In het informatieclassificatieschema (B-410a) is de toegang tot bepaalde systemen, opslaglocaties en informatiestromen vastgesteld. De verschillende toegangsniveaus zijn bepaald op basis van de functie van de medewerkers binnen de organisatie.
Iedere medewerker krijgt een Jumpaccount voor het gebruik van de beschikbare werkplek. De ICT beheerder richt de benodigde systeemaccounts aan volgens het informatieclassificatieschema (B-410a) en deelt de login details via zijn aangeleverde e-mailadres. Hierbij verzoekt hij de medewerker om voor alle accounts nieuwe wachtwoorden aan te maken conform het wachtwoordbeleid in het informatiebeveiligingsprotocol.
De ICT beheerder is bevoegd om wijzigingen door te voeren in de toegangsrechten van medewerkers, conform procedure P-410 Informatiebeheer. Indien geen toegang meer nodig is, past de ICT beheerder de rechten aan. Bij uitdiensttreding wordt dit gedaan conform procedure P-040 uitdiensttreding. Elk kwartaal controleert de ICT beheerder middels een steekproef of de toegangsrechten van medewerkers nog juist en actueel zijn. Dit legt hij vast middels de IT Checklist. Indien er tijdens de controle afwijkingen in toegangen ten opzichte van het beleid worden geconstateerd, worden deze als een informatiebeveiligingsincident behandeld (P-630).
Assets binnen Jump bestaan uit de uitgegeven laptops, servers, en netwerkcomponenten die worden ingezet voor de werkactiviteiten.
De ICT beheerder registreert per werkstation de gegevens in het Assetmanagement van Orbit. Tevens houdt de ICT beheerder bij wie de eigenaar / gebruiker is van de betreffende hardware. Wanneer een medewerker uit dienst treedt is de ICT beheerder verantwoordelijk om het overzicht bij te werken, zie ook procedure P-040 uitdiensttreding. Alle wijzigingen noteert hij in het overzicht, zonder de registratie van de hardware te verwijderen.
Overige (digitale) assets zoals servers en netwerkcomponenten zijn opgenomen in de desbetreffende beheerportals.
Elk kwartaal controleert de Quality & Security Officer of het overzicht IT-middelen nog juist en actueel is en legt dit vast in Orbit.
Bij het aanschaffen/uitbreiden van informatiesystemen houdt de ICT beheerder, naast functionaliteit, ook rekening met de vereisten in het kader van informatiebeveiliging. De ICT beheerder maakt een analyse van de impact en de risico’s van de aanschaf of de uitbreiding van een informatiesysteem, conform de analyse van nieuwe leveranciers (P-530). Hierbij overlegt de ICT beheerder met de Quality & Security Officer en/of de directie.
Daarnaast is informatiebeveiliging te allen tijde een vast gespreksonderwerp met partijen die nieuwe systemen kunnen leveren.
Ieder kwartaal controleert de ICT beheerder de programmatuur op de Jump laptops via MDM.
Als de ICT beheerder illegale programmatuur aantreft, verzoekt hij de medewerker van het systeem deze software te verwijderen. Hierbij onderzoekt de ICT beheerder of de software schade heeft aangebracht en een potentieel gevaar oplevert voor de informatiebeveiliging van Jump. Indien noodzakelijk, initieert de ICT beheerder een incident conform procedure P-630.
Medewerkers zijn zelf verantwoordelijk voor het melden van problemen met apparatuur bij de ICT beheerder.
De ICT beheerder is verantwoordelijk voor het veilig verwijderen en / of vernietigen van alle media en informatie verwerkende systemen. De ICT beheerder beoordeelt daarbij, eventueel in samenspraak met de Quality & Security Officer / directie, of het inderdaad wenselijk is dat deze zaken verwijderd of vernietigd worden.
Indien er sprake is van media en systemen met bedrijfsgevoelige en/of vertrouwelijke informatie daarop dan vernietigt de ICT beheerder deze zaken zodanig dat de informatie op geen enkele manier terug te halen is (bv. overschrijven / fysiek vernietigen). De ICT beheerder kan hiervoor eventueel gebruik maken van een gespecialiseerd en gecertificeerd data wiping bedrijf.
Indien systemen hergebruikt worden vindt er herinstallatie plaats waarbij alle oude gegevens worden verwijderd voordat het systeem weer in gebruik wordt genomen.
Alle mutaties met betrekking tot bedrijfsmiddelen legt de ICT beheerder vast in Orbit assetmanagement module.
Problemen of verstoringen omtrent het functioneren van IT melden de medewerkers aan de ICT beheerder. Bij grotere IT problemen die niet direct te verhelpen zijn door de ICT beheerder kan de externe IT partij ingeschakeld worden. Als medewerkers een idee ter verbetering hebben met betrekking tot het interne systeembeheer, melden zij dit via een verbeternotitie (P-610).
Er worden bij wijzigingen direct automatisch backups gemaakt. Middels versiebeheer kunnen documenten teruggehaald worden, of teruggezet worden.
Alle bestanden in de repositories van Gitlab zijn onderhevig aan versiebeheer en kan per versie (commit) worden hersteld.
