Beleid Informatiebeveiliging inepro Group
Laats geüpdatet op februari 2021
Inepro heeft een grote diversiteit aan applicaties die naadloos samenwerken met de hardwareproducten van Inepro en elkaars werking versterken. Samen zorgen ze voor Inepro’s totaaloplossingen voor organisaties in het onderwijs, de zorg, de overheid en het bedrijfsleven. Bij de ontwikkeling van de applicaties staat een intuïtieve en overzichtelijke besturing voorop. De gebruiksvriendelijke interfaces zorgen voor een efficiënte en prettige werkervaring. Alle applicaties kunnen volledig naar wens worden geconfigureerd om optimaal aan uw specifieke eisen te voldoen.
De software is onderverdeeld in twee categorieën; applicaties voor de back-end, zoals beheer- en accountingsoftware, en applicaties voor de front-end, zoals point-of-sale oplossingen, cloud printing en embedded software voor MFP’s.
Aanvullend op de software ontwikkelt en levert Inepro Group diensten voor implementatie, training, coaching, onderhoud, support en hosting.
Sommige klanten en prospects eisen nu echter een ISO 27001 certificaat van Inepro Group. Voor Inepro Group is het behalen van een ISO 27001 een maatregel om een operationeel bedrijfsrisico op korte termijn af te dekken, omdat anders grote klanten weglopen of orders niet binnengehaald kunnen worden.
Gelet op de mogelijke impact van verstoringen op de bedrijfsvoering en continuïteit van Inepro Group en haar klanten berust eindverantwoordelijkheid voor het beleid inzake informatiebeveiliging bij de directie van Inepro Group.
Het Beleidsdocument Informatiebeveiliging (hierna te noemen beleid IB) heeft als doel de risico’s m.b.t. de vertrouwelijkheid, integriteit en continuïteit van de informatievoorziening binnen Inepro Group te beheersen en definiëren we als volgt:
‘Het bieden van een raamwerk van beleidsuitgangspunten met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening, waarbinnen een evenwichtig (doeltreffend en doelmatig) stelsel van onderling samenhangende maatregelen ontwikkeld wordt, om de informatievoorziening te beschermen tegen interne en externe bedreigingen.’
Alle betrokkenen dienen ervoor zorg te dragen, dat aan de in dit beleid IB geformuleerde beleidsuitgangspunten wordt voldaan bij de inrichting van de organisatie, procedures, werkwijze en de daarbij gehanteerde informatiesystemen.
Dit beleid is van toepassing op alle informatie die gecreëerd, ontvangen, verzonden of bewaard wordt in de dienstverlening van Inepro Group aan klanten en de daarmee samenhangende contractuele verplichtingen en ondersteunende processen. Het beleid en de uitwerking hiervan gelden voor alle medewerkers van Inepro Group. Afwijkingen hierop moeten gemeld worden, zodat het managementsysteem continu verbeterd kan worden. Daarnaast geldt beleid ook voor contractanten, die Inepro Group ondersteunen bij haar dienstverlening aan klanten.
Onlosmakelijk onderdeel van dit beleid is de ethische code, waaraan ook alle medewerkers, contractanten en stagiaires zich dienen te houden. Zoveel mogelijk wordt gestreefd naar het kiezen van beveiligingsmaatregelen gebaseerd op logische principes, omdat deze kosteneffectief en duurzaam zijn. Deze principes zijn:
Alle medewerkers worden geacht deze principes in de praktijk te brengen.
Inepro Group is dus verantwoordelijk voor het beschikbaar stellen van haar dienst met voldoende beveiligingsopties, zodat haar klanten kunnen voldoen aan de voor haar geldende IB-normen en andere wet- en regelgeving. Ook voldoet de hosting en het beheer van de software aan deze eisen. Dit ontslaat echter de klant niet van de eindverantwoordelijkheid voor de beveiliging van haar informatievoorziening.
