Informatie beveiligingsbeleid

Innovadis hecht belang aan informatiebeveiliging om zo de continuïteit, integriteit en betrouwbaarheid van de informatievoorziening te borgen. Innovadis geeft continue aandacht aan informatiebeveiliging zodat een veilige en betrouwbare informatiebeveiliging kan worden geborgd.

Kader

Innovadis werkt volgens de best practices conform de ISO 27001 en 27002 om de informatiebeveiliging te borgen. Innovadis werkt daarbij met een ISMS (Information Security Management System) en de Plan-Do-Check-Act cyclus om informatiebeveiliging integraal onderdeel uit te laten maken van de bedrijfsvoering van Innovadis.

Beleidsuitgangspunten

  • Informatiebeveiliging wordt gekarakteriseerd als het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening.
  • Informatiebeveiliging wordt zo pragmatisch mogelijk opgepakt: Er wordt gestreefd naar een goede balans tussen beveiligingsmaatregelen en business-behoeften, met dien verstande dat beheersing van risico’s van primair belang is en hieraan geen afbreuk wordt gedaan.
  • Iedere medewerker wordt bewust gemaakt van nut en noodzaak van informatiebeveiliging om zo informatiebeveiliging blijvend te laten beklijven.
  • Informatiebeveiliging is niet vrijblijvend: Iedere medewerker en betrokken derde heeft een eigen, persoonlijke verantwoordelijkheid. Door het Management wordt toegezien op naleving. In evaluatie gesprekken wordt dit besproken. Bij niet-nakoming kunnen sancties worden opgelegd.


Informatiebeveiligingsproces

Innovadis ziet informatiebeveiliging als een proces en niet als eenmalige activiteit. Het proces is ingericht met doel de informatiebeveiliging blijvend op orde te houden en continue te verbeteren. Het informatiebeleid bestaat uit de volgende vier primaire processen:

Plan: doelstellingen en maatregelen bepalen aan de hand van een risicoanalyse

  • Classificeren van bedrijfsprocessen, informatiesystemen en gegevens
  • Uitvoeren van risicoanalyses op dreigingen en kwetsbaarheden
  • Beslissen welke maatregelen te treffen om risico’s te beperken dan wel te accepteren

Do: invoeren en uitvoeren van het beleid en de maatregelen

  • Selectie en implementatie van maatregen en hierbij bewust en beheerst omgaan met risico’s

Check: bewaking en beoordeling van de doelstellingen en maatregelen

  • Evalueren van effectiviteit van de maatregelen

Act

  • Periodiek uitvoeren van nieuwe risicoanalyses en eventueel bijstellen van bestaande of toevoegen van nieuwe maatregelen