Ha Laura, 

Als je zaken uitbesteedt dan betekent dat inderdaad vaak een andere werkwijze. Het gaat dan meer om de beheersing van de leveranciers (via de Procedure Leveranciersmanagement) in plaats van andere procedures. 

In het geval van OT kan ik me voorstellen dat de procedure kan worden ingekort tot wij melden dit bij de leverancier en we verifiëren na terugmelding dat alles weer werkt. Als het daar op neer komt, kun je het ook zonder procedure wel af doen, want die twee stappen kunnen jullie wel onthouden, daar is geen procedure voor nodig. 

Het blijft bij leveranciers wel van belang om te controleren of wat zij gedaan hebben juist is (daarom doe je ook een verificatie nadat de leverancier je OT heeft hersteld). Dat geldt ook voor het website beheer. Het toetsen van de website kun je eenvoudig zelf doen door naar internet.nl te gaan en daar jullie domein (het deel na www.) in te voeren. 

Van de uitkomst maak je een screenshot (als bewijs dat je het gecheckt hebt). Als de score onder de 75% komt (of welke drempelwaarde je zelf maar bepaalt), dan maak je een incident aan en stuur je het screenshot door naar je webbeheerder met het verzoek om aanpassingen te doen. Als de webbeheerder de aanpassingen heeft gedaan doe je de controle nog een keer om zeker te zijn dat de beveiliging na de aanpassingen wel op het gewenste niveau zijn. Het incident volg je op via de standaard werkwijze (oorzaak- en omvanganalyse en corrigerende maatregel), zodat het niet nog een keer voorkomt.