Doelstelling: De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor leveranciers.
Beheersmaatregel
Met de leverancier behoren de informatiebeveiligingseisen om risico’s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden overeengekomen en gedocumenteerd.
Zorgspecifieke beheersmaatregel
Organisaties die gezondheidsinformatie verwerken, behoren de risico's in verband met toegang door externe partijen tot deze systemen of gegevens die zij bevatten, te beoordelen en vervolgens beveiligingsbeheersmaatregelen te implementeren die bij het geïdentificeerde risiconiveau en de toegepaste technologieën passen.
Implementatierichtlijn
De organisatie behoort beheersmaatregelen voor informatiebeveiliging vast te stellen en verplicht te stellen om specifiek de toegang van de leverancier tot de informatie van de organisatie beleidsmatig aan te pakken. Deze beheersmaatregelen behoren betrekking te hebben op de door de organisatie te implementeren processen en procedures, en op de processen en procedures waarvan de organisatie behoort te eisen dat de leverancier deze implementeert, met inbegrip van:
a) vaststellen en documenteren van de soorten leveranciers, bijv. IT-diensten, logistieke voorzieningen, financiële diensten, IT-infrastructuurcomponenten waarvan de organisatie de toegang tot de informatie wil toestaan;
b) een gestandaardiseerd proces en gestandaardiseerde levenscyclus voor het beheren van leveranciersrelaties;
c) definiëren van de soorten informatietoegang die verschillende soorten leveranciers wordt toegestaan, en de toegang monitoren en controleren;
d) een minimum aan informatiebeveiligingseisen voor elk soort informatie en elk soort toegang dat dient als basis voor individuele leveranciersovereenkomsten, gebaseerd op de bedrijfsbehoeften en -eisen van de organisatie en haar risicoprofiel;
e) processen en procedures voor het monitoren van de naleving van vastgestelde informatiebeveiligingseisen voor elk soort leverancier en elk soort toegang, met inbegrip van beoordeling van derden en productvalidatie;
f) beheersmaatregelen betreffende nauwkeurigheid en volledigheid ter waarborging van de integriteit van de informatie of informatieverwerking die elke partij biedt;
g) soorten verplichtingen die van toepassing zijn op leveranciers om de informatie van de organisatie te beschermen;
h) omgaan met incidenten en noodsituaties die verband houden met toegang voor leveranciers met inbegrip van verantwoordelijkheden van zowel de organisatie als van de leveranciers;
i) regelingen voor flexibiliteit en, zo nodig voor herstel en noodsituaties om de beschikbaarheid te waarborgen van de informatie of de informatieverwerking die door elk van de partijen wordt geboden;
j) bewustzijnstraining voor het personeel van de organisatie dat betrokken is bij acquisitie met betrekking tot toepasselijke beleidsregels, processen en procedures;
k) bewustzijnstraining voor het personeel van de organisatie dat contacten onderhoudt met personeel van de leverancier betreffende passende regels van betrokkenheid en gedrag, gebaseerd op het type leverancier en het soort toegang dat de leverancier heeft tot systemen en informatie van de organisatie;
l) voorwaarden waarop informatiebeveiligingseisen en beheersmaatregelen zullen worden gedocumenteerd in een overeenkomst die door beide partijen wordt ondertekend;
m)beheren van de nodige transities van informatie, informatieverwerkende faciliteiten en al het andere dat moet overgaan, en waarborgen dat informatiebeveiliging tijdens de gehele transitieperiode wordt gehandhaafd.
Zorgspecifieke implementatierichtlijn
Risicobeoordeling is essentieel voor doeltreffend management van de toegang door derden tot systemen die gezondheidsinformatie, met name persoonlijke gezondheidsinformatie, bevatten. De rechten van cliënten behoren te worden beschermd, zelfs wanneer een externe partij met potentiële toegang tot persoonlijke gezondheidsinformatie zich in een ander rechtsgebied bevindt dan het rechtsgebied dat van kracht is voor de cliënt of de gezondheidsorganisatie.
