ISO 27002 checklist

Checklist informatiebeveiliging

 

Intellectueel eigendom

De betrokken partijen aanvaarden dat de intellectuele eigendomsrechten met betrekking tot alle software of andere materialen zoals analyses, ontwerpen, documentatie, rapporten, offertes en alle voorbereidende materialen die door of namens een partij aan de andere partij worden verstrekt in het kader van de overeenkomst, bij de uitgevende partij blijven.

Zie ook: NEN-ISO/IEC 27002:2013 sub-sectie 18.1.2

 

Vertrouwelijkheid

De betrokken partijen zijn bereid om een geheimhoudingsovereenkomst te sluiten. Deze overeenkomst bepaalt hoe informatie met betrekking tot de dienst(verlening) of het product zal worden behandeld en/of wordt verwerkt. De overeenkomst bepaald eveneens de sancties die kunnen worden toegepast als er sprake is van het niet nakomen van een of meerdere bepaling zoals opgenomen in de overeenkomst. Op verzoek zullen beide partijen een toelichting krijgen op de wijze waarop de andere partij zich aan deze bepaling(en) houdt.

Zie ook: NEN-ISO/IEC 27002:2013 sub-sectie 13.2.4

 

Middelen

De leverancier is verplicht de met de klant overeengekomen middelen te gebruiken, zoals hardware, software, methoden, technieken en ontwerpomgeving.

Zie ook: NEN-ISO/IEC 27002:2013 sub-sectie 8.1.3

 

Regels en voorschriften

De leverancier garandeert dat het personeel dat hij in dienst heeft om de opdracht uit te voeren, zich zal houden aan, en zich te gedragen in overeenstemming met de interne regels en voorschriften die op het terrein van de klant van toepassing zijn. De klant verstrekt de leverancier indien nodig vooraf een exemplaar van de voorschriften ter beoordeling.

Zie ook: NEN-ISO/IEC 27002:2013 sub-sectie 7.2.1

 

Beleid

De leverancier kan aantonen dat het personeel dat hij in dienst heeft, in staat is om de opdracht uit te voeren. De leverancier kan tevens aantonen dat zijn of haar personeel beschikt over de juiste trainingscertificaten, om de in de overeenkomst gespecificeerde dienst of product correct te kunnen leveren.

De leverancier kan aantonen dat het personeel, dat is ingeschakeld om de opdracht uit te voeren, een zorgvuldig screeningproces heeft ondergaan. De leverancier garandeert dat het personeel dat belast is met de uitvoering van de opdracht, zich ertoe zal verbinden om zich te houden aan en zich te gedragen in overeenstemming met het informatiebeveiligingsbeleid van de klant. De klant verstrekt de leverancier indien nodig vooraf een kopie hiervan ter beoordeling.

Zie ook NEN-ISO/IEC 27002:2013 sub-sectie 15.1.2 (i, l, p)

 

Subcontracting

The supplier guarantees that the use of subcontractors and relationships with these are in accordance with the stipulations in this checklist. The supplier is willing to provide the customer with an explanation regarding the way in which these stipulations are complied with beforehand.

Onderaannemers

De leverancier garandeert dat het gebruik van onderaannemers en de eventuele uitbesteding van werkzaamheden in overeenstemming zijn met de bepalingen in deze checklist. De leverancier is bereid de klant vooraf een uitleg te geven over de wijze waarop deze bepalingen worden nageleefd.

Zie ook: NEN-ISO/IEC 27002:2013 sub-sectie 15.1.3

 

Auditing

De leverancier stemt ermee in om de klant toe te staan, het proces en de resultaten van de overeenkomst te controleren of te laten controleren door middel van een (externe) informatiebeveiligingsaudit. Tussen de partijen worden afspraken gemaakt over de datum, het tijdstip, door welke partijen, welke partij de kosten draagt (inclusief distributie) en tegen welke kosten de audit zal worden uitgevoerd.

Zie ook: NEN-ISO/IEC 27002:2013 sub-sectie 15.1.2 (m) & 15.2.1

 

Toegang

De leverancier garandeert dat met betrekking tot de uitvoering van de opdracht, de door de klant gehanteerde regels voor fysieke toegang (Identity & Access Management) en toegang op afstand, zullen worden gevolgd en volledig worden nageleefd. De klant verstrekt de leverancier indien nodig vooraf een exemplaar ter beoordeling.

Zie ook: NEN-ISO/IEC 27002:2013 sub-sectie 15.1.2

Risico analyse

De normen voor informatiebeveiliging inzake het beheersen van de risico’s namens de leverancier, met betrekking tot de toegang tot en controle van activa (inclusief gegevens) van de organisatie, moeten worden overeengekomen en gedocumenteerd in overleg met de leverancier.

Zie ook: NEN-ISO/IEC 27002:2013 sub-sectie 15.1.1

 

Reporting

The supplier has implemented a process within which information security incidents and risks relating to the order are reported and dealt with effectively. The supplier is willing to allow this process to be inspected if required.

 

Rapportage

De leverancier heeft een proces geïmplementeerd waarin informatiebeveiligingsincidenten en risico’s met betrekking tot de uitvoering van de opdracht, worden gerapporteerd en effectief worden afgehandeld. De leverancier is bereid dit proces indien nodig te laten inspecteren.

Zie ook: NEN-ISO/IEC 27002:2013 sub-sectie 15.1.2 (h), 16.1.2 & 16.1.3

 

 

Toelichting op het gebruik van de selectiecriteria met betrekking tot de ‘Informatiebeveiligingschecklist’

Het doel is om de kwaliteit van informatiebeveiliging in Nederland te verbeteren. De checklist is bedoeld om goede inbedrijfstellingspraktijken, met betrekking tot het bevorderen van de informatiebeveiligingsaspecten van producten en diensten, mogelijk te maken.

Door deze checklist te gebruiken, kunnen potentiële aannemers (leveranciers) laten zien in hoeverre ze voldoen aan de punten die in de checklist worden benoemd.

Tussen de klant en de leverancier worden afspraken gemaakt over de naleving van de principes voor  informatiebeveiliging voor de uitvoering van de opdracht.

ISO2HANDLE heeft een checklist opgesteld voor beveiliging gerelateerde aspecten die moeten worden gebruikt om potentiële IT-leveranciers te beoordelen op hun producten en / of diensten.

Geïnteresseerden wordt geadviseerd deze checklist te gebruiken als referentiekader voor hun eigen beleid, in de beginfase van het selectieproces voor leveranciers van producten en / of diensten.

Op basis van de norm voor informatiebeveiliging, ISO 27002, zijn criteria gespecificeerd op basis waarvan de leverancier wordt gevraagd om inzicht te geven in hoe hij zich eraan houdt.

 

Informatiebeveiliging.

Hiernaar wordt verwezen voor een meer gedetailleerde uitleg van de criteria die standaard worden gehanteerd voor elk onderwerp.

In een vervolgproces kan, indien nodig en gewenst, deze checklist in een uitgebreide versie worden gehanteerd. Dit zal natuurlijk, tijdig, met de relevante partijen worden gecommuniceerd.

Informatie die wordt uitgewisseld in verband met deze checklist zal strikt vertrouwelijk worden behandeld door de betrokken partijen.