richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Clients/Humankind/Onboarding van leveranciers HK.md

2.7 KiB
Raw Permalink Blame History

Onboarding van leveranciers

Doel Een overeengekomen niveau van informatiebeveiliging in stand houden gedurende de samenwerking met leveranciers.

Procedure Wanneer aan een leverancier opdracht is verleend voor het leveren van een oplossing of dienst, zal in de meeste gevallen sprake zijn van een implementatie- of introductietraject. Medewerkers van Humankind gaan samenwerken met medewerkers van de leverancier en wisselen hierbij informatie uit. Medewerkers van de leverancier komen op bezoek op fysieke locaties van Humankind. De leverancier krijgt informatie over de systemen van Humankind en de beveiliging daarvan, en zal in veel gevallen toegang krijgen tot sommige van die systemen.

Een ICT consultant moet vooraf met de leverancier een Inventarisatie Onboarding opstellen, waarin aandacht besteed wordt aan de onderstaande onderwerpen:

  • Het Plan van Aanpak van de leverancier en daaruit volgende risico's voor de Beschikbaarheid, Vertrouwelijkheid en Integriteit van informatie
  • Gevraagde toegang tot systemen, infrastructuur en locaties deze moet noodzakelijk zijn voor het uitvoeren van de dienstverlening en zoveel mogelijk beperkt worden in termen van reikwijdte en tijdsduur (least privilege / need to know), en bij beëindiging van het project worden ontnomen (zie de Offboarding ICT leveranciers HK|Procedure Offboarding)
  • Verstrekking van databases, bestanden en documenten t.b.v. tests, migraties en conversies
  • Beveiligingsmaatregelen van de leverancier op test- en acceptatieomgevingen (met aandacht voor anonimisering/pseudonimisering)
  • Transport naar, en opslag en verwerking van gegevens van Humankind door de leverancier
  • Controle op risicobeperkende maatregelen op basis van het data-classificatieschema van Humankind (nog op te stellen)
  • Mogelijke impact op de Beschikbaarheid, Vertrouwelijkheid en Integriteit van informatie van tooling die door de leverancier tijdens het implementatieproject gebruikt wordt
  • Benodigde antecedentenonderzoeken van personeel dat toegang krijgt tot locaties en systemen (VOG verklaring)
  • Het tekenen van geheimhoudingsverklaringen (NDA)
  • Procedures voor het afhandelen van incidenten en verstoringen, gerelateerd aan de tooling en dienstverlening van de leverancier, waaronder afspraken over de wederzijdse verantwoordelijkheden.
  • Continuïteits- en herstelmaatregelen bij onderbreking of verstoring van de dienstverlening
  • Voorwaarden voor acceptatie en inbeheername (binnen de scope van dit document voor zover deze betrekking hebben, of impact hebben op, de beveiliging van informatie)

De ICT consultant documenteert dit en laat de Inventarisatie Onboarding accorderen door de Manager IM.