6.2.1 Identificatie van risico's die betrekking hebben op externe partijen

ID06.2.1
Type maatregelISO beheersmaatregel
BeschrijvingAlle geïdentificeerde beveiligingseisen moeten worden behandeld voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie.
Thema6 Organisatie van de informatiebeveiliging
Geeft invulling aan Doelstelling6.2 Externe Partijen (ID: 06.02)
even als
Voorbeeldbeheersmaatregelen
  1. 06.2.1.1 Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) meegewogen bij het besluit een externe partij wel of niet in te schakelen.
  2. 06.2.1.2 Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn.
  3. 06.2.1.3 Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijv. risicoklasse II van WBP of de vertrouwelijkheidklasse) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn.
  4. 06.2.1.4 Voorafgaand aan het afsluiten van een contract voor uitbesteding en externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt.
  5. 06.2.1.5 (A) Indien externe partijen systemen beheren waarin persoonsgegevens verwerkt worden, wordt een bewerkerovereenkomst (conform WBP artikel 14) afgesloten. (Aanvullend)
  6. 06.2.1.6 Er is in contracten met externe partijen vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. (zie ook 6.2.3.3). Ook wordt beschreven hoe die beveiligingsmaatregelen door de uitbestedende partij te controleren zijn (bijv. audits en penetratietests) en hoe het toezicht is geregeld.
  7. 06.2.1.7 Over het naleven van de afspraken van de externe partij wordt jaarlijks gerapporteerd.



Betekenisvolle gegevens.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=ID-beheersmaatregel-06.2.1&oldid=513437"
Deze pagina is het laatst bewerkt op 18 apr 2018 om 08:00.