Meest gezocht

Inkoopeisen voor informatiebeveiliging

De overheid besteedt tegenwoordig een groot deel van de ICT-diensten en -producten uit aan de markt. Naast de maatregelen die overheden zelf treffen voor hun informatiebeveiliging is het belangrijk dat ook ingekochte diensten en producten voldoen aan de informatiebeveiligingseisen.

De samenleving en economie digitaliseert in toenemende mate. Digitale veiligheid is een essentiële voorwaarde voor het vertrouwen daarbij. Om hier eenduidig mee om te gaan, hanteert de overheid per 2019 één basisniveau voor informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO). De BIO geeft aan welke beveiligingsniveaus bestaan voor bijvoorbeeld (fysieke) toegangsbeveiliging en bescherming tegen malware. De BIO is gebaseerd op de actuele internationale standaard voor informatiebeveiliging (NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002) en heeft risicomanagement als uitgangspunt. Echter, de BIO vervangt de eerder genoemde normen niet.

Analyseer de risico’s en maatregelen

Voordat u een ICT-dienst of de aanschaf van een ICT-product gaat inkopen, is het verstandig om een risicoanalyse uit te voeren. In de risicoanalyse weegt u, onder andere, af of de afhankelijkheid van de leverancier in de toekomst ook nog beheersbaar is. Het is belangrijk deze risicoanalyse te maken in samenwerking met materiedeskundigen op dit gebied. U kunt bijvoorbeeld in gesprek gaan met een privacy-officer en beveiligingsspecialist. Benoem naast de risico’s ook de maatregelen die de risico’s kunnen verminderen of wegnemen. Samen met de materiedeskundigen kunt u vragen nagaan zoals:

  • Wat voor data wordt er uitgewisseld (bijvoorbeeld persoonsgegevens, financiële gegevens of anderszins gevoelige data)?  
  • Op welke locatie(s) wordt data opgeslagen of langs geleid? En zijn deze locaties binnen of buiten de Europese Unie?
  • Is er kans op verstoring van het primaire proces?
  • Is er kans op imagoschade wanneer de ICT-dienst of -product niet (volledig) werkt?

Eisen opstellen

Op basis van de analyse gaat u eisen stellen aan informatie- en privacybeveiliging. Dergelijke eisen hebben bijvoorbeeld betrekking op de beschikbaarheid, integriteit, en vertrouwelijkheid van de data waar de leverancier ook toegang toe kan krijgen. Of het uitvoeren van penetratietesten of het organiseren van fysieke beveiligingsmaatregelen. Bedenk tijdens het opstellen van de eisen ook dat het effect op de kosten kan hebben. Het stellen van bepaalde eisen kan leiden tot een grote kostenstijging. Het is dan de vraag of de kosten in verhouding staan tot het verminderen of wegnemen van het risico.  

Kwaliteitskeurmerk

Naast het stellen van specifieke eisen, is het ook een mogelijk om een kwaliteitskeurmerk (of gelijkwaardig) op het gebied van informatiebeveiliging te stellen als geschiktheidseis. Voorbeelden hiervan zijn een ISO 27001 of ISO 27002-certificaat of bijvoorbeeld een ISAE 3402-verklaring.

De waarde van een ISO-keurmerk of ISAE-verklaring is afhankelijk van de reikwijdte en diepgang ervan. Over het algemeen zegt het certificaat iets over de wijze waarop processen zijn ingericht. Hierbij is het belangrijk om in het oog te houden dat het certificaat geldt voor de processen die in het kader van de opdracht relevant zijn. 

Een ISO-keurmerk of ISEA-verklaring heeft overlap met onderwerpen uit de BIO. Een keurmerk kan zo ook onderdeel zijn van een overeenstemmingsverklaring van een leverancier (periodiek leggen leveranciers verantwoording af via een Statement of Compliance aan de opdrachtgever bij de overheid). Tegelijkertijd omvat en vervangt een certificaat niet de volledige verantwoording over de overheidsmaatregelen uit de BIO. Ga bij een aanbesteding dus na over welke zaken een certificaat niet geldt, maar die wel geëist worden vanuit de BIO. Maak daar vervolgens aanvullende afspraken over.