Overige informatie
Informatie kan in gevaar worden gebracht door leveranciers met een inadequaat informatiebeveiligingsbeheer. Om toegang voor leveranciers tot informatieverwerkende faciliteiten te beheren behoren beheersmaatregelen te worden vastgesteld en toegepast. Indien er bijvoorbeeld een speciale behoefte is om de informatie vertrouwelijk te houden, kunnen geheimhoudingsovereenkomsten worden gebruikt. Een ander voorbeeld vormen gegevensbeschermingsrisico’s als de leveranciersovereenkomst betrekking heeft op de overdracht van, of toegang tot informatie over de grens. De organisatie behoort zich ervan bewust te zijn dat de wettelijke of contractuele verantwoordelijkheid voor het beschermen van de informatie bij de organisatie ligt.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Leveranciersovereenkomsten behoren te worden vastgesteld en gedocumenteerd om te waarborgen dat er geen misverstand tussen de organisatie en de leverancier bestaat ten aanzien van de verplichtingen van beide partijen om te voldoen aan relevante informatiebeveiligingseisen.
Overwogen behoort te worden om de volgende voorwaarden in de overeenkomsten op te nemen om te voldoen aan de vastgestelde informatiebeveiligingseisen:
a) omschrijving van de informatie die moet worden verschaft of toegankelijk moet worden en methoden om de informatie te verschaffen of toegankelijk te maken;
b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie (zie 8.2); zo nodig ook mapping tussen het eigen schema van de organisatie en het schema van de leverancier;
c) wettelijke en regelgevende eisen, met inbegrip van gegevensbescherming, rechten van intellectuele eigendom en auteursrecht, en een beschrijving van hoe wordt gewaarborgd dat eraan wordt voldaan;
d) verplichting van elke contractuele partij om een overeengekomen aantal beheersmaatregelen te implementeren, waaronder toegangsbeveiliging, prestatiebeoordeling, monitoren, rapporteren en auditen;
e) de regels van aanvaardbaar gebruik van informatie, met inbegrip van onaanvaardbaar gebruik indien noodzakelijk;
f) hetzij een expliciete lijst van leverancierspersoneel dat geautoriseerde toegang heeft of bevoegd is informatie van de organisatie te ontvangen, hetzij procedures of voorwaarden voor autorisatie en het intrekken van de autorisatie, tot toegang tot of ontvangst van informatie van de organisatie door leverancierspersoneel.
g) beleidsregels betreffende informatiebeveiliging die relevant zijn voor het specifieke contract;
h) eisen voor incidentbeheer en -procedures (in het bijzonder notificatie en samenwerking tijdens herstel van het incident);
i) trainings- en bewustzijnseisen voor specifieke procedures en informatiebeveiligingseisen, bijv. voor incidentresponsprocedures, autorisatieprocedures;
j) relevante regelgeving voor onderaanneming, met inbegrip van de beheersmaatregelen die moeten worden geïmplementeerd;
k) relevante overeenkomstpartners, met inbegrip van een contactpersoon voor aangelegenheden betreffende informatiebeveiliging;
l) indien relevant, screeningeisen voor leverancierspersoneel, met inbegrip van verantwoordelijkheden voor het uitvoeren van de screening en notificatieprocedures indien de screening niet is voltooid of de resultaten aanleiding geven tot twijfel of bezorgdheid;
m)het recht om de processen en beheersmaatregelen van de leverancier in verband met de overeenkomst te auditen;
n) procedures voor het oplossen van defecten en conflicten;
o) verplichting van de leverancier om periodiek een onafhankelijk rapport te verstrekken over de doeltreffendheid van beheersmaatregelen, en overeenkomst over tijdige correctie van relevante kwesties die in het rapport aan de orde worden gesteld;
p) verplichting van de leverancier om te voldoen aan de beveiligingseisen van de organisatie.
Zorgspecifieke implementatierichtlijn
Het managen van dienstverlening door derden wordt sterk vereenvoudigd als er een formele overeenkomst wordt gesloten die aangeeft welke beheersmaatregelen er minimaal moeten worden geïmplementeerd.
Overige informatie
De overeenkomsten kunnen voor de verschillende organisaties en de verschillende soorten leveranciers aanzienlijk variëren. Daarom behoort zorgvuldigheid in acht te worden genomen zodat alle relevante beveiligingsrisico’s en eisen worden opgenomen. Leveranciersovereenkomsten kunnen ook betrekking hebben op andere partijen (bijv. op subleveranciers).
