Beleidsuitgangspunten

Beleidsuitgangspunten

Met de beleidsuitgangspunten worden drie doelstellingen gerealiseerd:

  • Duidelijkheid te verschaffen aan stakeholders hoe Peercode omgaat met informatiebeveiliging.
  • Handvatten te bieden aan de planningsfunctie om gepaste maatregelen te definiëren en te plannen.
  • Duidelijk te maken aan interne en externe auditors welk belang de Peercode toekent aan de verschillende aandachtsgebieden binnen de informatiebeveiliging (nodig voor verklaring van toepasselijkheid).

Uitgangspunten

In deze beleidsuitgangspunten geeft de directie aan op welke wijze zij wil dat de informatiebeveiliging vorm gegeven wordt die past bij Peercode. Bij de verdere invulling van dit beleid dienen de volgende uitgangspunten gehanteerd te worden:

  1. Informatiebeveiliging is een belangrijk bedrijfsrisico voor Peercode. De directie stelt daarom het beleid vast, beoordeelt de risico's, stelt de maatregelen vast en laat periodiek de werking van het beleid en de naleving van deze maatregelen intern en extern beoordelen om te borgen, dat het IB-managementsysteem blijvend adequaat werkt en waar nodig verbeterd wordt.
  2. Peercode conformeert zich m.b.t. de informatiebeveiliging aan de van toepassing zijnde wetgeving.
  3. Peercode streeft er naar om haar dienstverlening aan opdrachtgevers continu te verbeteren.
  4. De best practices van de norm NEN-ISO/IEC 27001 en de privacy richtsnoeren van het CBP vormen, voor zover zij bijdragen aan de informatiebeveiliging van Peercode, het uitgangspunt voor de te definiëren maatregelen. Dit is een bedrijfseconomische afweging.
  5. Peercode beschouwt computercriminaliteit als een ongewenst maatschappelijk probleem en ziet het slechts als haar taak om passende maatregelen te nemen om schade ten gevolge van criminele activiteiten zoveel mogelijk te beperken. Ook dit is een bedrijfseconomische afweging.
  6. Vertrouwen is voor Peercode een groot goed en zij hanteert naar medewerkers, opdrachtgevers, leveranciers en andere stakeholders het wederkerigheidsprincipe. Peercode gaat er vanuit, dat zij afspraken nakomen m.b.t. integriteit, vertrouwelijkheid en continuïteit van de informatievoorziening.
  7. Alleen maatregelen, waarvan handhaving goed mogelijk is, komen in aanmerking voor implementatie.
  8. Het HRM-beleid is mede gericht op het verbeteren van de integriteit, vertrouwelijkheid en continuïteit van de informatievoorziening. Tijdens functioneringsgesprekken vindt hiervan evaluatie plaats.
  9. De fysieke en logistieke beveiliging van de gebouwen en de ruimtes daarin zijn zodanig, dat de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens en gegevensverwerking gewaarborgd zijn.
  10. Aanschaf, installatie en onderhoud van informatie- en communicatiesystemen, alsmede inpassing van nieuwe technologieën, moeten zo nodig met aanvullende maatregelen worden uitgevoerd, dat hiermee geen afbreuk wordt gedaan aan het basisbeveiligingsniveau (BBN).
  11. Opdrachten aan derden voor het uitvoeren van werkzaamheden worden zodanig omgeven met maatregelen, dat er geen inbreuk op de vertrouwelijkheid, integriteit en continuïteit van de informatievoorziening kan ontstaan.
  12. Geautoriseerde medewerkers moeten ook op afstand een beveiligde toegang hebben tot de voor hun relevante productie omgevingen. Er worden geen vertrouwelijke gegevens buiten de productieomgeving opgeslagen. Onder condities kan hiervan afgeweken worden.
  13. Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van opdrachtgevers en personeel te waarborgen zoals is vastgelegd in de bewerkersovereenkomst.
  14. Toegangsbeveiliging zorgt ervoor, dat ongeautoriseerde personen of processen geen toegang krijgen tot de informatiesystemen, gegevensbestanden en programmatuur van Peercode.
  15. Gegevensverstrekking extern gebeurt op basis van ‘need to know’. Intern is dit niet altijd wenselijk omdat kennisdeling essentieel is voor een kosteneffectieve dienstverlening aan opdrachtgevers.
  16. Peercode en haar medewerkers treffen maatregelen om te voorkomen, dat informatie in handen van derden terechtkomt.
  17. Datatransport is zodanig met beveiligingsmaatregelen omkleed, dat geen inbreuk kan worden gepleegd op de vertrouwelijkheid en de integriteit van deze gegevens
  18. In de productieomgeving wordt gewerkt met geautoriseerde versies van programmatuur.
  19. Het beheer en de opslag van gegevens zijn zodanig, dat geen informatie verloren kan gaan.
  20. Er is een proces om incidenten adequaat af te handelen en hier ‘lessons learned’ uit te trekken.
  21. Er zijn calamiteitenplannen en -voorzieningen om de continuïteit van de informatievoorziening te waarborgen.
  22. Bij de geautomatiseerde informatievoorziening zijn stringente scheidingen aangebracht tussen de test-/ontwikkelomgeving, de acceptatietestomgeving en de productieomgeving. Van belang hierbij is dat er geen vertrouwelijke productiegegevens buiten de goed beveiligde productieomgeving komen.
  23. Er zijn functiescheidingen aangebracht tussen de ontwikkel-, beheer- en gebruikersorganisatie. Voorts wordt functiescheiding toegepast waar dat mogelijk en wenselijk is.
  24. Open source software wordt alleen gebruikt indien deze voldoet aan open standaards en afkomstig is van betrouwbaar geachte leveranciers of bronnen.
  25. Bij uitbesteding van gegevensverwerking kan de directie besluiten om tijdelijk af te wijken van deze beleidsuitgangspunten en de risico's hiervan tijdelijk te accepteren.
  26. Genoemde beleidsuitgangspunten gelden voor die gegevensbewerkingen, waarvoor Peercode wettelijk en/of contractueel verantwoordelijk is.
  27. Wijzigingen aan softwarepakketten van derden worden ontraden, tenzij dit vanuit veiligheidsoogpunt wenselijk is. Bij voorkeur moet gebruik gemaakt worden van standaard pakketten waarbij veiligheidsupdates automatisch geïnstalleerd worden.

Diensten