Kaikkien tietojen käsittelyyn suorasti tai välillisesti osallistuvien kumppanien kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinymmärryksiä osapuolten velvoitteista tietoturvavaatimusten täyttämisessä.

Organisaatio sisällyttää toimittajasopimukseen tarvittaessa seuraavat asiat:

• toimittajan käyttämät tiedot (ja tiedon mahdollinen luokitus) sekä tietoihin pääsyn saava henkilöstö
• tiedon hyväksyttävän käytön säännöt
• tietoja käsittelevän henkilöstön salassapitovelvollisuus
• työnjako viranomaisvaatimusten täyttämisessä
• sopimusosapuolten hallintatehtävät tietoturvaan liittyen (esim. pääsynhallinta, valvonta)
• häiriöiden ilmoittaminen ja korjaaminen
• vaatimukset toimittajan alihankkijoiden käytölle
• lupa auditoida sopimukseen liittyvät toimittajan prosessit ja hallintakeinot (ja puutteiden korjaaminen)
• sitoutuminen tietojen palauttamiseen tai tuhoamiseen sopimuksen päättyessä
• toimittajan vastuu noudattaa organisaation tietoturvakäytäntöjä

Kehitetään ja ylläpidetään menettelyjä, joilla myönnetään sopimuksiin perustuva pääsy arkaluonteisiin turvallisuustietoihin ulkopuolisille osapuolille. Varmistetaan, että kaikissa sopimuksissa määritellään selkeästi käyttöoikeusehdot, suojausvaatimukset ja vastuut ottaen huomioon organisaation ISO 28001 -sertifiointistatus ja mahdolliset erityissopimukset.

The organisation must ensure that agreements with all suppliers (including subcontractors) are established and maintained. These agreements must specify operational, technical, legal, and personnel security requirements, including:

• Compliance: A requirement for the supplier to comply with set regulations.
• Incident management: The supplier’s obligation to notify the organisation of all major or relevant incidents affecting the organisation's networks immediately upon awareness, and to submit a formal cyber incident investigation report.
• Audit rights: The right for the organisation to conduct audits of the supplier’s compliance.
• Personnel security: Specific requirements for the skills, training, certifications, and qualifications of the supplier’s staff.
• Vulnerability management: The obligation to identify and manage vulnerabilities that pose a risk to the organisation’s networks and information systems.
• Access control: Clearly defined levels and conditions for the supplier's logical and physical access to the organisation's systems.
• Operational security: Requirements regarding the supplier’s premises, equipment, maintenance procedures, and secure data transmission methods.
• Performance & confidentiality: Defined Service Level Agreements (SLAs), confidentiality/non-disclosure obligations, and a clear definition of the rights and obligations of both parties.

Kaikkien suoraan tai välillisesti tietojen käsittelyyn osallistuvien kumppaneiden kanssa laaditaan toimittajasopimus. Tavoitteena on varmistaa, että organisaation ja toimittajan välillä ei ole väärinkäsityksiä osapuolten velvollisuuksista turvallisuusvaatimusten noudattamisen suhteen.

Organisaation on sisällytettävä toimittajasopimukseen tarvittaessa:

• täsmennetään osapuolten lakisääteiset velvollisuudet ja vastuut.
• toimittajan käsittelemien hankintojen tai tietojen luokittelu.
• osapuolten vastuut viranomaisvaatimusten täyttämisessä
• alihankkijoiden käyttöä koskevat vaatimukset
• sallitaan sopimukseen liittyvien toimittajan prosessien ja valvonnan auditointi (ja sitoudutaan korjaamaan vaatimustenvastaisuudet)
• toimittajan vastuu ja keinot noudattaa organisaation turvallisuusohjeita
• toimittajan vastuu lakisääteisten vaatimusten täyttämisestä aiheutuvista kustannuksista, ellei sopimuksessa toisin määrätä.

Organisaation on viestittävä toimittajille heidän roolinsa ja vastuunsa toimitusketjun tietoturvassa. On myös varmistettava, että toimittajat ymmärtävät heille kohdistetut tietoturvaohjeensa sekä mahdolliset muut tietoturvavastuut sopimusten mukaisesti.

Määrittelemme ennakkoon toimittajatyypit, joiden kanssa yhteistyö vaatii pääsyä luottamuksellisiin tietoihin tai niiden käsittelyalueille sekä tätä kautta mm. käsittelysopimusten tekemistä. Tällaisia toimittajatyyppejä voivat olla esim. tietotekniset palvelut, logistiikka, taloushallinto sekä tietotekniset infrastruktuurikomponentit.