Ter vermijding van vertraging in het regelen van vervanging van producten of diensten, is het nodig om te overwegen procedures voor het continueren van de processen in de overeenkomst op te nemen, voor het geval de leverancier niet meer in staat is om de afgesproken producten of diensten te leveren.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Overwogen behoort te worden de volgende onderwerpen op te nemen in leveranciersovereenkomsten betreffende beveiliging van de toeleveringsketen:
a) informatiebeveiligingseisen definiëren die gelden voor acquisitie van producten of diensten op het gebied van informatie- en communicatietechnologie naast de algemene informatiebeveiligingseisen voor leveranciersrelaties;
b) met betrekking tot diensten op het gebied van informatie- en communicatietechnologie, eisen dat leveranciers de beveiligingseisen van de organisatie in de gehele toeleveringsketen bekendmaken indien leveranciers delen van diensten op het gebied van informatie- en communicatietechnologie die zij aan de organisatie leveren, uitbesteden;
c) met betrekking tot producten op het gebied van informatie- en communicatietechnologie, eisen dat leveranciers passende beveiligingspraktijken in de gehele toeleveringsketen bekendmaken indien deze producten componenten bevatten die van andere leveranciers worden betrokken;
d) een monitorproces en aanvaardbare methoden implementeren om te valideren dat geleverde producten en diensten op het gebied van informatie- en communicatietechnologie in overeenstemming zijn met verklaarde beveiligingseisen;
e) een proces implementeren voor het vaststellen van componenten van producten of diensten die essentieel zijn voor het handhaven van de functionaliteit en daardoor verhoogde aandacht en toezicht vereisen als deze buiten de organisatie worden gebouwd, in het bijzonder indien de eindleverancier delen van componenten van producten of diensten aan andere leveranciers uitbesteedt;
f) zekerheid verkrijgen dat essentiële componenten en de herkomst ervan in de toeleveringsketen kunnen worden nagespeurd;
g) zekerheid verkrijgen dat de geleverde producten op het gebied van informatie- en communicatietechnologie functioneren zoals voorzien zonder onverwachte of ongewenste verschijnselen;
h) regels definiëren voor het delen van informatie met betrekking tot de toeleveringsketen en potentiële kwesties en compromissen tussen de organisatie en leveranciers;
i) specifieke processen implementeren voor het beheren van de levenscyclus en de beschikbaarheid van de componenten van de informatie- en communicatietechnologie en samenhangende beveiligingsrisico’s. Hiertoe behoort het beheren van de risico’s van componenten die niet langer beschikbaar zijn doordat leveranciers niet meer bestaan of doordat leveranciers deze componenten niet meer leveren in verband met verbeterde technologie.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
De specifieke risicobeheerpraktijken betreffende de toeleveringsketen van informatie- en communicatietechnologie komen boven op de algemene praktijken van informatiebeveiliging, kwaliteit, projectbeheer en systeemengineering, maar vervangen deze niet.
Organisaties wordt geadviseerd om samen te werken met leveranciers voor een goed begrip van de toeleveringsketen van informatie- en communicatietechnologie en de aangelegenheden die een belangrijke impact hebben op de producten en diensten die worden geleverd. Organisaties kunnen informatiebeveiligingspraktijken van de toeleveringsketen van informatie- en communicatietechnologie beïnvloeden door in overeenkomsten met hun leveranciers de aangelegenheden bekend te maken waaraan door andere leveranciers in de toeleveringsketen van informatie- en communicatietechnologie invulling behoort te worden gegeven.
De toeleveringsketen van informatie- en communicatietechnologie zoals in dit document aan de orde gesteld omvat eveneens dienstverlening op het gebied van cloudcomputing.
Overige zorgspecifieke informatie
<geen>
Doelstelling: Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven.
Beheersmaatregel
Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren, te beoordelen en te auditen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Het monitoren en beoordelen van dienstverlening van leveranciers behoort te waarborgen dat aan de voorwaarden van informatiebeveiliging wordt voldaan, en dat incidenten en problemen betreffende informatiebeveiliging op de juiste manier worden behandeld.
