Third Party & Supply Chain Security Policy

Posted on    by

Beleid Third-Party & Supply Chain Security

Context

Zorgorganisaties maken in toenemende mate gebruik van externe leveranciers, dienstverleners en ketenpartners voor de ondersteuning van zorgprocessen en kritieke diensten. Deze externe afhankelijkheden brengen specifieke security-gerelateerde risico’s met zich mee, onder meer op het vlak van informatiebeveiliging, cybersecurity, fysieke beveiliging en continuïteit.

Dit beleid geeft invulling aan het security-perspectief binnen het organisatiebrede Beleid Outsourcing & Third-Party Management. Waar het bovenliggende beleid de governance- en risicokaders voor outsourcing en externe samenwerking vastlegt, beschrijft dit document hoe de organisatie security-risico’s binnen leveranciers- en ketenrelaties identificeert, beoordeelt en beheerst.

Dit beleid maakt deel uit van een samenhangende, organisatiebrede aanpak voor het beheersen van externe afhankelijkheden en ondersteunt de borging van veilige, continue en kwalitatieve zorgverlening.

Doel

Het doel van dit beleid is het vastleggen van de beleidsprincipes en vereisten voor het beheersen van security-gerelateerde risico’s bij leveranciers en ketenpartners, met als doel:

  • risico’s voor informatie, systemen en diensten bij externe partijen te identificeren en te beheersen,

  • patiëntveiligheid, zorgkwaliteit en zorgcontinuïteit te ondersteunen,

  • cyber-, informatie- en supply-chain-security-risico’s proportioneel te beperken,

  • en samenhang te waarborgen tussen security-maatregelen en het organisatiebrede beleid voor outsourcing en externe samenwerking.

Reikwijdte

Dit beleid is van toepassing op:

  • alle leveranciers, dienstverleners en ketenpartners waarvoor security-risico’s relevant zijn,

  • alle vormen van outsourcing, inkoop en samenwerking waarbij externe partijen toegang hebben tot informatie, systemen, infrastructuur of kritieke processen,

  • alle zorg-, ondersteunende en administratieve processen met een security-impact,

  • alle omgevingen waarin externe partijen actief zijn (fysiek, digitaal, cloud en hybride),

  • en de volledige levenscyclus van leveranciers- en ketenrelaties, voor zover deze security-relevant zijn.

Dit beleid is ondergeschikt aan het organisatiebrede Beleid Outsourcing & Third-Party Management en specificeert uitsluitend het security-perspectief.

Eigenaarschap, goedkeuring & herziening

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het bestuursorgaan:

  • keurt dit beleid formeel goed,

  • ziet toe op de effectiviteit van het organisatiebrede kader voor outsourcing en externe samenwerking,

  • en ontvangt periodiek rapportering over significante security-risico’s bij externe partijen.

Het bestuursorgaan is eindverantwoordelijk, maar niet betrokken bij de operationele uitvoering.

Dagelijks Bestuur

Het dagelijks bestuur:

  • is verantwoordelijk voor de implementatie en operationalisering van dit beleid,

  • borgt de afstemming met het bovenliggende beleid voor outsourcing en third-party management,

  • wijst verantwoordelijkheden toe en voorziet passende middelen,

  • en rapporteert over relevante security-risico’s en verbeteracties.

Eerste lijn

Directies & afdelingshoofden

Directies en afdelingshoofden zijn verantwoordelijk voor:

  • het toepassen van dit beleid binnen hun verantwoordelijkheidsdomein,

  • het identificeren en signaleren van security-risico’s bij leveranciers en ketenpartners,

  • het bewaken van correcte toepassing van gemaakte afspraken,

  • en het melden van incidenten en afwijkingen.

IT-departement

Het IT-departement is verantwoordelijk voor de operationele beheersing van security-risico’s bij ICT-, digitale en cloud-gerelateerde leveranciers en ketenpartners.

