BELEIDSVERKLARING INFORMATIEBEVEILIGINGSBELEID


Beleidsverklaring informatiebeveiligingsmanagement

Het beleid van de directie is erop gericht om aan de eisen en behoeften van haar stakeholders zo goed mogelijk te voldoen. Om een goede balans tussen de belangen van alle stakeholders te creëren, te handhaven en continue te verbeteren is het informatiebeveiligingsbeleid verankerd in de norm ISO 27001:2017. Dit biedt een vast kader waarin de bedrijfsprocessen binnen alle geledingen van de organisatie worden uitgevoerd, gemeten, geëvalueerd en verbeterd. Dit betekent dat de directie en medewerkers zich zullen houden aan alle van toepassing zijnde wet- en regelgeving en een kader biedt om de informatiebeveiligingsdoelstellingen vast te stellen en te beoordelen. Dit moet leiden tot een
dienstverlening aan klanten wordt bepaald door de inzet van directie en alle medewerkers. De betrokkenheid van directie en professionaliteit van medewerkers bij het invoeren en onderhouden van het systeem is dan ook van groot belang.

De doelstelling is om:

  • de beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen van alle data van 4Value en haar klanten;
  • te waarborgen dat alle relevante wetten en regels worden nageleefd, zoals de Grondwet, Algemene Verordening Gegevensbescherming, Auteurswet, Telecommunicatiewet, Wet op de Computercriminaliteit en de Wet elektronische handtekeningen;
  • de continuïteit van de bedrijfsvoering te borgen en waar nodig medewerkers training te bieden op het gebied van informatiebeveiliging;
  • informatiebeveiliging en privacy awareness te creëren;
  • te waarborgen dat elke daadwerkelijke of vermoedelijke inbreuk op de informatiebeveiliging wordt gemeld aan en onderzocht door de security officer (CISO).

Een goed functionerend managementsysteem voor informatiebeveiliging is een waardevol hulpmiddel. Het geeft structuur en overzicht bij alle primaire en ondersteunende processen, maar ook bij het beheersen van risico’s. Om die reden hecht 4Value aan een managementsysteem voor informatiebeveiliging. ISO-27001:2017 leent zich daar uitstekend voor en vereist bovendien dat structureel aandacht geschonken aan:

  • organiseren van informatiebeveiliging;
  • veiligheid van personeel;
  • beheer van bedrijfsmiddelen;
  • toegangsbeveiliging;
  • cryptografie;
  • fysieke beveiliging en beveiliging van de omgeving;
  • beveiliging bedrijfsvoering;
  • communicatiebeveiliging;
  • acquisitie, ontwikkeling en onderhoud van informatiesystemen;
  • leveranciersrelaties;
  • beheer van informatiebeveiligingsincidenten;
  • informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer;
  • naleving.

SCOPE VAN HET MANAGEMENTBELEID VOOR INFORMATIEBEVEILIGING

De activiteiten die betrekking hebben op § 4.3 van de Norm NEN-ISO-27001:2017.

DOELEN

Het managementsysteem voor informatiebeveiliging is opgezet om te bereiken dat:

  • de werkmethoden binnen de organisatie geïdentificeerd en gedocumenteerd, en daarmee duidelijk zijn;
  • de uitvoering en beheersing van de processen doeltreffend is;
  • de beschikbaarheid van middelen zeker wordt gesteld;
  • de processen worden bewaakt, gemeten, geanalyseerd en zo mogelijk verbeterd;
  • nieuwe medewerkers snel inzicht hebben in de methoden van werken;
  • stakeholders inzicht hebben in het managementsysteem voor informatiebeveiliging;
  • compliant met wettelijke- en andere overheidsverplichtingen wordt gewerkt.

WIJZIGINGEN

Het managementsysteem voor informatiebeveiliging zal worden aangepast bij:

  • interne veranderingen, verbeteringen of organisatiewijzigingen;
  • veranderingen van buitenaf die van invloed zijn op het systeem;
  • in- of externe mogelijkheden voor verbetering.

UITVOERING

Het informatiebeveiligingsbeleid is erop gericht gegevens maximaal te beschermen tegen misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging. Dit wordt gedaan door:

  • een voor de organisatie passend beleid te ontwikkelen;
  • dit beleid kenbaar en begrijpelijk te maken binnen de organisatie;
  • het bevorderen van een hoog bewustzijn bij medewerkers;
  • het motiveren van medewerkers, waarbij inspraak en betrokkenheid
  • bij verbeterprojecten wordt gestimuleerd;
  • waar mogelijk medewerkers te trainen en/of op te leiden;
  • met de klanten/stakeholders overleg te plegen over de eisen die aan de te leveren producten en diensten gesteld dienen te worden;
  • het streven naar verhoging van informatiebeveiliging;
  • compliant te zijn met geldende wet- en regelgeving;
  • een managementsysteem voor informatiebeveiliging te onderhouden dat voldoet aan de voorwaarden zoals gesteld in de norm NEN-ISO-27001:2017.

Iedere medewerker van 4Value heeft de verantwoordelijkheid om:

  • zwakke plekken en beveiligingsincidenten te melden;
  • kennis te nemen over de voorgeschreven maatregelen, richtlijnen, procedures en gedragsregels;
  • oplossingen langs bestaande hiërarchieke wegen te initiëren, aan te bevelen of aan te geven;
  • de uitvoering van de gekozen oplossingen te controleren;
  • afwijkingen in het managementsysteem voor informatiebeveiliging te signaleren.

DIRECTIEBEOORDELING

De beoordeling van het managementsysteem voor informatiebeveiliging gebeurt door de algemeen directeur en de directeur development. Deze beoordeling vindt minimaal jaarlijks plaats in de vorm van een directiebeoordeling. Deze heeft als doel het vaststellen van:

  • de doeltreffendheid van het managementsysteem voor informatiebeveiliging aan de hand van o.a. auditresultaten, monitoren en meten, vaststellen van trends;
  • de werking van preventieve- en corrigerende maatregelen;
  • de resultaten van vervolgmaatregelen vanuit vorige directiebeoordelingen;
  • het evalueren van een risico- en stakeholdersanalyse;
  • de beoordeling of de informatiebeveiligingsdoelstellingen zijn gehaald;
  • het bepalen van de benodigde verbeteracties;
  • nieuwe of gewijzigde informatiebeveiligingsdoelstellingen.

Namens 4Value,

 

Algemeen directeur                                                         Directeur development

mr. M.A. Dillissen                                                             mr. J.H.A. Eggen