Afspraken maken met leveranciers

Het Nationaal Cyber Security Centrum (NCSC) noemt een aantal onderwerpen waarover u afspraken kunt maken met uw leveranciers. Bijvoorbeeld door eisen hierover op te nemen in uw programma van eisen. De handreiking van het NCSC noemt de volgende maatregelen:

  • Installeren van updates
  • Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert
  • Pas multifactorauthenticatie toe
  • Maak regelmatig back-ups van uw systemen en test deze
  • Segmenteer netwerken
  • Bepaal wie toegang heeft tot uw data en diensten
  • Versleutel opslagmedia met gevoelige bedrijfsinformatie
  • Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze.

Bent u van plan om clouddiensten in te kopen? Het NCSC heeft een factsheet opgesteld met daarin adviezen voor een veilige inkoop van clouddiensten.

Gebruik ICO Wizard bij het formuleren van eisen

Soms zijn eisen uit de BIO niet specifiek genoeg om in een aanbesteding op te nemen. Of hebben sommige onderwerpen betrekking op de eigen organisatie. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) ontwikkelde daarom inkoopeisen voor ICT producten en diensten. Dit als aanvulling op de BIO. Deze eisen zijn opgenomen in de Inkoopeisen Cybersecurity Overheid Wizard (ICO Wizard). De ICO Wizard bevat uitwerkingen van eisen uit de BIO. Bij het opstellen is gebruik gemaakt van (markt)standaarden, zoals:

De eisen uit de ICO Wizard zijn gericht op basisbeveiligingsniveaus (BBN) 1 en 2 van de BIO. In sommige gevallen kan het zijn dat een hogere beveiligingsniveaus gewenst is. Wanneer dit het geval is, dan is dat maatwerk. Verder is nadrukkelijk het advies om bij het gebruik van de ICO Wizard altijd een eigen risicoafweging te maken. De ICO Wizard is geen vervanging voor een eigen risicoafweging.

Domeinen en inkoopeisen van de ICO Wizard

De eisen in de ICO Wizard gaan over verschillende onderwerpen zoals: clouddiensten, toegangsbeveiliging, software of communicatievoorzieningen. Daarnaast kunt u kiezen tussen proces- en producteisen. Proceseisen zijn bijvoorbeeld relevant bij een raamovereenkomst, waarbij levering van producten/diensten nog niet aan de orde is. Bij producteisen gaat het om eisen over specifieke producten, of oplevering van bijvoorbeeld software of een serverplatform. Naast de ICO Wizard is tevens de handreiking Inkoop Inkoopeisen Cybersecurity Overheid opgesteld.

Monitoring naleving van eisen

Ook tijdens en na de contractperiode is het van belang om te monitoren of de leverancier de eisen naleeft. Er zijn verschillende acties die een aanbestedende dienst kan (laten) uitvoeren om dit te waarborgen:

  • Laat periodiek een audit of penetratietest uitvoeren door een onafhankelijke partij. Dit kan ook op een specifiek onderdeel van de opdracht. Een audit of penetratietest brengt eventuele risico’s in kaart. De uitkomsten ervan kunt u bespreken met de leverancier. 
  • Vraag periodiek certificaten of verklaringen op, zoals bijvoorbeeld een ISO27001 certificaat of een ISAE3402 verklaring. Op die manier heeft u inzicht of de leverancier nog voldoet aan de geschiktheidseisen die u stelde tijdens de aanbesteding.
  • Neem in de overeenkomst op dat de leverancier rapporteert over zaken die gaan over  informatie- en privacybeveiliging. Denk hierbij aan het rapporteren over incidenten, incidentrespons en het organiseren van patches.
  • Is er een informatie- of privacybeveiligingsincident? Voer dan een root cause analyse uit (oorzaak en gevolg analyse). Door middel van de analyse weet u waardoor het incident is ontstaan. Zodat u (mogelijk) kunt voorkomen dat een incident nog een keer plaatsvindt.
  • Onderhoud een goede relatie met de leverancier door regelmatig met elkaar in gesprek te gaan. Maak daarbij het bespreken van het risicobeheersingsdocument een vast agendapunt.
  • Bedenk wat er moet gebeuren zodra het contract eindigt, bijvoorbeeld het verwijderen of overdragen van data door de leverancier. Wees er alert op dat de afspraken ook nagekomen worden na beëindiging van de overeenkomst. 
 

Fijn dat deze informatie u heeft geholpen. U kunt uw keuze hieronder toelichten of direct verzenden.

Jammer. Graag horen wij van u waarom niet. Zodat wij onze website kunnen verbeteren.

U kunt via dit formulier geen vragen aan ons stellen. Heeft u een vraag? Neem dan contact met ons op.
Open het zijmenuOpen het zijmenu