Informatiebeveiligingsbeleid

 

Directieverklaring

Welly B.V. heeft in dit document beleid vastgesteld voor informatiebeveiliging. Dit beleid is erop gericht zeker te stellen dat alle toegang tot data van klanten altijd veilig is. In het bijzonder is dit beleid gericht op:

  • Zeker stellen dat het vertrouwen van klanten in Welly B.V. als betrouwbare partner, niet beschaamd wordt.
  • Het reduceren van het risico op beschadiging of verlies van bedrijfsdata en klantdata en daarmee het reduceren van het risico op verlies van klantvertrouwen, medewerkersvertrouwen en of aandeelhouders vertrouwen.
  • Beschermen van Vertrouwelijkheid, Integriteit en Beschikbaarheid van klantdata en bedrijfsdata.
  • Zeker stellen dat alleen bevoegde gebruikers toegang krijgen tot informatie en informatiesystemen.
  • Zeker stellen dat voldaan wordt aan geldende wet- en regelgeving.
  • Het opstellen en onderhouden van continuïteitsplannen om negatieve effecten van incidenten op het gebied van informatiebeveiliging zo veel mogelijk te beperken.
  • Het beschermen van netwerken en informatiesystemen tegen verlies, diefstal, ongeautoriseerd kopiëren, aantasting van de integriteit en, al dan niet bewust, veranderen van informatie of software.
  • Zeker stellen dat Welly B.V. geen illegale of niet-gelicentieerde software gebruikt.
  • Voorkomen dat, al dan niet opzettelijk, virussen of andere kwaadaardige software terecht komen/komt op de IT-systemen van Welly B.V.

Welly B.V. heeft een security officer benoemd die direct verantwoordelijk is voor het beheer en onderhouden van Informatie Beveiliging. Tevens is deze security officer verantwoordelijk voor het, gevraagd en ongevraagd, uitbrengen van adviezen op het gebied van Informatie Beveiliging. Aan alle medewerkers die betrokken zijn bij de uitvoering van dit beleid, zal indien nodig, een adequate opleiding en begeleiding worden geboden. Het beleid wordt gecommuniceerd bij alle indiensttredingen van medewerkers, tijdelijke medewerkers, klanten en stakeholders en gebruikt in alle relevante bedrijfsprocessen. Als onderdeel van het beleid, zal Welly B.V.  een proces beschrijven en uitvoeren van regelmatige audits en tevens incidenteel actie ondernemen indien significante wijzigingen plaatsvinden om zo zeker te stellen dat Welly B.V. blijft voldoen aan de vastgestelde standaard. Welly B.V. zal periodiek Management Reviews uitvoeren om vast te stellen of het programma nog steeds voldoet om doelstellingen te behalen, dan wel besluiten te nemen en middelen beschikbaar te stellen om benodigde wijzigen te implementeren. Management reviews worden ook gebruikt om audit resultaten en mogelijke gerapporteerde incidenten te beoordelen. Mogelijkheden voor continue verbetering zullen, waar nodig en zinvol, worden geïdentificeerd en uitgevoerd.

Bas Blokhuis

CEO

 

Context van de organisatie

  • Jaartal ontstaan: 2018
  • Hoe ontstaan: Nieuwe marktontwikkeling op het gebied van online training en coaching.
  • Voornaamste producten diensten: Welly is een technologisch platform (app & web) om het mentale welzijn van de medewerker te verbeteren en ziekteverzuim te voorkomen.
  • Voor welke markt: Commerciele dienstverlening
  • Vestigingsplaats(en): Amersfoort (geen kantoor)

Welly B.V. ontwikkelt en beheert een technologisch platform om de mentale welzijn van medewerkers te signaleren en te verbeteren doormiddel een persoonlijk in app programma en advies van coaches.  Deze klanten bevinden zich vooral in de wereld van commerciele dienstverlening. Het businessmodel van Welly is een combinatie van one-off betaling en SaaS model. Op wens wordt het product Welly als SaaS dienst aangeboden aan bedrijven. Echter Welly gaat een verwerkersovereenkomst aan met de gebruiker en niet met de organisatie.

Dat wil zeggen dat medewerkers van bedrijven vrijelijk deelnemen aan het Welly programma wat bestaat uit een well-being scan en app in combinatie met online coaching.

De gegevens die worden verzameld zijn bijzondere persoonsgegevens (persoonlijke gezondheidsgegevens) en vallen daarbij in de hoogste categorie van de AVG. De inschrijven voor het product is daarom vrijelijk en bij deelname wordt expliciet toestemming gevraagd voor de verwerking van de (bijzondere) persoonsgegevens.  De bijzonder persoonsgegevens die Welly verzamelt zijn op basis van een online questionnaire (Welly wellbeing scan) en bevatten de volgende onderdelen: Date of birth-Gender- , Living conditions, Education, Occupation, Injuries, Health complaints,  Leave of absence, Energy sources and drains, HSP,  Breathing frequency, Optimism, Burnout complaints, Psychological flexibility, Food intake & awareness.

De app en web-omgeving die Welly aan haar gebruikers aanbiedt worden gehost bij een externe hostingpartner: Digital Ocean en de verbinding tussen het netwerk van de gebruiker en de app wordt gerealiseerd volgens een aantal strikte richtlijnen waaronder encryptie van data in opslag en transitie. Wachtwoord & MFA, strict roll based access, testdata vrij van persoonsgegevens en vastgestelde bewaartermijnen en ongoing information security awareness training voor medewerkers en aangesloten partijen. Daarnaast wordt de data opgeslagen in Nederland. Deze normen zijn beschreven in het technisch beveiligingsbeleid en aan de hand van een secure development proces die nader is beschreven in het ISMS wordt deze gehandhaafd.

