvalueerd in het leveranciersbeoordelingsdocument.
Door het formaliseren van deze eisen en het vastleggen van de beoordeling per leverancier in een beoordelingsdocument, wordt geborgd dat cloud service leveranciers structureel worden beoordeeld conform de eisen van ISO 27001 control A.5.23.
Een exitstrategie voor cloudproviders helpt Jump om een georganiseerde, veilige, en efficiënte overgang te waarborgen bij het beëindigen van een samenwerking met een cloudprovider.
Doelstelling van de Exitstrategie
Om een Cloudprovider goed te offboarden, zal de B-530g Checklist offboarden cloudproviders gevolgd moeten worden. In de B-530a Leveranciersoverzicht staat beschreven voor welke leverancier de checklist gevolgd dient te worden.