Wij zijn COMpliant
ISO27001:2022 certified
Jouw organisatie vertrouwt op veilige, stabiele software. Daarom voldoen we sinds oktober 2024 aan de ISO27001:2022-norm, waarmee we ervoor zorgen dat jouw gegevens en processen maximaal beschermd zijn tegen risico’s zoals datalekken of inbreuken.
Dat betekent voor jou:
Minder risico's:
Ons streng gecontroleerde ontwikkelproces zorgt voor stabiele software en verkleint de kans op fouten voordat ze in productie gaan.
Veilige data:
Jouw gegevens worden veilig opgeslagen op servers in West-Europa, gehost in de gecertificeerde Microsoft Azure-omgeving.
Betrouwbare samenwerking:
Informatiebeveiliging is een gedeelde verantwoordelijkheid. Met onze certificering laten we zien dat we onze processen en leveranciers scherp bewaken.
Zekerheid en vertrouwen voor jouw organisatie
Met ISO27001:2022 voldoen we aan de hoge eisen die jij en jouw stakeholders stellen aan producten en diensten. Zo kun je niet alleen met vertrouwen jouw klanten bedienen, maar laat je ook zien dat je verantwoordelijkheid neemt binnen de gehele keten. Deze certificering biedt zekerheid aan jouw partners, leveranciers en klanten dat informatiebeveiliging bij ons topprioriteit heeft.
Bekijk ons certificaat hier of lees de verklaring van toepasselijkheid hieronder. Heb je vragen? Neem gerust contact op met onze supportdesk.
Wat onze beleidsuitgangspunten zijn
De volgende algemene beleidsuitgangspunten zijn ontleend aan de ISO27001:2022 en de business-strategie van Cipher
- Informatie en informatiesystemen zijn van kritiek en van vitaal belang voor Cipher. De primaire verantwoordelijkheid voor informatiebeveiliging ligt bij de directie van Cipher.
- Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening.
- In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt jaarlijks bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.
Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ (PDCA) vormen samen het managementsysteem van informatiebeveiliging. - De Security Officer (SO) ondersteunt vanuit een onafhankelijke (staf)functie, de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover aan Directie.
Cipher stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid. - Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd én vastgesteld.
Bij alle projecten waar dat van toepassing is, zoals interne IT- infrastructurele wijzigingen, de aanschaf van nieuwe (informatie)systemen, maar ook ontwerp, levering én implementatie van veiligheidssystemen voor klanten van Cipher, wordt vanaf de start rekening gehouden met informatiebeveiliging. - Wanneer (onderdelen van) Cipher samenwerkingsverbanden aangaan met externe partijen, hetzij inhoudelijk, hetzij voor de ontwikkeling of het beheer van de informatievoorziening, wordt nadrukkelijk aandacht besteed aan informatiebeveiliging. Afspraken hierover worden schriftelijk vastgelegd en op de naleving hiervan wordt toegezien door interne en/of externe instanties [SO, auditteam en/of externe toezichthouders en auditors].
- Alle organisatie-onderdelen van Cipher beschikken over middelen voor het melden en afhandelen van beveiligingsincidenten, waaronder datalekken i.h.k. van de AVG. De evaluatie van de afhandeling van beveiligingsincidenten en datalekken wordt benut voor de verbetering van informatiebeveiliging.
- Alle onderdelen van Cipher hebben maatregelen getroffen voor de beveiliging en het beheer van de operationele informatie- en communicatievoorzieningen. Maatregelen tegen allerlei vormen van kwaadaardige programmatuur (computervirussen, spam, spyware, phishing, ransomware, etc.) vormen hiervan een belangrijk onderdeel.
- Alle onderdelen van Cipher hebben maatregelen getroffen voor Identity & Accessmanagement waardoor is gewaarborgd dat alleen geautoriseerde medewerkers gebruik kunnen maken van de informatie- en communicatie-voorzieningen.
