Digital Service Provider

Certificering, beleidsverklaring

Het beleid van Digital Service Provide (DSP) be­schrijft de gecon­tro­leerde wijze waarop de kwali­teit van de activiteiten van DSP op het gebied van webbased oplossingen zoals CRM-pakketten, ERP-systemen, urenregistratiemodules, facturatieoplossingen of klantenportalen.

Daartoe heeft DSP heeft een samenhangend stelsel van maatregelen opgesteld dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen.

Informatiebeveiliging is gericht op het realiseren van een optimaal niveau van beveiliging. Dit optimum wordt bereikt door een zorgvuldige afweging van kosten en baten.

Het informatiebeveiligingsbeleid is van toepassing op de gehele organisatie. Het informatiebeveiligingsbeleid is ook van toepassing op de gegevensuitwisseling (leveranciers en klanten) van het bedrijf met andere organisaties. Het beleid richt zich op onze eigen medewerkers, tijdelijk personeel en op personeel dat door derden wordt ingezet om diensten te verlenen aan onze organisatie.

De directie is eindverantwoordelijk voor het informatiebeveiligingsbeleid en heeft dit beleid vastgesteld.

Uitgangspunten informatiebeveiliging DSP

Bij de toepassing van informatiebeveiliging binnen DSP worden de volgende uitgangspunten gehanteerd:

  1. DSP streeft ernaar aantoonbaar te voldoen aan de norm ISO 27001:2017 norm.
  2. DSP voldoet aan alle, van toepassing zijnde, wet- en regelgeving.
  3. Beveiliging van informatie is een onderdeel van de integrale managementverantwoordelijkheid. Alle onderdelen van DSP hebben hiertoe verantwoordelijkheden voor informatie­beveiliging toegewezen en vastgelegd.
  4. Wanneer (onderdelen van) DSP samenwerkingsverbanden aangaan met externe partijen, hetzij inhoudelijk, hetzij voor de ontwikkeling of het beheer van de informatievoorziening, wordt nadrukkelijk aandacht besteed aan informatiebeveiliging. Afspraken hierover worden schriftelijk vastgelegd en op de naleving hiervan wordt toegezien.
  5. De bedrijfsprocessen, informatiesystemen en gegevensverzamelingen van alle onderdelen van DSP zijn volgens een gestructureerde methode geclassificeerd naar de aspecten beschikbaarheid, integriteit en vertrouwelijkheid.
  6. Bij de aanname, tijdens het dienstverband en in geval van ontslag van medewerkers wordt nadrukkelijk aandacht besteed aan de betrouwbaarheid van medewerkers en aan de waarborging van de vertrouwelijkheid van informatie.
  7. DSP voert een actief beleid om het beveiligingsbewustzijn van management en medewerkers te stimuleren.
  8. DSP beschikt over gedragsregels voor het gebruik van (algemene) informatievoorzieningen. Op de naleving van deze gedragsregels wordt toegezien.
  9. Bij overtreding van de regelgeving voor informatiebeveiliging en/of relevante wettelijke bepalingen kan de directie een sanctie opleggen conform hetgeen hierover met betrekking tot op non-actiefstelling, disciplinaire straffen, en beëindiging van het dienstverband is vastgelegd in relevante overeenkomsten.
  10. Bij DSP zijn maatregelen getroffen voor de fysieke beveiliging van mensen en middelen, waaronder vertrouwelijke informatie en apparatuur waarop deze informatie is opgeslagen.
  11. Bij DSP zijn maatregelen getroffen voor de beveiliging en het beheer van de operationele informatie- en communicatievoorzieningen. Maatregelen tegen allerlei vormen van kwaadaardige programmatuur (computervirussen, spam, spyware, etc.) vormen hiervan een belangrijk onderdeel.
  12. Bij DSP zijn maatregelen getroffen waardoor is gewaarborgd dat alleen geautoriseerde medewerkers gebruik kunnen maken van de informatie- en communicatievoorzieningen.
  13. Bij ontwikkeling en aanschaf van informatiesystemen wordt in alle fasen van het aanschaf- of ontwikkelingsproces nadrukkelijk aandacht besteed aan informatiebeveiliging.
  14. Bij DSP zijn adequate maatregelen getroffen waardoor de beschikbaarheid van de bedrijfsprocessen en de hierbij gebruikte informatie(systemen) is gewaarborgd, zowel in normale als in buitengewone omstandigheden.
  15. Als onderdeel van het beleidsproces voor informatiebeveiliging wordt binnen DSP door interne en externe partijen toegezien op de naleving van het informatiebeveiligingsbeleid.
  16. DSP beschikt over middelen voor het melden en afhandelen van beveiligingsincidenten. De evaluatie van de afhandeling van beveiligingsincidenten wordt benut voor de verbetering van informatiebeveiliging.

Indien DSP persoonlijke gezondheidsinformatie verwerkt, garandeert het dat onderwijs en training over informatiebeveiliging wordt gegeven bij de introductie van nieuwe medewerkers en dat er regelmatig updates van beveiligingsbeleid en -procedures worden verstrekt aan alle medewerkers en, indien relevant, derden, contractanten, onderzoekers e.d. die persoonlijke gezondheidsinformatie (kunnen) verwerken. Alle werknemers van DSP en, waar relevant, derden en/of contractanten, worden gewezen op disciplinaire processen en gevolgen van schendingen van informatiebeveiliging.

De directie van DSP ziet het als haar verant­woordelijk­heid om het managementsysteem voor informatiebeveiliging op een effec­tieve en economisch verantwoorde wijze uit te voeren en in stand te houden. Doel van het systeem is om de orga­nisatie van DSP goed te laten functio­neren zodat aan de eisen van klanten en belanghebbenden kan worden voldaan en het systeem kritisch te blijven beoordelen om zodoende nog beter aan de eisen van de klanten te voldoen.

Verder wordt gestreefd naar het continu verbeteren van het systeem, de procedures en processen, het bewaken en eventueel verhogen van de klanttevredenheid, en het voldoen aan de eisen van klanten en belanghebbenden en van toepassing zijnde wet- en regelgeving.

Het beleid voor informatiebeveiliging wordt met geplande tussenpozen, minimaal eenmaal per jaar of als zich significante veranderingen of een ernstig beveiligingsincident voordoen, beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.

Hiermee is de basis gelegd voor de continuïteit van de onderneming.

Concrete doelstellingen worden vastgelegd in de directiebeoordeling dat jaarlijks wordt opgesteld.

Alle medewerkers van DSP die worden genoemd in het handboek, zijn verantwoordelijk voor de uitvoering van de in het handboek beschreven kwaliteitsborgingeisen. Tenein­de aan een en ander te kunnen voldoen worden de medewerkers hierom­trent getraind.

Door te werken met goed opgeleid personeel dat in staat is haar vak goed te verstaan tracht DSP de eisen van de opdrachtge­vers te kunnen vertalen in de organisatie. Hiermede is de basis gelegd voor de continuïteit van de onder­neming.

Het coördineren, realiseren en onderhouden van het kwaliteits­borgingssysteem is opgedragen aan de Operations Manager.

Namens,

Directie DSP