Het IT-departement:

  • identificeert en beheert security-risico’s verbonden aan uitbestede IT-diensten en systemen,

  • bewaakt de naleving van security-vereisten in de dagelijkse werking,

  • signaleert wijzigingen in technologie, architectuur of dienstverlening die het risicoprofiel beïnvloeden,

  • detecteert en behandelt (of escaleert) security-incidenten bij externe IT-partijen,

  • en werkt samen met de CISO, BCM-verantwoordelijke en andere tweede-lijnfuncties bij opvolging en verbetering.

Tweede lijn

De tweede lijn ondersteunt, adviseert en bewaakt de samenhang tussen third-party- en supply-chain-management en andere managementsystemen.

Chief Risk Officer (CRO)

De CRO borgt de aansluiting van third-party- en supply-chain-risico’s met het organisatiebrede Enterprise Risk Management en bewaakt de consistentie van risicobeoordelingen en prioriteiten.

Chief Information Security Officer (CISO)

De CISO borgt informatiebeveiliging en cybersecurity binnen leveranciersrelaties en ziet toe op de integratie van third-party-risico’s binnen het Information Security Management System.

Business Continuity Management Verantwoordelijke

De BCM-verantwoordelijke bewaakt de impact van leveranciers en ketenpartners op zorgcontinuïteit en kritieke processen en zorgt voor samenhang met het Business Continuity Management System.

Data Protection Officer (DPO)

De DPO bewaakt privacy- en gegevensbeschermingsaspecten bij leveranciers en ketenpartners en ondersteunt bij het beheersen van privacyrisico’s binnen uitbesteding en samenwerking.

Inkoop en Contractmanagement

Inkoop en Contractmanagement borgen dat beleidsvereisten worden vertaald naar contracten, SLA’s en leveranciersafspraken en ondersteunen de opvolging ervan.

Derde lijn – Onafhankelijke assurance

De derde lijn voorziet onafhankelijke en objectieve assurance over de geschiktheid, opzet en werking van het risicobeheer, de interne beheersmaatregelen en de governance met betrekking tot dit beleid.

Deze assurance kan worden ingevuld door:

  • een interne auditfunctie, of

  • een onafhankelijk extern audit- of assurance-mechanisme.

De derde lijn opereert onafhankelijk van de eerste en tweede lijn en rapporteert rechtstreeks aan het bestuursorgaan. De bevindingen en aanbevelingen van de derde lijn dragen bij aan inzicht, transparantie en continue verbetering van het beleid en de onderliggende beheersmaatregelen.

Goedkeuring

Dit beleid wordt formeel goedgekeurd door het bevoegde bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en minimaal aangepast bij:

  • significante wijzigingen in risico’s

  • belangrijke wijzigingen in leverancierslandschap

  • relevante wijzigingen in organisatiecontext

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk, tijdelijk en gemotiveerd.
Elke afwijking vereist formele goedkeuring, documentatie en periodieke evaluatie.

Beleidsverklaring

De organisatie kiest ervoor om security-risico’s bij leveranciers en ketenpartners bewust, proportioneel en risicogebaseerd te beheersen. Externe samenwerking mag geen afbreuk doen aan de veiligheid van informatie, systemen, processen of zorgverlening.

Third Party & Supply Chain Security wordt beschouwd als een essentieel perspectief binnen het organisatiebrede beleid voor outsourcing en externe samenwerking en als een noodzakelijke voorwaarde voor veilige en betrouwbare zorg.

Beleidsvereisten

De organisatie hanteert de onderstaande beleidsvereisten voor het beheersen van security-gerelateerde risico’s bij leveranciers en ketenpartners.
Deze vereisten vormen het inhoudelijke en normerende kader voor alle onderliggende richtlijnen, procedures, contractuele bepalingen en controles binnen het security-perspectief van outsourcing en third-party management.

Governance en verantwoordelijkheid in leveranciersrelaties

De organisatie borgt dat governance, verantwoordelijkheden en beslissingsbevoegdheden met betrekking tot security in leveranciers- en ketenrelaties expliciet zijn vastgelegd en actief worden uitgeoefend.

Security-verantwoordelijkheden blijven steeds bij de organisatie en worden niet impliciet overgedragen aan externe partijen. Leveranciers en ketenpartners worden aangesproken op hun rol binnen dit governance-kader.