Cipher streeft ernaar om bij ontwerp, levering en implementatie van haar diensten en producten te voldoen aan informatiebeveiligingseisen die gesteld worden door klantorganisaties en vigerende wet- en regelgeving. - Alle informatie is voor alle medewerkers toegankelijk, tenzij dit door de aard van de informatie en/of functie niet gewenst is. Derden, toeleveranciers, partners en klanten hebben uitsluitend toegang tot informatie die voor het uitvoeren van hun taak noodzakelijk is
Iedere medewerker behoort de waarde van informatie (informatieclassificatie) te kennen en daarnaar te handelen. Deze waarde wordt bepaald door de mogelijke schade als gevolg van verlies van beschikbaarheid, integriteit of vertrouwelijkheid.
Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken bij de SO. - Cipher beschikt over gedragsregels voor het gebruik van (algemene) informatievoorzieningen. Op de naleving van deze gedragsregels wordt, binnen de daarvoor toegestane kaders, toegezien.
Bij de aanname, tijdens het dienstverband en in geval van ontslag van medewerkers besteedt de leidinggevende nadrukkelijk aandacht aan de betrouwbaarheid van medewerkers en aan de waarborging van de vertrouwelijkheid van informatie. - Cipher voert een actief beleid om het beveiligingsbewustzijn van management en medewerkers te stimuleren. Hiertoe voert de SO, in samenwerking met de afdeling Marketing & Communicatie, periodiek bewustwordings-campagnes uit en biedt hij de onderdelen van Cipher hiervoor communicatiemiddelen aan.
- Ernstig misbruik van bevoegdheden of rechten door medewerkers in het kader van gedragsregels voor het gebruik van informatievoorzieningen, hetzij opzettelijk, hetzij door nalatigheid, heeft proportionele disciplinaire consequenties tot gevolg, zoals bijvoorbeeld schorsing, functieverandering of ontslag.
- Niet naleving van dit informatiebeveiligingsbeleid en de daaruit volgende consequenties voor derden, toeleveranciers, partners en klanten kan ontbinding van contractuele verplichtingen tot gevolg hebben.
Cipher blijft verantwoordelijk voor de beveiliging van haar gegevens, óók indien de verwerking daarvan buiten de organisatie plaatsvindt.
Welke normelementen zijn van toepassing ?
Hoofdstuk | Onderwerp | Van toepassing (Ja /Nee) |
---|---|---|
5.1 | Beleidsregels voor informatiebeveiliging | Ja |
5.2 | Rollen en verantwoordelijkheden | Ja |
5.3 | Functiescheiding | Ja |
5.4 | Managementverantwoordelijkheden | Ja |
5.5 | Contact met overheidsinstanties | Ja |
5.6 | Contact met speciale belangengroepen | Ja |
5.7 | Informatie en analyses over dreigingen | Ja |
5.8 | Informatiebeveiliging in projectbeheer | Ja |
5.9 | Inventarisatie van informatie en andere bedrijfsmiddelen | Ja |
5.10 | Behandelen van bedrijfsmiddelen | Ja |
5.11 | Retourneren van bedrijfsmiddelen | Ja |
5.12 | Classificatie van informatie | Ja |
5.13 | Informatie labelen | Ja |
5.14 | Overdragen van informatie | Ja |
5.15 | Toegangsbeveiliging | Ja |
5.16 | Identiteitsbeheer | Ja |
5.17 | Authenticatie-informatie | Ja |
5.18 | Toegangsrechten | Ja |
5.19 | Informatiebeveiliging in leveranciersrelaties | Ja |
5.20 | Adresseren van informatiebeveiliging in leverancierovereenkomsten | Ja |
5.21 | Beheren van informatiebeveiliging in ICT-toeleveringsketen | Nee |
5.22 | Monitoren, beoordelen en beheren leveranciersdiensten | Ja |
