Wij zijn COMpliant

ISO27001:2022 certified

Sinds oktober 2024 zijn wij ISO27001:2022 gecertificeerd. Het certificaat is hier te downloadenDe verklaring van toepasselijkheid staat hieronder.

Voor vragen, neem contact op via onze supportdesk

Vertrouwen bij klanten en stakeholders

Voldoen aan regelgeving en verminderen van risico's

Efficiëntieverbetering

Wat onze beleidsuitgangspunten zijn

De volgende algemene beleidsuitgangspunten zijn ontleend aan de ISO27001:2022 en de business-strategie van Cipher

  1. Informatie en informatiesystemen zijn van kritiek en van vitaal belang voor Cipher. De primaire verantwoordelijkheid voor informatiebeveiliging ligt bij de directie van Cipher.
  2. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening.
  3. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt jaarlijks bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.
    Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ (PDCA) vormen samen het managementsysteem van informatiebeveiliging.
  4. De Security Officer (SO) ondersteunt vanuit een onafhankelijke (staf)functie, de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover aan Directie.
    Cipher stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid.
  5. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd én vastgesteld.
    Bij alle projecten waar dat van toepassing is, zoals interne IT- infrastructurele wijzigingen, de aanschaf van nieuwe (informatie)systemen, maar ook ontwerp, levering én implementatie van veiligheidssystemen voor klanten van Cipher, wordt vanaf de start rekening gehouden met informatiebeveiliging.
  6. Wanneer (onderdelen van) Cipher samenwerkingsverbanden aangaan met externe partijen, hetzij inhoudelijk, hetzij voor de ontwikkeling of het beheer van de informatievoorziening, wordt nadrukkelijk aandacht besteed aan informatiebeveiliging. Afspraken hierover worden schriftelijk vastgelegd en op de naleving hiervan wordt toegezien door interne en/of externe instanties [SO, auditteam en/of externe toezichthouders en auditors].
  7. Alle organisatie-onderdelen van Cipher beschikken over middelen voor het melden en afhandelen van beveiligingsincidenten, waaronder datalekken i.h.k. van de AVG. De evaluatie van de afhandeling van beveiligingsincidenten en datalekken wordt benut voor de verbetering van informatiebeveiliging.
  8. Alle onderdelen van Cipher hebben maatregelen getroffen voor de beveiliging en het beheer van de operationele informatie- en communicatievoorzieningen. Maatregelen tegen allerlei vormen van kwaadaardige programmatuur (computervirussen, spam, spyware, phishing, ransomware, etc.) vormen hiervan een belangrijk onderdeel.
  9. Alle onderdelen van Cipher hebben maatregelen getroffen voor Identity & Accessmanagement waardoor is gewaarborgd dat alleen geautoriseerde medewerkers gebruik kunnen maken van de informatie- en communicatie-voorzieningen.
    Cipher streeft ernaar om bij ontwerp, levering en implementatie van haar diensten en producten te voldoen aan informatiebeveiligingseisen die gesteld worden door klantorganisaties en vigerende wet- en regelgeving.
  10. Alle informatie is voor alle medewerkers toegankelijk, tenzij dit door de aard van de informatie en/of functie niet gewenst is. Derden, toeleveranciers, partners en klanten hebben uitsluitend toegang tot informatie die voor het uitvoeren van hun taak noodzakelijk is
    Iedere medewerker behoort de waarde van informatie (informatieclassificatie) te kennen en daarnaar te handelen. Deze waarde wordt bepaald door de mogelijke schade als gevolg van verlies van beschikbaarheid, integriteit of vertrouwelijkheid.
    Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken bij de SO.
  11. Cipher beschikt over gedragsregels voor het gebruik van (algemene) informatievoorzieningen. Op de naleving van deze gedragsregels wordt, binnen de daarvoor toegestane kaders, toegezien.
    Bij de aanname, tijdens het dienstverband en in geval van ontslag van medewerkers besteedt de leidinggevende nadrukkelijk aandacht aan de betrouwbaarheid van medewerkers en aan de waarborging van de vertrouwelijkheid van informatie.
  12. Cipher voert een actief beleid om het beveiligingsbewustzijn van management en medewerkers te stimuleren. Hiertoe voert de SO, in samenwerking met de afdeling Marketing & Communicatie, periodiek bewustwordings-campagnes uit en biedt hij de onderdelen van Cipher hiervoor communicatiemiddelen aan.
  13. Ernstig misbruik van bevoegdheden of rechten door medewerkers in het kader van gedragsregels voor het gebruik van informatievoorzieningen, hetzij opzettelijk, hetzij door nalatigheid, heeft proportionele disciplinaire consequenties tot gevolg, zoals bijvoorbeeld schorsing, functieverandering of ontslag.
  14. Niet naleving van dit informatiebeveiligingsbeleid en de daaruit volgende consequenties voor derden, toeleveranciers, partners en klanten kan ontbinding van contractuele verplichtingen tot gevolg hebben.
    Cipher blijft verantwoordelijk voor de beveiliging van haar gegevens, óók indien de verwerking daarvan buiten de organisatie plaatsvindt.