  • ISO 28000:2022, Clause 5 – Leadership and security policy
    Deze clausule benadrukt dat leiderschap en duidelijke verantwoordelijkheden essentieel zijn voor het effectief beheersen van security binnen de supply chain. Dit ondersteunt de beleidskeuze dat governance en verantwoordelijkheid expliciet bij de organisatie blijven.

  • ISO 28000:2022, Clause 6 – Planning
    Deze clausule vereist dat verantwoordelijkheden en bevoegdheden met betrekking tot security-risico’s systematisch worden vastgelegd en geïntegreerd in het managementsysteem.

  • ISO/IEC 27036-1:2021, Clause 6 – Concepts and principles
    Dit onderdeel verduidelijkt dat de uitbestedende organisatie verantwoordelijk blijft voor het beheren van informatiebeveiligingsrisico’s bij leveranciersrelaties.

  • ISO/IEC 27036-2:2022, Clause 5 – Governance of supplier relationships
    Deze clausule ondersteunt de beleidskeuze dat security governance bij leveranciersrelaties expliciet moet worden ingericht en niet impliciet mag blijven.

  • ISO/IEC 27036-2:2022, Clause 6 – Roles and responsibilities
    Dit onderdeel onderbouwt dat rollen en verantwoordelijkheden tussen organisatie en leverancier duidelijk moeten worden vastgelegd en actief worden opgevolgd.

Classificatie van leveranciers en security-relevantie

De organisatie classificeert leveranciers en ketenpartners op basis van hun security-relevantie en kriticiteit voor informatie, systemen, processen en zorgverlening.

De diepgang en zwaarte van security-maatregelen worden proportioneel afgestemd op de potentiële impact van een leverancier of ketenpartner op vertrouwelijkheid, integriteit, beschikbaarheid en continuïteit.

  • ISO 28000:2022, Clause 6 – Planning
    Deze clausule vereist dat risico’s binnen de supply chain systematisch worden geïdentificeerd en geprioriteerd. Dit ondersteunt de beleidskeuze om leveranciers te classificeren op basis van hun security-relevantie en kriticiteit.

  • ISO 28000:2022, Clause 8 – Operation
    Deze clausule onderbouwt dat beheersmaatregelen proportioneel moeten worden toegepast in functie van de aard en impact van de geïdentificeerde risico’s, wat aansluit bij een risicogebaseerde leveranciersclassificatie.

  • ISO/IEC 27036-1:2021, Clause 7 – Risk identification and assessment
    Dit onderdeel beschrijft dat leveranciers en externe partijen moeten worden beoordeeld op hun impact op informatie en diensten, wat de basis vormt voor classificatie.

  • ISO/IEC 27036-2:2022, Clause 7 – Supplier risk assessment
    Deze clausule ondersteunt expliciet het classificeren van leveranciers op basis van risicoprofiel en kriticiteit voor informatiebeveiliging.

  • ISO/IEC 27036-3:2023, Clause 6 – Supply chain risk context
    Dit onderdeel benadrukt dat de positie van een leverancier binnen de keten en de aard van de geleverde producten of diensten bepalend zijn voor de toegepaste security-maatregelen.

Security-risicobeoordeling over de volledige levenscyclus

De organisatie voert security-risicobeoordelingen uit voor leveranciers en ketenpartners gedurende de volledige levenscyclus van de relatie, waaronder selectie, contractering, transitie, exploitatie, wijziging en beëindiging.

Security-risico’s worden periodiek herbeoordeeld en aangepast aan veranderende omstandigheden, dreigingen of afhankelijkheden.

  • ISO 28000:2022, Clause 6 – Planning
    Deze clausule vereist dat security-risico’s binnen de supply chain systematisch worden geïdentificeerd, geanalyseerd en beoordeeld als onderdeel van de planning van het managementsysteem.

  • ISO 28000:2022, Clause 8 – Operation
    Dit onderdeel benadrukt dat operationele beheersing van supply-chain-activiteiten moet steunen op actuele risicobeoordelingen, inclusief wijzigingen in context, dreigingen en afhankelijkheden.