Van elk informatiesysteem, inclusief de daarbij behorende gegevens, dient expliciet één houder te zijn benoemd. Het houderschap impliceert de eindverantwoordelijkheid voor het betreffende systeem, inclusief het bepalen van bij het systeem te onderkennen risico's, het classificeren van het systeem en de daarbij behorende gegevens en het (laten) ontwikkelen van adequate beveiligingsmiddelen en interne controle-maatregelen. Naast de applicatie betreft dit ook de juiste inzet van de infrastructurele componenten (werkstations, servers en het interne en externe netwerk), de juiste verwerking, het adequate beheer, het goed functioneren van het personeel, het maken van afspraken met derden, fysieke beveiliging en voorzieningen om incidenten en calamiteiten te voorkomen of af te handelen. In onderstaand figuur zijn alle genoemde deelgebieden van een informatiesysteem opgenomen.
Er wordt gesproken over eindverantwoordelijk omdat een aantal aspecten van het informatiesysteem uitbesteed worden aan andere houders zoals Inepro Group. Hierbij wordt niet een maximaal beveiligingsniveau nagestreefd, maar een optimaal niveau, zodat Inepro Group haar diensten kan bieden tegen een acceptabele kosten.
Op basis van dit beleid worden risico analyses uitgevoerd en wordt een set van maatregelen en controls gedefinieerd als interne norm, dat geldt als minimum voor de dienstverlening aan klanten. In overleg kan een hoger niveau van beveiliging met een klant worden afgesproken.
In de directiebeoordeling wordt de werking en de naleving van het beleid intern geëvalueerd en zo nodig aangepast.
Jaarlijks wordt een interne audit gehouden. Onderdeel van deze interne audit zijn het opnieuw beoordelen van risico’s en een beoordeling van nieuwe contracten en wet- en regelgeving. Onderdeel van deze rapportage is ook een plan met verbetervoorstellen. De directie beoordeelt de rapportage, keurt voorstellen al dan niet goed en kent budget toe voor de realisatie van de voorstellen. Onderstaand is dit schematisch weergegeven.
Daarnaast wordt jaarlijks een audit uitgevoerd op de werking van het IB management systeem door een onafhankelijke derde partij, die hiertoe bevoegd en deskundig is. De rapportage hiervan is beschikbaar voor (potentiële) klanten.
In deze beleidsuitgangspunten/doelstellingen IB geeft de directie aan, op welke wijze zij wil dat de informatiebeveiliging vorm gegeven wordt, die past bij Inepro Group. Bij de verdere invulling van dit beleid dienen de volgende uitgangspunten/doelstellingen IB gehanteerd te worden:
1. Informatiebeveiliging is een belangrijk bedrijfsrisico voor Inepro Group. De directie stelt daarom het beleid vast, beoordeelt de risico's, stelt de maatregelen vast en laat periodiek de werking van het beleid en de naleving van deze maatregelen intern en extern beoordelen om te borgen, dat het IB-managementsysteem blijvend adequaat werkt en waar nodig verbeterd wordt.
2. Inepro Group conformeert zich m.b.t. de informatiebeveiliging aan de relevante wetgeving en de contractuele afspraken met klanten en business partners.
3. Inepro Group streeft ernaar om haar dienstverlening aan klanten continu te verbeteren.
4. De doelstellingen en beheersmaatregelen van de norm NEN-ISO/IEC 27001 en de privacy richtsnoeren van de AP vormen, voor zover zij bijdragen aan de informatiebeveiliging van Inepro Group, het uitgangspunt voor de te definiëren maatregelen. Dit is vooral een bedrijfseconomische afweging.
5. Inepro Group beschouwt computercriminaliteit als een ongewenst maatschappelijk probleem en ziet het slechts als haar taak om passende maatregelen te nemen om schade ten gevolge van criminele activiteiten zoveel mogelijk te beperken.
6. Vertrouwen is voor Inepro Group een groot goed en zij hanteert naar medewerkers, klanten, leveranciers en andere stakeholders het wederkerigheidsprincipe. Inepro Group gaat ervan uit, dat zij afspraken nakomen m.b.t. integriteit, vertrouwelijkheid en continuïteit van de informatievoorziening.
