Wij zijn COMpliant
ISO27001:2022 certified
Sinds oktober 2024 zijn wij ISO27001:2022 gecertificeerd. Het certificaat is hier te downloaden. De verklaring van toepasselijkheid staat hieronder.
Voor vragen, neem contact op via onze supportdesk.
Vertrouwen bij klanten en stakeholders
Voldoen aan regelgeving en verminderen van risico's
Efficiëntieverbetering
Wat onze beleidsuitgangspunten zijn
De volgende algemene beleidsuitgangspunten zijn ontleend aan de ISO27001:2022 en de business-strategie van Cipher
- Informatie en informatiesystemen zijn van kritiek en van vitaal belang voor Cipher. De primaire verantwoordelijkheid voor informatiebeveiliging ligt bij de directie van Cipher.
- Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening.
- In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt jaarlijks bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.
Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ (PDCA) vormen samen het managementsysteem van informatiebeveiliging. - De Security Officer (SO) ondersteunt vanuit een onafhankelijke (staf)functie, de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover aan Directie.
Cipher stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid. - Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd én vastgesteld.
Bij alle projecten waar dat van toepassing is, zoals interne IT- infrastructurele wijzigingen, de aanschaf van nieuwe (informatie)systemen, maar ook ontwerp, levering én implementatie van veiligheidssystemen voor klanten van Cipher, wordt vanaf de start rekening gehouden met informatiebeveiliging. - Wanneer (onderdelen van) Cipher samenwerkingsverbanden aangaan met externe partijen, hetzij inhoudelijk, hetzij voor de ontwikkeling of het beheer van de informatievoorziening, wordt nadrukkelijk aandacht besteed aan informatiebeveiliging. Afspraken hierover worden schriftelijk vastgelegd en op de naleving hiervan wordt toegezien door interne en/of externe instanties [SO, auditteam en/of externe toezichthouders en auditors].
- Alle organisatie-onderdelen van Cipher beschikken over middelen voor het melden en afhandelen van beveiligingsincidenten, waaronder datalekken i.h.k. van de AVG. De evaluatie van de afhandeling van beveiligingsincidenten en datalekken wordt benut voor de verbetering van informatiebeveiliging.
- Alle onderdelen van Cipher hebben maatregelen getroffen voor de beveiliging en het beheer van de operationele informatie- en communicatievoorzieningen. Maatregelen tegen allerlei vormen van kwaadaardige programmatuur (computervirussen, spam, spyware, phishing, ransomware, etc.) vormen hiervan een belangrijk onderdeel.
- Alle onderdelen van Cipher hebben maatregelen getroffen voor Identity & Accessmanagement waardoor is gewaarborgd dat alleen geautoriseerde medewerkers gebruik kunnen maken van de informatie- en communicatie-voorzieningen.
Cipher streeft ernaar om bij ontwerp, levering en implementatie van haar diensten en producten te voldoen aan informatiebeveiligingseisen die gesteld worden door klantorganisaties en vigerende wet- en regelgeving. - Alle informatie is voor alle medewerkers toegankelijk, tenzij dit door de aard van de informatie en/of functie niet gewenst is. Derden, toeleveranciers, partners en klanten hebben uitsluitend toegang tot informatie die voor het uitvoeren van hun taak noodzakelijk is
Iedere medewerker behoort de waarde van informatie (informatieclassificatie) te kennen en daarnaar te handelen. Deze waarde wordt bepaald door de mogelijke schade als gevolg van verlies van beschikbaarheid, integriteit of vertrouwelijkheid.
Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken bij de SO. - Cipher beschikt over gedragsregels voor het gebruik van (algemene) informatievoorzieningen. Op de naleving van deze gedragsregels wordt, binnen de daarvoor toegestane kaders, toegezien.
Bij de aanname, tijdens het dienstverband en in geval van ontslag van medewerkers besteedt de leidinggevende nadrukkelijk aandacht aan de betrouwbaarheid van medewerkers en aan de waarborging van de vertrouwelijkheid van informatie. - Cipher voert een actief beleid om het beveiligingsbewustzijn van management en medewerkers te stimuleren. Hiertoe voert de SO, in samenwerking met de afdeling Marketing & Communicatie, periodiek bewustwordings-campagnes uit en biedt hij de onderdelen van Cipher hiervoor communicatiemiddelen aan.
- Ernstig misbruik van bevoegdheden of rechten door medewerkers in het kader van gedragsregels voor het gebruik van informatievoorzieningen, hetzij opzettelijk, hetzij door nalatigheid, heeft proportionele disciplinaire consequenties tot gevolg, zoals bijvoorbeeld schorsing, functieverandering of ontslag.
- Niet naleving van dit informatiebeveiligingsbeleid en de daaruit volgende consequenties voor derden, toeleveranciers, partners en klanten kan ontbinding van contractuele verplichtingen tot gevolg hebben.
Cipher blijft verantwoordelijk voor de beveiliging van haar gegevens, óók indien de verwerking daarvan buiten de organisatie plaatsvindt.
Welke normelementen zijn van toepassing ?