  • ISO/IEC 27036-1:2021, Clause 7 – Risk identification and assessment
    Deze clausule onderbouwt dat risico’s in leveranciersrelaties gedurende de volledige levenscyclus moeten worden beoordeeld en herzien, niet enkel bij aanvang van de relatie.

  • ISO/IEC 27036-2:2022, Clause 7 – Supplier risk assessment
    Dit onderdeel vereist dat risico’s bij leveranciers periodiek worden herbeoordeeld en afgestemd op veranderingen in de relatie, dienstverlening of dreigingsbeeld.

  • ISO/IEC 27036-3:2023, Clause 7 – Lifecycle considerations
    Deze clausule ondersteunt de beleidskeuze dat security-risico’s expliciet moeten worden beheerd tijdens selectie, contractering, transitie, exploitatie en beëindiging van leveranciersrelaties.

Vastleggen en afdwingen van security-vereisten

Security-vereisten voor informatie, systemen, diensten en processen worden expliciet vastgelegd richting leveranciers en ketenpartners.

Deze vereisten omvatten onder meer toegangsbeheer, beveiligingsmaatregelen, meldingsverplichtingen, toezicht, rapportering en naleving. De organisatie ziet toe op de afdwingbaarheid en opvolging van deze vereisten gedurende de looptijd van de relatie.

  • ISO 28000:2022, Clause 8.1 – Operational planning and control
    Deze clausule vereist dat de organisatie operationele beheersing inricht op basis van vastgelegde processen en controles. Dit ondersteunt de beleidskeuze dat security-vereisten niet vrijblijvend zijn, maar planmatig worden opgelegd en opgevolgd.

  • ISO 28000:2022, Clause 8.4 – Controls
    Dit onderdeel vereist dat passende controls worden vastgesteld en toegepast om security-gerelateerde risico’s te behandelen. Dit onderbouwt het expliciet definiëren van security-vereisten richting leveranciers en ketenpartners.

  • ISO 28000:2022, Clause 8.5 – Security strategies, procedures, processes and treatments
    Deze clausule ondersteunt dat security-vereisten vertaald worden naar concrete procedures en treatments, en dat implementatie en opvolging structureel worden georganiseerd.

  • ISO/IEC 27036-2:2022, Clause 6.1.1.2 – Acquisition process activities
    Dit onderdeel vereist dat een framework wordt ingericht om informatiebeveiligingsvereisten te definiëren en te customizen per leverancierrelatie, inclusief methoden om bewijs van naleving te verkrijgen en te valideren.

  • ISO/IEC 27036-2:2022, Clause 7.3 – Supplier relationship agreement process
    Deze clausule positioneert het vastleggen van informatiebeveiligingsvereisten als onderdeel van de agreement process, waarmee de beleidskeuze wordt onderbouwd dat security-vereisten contractueel expliciet moeten worden gemaakt.

  • ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
    Dit onderdeel ondersteunt dat afgesproken informatiebeveiligingsvereisten tijdens de looptijd actief worden beheerd, opgevolgd en bijgestuurd, inclusief nalevingsbewaking en escalatie.

Contractuele en organisatorische borging

De organisatie borgt dat security-vereisten en verantwoordelijkheden worden vertaald naar contracten, SLA’s en organisatorische afspraken.

Contractuele bepalingen ondersteunen toezicht, auditmogelijkheden, rapportering, escalatie en corrigerende maatregelen en laten toe om bij tekortkomingen tijdig en effectief in te grijpen.

  • ISO 28000:2022, Clause 8 – Operation
    Deze clausule vereist dat security-maatregelen structureel worden ingebed in operationele processen en verantwoordelijkheden. Dit ondersteunt de beleidskeuze dat security niet ad hoc, maar organisatorisch en procesmatig wordt geborgd.

  • ISO 28000:2022, Clause 8.4 – Controls
    Dit onderdeel benadrukt dat beheersmaatregelen formeel moeten worden vastgelegd en consistent toegepast. Dit onderbouwt de noodzaak om security-vereisten te verankeren in contracten en organisatorische afspraken.

