6.2.1.6 Er is in contracten met externe partijen vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd.

ID06.2.1.6
Type maatregelBIG Beheersmaatregel
BeschrijvingEr is in contracten met externe partijen vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. (zie ook 6.2.3.3). Ook wordt beschreven hoe die beveiligingsmaatregelen door de uitbestedende partij te controleren zijn (bijv. audits en penetratietests) en hoe het toezicht is geregeld.
AanvullendJa
Zie ook 6.2.3.3 In contracten met externe partijen is vastgelegd hoe men om dient te gaan met wijzigingen en hoe ervoor gezorgd wordt dat de beveiliging niet wordt aangetast door de wijzigingen.
Thema6 Organisatie van de informatiebeveiliging
Geeft invulling aan Doelstelling6.2 Externe Partijen (06.02)
Geeft invulling aan ISO beheersmaatregel 6.2.1 Identificatie van risico's die betrekking hebben op externe partijen
even als
  1. 06.2.1.1 Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) meegewogen bij het besluit een externe partij wel of niet in te schakelen.
  2. 06.2.1.2 Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn.
  3. 06.2.1.3 Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijv. risicoklasse II van WBP of de vertrouwelijkheidklasse) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn.
  4. 06.2.1.4 Voorafgaand aan het afsluiten van een contract voor uitbesteding en externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt.
  5. 06.2.1.5 (A) Indien externe partijen systemen beheren waarin persoonsgegevens verwerkt worden, wordt een bewerkerovereenkomst (conform WBP artikel 14) afgesloten. (Aanvullend)
  6. 06.2.1.7 Over het naleven van de afspraken van de externe partij wordt jaarlijks gerapporteerd.



Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Betekenisvolle gegevens.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=ID-beheersmaatregel-06.2.1.6&oldid=513674"
Deze pagina is het laatst bewerkt op 18 apr 2018 om 08:08.