Dit document bevat een beknopt overzicht van de belangrijkste uitgangspunten van het informatiebeveiligingsbeleid binnen Jump. Jump is ISO 27001 gecertificeerd en heeft haar bedrijfsvoering daarmee getoetst op de eisen die deze normen stellen aan informatiebeveiliging.
Het doel van dit document is om een duidelijk overzicht te geven van de manier waarop Jump haar bedrijfsvoering, mensen en systemen inzet om de veiligheid van interne- en externe gegevens te garanderen.
Om het beleid m.b.t. informatiebeveiliging verder concreet te maken zijn processen ingericht en worden deze continue verbeterd. De processen en de afspraken in het managementsysteem en de stakeholder-, context en informatiebeveiligingsrisicoanalyse vormen tegelijkertijd de input voor doelstellingen voor de organisatie m.b.t informatiebeveiliging. De prestaties van het systeem en daarmee ook de doelstellingen van de organisatie, worden beoordeeld en opgevolgd d.m.v. de jaarlijkse directiebeoordeling van het managementsysteem. Tijdens de jaarlijkse beoordeling van het managementsysteem worden vervolgens opnieuw specifieke jaardoelen geformuleerd en geëvalueerd om continue verbetering te realiseren.
Jump heeft als uitgangspunt om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie te waarborgen om beveiligingsincidenten te voorkomen Het informatiebeveiligingsbeleid van Jump is opgezet op basis van de richtlijnen zoals benoemd in de ISO 27001 aangevuld met de volgende uitgangspunten:
Om de risico’s ten aanzien van informatiebeveiliging in kaart te brengen heeft Jump een risicoanalyse methodiek geïmplementeerd. Hierbij kijken we vanuit verschillende thema’s naar informatiebeveiliging en beoordelen welke aanvullende maatregelen getroffen moeten worden om het niveau van informatieveiligheid binnen Jump te vergroten. Ieder risico wordt beoordeeld op basis van impact x waarschijnlijkheid. Als de risicowaarde boven acceptatie niveau komt worden er maatregelen getroffen om de risicowaarde te verkleinen.
Daarnaast zijn alle informatiestromen en bijbehorende systemen in kaart gebracht en a.d.h.v. een risicobeoordeling geclassificeerd. Hierbij zijn passende maatregelen getroffen om de beschikbaarheid, vertrouwelijkheid en integriteit van de informatie te borgen.
Voor alle informatie en informatie verwerkende faciliteiten binnen de organisatie geldt dat het slechts beschikbaar wordt gesteld indien er een noodzaak is voor de betreffende persoon om de toegang te verkrijgen. De toegangsrechten worden beheerd volgens een vaste procedure en toegekend op basis van functie. Informatie is hiermee alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn.
Om de toegang tot informatie te beveiligen zijn maatregelen voor encryptie toegepast:
Voor de beheersing van bedrijfsmiddelen zijn passende maatregelen getroffen. Bedrijfsmiddelen worden toegekend voor persoonlijk gebruik en er vindt monitoring plaats via Mobile Device Management. Hiermee wordt de veiligheid van de apparatuur geborgd.
Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers op een verantwoorde manier afgevoerd zodat er geen data op het apparaat aanwezig is of toegankelijk is. Als dit niet kan, wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen wordt geregistreerd.
Om de beschikbaarheid van informatie te borgen heeft Jump zowel voor de interne als klantomgevingen een back-up procedure ingericht conform de afspraken gemaakt in SLA overeenkomsten. Daarnaast wordt er periodiek getoetst op de mogelijkheden tot recovery van informatie op informatiesystemen voor de (her)inrichting en foutherstel van verwerkingen.
Om grip te houden op de informatiebeveiliging binnen interne- en klant infrastructuur wordt gebruikgemaakt van monitoring en logging. Activiteiten van gebruikers en beheerders worden vastgelegd en zodoende is een audit trail beschikbaar. Systeemklokken worden zodanig gesynchroniseerd dat altijd een betrouwbare analyse van logbestanden mogelijk is. Daarnaast is er middels de monitoring actief beheer mogelijk zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk wordt gewaarborgd.
Om alle assets en systemen binnen Jump van de laatste versies te voorzien vindt patchmanagement periodiek plaats en waar mogelijk geautomatiseerd via Mobile Device Management en andere beheer policies. Geconstateerde kwetsbaarheden worden geanalyseerd, beoordeeld en adequaat behandeld. Geconstateerde kwetsbaarheden die een reëel risico vormen worden indien mogelijk verholpen door het uitrollen van een update of patch, het doorvoeren van een configuratieaanpassing of het implementeren van een ‘’work around’’.
Wijzigingen worden vooraf getest op een testomgeving alvorens deze worden toegepast op alle systemen. Nieuwe IT componenten (systemen/software/hardware) worden volledig bijgewerkt met updates en patches voordat deze aan de productieomgeving worden toegevoegd.
Informatiebeveiligingsgebeurtenissen en incidenten waarbij inbreuk wordt gemaakt op privacy of waarbij informatie en/of gegevens(dragers) beschadigd raken, worden zo spoedig mogelijk gemeld via het incident managementproces. De Quality & Security Officer is verantwoordelijk voor het behandelen van de meldingen.
Er wordt gemonitord en beoordeeld op de geleverde diensten door derde partijen om ervoor te zorgen dat de gemaakte afspraken t.a.v. informatiebeveiliging worden nageleefd en dat informatiebeveiligingsincidenten correct worden beheerst.
De Quality & Security Officer en directie controleren op het naleven van de beleidsregels voor informatiebeveiliging. Wanneer het beleid niet wordt nageleefd door de medewerkers, ingehuurd personeel en externe gebruikers worden passende maatregelen getroffen.
Daarnaast wordt het informatiebeveiligingsbeleid periodiek getoetst om de doelmatigheid en effectiviteit te evalueren met als doel het continu verbeteren van de organisatie. Deze toetsing bestaat uit de onafhankelijke beoordeling middels interne- en externe audits van het Jump managementsysteem door externe partijen.
Voor meer informatie of vragen over informatiebeveiliging binnen Jump kunt u contact opnemen met de Quality & Security Officer:
Jan Harmen Wolterink
Quality & Security Officer