  • ISO/IEC 27036-2:2022, Clause 7.3 – Supplier relationship agreement process
    Deze clausule vereist dat afspraken met leveranciers expliciet worden vastgelegd, inclusief verantwoordelijkheden, toezicht, rapportering en escalatie.

  • ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
    Dit onderdeel ondersteunt dat contractuele afspraken actief worden opgevolgd en beheerd gedurende de volledige looptijd van de leveranciersrelatie.

  • ISO/IEC 27036-3:2023, Clause 8 – Governance and contractual controls
    Deze clausule onderbouwt dat governance- en contractuele controles noodzakelijk zijn om security-risico’s binnen complexe ketens beheersbaar te houden.

Beheersing van ICT-, digitale en cloud-leveranciers

Voor leveranciers die ICT-, digitale of cloud-diensten leveren, hanteert de organisatie aanvullende security-vereisten die rekening houden met de specifieke aard van deze diensten en hun risico’s.

De organisatie bewaakt de beveiliging van informatie en systemen bij uitbesteding van digitale diensten, inclusief gedeelde verantwoordelijkheden en afhankelijkheden binnen complexe ketens.

  • ISO 28000:2022, Clause 6 – Planning
    Deze clausule vereist dat risico’s en afhankelijkheden binnen de supply chain worden geïdentificeerd en geprioriteerd. Dit ondersteunt de beleidskeuze om voor ICT- en digitale diensten aanvullende security-vereisten toe te passen op basis van hun specifieke risicoprofiel.

  • ISO 28000:2022, Clause 8 – Operation
    Deze clausule onderbouwt dat operationele beheersing en controls moeten aansluiten op het type activiteiten en risico’s, wat relevant is voor ICT- en cloudspecifieke leveranciersrelaties.

  • ISO/IEC 27036-3:2023, Clause 5 – Hardware, software and services supply chain security context
    Dit onderdeel positioneert ICT- en dienstenketens als supply chains met specifieke risico’s en afhankelijkheden, wat de nood aan gerichte controls onderbouwt.

  • ISO/IEC 27036-3:2023, Clause 7 – Security controls across the supply chain
    Deze clausule ondersteunt het toepassen van security controls die passen bij software-, hardware- en dienstenketens, inclusief afhankelijkheden van subleveranciers.

  • ISO/IEC 27036-4:2016, Clause 5 – Cloud service relationships
    Dit onderdeel ondersteunt dat cloudrelaties expliciet worden beheerd als leveranciersrelatie met gedeelde verantwoordelijkheden tussen klant en cloudprovider.

  • ISO/IEC 27036-4:2016, Clause 6 – Cloud service security requirements
    Deze clausule onderbouwt dat cloudspecifieke security-vereisten vooraf moeten worden vastgelegd en gedurende de dienstverlening moeten worden opgevolgd, inclusief verantwoordelijkheidsverdeling en assurance.

Continuïteit, veerkracht en ketenafhankelijkheden

De organisatie identificeert en beheerst de impact van leveranciers en ketenpartners op de continuïteit en veerkracht van kritieke processen.

Security-risico’s die kunnen leiden tot verstoringen, uitval of verlies van essentiële diensten worden meegenomen in continuïteitsplanning en opvolging, inclusief afhankelijkheden tussen meerdere leveranciers binnen de keten.

  • ISO 28000:2022, Clause 6 – Planning
    Deze clausule vereist dat de organisatie risico’s en kansen bepaalt die de beoogde uitkomsten van het security management system kunnen beïnvloeden. Dit ondersteunt de beleidskeuze om continuïteits- en veerkrachtrisico’s in ketenafhankelijkheden expliciet te identificeren.

  • ISO 28000:2022, Clause 8 – Operation
    Deze clausule onderbouwt dat operationele planning en control rekening moet houden met verstoringen en afhankelijkheden binnen de supply chain, wat aansluit bij het beheren van ketenimpact op kritieke processen.

  • ISO 28000:2022, Clause 8.4 – Controls
    Dit onderdeel ondersteunt het selecteren en toepassen van controls die risico’s behandelen die tot verstoringen kunnen leiden, inclusief risico’s in afhankelijkheden van externe partijen.

  • ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
    Deze clausule ondersteunt dat leveranciersrelaties actief worden opgevolgd met aandacht voor gewijzigde afhankelijkheden, prestaties en risico’s die continuïteit kunnen beïnvloeden.

  • ISO/IEC 27036-3:2023, Clause 6 – Supply chain risk context
    Dit onderdeel onderbouwt dat ketenrisico’s vaak voortkomen uit multi-tier afhankelijkheden en dat veerkracht een expliciet aandachtspunt is binnen supply chain security.

  • ISO/IEC 27036-3:2023, Clause 7 – Lifecycle considerations
    Deze clausule ondersteunt de beleidskeuze om ketenafhankelijkheden en continuïteitsimpact doorheen de volledige levenscyclus van leveranciersrelaties te beheren.

Voorbereiding op en beheersing van security-incidenten

De organisatie vereist dat leveranciers en ketenpartners bijdragen aan een beheerste omgang met security-incidenten.

Dit omvat afspraken over detectie, melding, samenwerking bij incidentafhandeling, herstel en evaluatie. De organisatie behoudt regie over incidentcoördinatie waar de impact de eigen werking of zorgverlening raakt.

  • ISO 28000:2022, Clause 8.2 – Incident preparedness and response
    Deze clausule vereist dat de organisatie voorbereid is op security-incidenten binnen de supply chain en passende responsmechanismen inricht. Dit ondersteunt de beleidskeuze dat incidentbeheersing bij leveranciers en ketenpartners expliciet moet worden georganiseerd.

  • ISO 28000:2022, Clause 8 – Operation
    Deze clausule onderbouwt dat incidentafhandeling deel uitmaakt van de operationele beheersing van security-risico’s en niet losstaand mag worden benaderd.

  • ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
    Dit onderdeel ondersteunt dat afspraken over incidentmelding, samenwerking en escalatie structureel worden opgenomen in het beheer van leveranciersrelaties.

  • ISO/IEC 27036-3:2023, Clause 7 – Security controls across the supply chain
    Deze clausule benadrukt dat incidenten zich kunnen voordoen op verschillende niveaus binnen de keten en dat coördinatie met leveranciers en subleveranciers noodzakelijk is.

  • ISO/IEC 27036-4:2016, Clause 6 – Cloud service security requirements
    Dit onderdeel ondersteunt dat cloudleveranciers specifieke afspraken moeten hebben over incidentdetectie, melding en respons binnen gedeelde verantwoordelijkheidsmodellen.

Bewustzijn, competenties en betrouwbaarheid

De organisatie verwacht dat leveranciers en ketenpartners beschikken over passende competenties en bewustzijn met betrekking tot security-risico’s die relevant zijn voor de geleverde diensten.

De organisatie houdt rekening met betrouwbaarheid en integriteit bij het aangaan en voortzetten van leveranciersrelaties, in functie van het risicoprofiel.

  • ISO 28000:2022, Clause 7.2 – Competence
    Deze clausule vereist dat de organisatie de nodige competenties bepaalt en waarborgt voor functies die invloed hebben op securityprestaties. Dit ondersteunt de beleidskeuze dat betrokkenen (intern en waar relevant extern) over passende competenties moeten beschikken.

  • ISO 28000:2022, Clause 7.3 – Awareness
    Deze clausule vereist dat personen die werkzaamheden uitvoeren onder controle van de organisatie zich bewust zijn van het securitybeleid, relevante risico’s en de gevolgen van niet-naleving. Dit ondersteunt de beleidskeuze rond bewustzijn als structurele pijler.

  • ISO 28000:2022, Clause 7.4 – Communication
    Dit onderdeel onderbouwt dat gerichte communicatie nodig is om securityverwachtingen en verantwoordelijkheden over te brengen binnen en buiten de organisatie, inclusief richting leveranciersrelaties.

  • ISO/IEC 27036-1:2021, Clause 6 – Concepts and principles
    Dit onderdeel benadrukt het belang van vertrouwen, transparantie en passende competenties in leveranciersrelaties als basis voor het beheersen van informatiebeveiligingsrisico’s.

