Profilerr

Beleid voor informatiebeveiliging

Het beleid voor informatiebeveiliging vormt de basis voor de bescherming van gegevens, ondersteunt beslissingen over beveiligingsbeheer en stelt richtlijnen vast die zorgen voor de beste informatiebeveiligingsmaatregelen. Dit beleid is van toepassing op alle informatie en informatiesystemen die worden gebruikt, beheerd of geëxploiteerd door een bedrijf op deze website. Dit beleid richt zich op het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens, het classificeren en verwerken van informatie en het aanpakken van eventuele inbreuken op dit beleid.

Om een veilige operationele omgeving te garanderen, bevat dit beleid een samenhangend pakket beschermingsmaatregelen die consequent op onze website moeten worden toegepast.

Doel

Het beheer van informatiebeveiliging houdt in dat geschikte maatregelen zorgvuldig worden gekozen en effectief worden geïmplementeerd om cruciale bedrijfsinformatie te beschermen. Deze maatregelen, in combinatie met de voortdurende controle op hun effectiviteit, vormen de kern van het informatiebeveiligings programma.

De drie belangrijkste doelstellingen van informatiebeveiliging zijn:

  • Vertrouwelijkheid: Bescherming van gevoelige informatie tegen toegang door onbevoegde personen of systemen.
  • Integriteit: Waarborging van de nauwkeurigheid, volledigheid en actualiteit van informatie.
  • Beschikbaarheid: Zorgen dat informatie en essentiële diensten toegankelijk zijn voor bevoegde gebruikers wanneer nodig.

Toepassingsgebied

Dit beleid is van toepassing op alle medewerkers, contractanten, partners en stagiairs/trainees die binnen ons bedrijf werkzaam zijn. Externe dienstverleners die hostingdiensten leveren of gegevens buiten de bedrijfsomgeving opslaan, moeten eveneens aan dit beleid voldoen.

Het toepassingsgebied van dit informatiebeveiligingsbeleid omvat alle informatie die binnen ons bedrijf wordt opgeslagen, gecommuniceerd en verwerkt, evenals bedrijfsgegevens die op externe locaties worden beheerd.

Doelstellingen

Het doel van het informatiebeveiligingsbeleid is om ons bedrijf een gestructureerde aanpak te bieden voor het beheren van informatie gerelateerde risico's. Daarnaast stelt het richtlijnen vast voor de bescherming van informatie-assets binnen alle afdelingen en voor externe partijen die diensten verlenen.

Classificatie van informatie-assets

De informatie-assets van het bedrijf worden ingedeeld in vier categorieën: Openbaar, Intern, Vertrouwelijk en Beperkt. Alle belangrijke informatie-assets moeten een aangewezen eigenaar hebben die verantwoordelijk is voor het vaststellen van passende authenticatie- en autorisatie procedures op basis van deze categorieën:

  1. Openbare informatie kan zonder beperkingen worden gedeeld of verspreid onder het algemene publiek. Dit betreft gegevens die geen bescherming vereisen en waarvan het gebruik geen of minimale impact heeft op de activiteiten, assets of reputatie van het bedrijf en de verplichtingen met betrekking tot informatie privacy.
  2. Vertrouwelijke informatie is uitsluitend bedoeld voor intern gebruik en mag alleen toegankelijk zijn voor medewerkers die deze informatie nodig hebben voor hun werkzaamheden. Dit omvat gegevens die worden beschermd door staatswetgeving of contractuele bedrijfsverplichtingen en die privacy- en beveiligingsmaatregelen vereisen.
  3. Beperkte informatie moet strikt vertrouwelijk worden behandeld en is alleen toegankelijk op basis van het "need-to-know"-principe. Dit omvat bijvoorbeeld gegevens die de nationale belangen en/of nationale veiligheid raken.

Alle medewerkers moeten zich bewust zijn van hun wettelijke en zakelijke verantwoordelijkheden met betrekking tot ongeoorloofd gebruik, delen of vrijgeven van informatie aan derden. Externe partijen die toegang krijgen tot vertrouwelijke of beperkte informatie moeten hiervoor bevoegd zijn en passende beveiligingsmaatregelen hebben getroffen om de vertrouwelijkheid en integriteit van de gegevens te garanderen.

Vertrouwelijke informatie moet worden beschermd om ongeoorloofde toegang of blootstelling te voorkomen.

Beperkte informatie heeft de hoogste mate van gevoeligheid en vormt het grootste risico voor het bedrijf, de staat en individuen als deze in verkeerde handen valt. Werknemers die met beperkte informatie werken of systemen gebruiken waarin dergelijke gegevens worden opgeslagen, verzonden of verwerkt, zijn verplicht om de vertrouwelijkheid, integriteit en beschikbaarheid ervan te allen tijde te waarborgen.

Beheer van informatiebeveiliging

Informatiebeveiligingsbeheer omvat leiderschap, organisatorische structuren en processen die informatie beschermen en de toenemende dreigingen op het gebied van informatiebeveiliging beperken.

Belangrijke resultaten van effectief informatiebeveiligingsbeheer zijn:

  • Afstemming van informatiebeveiliging op de bedrijfsstrategie ter ondersteuning van de organisatiedoelstellingen.
  • Beheer en beperking van risico’s om de mogelijke impact op informatiebronnen tot een acceptabel niveau te reduceren.
  • Monitoring en evaluatie van informatiebeveiliging prestaties door het meten, bewaken en rapporteren van relevante indicatoren, zodat organisatiedoelstellingen worden behaald.
  • Optimalisatie van investeringen in informatiebeveiliging ter ondersteuning van de organisatiedoelstellingen. Het is essentieel om het belang en de voordelen van effectief informatiebeveiligingsbeheer binnen de organisatie te erkennen en te integreren.

Verantwoordelijkheid

De marketing afdeling is verantwoordelijk voor de inhoud van de website en zorgt ervoor dat het materiaal voldoet aan wettelijke en beleidsmatige vereisten.

De IT-afdeling is verantwoordelijk voor de beveiliging, functionaliteit en infrastructuur van de website. De systeembeheerders bewaken de responstijd van de website en lossen eventuele problemen op.

Bewustwording en communicatie

Alle aspecten van informatiebeveiliging, waaronder vertrouwelijkheid, privacy en procedures voor systeem toegang, moeten worden opgenomen in de formele introductie procedures voor nieuwe medewerkers en regelmatig worden gecommuniceerd naar bestaand personeel.

Bij aanvang van het dienstverband moeten medewerkers erop worden gewezen dat zij geen informatie mogen delen waartoe zij in de normale uitoefening van hun functie toegang hebben. Daarnaast moeten zij zich ervan bewust zijn dat zij geen toegang mogen zoeken tot gegevens die niet nodig zijn voor hun werkzaamheden.