5.23 | Informatiebeveiliging voor het gebruik van clouddiensten | Ja |
5.24 | Plannen en voorbereiden van beheer informatiebeveiligingsincidenten | Ja |
5.25 | Beoordelen en besluiten over informatiebeveiliging gebeurtenissen | Ja |
5.26 | Reagereren op informatiebeveiliging incidenten | Ja |
5.27 | Leren over informatiebeveiliging incidenten | Ja |
5.28 | Verzamelen bewijsmateriaal | Ja |
5.29 | Informatiebeveiliging tijdens verstoring | Ja |
5.30 | ICT-gereedheid voor bedrijfscontinuiteit | Ja |
5.31 | Wettelijke en regelgevende eisen | Ja |
5.32 | Intellectuele eigendomsrechten | Ja |
5.33 | Beschermen van registraties | Ja |
5.34 | Privacy en bescherming van persoonsgegevens | Ja |
5.35 | Onafhankelijke beoordeling van informatiebeveiliging | Ja |
5.36 | Naleving van beleid, regels en normen | Ja |
5.37 | Gedocumenteerde bedieningsprocedures | Ja |
6.1 | Screening | Ja |
6.2 | Arbeidsovereenkomst | Ja |
6.3 | Bewustwording van opleiding en training in informatiebeveiliging | Ja |
6.4 | Disciplinaire procedure | Ja |
6.5 | Verantwoordelijkheden na beëindiging of wijziging van het dienstverband | Ja |
6.6 | Vertrouwelijksheids- of geheimhoudingsovereenkomsten | Ja |
6.7 | Werken op afstand | Ja |
6.8 | Melden van informatiebeveiligingsgebeurtenissen | Ja |
7.1 | Fysieke beveiligingszone | Ja |
7.2 | Fysieke toegangsbeveiliging | Ja |
7.3 | Beveiligen van kantoren, ruimten en faciliteiten | Ja |
7.4 | Monitoren van de fysieke beveiliging | Nee |
7.5 | Beschermen tegen fysieke en omgevingsdreigingen | Nee |
7.6 | Werken in beveiligde zones | Ja |
7.7 | Clear desk en clear screen | Ja |
7.8 | Plaatsen en beschermen van apparatuur | Ja |
7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | Ja |
7.10 | Opslagmedia | Ja |
7.11 | Nutsvoorzieningen | Ja |
7.12 | Beveiligen van bekabeling | Ja |
7.13 | Onderhoud van apparatuur | Ja |
7.14 | Veilig verwijderen of hergebruiken van apparatuur | Ja |
8.1 | User endpoint devices | Ja |
8.2 | Speciale toegangsrechten | Ja |
8.3 | Beperking toegang tot informatie | Ja |
8.4 | Toegangsbeveiliging op broncode | Ja |
8.5 | Beveiligde authenticatie | Ja |
8.6 | Capaciteitsbeheer | Ja |
8.7 | Bescherming tegen malware | Ja |
8.8 | Beheer van technische kwetsbaarheden | Ja |
8.9 | Configuratiebeheer | Ja |
8.10 | Wissen van informatie | Ja |
8.11 | Maskeren van gegevens | Ja |
8.12 | Voorkomen van gegevenslekken | Ja |
8.13 | Back-up van informatie | Ja |
8.14 | Redundantie van informatieverwerkende faciliteiten | Ja |
8.15 | Logging | Ja |
8.16 | Monitoren van activiteiten | Ja |
8.17 | Kloksynchronisatie | Ja |
8.18 | Gebruik van speciale systeemhulpmiddelen | Ja |
8.19 | Installeren van software op operationele systemen | Ja |
8.20 | Beveiliging netwerkcomponenten | Ja |
8.21 | Beveiliging van netwerkdiensten | Ja |
8.22 | Netwerksegmentatie | Ja |
8.23 | Toepassen van webfilters | Nee |
8.24 | Gebruik van cryptografie | Ja |
8.25 | Beveiligen tijdens de ontwikkelcyclus | Ja |
8.26 | Toepassingsbeveiligingseisen | Ja |
8.27 | Veilige systeemarchitectuur en technische uitgangspunten | Ja |
8.28 | Veilig coderen | Ja |
8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | Ja |
8.30 | Uitbestede systeemontwikkeling | Nee |
8.31 | Scheiding van ontwikkel, test en productieomgevingen | Ja |
8.32 | Wijzigingsbeheer | Ja |
8.33 | Testgegevens | Ja |
8.34 | Bescherming van informatiesystemen tijdens audits | Ja |