7. Het HRM-beleid is mede gericht op het verbeteren van de integriteit, vertrouwelijkheid en continuïteit van de informatievoorziening bij medewerkers. Tijdens een jaarlijkse evaluatie wordt dit aan de orde gesteld.
8. De fysieke en logistieke beveiliging van de gebouwen en de ruimtes daarin zijn zodanig, dat de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens en gegevensverwerking gewaarborgd zijn.
9. Aanschaf, installatie en onderhoud van informatie- en communicatiesystemen, alsmede inpassing van nieuwe technologieën, moeten zo nodig met aanvullende maatregelen worden uitgevoerd, dat hiermee geen afbreuk wordt gedaan aan de informatiebeveiliging.
10. Opdrachten aan derden voor het uitvoeren van werkzaamheden worden zodanig omgeven met maatregelen, dat er geen inbreuk op de vertrouwelijkheid, integriteit en continuïteit van de informatievoorziening kan ontstaan.
11. Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van klanten, medewerkers en andere betrokkenen te waarborgen.
12. Toegangsbeveiliging zorgt ervoor, dat ongeautoriseerde personen of processen geen toegang krijgen tot de informatiesystemen, gegevensbestanden en programmatuur van Inepro Group.
13. Gegevensverstrekking extern gebeurt op basis van 'need to know'. Intern is dit niet altijd wenselijk omdat kennisdeling essentieel is voor een kosteneffectieve dienstverlening aan klanten.
14. Inepro Group en haar medewerkers treffen maatregelen om te voorkomen, dat vertrouwelijke informatie in handen van derden terechtkomt.
15. Input van klanten die vertrouwelijke data bevat, wordt na verwerking op korte termijn gearchiveerd of vernietigd.
16. Datatransport is zodanig met beveiligingsmaatregelen omkleed, dat geen inbreuk kan worden gepleegd op de vertrouwelijkheid en de integriteit van deze gegevens.
17. Geautoriseerde medewerkers moeten ook op afstand een beveiligde toegang hebben tot de voor hun relevante productie omgevingen. Er worden geen vertrouwelijke gegevens buiten de productieomgeving opgeslagen. Onder condities kan hiervan afgeweken worden.
18. Productie omgevingen zijn gescheiden van andere omgevingen en hierin kunnen specifiek toegangsrechten worden verleend en is monitoring van de toegang mogelijk.
19. Het beheer en de opslag van gegevens in productie omgevingen zijn zodanig, dat geen informatie verloren kan gaan tenzij er sprake is van overmacht.
20. Er zijn functiescheidingen aangebracht tussen de ontwikkel-, beheer- en gebruikersorganisatie. Voorts wordt functiescheiding toegepast waar dat mogelijk en wenselijk is.
21. Er is een proces om incidenten adequaat af te handelen en hier 'lessons learned' uit te trekken.
22. Er zijn calamiteitenplannen en -voorzieningen om de continuïteit van de informatievoorziening te waarborgen.
23. Bij uitbesteding van gegevensverwerking kan de directie besluiten om tijdelijk af te wijken van deze beleidsuitgangspunten en de risico's hiervan tijdelijk te accepteren.
24. Genoemde beleidsuitgangspunten gelden voor die gegevensbewerkingen, waarvoor Inepro Group wettelijk en/of contractueel verantwoordelijk is.
25. Informatiebeveiliging is onderdeel van het ontwerpen, ontwikkelen en beheren van software, ook als die door derden wordt ontwikkeld. Security en privacy by design vormen hierbij de voornaamste uitgangspunten.
26. Inepro Group en haar medewerkers realiseren zich de privacygevoeligheid van de (bijzondere) persoonsgegevens die zij verwerken en waarborgen te allen tijde de afscherming, corrigeerbaarheid en transparantie van deze gegevens ter bescherming van de persoonlijke levenssfeer van de betrokkenen.