Hiertoe behoort een proces voor het beheer van de dienstverlening te bestaan betreffende de relatie tussen de organisatie en de leverancier om:
a) de prestatieniveaus van de dienstverlening te monitoren om naleving van de overeenkomsten te verifiëren;
b) de rapporten over de dienstverlening die zijn opgesteld door de leverancier te beoordelen, en regelmatig voortgangsbesprekingen te regelen voor zover door de overeenkomsten vereist;
c) audits van leveranciers uit te voeren, indien beschikbaar tezamen met de beoordeling van rapporten van onafhankelijke auditoren, en vastgestelde kwesties op te volgen;
d) informatie te verstrekken over informatiebeveiligingsincidenten en deze informatie te beoordelen voor zover vereist door de overeenkomsten en ondersteunende richtlijnen en procedures;
e) audittrajecten van leveranciers en verslagen van informatiebeveiligingsgebeurtenissen, operationele problemen, weigeringen, opsporing van storingen en onderbrekingen in verband met de geleverde dienst te beoordelen;
f) vastgestelde problemen op te lossen en te beheren;
g) informatiebeveiligingsaspecten van de relaties van de leverancier met zijn eigen leveranciers te beoordelen;
h) te bewerkstelligen dat de leverancier voldoende capaciteit voor de diensten onderhoudt samen met werkbare plannen die zijn ontworpen om te waarborgen dat de overeengekomen continuïteitsniveaus van de dienstverlening na grote storingen of calamiteiten in de dienstverlening worden onderhouden (zie hoofdstuk 17).
De verantwoordelijkheid voor het beheer van leveranciersrelaties behoort te worden toegekend aan een daarvoor aangewezen persoon of dienstverleningsbeheerteam. De organisatie behoort verder ervoor te zorgen dat leveranciers verantwoordelijkheden toewijzen voor het beoordelen van de naleving en het dwingend uitvoeren van de eisen van de overeenkomsten. Om te monitoren dat de eisen van de overeenkomst, in het bijzonder de informatiebeveiligingseisen, worden nagekomen, behoren voldoende technische vaardigheden en middelen beschikbaar te worden gesteld. Als tekortkomingen in de dienstverlening worden waargenomen behoort passende actie te worden ondernomen.
De organisatie behoort voldoende algehele controle over en zicht te houden op alle beveiligingsaspecten betreffende gevoelige of essentiële informatie of informatieverwerkende faciliteiten die toegankelijk zijn voor, worden verwerkt of beheerd door een leverancier. De organisatie behoort via een gedefinieerde rapportageprocedure zicht te houden op beveiligingsactiviteiten zoals wijzigingsbeheer, vaststellen van kwetsbaarheden en rapporteren van en respons op informatiebeveiligingsincidenten.
Zorgspecifieke implementatierichtlijn
Zie ook de zorgspecifieke implementatierichtlijn in 15.1.2.
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor informatiebeveiliging, behoren te worden beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico’s.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
De volgende aspecten behoren in overweging te worden genomen:
a) veranderingen in leveranciersovereenkomsten;
b) veranderingen die door de organisatie zijn aangebracht ter implementatie van:
1) verbeteringen van de huidige aangeboden dienstverlening;
2) ontwikkelingen van nieuwe toepassingen en systemen;
3) wijzigingen in of updates van beleid en procedures van de organisatie;
4) nieuwe of gewijzigde beheersmaatregelen om informatiebeveiligingsincidenten op te lossen en om de veiligheid te verbeteren.
c) veranderingen in diensten van de leverancier ter implementatie van:
1) veranderingen en verbeteringen van netwerken;
2) gebruik van nieuwe technologieën;
3) aanvaarding van nieuwe producten of nieuwe versies/uitgaven;
4) nieuwe ontwikkelinstrumenten en omgevingen;
5) veranderingen in fysieke locatie van dienstverleningsfaciliteiten;
6) verandering van leverancier;
7) onderaanneming bij een andere leverancier.
Zorgspecifieke implementatierichtlijn
Zie ook de zorgspecifieke implementatierichtlijn in 15.1.2.
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
