Securitybeleid

Informatie-beveiligingsbeleid

Purple Polar Bear

Versie: 1.0

Goedgekeurd door management: GOEDGEKEURD

1 Context en doelen

Purple Polar Bear is gespecialiseerd in dataontsluiting en -management, met een focus op het ondersteunen van organisaties bij het ontsluiten en verwerken van data voor verplichte en operationele processen. Onze expertise ligt in het creëren van veilige, efficiënte en schaalbare oplossingen voor datastromen.

Dit beleidsdocument beschrijft het informatiebeveiligingsmanagementsysteem (ISMS) dat onze organisatie gebruikt. Iedereen in onze organisatie (of op sleutelposities bij leveranciers) die vertrouwelijke of gevoelige gegevens verwerkt, moet op de hoogte zijn van dit beleid en handelen in overeenstemming met het beleid. Ook als iemand iets in ons bedrijf waarneemt dat niet in overeenstemming is met dit beleid, moet hij of zij dit onmiddellijk melden. Dit kan worden gedaan door onze Security Officer of een lid van het beveiligingsteam op de hoogte te stellen. Het volledige managementteam van ons bedrijf is betrokken geweest bij het opstellen van dit beleid en zet zich volledig in om ervoor te zorgen dat we ons aan de regels houden.

2 Scope

De scope van het ISMS is:

Informatiebeveiliging gerelateerd aan het ontwikkelen, leveren en beheren van dataontsluitingsoplossingen en bijbehorende diensten voor klanten in de publieke en private sector.

In deze scope bieden wij de volgende hoofdactiviteiten en diensten aan klanten:

• Dataontsluiting en -conversie: Het ontsluiten en transformeren van data in de vereiste formaten voor systemen.
• Implementatie en integratie: Het inrichten en configureren van veilige en efficiënte koppelingen met interne en externe platforms.
• Beheer en onderhoud: Het bewaken en continu verbeteren van de datakoppelingen en bijbehorende beveiligingsmaatregelen.

De volgende afdelingen zijn in scope van dit beleid:

• Development
• Operations & Support
• Sales & Accountmanagement

Op dit moment zijn er geen afdelingen of bedrijfsactiviteiten specifiek buiten de scope van dit beleid verklaard. Ons bedrijf heeft de volgende kantoorlocaties en werklocaties die binnen het bereik van dit beleid vallen:

• Hoofdkantoor: Vondellaan 4 te Utrecht
• Remote werkplekken: Medewerkers werken deels op afstand en moeten voldoen aan de informatiebeveiligingsrichtlijnen.

Purple Polar Bear managet haar data centrum (niet) direct. Amazon Web Services wordt gebruikt als leverancier van de IT infrastructuur.

3 Stakeholder analyse

Het managementteam is verantwoordelijk voor het onderhouden van regelmatig contact met belanghebbenden, het begrijpen van de informatiebeveiligingseisen en verwachtingen van belanghebbenden en ervoor te zorgen dat het ISMS hierop is afgestemd. De resulterende informatie is gedocumenteerd in de stakeholderanalyse, die jaarlijks zal worden bijgewerkt.

4 Leiderschap

Het gehele management is op de hoogte van het informatiebeveiligingsbeleid en is vastbesloten om deze inspanning op permanente basis te ondersteunen. Eva Wiggers is de managementvertegenwoordiger die rechtstreeks in contact staat met het beveiligingsteam.

Er is een informatiebeveiligingsteam (IB-team) dat verantwoordelijk is voor het implementeren en onderhouden van informatiebeveiliging. De verantwoordelijkheden van het informatiebeveiligingsteam en andere rollen zijn vastgelegd.

Alle personeelsleden van de organisatie worden regelmatig ingelicht door het informatiebeveiligingsteam en zijn verantwoordelijk voor het volgen van het beleid en de richtlijnen.

5 Middelen, awareness en training

Het management is ervoor verantwoordelijk dat werknemers die informatiebeveiligingstaken uitvoeren uitgebreide kennis hebben van de onderwerpen waaraan zij werken. Ze krijgen een security awareness training na het afsluiten van het contract en daarna weer minstens één keer per jaar. Medewerkers die betrokken zijn bij het ontwerpen en ontwikkelen van producten of personeel met extra beveiligingsverantwoordelijkheden zullen extra training krijgen die geschikt is voor hun rol.

6 Planning

Het IB-team en management stelt doelen en KPI’s vast om de effectiviteit van het ISMS te meten. Het IB-team voert de metingen uit en zorgt dat meetresultaten worden besproken. Er is een jaarplanning waarin terugkerende overleggen en acties zijn vastgelegd.

7 Prestatie evaluatie

Het managementteam zal de effectiviteit van het ISMS jaarlijks beoordelen in een management review. Indien nodig zal ondersteuning door externe partners worden gezocht, zoals aanvullend technisch advies, onafhankelijke beveiligingstests of audits door onafhankelijke partijen.

8 Continue verbetering

Het management is gecommitteerd om het ISMS continu te verbeteren. Dit wordt gedaan door belanghebbenden te documenteren en te analyseren en externe bronnen van expertise te raadplegen.