Welke normelementen zijn van toepassing ?

HoofdstukOnderwerpVan toepassing (Ja /Nee)
5.1Beleidsregels voor informatiebeveiligingJa
5.2Rollen en verantwoordelijkhedenJa
5.3FunctiescheidingJa
5.4ManagementverantwoordelijkhedenJa
5.5Contact met overheidsinstantiesJa
5.6Contact met speciale belangengroepenJa
5.7Informatie en analyses over dreigingenJa
5.8Informatiebeveiliging in projectbeheerJa
5.9Inventarisatie van informatie en andere bedrijfsmiddelenJa
5.10Behandelen van bedrijfsmiddelenJa
5.11Retourneren van bedrijfsmiddelenJa
5.12Classificatie van informatieJa
5.13Informatie labelenJa
5.14Overdragen van informatieJa
5.15ToegangsbeveiligingJa
5.16IdentiteitsbeheerJa
5.17Authenticatie-informatieJa
5.18ToegangsrechtenJa
5.19Informatiebeveiliging in leveranciersrelatiesJa
5.20Adresseren van informatiebeveiliging in leverancierovereenkomstenJa
5.21Beheren van informatiebeveiliging in ICT-toeleveringsketenNee
5.22Monitoren, beoordelen en beheren leveranciersdienstenJa
5.23Informatiebeveiliging voor het gebruik van clouddienstenJa
5.24Plannen en voorbereiden van beheer informatiebeveiligingsincidentenJa
5.25Beoordelen en besluiten over informatiebeveiliging gebeurtenissenJa
5.26Reagereren op informatiebeveiliging incidentenJa
5.27Leren over informatiebeveiliging incidentenJa
5.28Verzamelen bewijsmateriaalJa
5.29Informatiebeveiliging tijdens verstoringJa
5.30ICT-gereedheid voor bedrijfscontinuiteitJa
5.31Wettelijke en regelgevende eisenJa
5.32Intellectuele eigendomsrechtenJa
5.33Beschermen van registratiesJa
5.34Privacy en bescherming van persoonsgegevensJa
5.35Onafhankelijke beoordeling van informatiebeveiligingJa
5.36Naleving van beleid, regels en normenJa
5.37Gedocumenteerde bedieningsproceduresJa
6.1ScreeningJa
6.2ArbeidsovereenkomstJa
6.3Bewustwording van opleiding en training in informatiebeveiligingJa
6.4Disciplinaire procedureJa
6.5Verantwoordelijkheden na beëindiging of wijziging van het dienstverbandJa
6.6Vertrouwelijksheids- of geheimhoudingsovereenkomstenJa
6.7Werken op afstandJa
6.8Melden van informatiebeveiligingsgebeurtenissenJa
7.1Fysieke beveiligingszoneJa
7.2Fysieke toegangsbeveiligingJa
7.3Beveiligen van kantoren, ruimten en faciliteitenJa
7.4Monitoren van de fysieke beveiligingNee
7.5Beschermen tegen fysieke en omgevingsdreigingenNee
7.6Werken in beveiligde zonesJa
7.7Clear desk en clear screenJa
7.8Plaatsen en beschermen van apparatuurJa
7.9Beveiligen van bedrijfsmiddelen buiten het terreinJa
7.10OpslagmediaJa
7.11NutsvoorzieningenJa
7.12Beveiligen van bekabelingJa
7.13Onderhoud van apparatuurJa
7.14Veilig verwijderen of hergebruiken van apparatuurJa
8.1User endpoint devicesJa
8.2Speciale toegangsrechtenJa
8.3Beperking toegang tot informatieJa
8.4Toegangsbeveiliging op broncodeJa
8.5Beveiligde authenticatieJa
8.6CapaciteitsbeheerJa
8.7Bescherming tegen malwareJa
8.8Beheer van technische kwetsbaarhedenJa
8.9ConfiguratiebeheerJa
8.10Wissen van informatieJa
8.11Maskeren van gegevensJa
8.12Voorkomen van gegevenslekkenJa
8.13Back-up van informatieJa
8.14Redundantie van informatieverwerkende faciliteitenJa
8.15LoggingJa
8.16Monitoren van activiteitenJa
8.17KloksynchronisatieJa
8.18Gebruik van speciale systeemhulpmiddelenJa
8.19Installeren van software op operationele systemenJa
8.20Beveiliging netwerkcomponentenJa
8.21Beveiliging van netwerkdienstenJa
8.22NetwerksegmentatieJa
8.23Toepassen van webfiltersNee
8.24Gebruik van cryptografieJa
8.25Beveiligen tijdens de ontwikkelcyclusJa
8.26ToepassingsbeveiligingseisenJa
8.27Veilige systeemarchitectuur en technische uitgangspuntenJa
8.28Veilig coderenJa
8.29Testen van de beveiliging tijdens ontwikkeling en acceptatieJa
8.30Uitbestede systeemontwikkelingNee
8.31Scheiding van ontwikkel, test en productieomgevingenJa
8.32WijzigingsbeheerJa
8.33TestgegevensJa
8.34Bescherming van informatiesystemen tijdens auditsJa

Boek een sparringssessie