De beveiliging van gegevens: beveiligingsbeleid

 

De adequate beveiliging van informatie en systemen vormt de basis van het vertrouwen dat klanten, gebruikersorganisaties, betrokkenen en andere stakeholders in ons stellen.

Track Software wil de blootstelling aan beveiligingsrisico’s op een niveau brengen en handhaven als verlangd door de privacy richtsnoeren van de Autoriteit Persoonsgegevens, de AVG en de best practices rond de Internationele Norm ISO27001.

 

b

Concrete doelen

We streven de volgende concrete doelen na met dit systeem:

– 24/7 beschikbaarheid van productie systemen;
– we moeten onze klanten de vertrouwelijkheid en integriteit van productiedata blijvend kunnen garanderen;
– het vermijden van ongeregisseerde changes in onze applicaties en databanken;
– informatie mag niet vatbaar zijn voor verlies of diefstal.

R

Realisatie doelstellingen

Realisatie van deze doelstelling wordt gemeten aan de hand van het aantal zogenaamde “prio-1” incidenten. Dit zijn verstoringen die betrekking hebben op uitval van beschikbaarheid, vertrouwelijkheid of integriteit met hogere impact.

Certificering

Om het hoofd te bieden aan de zich continu wijzigende bedreigingen waaraan online applicaties blootstaan, nieuwe eisen die uitgaan van veranderende wetgeving, de veranderende eisen van onze afnemers, etc. is het van groot belang dat onze organisatie zich daarvan en van de consequenties ervan voor onze informatiebeveiling, permanent bewust is. Om deze reden implementeerden we het ISO27001 informatiebeveiliging systeem, onderhouden we het en laten we het extern certficeren.

Wilt u meer lezen over de ISO27001?

Klaas van der Galiën

directeur Track Software

“Als leverancier van één van de grootste verzuimapplicaties in de Cloud krijgen we veel vragen over de veiligheid van onze applicaties Track Verzuim en Track Medic. Onze klanten willen terecht de zekerheid dat hun gegevens in goede handen zijn. Wij zijn dagelijks bezig om volledig compliant te zijn met de nationale en internationale standaarden op het gebied van informatiebeveiliging.”

 

l

Beveiligingsbeleid

Wij zullen:

  • ons blijvend op de hoogte stellen van alle vormen van bedreigingen van onze informatie en met de verwerking daarvan samenhangende bedrijfsmiddelen;
  • specifieke beheersmaatregelen evalueren, implementeren en naar behoefte aanpassen om de vertrouwelijkheid, beschikbaarheid en integriteit van deze informatie te waarborgen conform de richtsnoeren van de Autoriteit Persoonsgegevens, de AVG of de norm ISO27001;
  • informatie beveiligings management processen ontwikkelen en onderhouden om risico’s te beheersen of weg te nemen voor zover dat redelijkerwijze mogelijk is in termen van kosten, inspanningen, belangen, de stand van de techniek, algemeen aanvaarde of branche opvattingen en uitsluitend voorzover passend bij de specifieke aard van onze organisatie; 
  • beveiligingsincidenten registreren en laten analyseren door de Manager Informatiebeveiliging om deze in de toekomst te voorkomen en verbeteringen te ontwikkelen;
  • informatiebeveiliging een centrale plaats geven in de ontwikkeling, het onderhoud, beheer en exploitatie van onze applicaties, databanken en daarmee samenhangende bedrijfsmiddelen;
  • middelen en tijd ter beschikking stellen om deze doelstellingen blijvend te realiseren;
  • periodiek interne controles uitvoeren of laten uitvoeren op de werking van dit risico management systeem;
  • de bewustwording van informatiebeveiliging periodiek onder de aandacht brengen van ons personeel;
  • ons voldoende inspannen om de blijvende conformiteit met de ISO27001 en NEN 7510 norm te handhaven en aan de verwachtingen van onze klanten, gebruikersorganisaties en betrokkenen, eisen van publiekrechtelijke regelgeving, personeel en andere stakeholders te voldoen;
  • dit managementsysteem voor informatiebeveiliging – inclusief de daarbij horende risiscobeheersmaatregelen – continu verbeteren door elk jaar concrete verbeter-akties op te stellen, deze te toetsen en te evalueren in een directie-beoordeling.

B I V

Omschrijving

BIV Gedocumenteerd en extern geauditeerd informatiebeveiligingsbeleid.
Beschikbaar Alle server hardware is redundant uitgevoerd (RAID disks, dubbele voeding, dubbele firewalls, etc.).
Beschikbaar Externe hosting webapplicatie servers / -productiedata in extern datacenter.
Vertrouwelijkheid Eigen hardware park. Onderhoud aan hardware wordt door eigen personeel uitgevoerd.
Integriteit Professionele scheiding  van ontwikkeling, testen en productieomgeving.
Integriteit Versiebeheer en changemanagent geïmplementeerd.
Vertrouwelijkheid Informatieclassificatie en autorisatiematrix opgesteld.
Beschikbaar Dagelijkse backups van data in intern datacentrum. Uur-backup in extern datacenter.
Beschikbaar Fysieke en logische beveiligingsmaatregelen in datacenters.
Vertrouwelijkheid Keuze voor robuust en velig ontwikkel- en serverplatform; geen freeware.
Vertrouwelijkheid Mobiele apparaten en -media kennen data-encryptie en toegangswachtwoorden.
Vertrouwelijkheid Encryptie van bestanden, alle netwerkverkeer,  wachtwoorden; 2factor authenticatie.
Vertrouwelijkheid Activiteiten van alle gebruikers in alle rollen wordt gedetailleerd gelogd.
Vertrouwelijkheid Webapplicatie servers beveiligd tegen internet-aanvallen.
Vertrouwelijkheid Personeel dat toegang heeft tot productiedata kent een schriftelijk geheimhoudingsbeding.
Beschikbaar Adequate mechanismen en procedures geïmplementeerd om kwaadaardige software op te sporen en af te wenden.