  • ISO/IEC 27036-2:2022, Clause 6.1.2 – Competence and awareness considerations
    Deze clausule ondersteunt dat leveranciersrelaties moeten rekening houden met vereiste competenties en bewustzijn om afgesproken beveiligingsvereisten effectief te kunnen naleven.

Monitoring, evaluatie en bijsturing

De organisatie monitort en evalueert leveranciers- en ketenrelaties periodiek op het vlak van security-risico’s, naleving en prestaties.

Bevindingen leiden tot bijsturing, verbetermaatregelen of heroverweging van de relatie, in samenhang met het organisatiebrede beleid voor outsourcing en externe samenwerking.

  • ISO 28000:2022, Clause 9.1 – Monitoring, measurement, analysis and evaluation
    Deze clausule vereist dat de organisatie de prestaties en effectiviteit van haar securitymaatregelen systematisch monitort en evalueert. Dit ondersteunt de beleidskeuze om leveranciersrelaties periodiek te beoordelen op risico’s, naleving en prestaties.

  • ISO 28000:2022, Clause 9.3 – Management review
    Deze clausule onderbouwt dat bevindingen uit monitoring en evaluatie op managementniveau moeten worden beoordeeld om gerichte bijsturing en besluitvorming mogelijk te maken.

  • ISO 28000:2022, Clause 10.1 – Nonconformity and corrective action
    Dit onderdeel ondersteunt dat afwijkingen en tekortkomingen bij leveranciers en ketenpartners leiden tot corrigerende maatregelen en opvolging.

  • ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
    Deze clausule vereist dat leveranciersrelaties actief worden opgevolgd, geëvalueerd en aangepast wanneer risico’s, prestaties of context wijzigen.

  • ISO/IEC 27036-3:2023, Clause 9 – Monitoring and improvement across the supply chain
    Dit onderdeel onderbouwt dat monitoring en evaluatie ook ketenbreed moeten worden bekeken, inclusief afhankelijkheden van onderliggende leveranciers.

Continue verbetering

De organisatie streeft naar continue verbetering van het beheersen van security-risico’s bij leveranciers en ketenpartners.

Lessen uit incidenten, evaluaties, wijzigingen in dreigingsbeeld en veranderingen in de organisatiecontext worden structureel meegenomen in de verdere ontwikkeling van richtlijnen, procedures en controles.

  • ISO 28000:2022, Clause 10 – Improvement
    Deze clausule vereist dat de organisatie continu de geschiktheid, toereikendheid en effectiviteit van het security management system verbetert. Dit ondersteunt de beleidskeuze dat beheersing van security-risico’s bij leveranciers en ketenpartners een doorlopend verbeterproces is.

  • ISO 28000:2022, Clause 9.1 – Monitoring, measurement, analysis and evaluation
    Deze clausule onderbouwt dat continue verbetering steunt op systematische monitoring en evaluatie van prestaties en risico’s, inclusief bevindingen uit leveranciersrelaties.

  • ISO 28000:2022, Clause 9.3 – Management review
    Dit onderdeel ondersteunt dat resultaten, trends en verbeterpunten periodiek op managementniveau worden beoordeeld om gerichte verbeteracties te bepalen.

  • ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
    Deze clausule benadrukt dat leveranciersrelaties actief moeten worden aangepast en verbeterd op basis van evaluaties, incidenten en gewijzigde risico’s.

  • ISO/IEC 27036-3:2023, Clause 9 – Monitoring and improvement across the supply chain
    Dit onderdeel ondersteunt dat verbeterinitiatieven ook ketenbreed worden bekeken en afgestemd, rekening houdend met afhankelijkheden tussen leveranciers.

Definities en termen

Third-Party
Supply Chain
Leverancier
Ketenpartner
Kritieke leverancier
Uitbesteding
Third-Party Risk
Supply Chain Risk
Information Security Management System (ISMS)
Business Continuity Management System (BCMS)
Enterprise Risk Management (ERM)

Gerelateerde documenten

  • Principesverklaring Third-Party & Supply Chain Management

  • Beleid Informatiebeveiliging

  • Beleid Bedrijfscontinuïteit

  • Beleid Risicomanagement