Norm SC.03 Leveranciersrisicomanagement
Waarom is dit nodig?
Leveranciersrisicomanagement zorgt ervoor dat risico’s met betrekking tot leveranciersAanbieders van ict- of leermiddelen. beheerd worden. Op basis van deze risico’s kunnen eisen aan leveranciers gesteld worden tijdens de aanbestedingsfase. Voorbeelden hiervan zijn levensvatbaarheid van de leverancier, naleving van beveiligingseisen en de beschikbaarheid van de dienst/applicatie.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen proces voor leveranciersrisicomanagement.
- Contracten en/of SLA’s worden getekend zonder een gedegen risicoanalyseHet analyseren van de kans dat een dreiging werkelijkheid wordt en de gevolgen hiervan. van de externe partij.
2 Herhaalbaar
- Er is een proces voor risicomanagement van leveranciers gedefinieerd, maar dit is slechts gedeeltelijk ingevoerd.
- Voor cloudcomputing wordt een checklist gebruikt voor een snelle analyse van de provider.
- De geïdentificeerde risico’s worden zelden gedocumenteerd en/of gerapporteerd.
3 Bepaald (streefniveau)
- Er is een proces voor leveranciersrisicomanagement gedefinieerd, ingevoerd en vastgesteld door het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. of de schoolleiding.
- Risico’s betreffende het vermogen van de leverancier om effectief en veilig (cloudDe cloud (Nederlands: wolk) staat voor een netwerk dat met alle computers die erop aangesloten zijn, een soort “wolk van computers” vormt. Als je op je werkstation bezig bent, weet meestal niet op hoeveel of op welke computer(s) de software draait of waar die computers precies staan.)diensten te leveren worden voortdurend geanalyseerd en beperkt.
- In het proces voor leveranciersrisicomanagement wordt rekening gehouden met non-disclosure agreements (NDA’s), escrowcontracten, levensvatbaarheid van leveranciers, compliance met beveiligingseisen, alternatieve leveranciers, boetes en beloningen, et cetera.
- Over niet-gemitigeerde of geaccepteerde risico’s wordt periodiek aan het schoolbestuur of de schoolleiding gerapporteerd.
- Contracten zijn volgens algemene bedrijfsstandaarden en voldoen aan wet- en regelgeving (bijvoorbeeld dataprivacy).
- Voordat de contracten worden ondertekend wordt een toetsing verkregen, die aantoont dat de levering van diensten voldoet aan wet- en regelgeving en aan het eigen (beveiligings)beleid.
4 Beheerst
Aanvullend op niveau 3:
- De operationele effectiviteit van het proces voor leveranciersrisicomanagement wordt jaarlijks geëvalueerd. Eventuele verbeteringen worden aangebracht en geëvalueerd.
- Als onderdeel van het proces voor leveranciersrisicomanagement worden interne beheersmaatregelen, zoals beveiligingsmaatregelen, bij de externe partij of provider regelmatig geëvalueerd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De risico’s met betrekking tot het vermogen van de leverancier om effectieve dienstverlening op een veilige en efficiënte manier voort te zetten, worden voortdurend onderzocht en beperkt.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Maar let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is natuurlijk maatwerk. De maatregelen die voor jouw organisatie nodig zijn, kunnen daardoor verschillen.
- Neem leveranciersrisicomanagement op in het leveranciersmanagementproces.
- Bespreek risico’s die niet gemitigeerd of geaccepteerd worden met het schoolbestuur of de schoolleiding.
Gerelateerde wetten en normen
Norm SC.03 Leveranciersrisicomanagement is gerelateerd aan de ISO-standaard 27001/2:2022 en aan privacynormen.
ISO 27001/2:2022
- 8.1
- A5.14
- A5.19
- A5.20
- A5.21
- A5.22
- A5.23