De lijst is gebaseerd op de internationaal erkende ISO 27002:2022 norm. De eerste versie in Word en PDF vind je hier.
Voor wie is de vragenlijst bedoeld?
De lijst is allereerst bedoeld voor verzekeraars die een bepaalde leverancier overwegen (precontractueel) en een eerste inschatting willen maken van de beveiligingsvolwassenheid. Daarnaast is de lijst ook bedoeld voor leveranciers die willen weten welke meest belangrijke eisen verzekeraars qua informatiebeveiliging stellen, zodat zij in een keer kunnen nagaan of ze voldoen aan deze set en vervolgens gefundeerde antwoorden kunnen geven aan verschillende verzekeraars.
Uniformiteit volgende fases
Een verzekeraar zal na deze eerste vragenlijst in volgende fases (selectie, contractering, SLA- overleg) meer eisen stellen. Misschien dat in een volgende periode wordt bekeken of ook voor die fases meer uniformiteit mogelijk is. Maar vooralsnog is het Verbond verheugd dat dit is gelukt.
Hoewel de lijst geen must is, beveelt het Verbond deze van harte aan. Want hoe meer verzekeraars de lijst gebruiken, hoe herkenbaarder deze wordt voor leveranciers. En hoe groter de kans is dat de lijst daadwerkelijk bijdraagt aan betere informatiebeveiliging in de sector. Uiteraard kun je met behulp van de Word-versie een eigen logo/format hanteren.
Verbeterpunten?
Heb je verbetersuggesties voor de lijst? Verzamel deze en deel ze met de CISO binnen jouw organisatie, zodat dit in de Insurance ISAC besproken kan worden. Of neem contact op met de secretaris van de ISAC.