Beleid inzake leveranciersbeveiliging

Het Beleid inzake leveranciersbeveiliging (P26) biedt een uitgebreid governanceraamwerk voor het opzetten, beheren en continu toezicht houden op veilige relaties met derde-partijleveranciers, contractanten, cloudproviders en dienstverleners van derde partijen. Dit beleid is bedoeld voor organisaties die zich inzetten voor het handhaven van strikte normen voor informatiebeveiliging bij het uitbesteden of inkopen van diensten die toegang hebben tot, gegevens verwerken of integreren met kritieke bedrijfsapplicaties, bedrijfsmiddelen en systemen. Het beleid is van toepassing op alle leveranciersbetrekkingen waarbij gevoelige gegevens, productieomgeving(en) of ondersteuning van kernbedrijfsfuncties betrokken zijn, en omvat zowel directe leveranciers als hun onderaannemers. Het beschrijft gedetailleerde rollen en verantwoordelijkheden voor de Chief Information Security Officer (CISO), inkoop en leveranciersmanagement, informatiebeveiliging en risicoleads, eigenaren van zakelijke relaties en de functies Juridische zaken en compliance. Elke rol draagt bij aan het veilige levenscyclusbeheer van leveranciers, van initiële risicobeoordeling en contractonderhandeling tot doorlopende monitoring en veilige beëindiging. Centraal in het beleid staat de eis voor een formeel model voor classificatie van derden en risicotiering, waarmee leveranciers worden gegroepeerd op basis van gegevenstoegang, servicekritikaliteit, regelgevende blootstellingen en afhankelijkheden van derden. Alle relaties met derden moeten een gedefinieerde levenscyclusaanpak volgen: leveranciers doorlopen leveranciers-due diligence vóór contractering, risicobeoordeling en contractuele beveiligingsbeoordeling; contracten moeten zijn uitgerust met afdwingbare beveiligingsmaatregelen, waaronder meldings-SLA's, auditrechten, gegevensverwerking en specifieke eisen voor het gebruik van onderaannemers. Leveranciers worden vervolgens continu gemonitord via nalevingsattesten, SLA-prestaties, incidentrapportage en wijzigingen in hun diensten of personeel. Als een leverancier niet volledig aan de beveiligingseisen kan voldoen, verplicht het beleid een formeel proces voor uitzonderingsaanvragen, met documentatie, compenserende maatregelen en goedkeuring door het topmanagement. Uitzonderingsstatus leidt tot frequente beoordelingen en kan resulteren in heronderhandelde voorwaarden of aanvullende audits. Leveranciers die niet voldoen, krijgen te maken met contractuele sancties, opschorting of beëindiging van diensten en toegang. Strikte handhaving wordt geborgd via geplande nalevingsaudits, prestatiebeoordelingen van leveranciers en disciplinaire maatregelen voor interne omzeiling van beleid. Het beleid wordt ten minste jaarlijks herzien of bij significante wijzigingen in de inkoopstrategie, het regelgevingslandschap of na grote informatiebeveiligingsincidenten bij leveranciers. Alle wijzigingen en auditresultaten worden gedocumenteerd en organisatiebreed gecommuniceerd, waarmee een volledig traceerbaar en compliant programma voor toegangsgovernance voor derden wordt onderhouden.