Snapshooter maakt van alle omgevingen snapshots volgens het B-220b Backupbeleid.
Tijdens de periodieke controle maakt de ICT Beheerder een export van Orbit en slaat deze op in de Google Drive Map “16. Backups”
Jump maakt gebruik van diverse SaaS-producten. In deze gevallen zijn de back-ups de verantwoordelijkheid van de leverancier.
De ICT beheerder is verantwoordelijk voor het feit dat alle werkstations voorzien zijn van actuele en actieve antivirussoftware en een up-to-date operationeel systeem om zodoende de systemen te kunnen beschermen tegen virussen, malware en andere infecties of bedreigingen. Iedere medewerker is zelf ook verantwoordelijk voor het up-to-date en actief houden van de antivirus- en monitoring software op hun eigen werkstation. Middels Mobile Device Management monitort de ICT beheerder of alle hardware compliant is.
De ICT beheerder en Quality & Security Officer zijn verantwoordelijk voor het up-to-date houden van hun kennis omtrent technische kwetsbaarheden. Hierbij kan gebruik gemaakt worden van relevante kennisgroepen zoals opgenomen in het communicatie overzicht (P-050). De ICT beheerder is verantwoordelijk voor het nemen van passende maatregelen indien dit noodzakelijk is.
Alle medewerkers hebben de verantwoordelijkheid om (mogelijke) technische kwetsbaarheden te melden aan de Quality & Security Officer middels een informatiebeveiligingsincident (P-630).
De Quality & Security Officer en Operationeel Directeur hebben een abonnement op het NCSC waardoor er bij (potentiële) dreigingen direct een incidentmelding gemaakt kan worden middels P-630 Incidenten.
Er zijn standaard stroomvoorzieningen aanwezig binnen het gebouw. Bij stroomuitval van langere duur gaat het bedrijfscontinuïteitsplan in werking (B-630a).
Het netwerk van Jump is beveiligd en versleuteld en daarmee beschermd tegen onbevoegde gebruikers. Om toegang te verkrijgen tot het netwerk dient een wachtwoord ingevoerd te worden. Er is een separaat netwerk beschikbaar voor gasten. Dit gastnetwerk heeft alleen toegang tot internet en dus niet tot de systemen, opslaglocaties of werkstations binnen het bedrijfsnetwerk.
De internetvoorziening binnen het gebouw is redundant aangelegd. Bij internetuitval van langere duur gaat het bedrijfscontinuïteitsplan in werking (B-630a).
Event logs zijn (automatisch geproduceerde) logboeken van systeemtoegangen, incidenten, gebruikersactiviteiten, etc. Alle kritieke systemen waarop gevoelige en/of vertrouwelijke informatie wordt verwerkt of waarop netwerktoegangen worden gemaakt zijn voorzien van automatische logging, waardoor een audit trail ontstaat die geraadpleegd kan worden bij bijzonderheden en incidenten. Jump monitort deze logs in basis niet actief, maar reactief, in het geval van incidenten of vermoedens van ongewenst gedrag.
Werkstations
Alle werkstations zijn voorzien van Mobile Device Management, die voorziet in een basic audit trail welke reactief, in het geval van incidenten, beoordeeld kan worden door de Quality & Security Officer en/of ICT beheerder.
G-Suite
Op G-Suite vindt standaard logging plaats en is versiebeheer management beschikbaar. Op die manier kan teruggehaald worden welke acties er zijn uitgevoerd en door wie op welk moment. Logs worden niet structureel beoordeeld alleen bij bijzonderheden en/of incidenten. Het delen van bestanden middels Google Drive wordt actief beoordeeld door middel van de kwartaalse ICT-checklist.
Rinkel
Binnen Rinkel vindt standaard logging plaats en op die manier kan de historie van calls nagegaan worden. Enkel de administratoraccounts hebben de mogelijkheid om geschiedenis te wissen. Logs worden niet structureel beoordeeld, alleen bij bijzonderheden en/of incidenten.
Teamleader Orbit
Binnen Teamleader Orbit vindt standaard logging plaats en op die manier kan de historie van calls nagegaan worden. Enkel de administratoraccounts hebben de mogelijkheid om geschiedenis te wissen. Logs worden niet structureel beoordeeld, alleen bij bijzonderheden en/of incidenten.
Azure App Services
Binnen Azure App Services vindt logging plaats, indien afgesproken in het SLA, om zowel activiteiten als capaciteiten te monitoren. Bij bijzonderheden wordt er automatisch mailing verstuurd om actie te ondernemen.
Overige clouddiensten
Binnen de meeste clouddiensten die wij gebruiken is standaard logging beschikbaar bij de leverancier. In het geval van incidenten kunnen de logfiles opgevraagd worden bij de leverancier. Deze logs worden dus niet structureel beoordeeld.
De ICT beheerder is verantwoordelijk voor het periodiek controleren van de status van de IT-middelen en het gebruik hiervan door de medewerkers. Hiervoor maakt de ICT beheerder gebruik van de “ICT checklist” (B-510a).