Hoofdstuk | Onderwerp | Van toepassing (Ja /Nee) |
---|---|---|
5.1 | Beleidsregels voor informatiebeveiliging | Ja |
5.2 | Rollen en verantwoordelijkheden | Ja |
5.3 | Functiescheiding | Ja |
5.4 | Managementverantwoordelijkheden | Ja |
5.5 | Contact met overheidsinstanties | Ja |
5.6 | Contact met speciale belangengroepen | Ja |
5.7 | Informatie en analyses over dreigingen | Ja |
5.8 | Informatiebeveiliging in projectbeheer | Ja |
5.9 | Inventarisatie van informatie en andere bedrijfsmiddelen | Ja |
5.10 | Behandelen van bedrijfsmiddelen | Ja |
5.11 | Retourneren van bedrijfsmiddelen | Ja |
5.12 | Classificatie van informatie | Ja |
5.13 | Informatie labelen | Ja |
5.14 | Overdragen van informatie | Ja |
5.15 | Toegangsbeveiliging | Ja |
5.16 | Identiteitsbeheer | Ja |
5.17 | Authenticatie-informatie | Ja |
5.18 | Toegangsrechten | Ja |
5.19 | Informatiebeveiliging in leveranciersrelaties | Ja |
5.20 | Adresseren van informatiebeveiliging in leverancierovereenkomsten | Ja |
5.21 | Beheren van informatiebeveiliging in ICT-toeleveringsketen | Nee |
5.22 | Monitoren, beoordelen en beheren leveranciersdiensten | Ja |
5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | Ja |
5.24 | Plannen en voorbereiden van beheer informatiebeveiligingsincidenten | Ja |
5.25 | Beoordelen en besluiten over informatiebeveiliging gebeurtenissen | Ja |
5.26 | Reagereren op informatiebeveiliging incidenten | Ja |
5.27 | Leren over informatiebeveiliging incidenten | Ja |
5.28 | Verzamelen bewijsmateriaal | Ja |
5.29 | Informatiebeveiliging tijdens verstoring | Ja |
5.30 | ICT-gereedheid voor bedrijfscontinuiteit | Ja |
5.31 | Wettelijke en regelgevende eisen | Ja |
5.32 | Intellectuele eigendomsrechten | Ja |
5.33 | Beschermen van registraties | Ja |
5.34 | Privacy en bescherming van persoonsgegevens | Ja |
5.35 | Onafhankelijke beoordeling van informatiebeveiliging | Ja |
5.36 | Naleving van beleid, regels en normen | Ja |
5.37 | Gedocumenteerde bedieningsprocedures | Ja |
6.1 | Screening | Ja |
6.2 | Arbeidsovereenkomst | Ja |
6.3 | Bewustwording van opleiding en training in informatiebeveiliging | Ja |
6.4 | Disciplinaire procedure | Ja |
6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | Ja |
6.6 | Vertrouwelijksheids- of geheimhoudingsovereenkomsten | Ja |
6.7 | Werken op afstand | Ja |
6.8 | Melden van informatiebeveiligingsgebeurtenissen | Ja |
7.1 | Fysieke beveiligingszone | Ja |
7.2 | Fysieke toegangsbeveiliging | Ja |
7.3 | Beveiligen van kantoren, ruimten en faciliteiten | Ja |
7.4 | Monitoren van de fysieke beveiliging | Nee |
7.5 | Beschermen tegen fysieke en omgevingsdreigingen | Nee |
7.6 | Werken in beveiligde zones | Ja |
7.7 | Clear desk en clear screen | Ja |
7.8 | Plaatsen en beschermen van apparatuur | Ja |
7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | Ja |
7.10 | Opslagmedia | Ja |
7.11 | Nutsvoorzieningen | Ja |
7.12 | Beveiligen van bekabeling | Ja |
7.13 | Onderhoud van apparatuur | Ja |
7.14 | Veilig verwijderen of hergebruiken van apparatuur | Ja |
8.1 | User endpoint devices | Ja |
8.2 | Speciale toegangsrechten | Ja |
8.3 | Beperking toegang tot informatie | Ja |
8.4 | Toegangsbeveiliging op broncode | Ja |
8.5 | Beveiligde authenticatie | Ja |
8.6 | Capaciteitsbeheer | Ja |
8.7 | Bescherming tegen malware | Ja |
8.8 | Beheer van technische kwetsbaarheden | Ja |
8.9 | Configuratiebeheer | Ja |
8.10 | Wissen van informatie | Ja |
8.11 | Maskeren van gegevens | Ja |
8.12 | Voorkomen van gegevenslekken | Ja |
8.13 | Back-up van informatie | Ja |
8.14 | Redundantie van informatieverwerkende faciliteiten | Ja |
8.15 | Logging | Ja |
8.16 | Monitoren van activiteiten | Ja |
8.17 | Kloksynchronisatie | Ja |
8.18 | Gebruik van speciale systeemhulpmiddelen | Ja |
8.19 | Installeren van software op operationele systemen | Ja |
8.20 | Beveiliging netwerkcomponenten | Ja |
8.21 | Beveiliging van netwerkdiensten | Ja |
8.22 | Netwerksegmentatie | Ja |
8.23 | Toepassen van webfilters | Nee |
8.24 | Gebruik van cryptografie | Ja |
8.25 | Beveiligen tijdens de ontwikkelcyclus | Ja |
8.26 | Toepassingsbeveiligingseisen | Ja |
8.27 | Veilige systeemarchitectuur en technische uitgangspunten | Ja |
8.28 | Veilig coderen | Ja |
8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | Ja |
8.30 | Uitbestede systeemontwikkeling | Nee |
8.31 | Scheiding van ontwikkel, test en productieomgevingen | Ja |
8.32 | Wijzigingsbeheer | Ja |
8.33 | Testgegevens | Ja |
8.34 | Bescherming van informatiesystemen tijdens audits | Ja |