Informatiebeveiliging

Intelligent driven platform solutions

Ons informatiebeveiligingsbeleid

Met onderstaande kwalitatieve beleidsuitgangspunten verwacht Dynabloqs haar informatiebeveiligingsrisico’s te beheersen en tegelijk haar flexibiliteit en efficiëntie bij het uitvoeren van haar werkzaamheden te behouden.

De beleidsuitgangspunten bieden het kader voor de directie, op welke wijze zij wil dat de informatiebeveiligingsdoelstellingen worden vormgegeven, die passend zijn voor Dynabloqs. Genoemde beleidsuitgangspunten gelden voor die gegevensbewerkingen, waarvoor Dynabloqs wettelijk en/of contractueel verantwoordelijk is.

Bij de verdere invulling van dit beleid gelden de volgende uitgangspunten:

Informatiebeveiliging is een belangrijk bedrijfsrisico voor Dynabloqs. De directie stelt daarom het beleid vast, beoordeelt de risico's, stelt de maatregelen vast, stelt voldoende middelen ter beschikking en laat periodiek de werking van het beleid en de naleving van deze maatregelen intern en extern beoordelen om te borgen, dat het IB-managementsysteem blijvend adequaat werkt en waar nodig verbeterd wordt.
Dynabloqs conformeert zich m.b.t. de informatiebeveiliging aan de relevante
wetgeving en de contractuele afspraken met klanten en business partners.
Dynabloqs streeft ernaar om haar dienstverlening aan klanten continu te verbeteren
De beheersdoelstellingen en beheersmaatregelen van de norm NEN-ISO/IEC 27001 en de privacyrichtlijnen van de Autoriteit Persoonsgegevens (AP) vormen, voor zover zij
bijdragen aan de informatiebeveiliging van Dynabloqs en handhaafbaar zijn, het uitgangspunt voor de te definiëren maatregelen. Dit is vooral een bedrijfseconomische
afweging.
Dynabloqs beschouwt computercriminaliteit als een ongewenst maatschappelijk
probleem en ziet het slechts als haar taak om passende maatregelen te nemen omschade ten gevolge van criminele activiteiten zoveel mogelijk te beperken.
Vertrouwen is voor Dynabloqs een groot goed en zij hanteert naar medewerkers,
klanten, leveranciers en andere stakeholders het wederkerigheidsprincipe. Dynabloqs
gaat ervan uit, dat zij afspraken nakomen m.b.t. beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening.
Het HRM-beleid is mede gericht op het verbeteren van debewustwording bij medewerkers voor het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening. Tijdens een jaarlijkse evaluatie wordt dit aan de orde gesteld.
De fysieke en logistieke beveiliging van de gebouwen en de ruimtes daarin zijn zodanig,dat de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens en gegevensverwerking inclusief de bedrijfsmiddelen gewaarborgd zijn.
Ontwikkeling of aanschaf, installatie en onderhoud van informatie- en
communicatiesystemen, en ook inpassing van nieuwe technologieën, moeten zo nodig met aanvullende maatregelen worden uitgevoerd, dat hiermee geen afbreuk wordt gedaan aan de informatiebeveiliging.
Opdrachten aan derden voor het uitvoeren van werkzaamheden worden zodanig omgeven met maatregelen, dat er geen inbreuk op de beschikbaarheid, integriteit en
vertrouwelijkheid van de informatievoorziening kan ontstaan.
Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van klanten, medewerkers en andere betrokkenen te waarborgen.
Toegangsbeveiliging zorgt ervoor, dat ongeautoriseerde personen of processen geen toegang krijgen tot de informatiesystemen, gegevens-bestanden en programmatuur van Dynabloqs.
Gegevensverstrekking extern gebeurt op basis van 'need to know'. Intern is dit niet altijd wenselijk omdat kennisdeling (‘need to share’) essentieel is voor een kosteneffectieve dienstverlening aan klanten.
Informatie is geclassificeerd in vier niveaus van vertrouwelijke informatie zijnde openbaar, intern, intern vertrouwelijk en vertrouwelijk. Dynabloqs en haar medewerkers treffen maatregelen om te voorkomen, dat vertrouwelijke informatie in handen van derden terechtkomt.
Input van klanten die vertrouwelijke data bevat, wordt na verwerking op korte termijn gearchiveerd of vernietigd.
Datatransport is zodanig met beveiligingsmaatregelen omkleed, dat geen inbreuk kan worden gepleegd op de vertrouwelijkheid en de integriteit van deze gegevens.
Geautoriseerde medewerkers moeten ook op afstand een beveiligde toegang hebben tot de voor hun relevante productieomgevingen. Er worden geen vertrouwelijke gegevens buiten de productieomgeving opgeslagen. Onder condities kan hiervan afgeweken worden.
Productieomgevingen zijn gescheiden van andere omgevingen en hierin kunnenspecifiek toegangsrechten worden verleend en is monitoring van de toegang mogelijk.
Het beheer en de opslag van gegevens in productieomgevingen zijn zodanig, dat geen informatie verloren kan gaan tenzij er sprake is van overmacht.
Er zijn functiescheidingen aangebracht tussen de ontwikkel-, beheer- en
gebruikersorganisatie. Verder wordt functiescheiding toegepast waar dat mogelijk en wenselijk is.
Er is een proces om incidenten adequaat af te handelen en hier 'lessons learned' uit te trekken.
Er zijn calamiteitenplannen en -voorzieningen om de beschikbaarheid van de informatievoorziening te waarborgen.
Bij uitbesteding van gegevensverwerking kan de directie besluiten om tijdelijk af te wijken van deze beleidsuitgangspunten en de risico's hiervan tijdelijk te accepteren.
Bij conflicten prevaleert de missie van Dynabloqs boven de eisen die gesteld wordendoor IB en of privacy.
Informatiebeveiliging is onderdeel van het ontwerpen, ontwikkelen en beheren van software, ook als die door derden wordt ontwikkeld. Security by design en privacy by design en default vormen hierbij de voornaamste uitgangspunten.
Dynabloqs en haar medewerkers realiseren zich de privacy gevoeligheid van de (bijzondere) persoonsgegevens die zij verwerken en waarborgen te allen tijde de afscherming, corrigeerbaarheid en transparantie van deze gegevens ter bescherming van de persoonlijke levenssfeer van de betrokkenen.