De ontwikkeling van de app en het platform wordt uitgevoerd door medewerkers van het bedrijf Dharma. Dit bedrijf is opgericht door een van de founders en levert de mankracht aan Welly om haar technische ontwikkeling en organisatorische ondersteuning te kunnen bieden. Deze mankracht werkt volledig volgens de gedefinieerde processen en richtlijnen van Welly maar zijn technisch gezien leveranciers.

Gegeven de hierboven beschreven context, is het duidelijk dat de Welly B.V. oplossingen o.a. worden ingezet in een gevoelig gebied: persoonsgegevens (persoonlijke gezondheidsgegevens) van personen  vallen in de hoogste categorie van de AVG. Dit betekent dat bij datalekken hoge boetes opgelegd kunnen worden en er ook sprake is van andere grote risico’s zoals reputatieverlies en erger. Ook de klanten stellen om die reden strenge eisen welke worden vastgelegd in documenten zoals contracten en verwerkingsovereenkomsten. Welly heeft om die reden de SaaS oplossing zodanig ontworpen en tevens in het beheer van de oplossing een aantal maatregelen geïmplementeerd, om te zorgen dat deze voldoet aan alle eisen en verwachtingen van stakeholders en wil dit formaliseren door het behalen van zowel het ISO27001 als het NEN7510 certificaat. Welly is GEEN gezondheidsorganisatie en/of zorgverlener. Het beleid en de maatregelen die echter getroffen zijn en de manier waarop het ISMS is ingericht is om te voldoen aan de eisen van een gezondheidsorganisatie.

Stakeholders

Inzicht verkrijgen in de behoeften en verwachtingen van belanghebbenden

De volgende belanghebbenden zijn te onderscheiden met bijbehorende behoeften en verwachtingen rondom informatiebeveiliging.

  1. (inhuur) Medewerkers
  • Medewerkers bewust en kundig maken op het gebied van informatiebeveiliging
  • Medewerkers middelen verschaffen die voldoen aan courante beveiligingsstandaarden, deze te monitoren en aan te passen waar nodig
  • Opslag van persoonsgegevens zijnde van medewerkers te beschermen, vertrouwelijk te behandelen
  • Leiderschap en visie tonen over ISMS en informatiebeveiliging
  • Zeker stellen dat alleen bevoegden toegang hebben tot de gegevens
  • Zeker stellen dat de gegevens beschikbaar zijn als ze benodigd zijn
  • Voldoen aan alle wettelijke verplichtingen
  1. Leveranciers
  • Eisen beschikbaarheid van de omgeving
  • Voldoen aan AVG wetgeving
  • Voldoen aan geheimhouding
  • Beleid omtrent eigen medewerkers
  1. Beheerders in het platform
  • Bewijs dat de omgeving voldoet aan technologische ontwikkelingen van deze tijd​
  • Bewijs, waarborg dat de integriteit en vertrouwelijkheid van de persoonsgegevens beschermd wordt​
  • Bewijs dat er wordt voldaan aan de vigerende wetgeving​
  • Bewijs dat voldaan wordt aan contractuele verplichtingen​
  • Bewijs dat de organisatie huidige en toekomstige informatiebeveiligings vraagstukken kan oplossen​
  • Voldoende middelen en continuïteit van service kan garanderen​
  1. Klanten en Gebruikers
  • Verwachten een dienst/service die voldoet aan beveiligingsstandaarden conform AVG die gedocumenteerd is in het informatie beveiligingsbeleid
  • Verwachten dat er voldoende middelen beschikbaar gesteld worden voor continuïteit van service
  • Bewijs van oplossend vermogen rondom incidenten en informatiebeveiligings vraagstukken
  • Bewijs dat voldaan wordt aan contractuele verplichtingen​
  • Bewijs dat het platform in het bezit is van ISO27001 certificering
  1. Wetgever
  • Voldoen aan AVG-wetgeving
  • Voldoen aan belastingwetgeving en afspraken met de belastingdienst
  • Voldoen aan wet op bedrijfsgeheimen
  • Voldoen aan de auteurswet
  • Voldoen aan de cookiewet
  • Voldoen aan de wet computer criminaliteit
  • Voldoen aan de wet indentificatieplicht
  1. Aandeelhouders
  • Bescherming van reputatie en aansprakelijkheden
  • Bescherming van de gebruikersgegevens en uitgeleende medewerkers

Scope

De scope van Welly is het ontwikkelen, vormgeven, hosten, onderhouden en beheren van Personal Wellbeing app en platform alsmede het geven van online coaching en signaleren van mentale en fysieke gezondheidsklachten op basis van een online vragenlijst.

 

Leiderschap

De directie is actief betrokken bij het managementsysteem voor informatiebeveiliging.

5.1 Leiderschap en betrokkenheid

De directie is betrokken en leidt het managementsysteem voor informatiebeveiliging middels:

  1. Het voeren van en ondersteuning van en evaluatie van opgesteld beleid ten behoeve van het behalen van de opgestelde informatiebeveiligingsdoelstellingen. Dit wordt 4 keer per jaar geëvalueerd tijdens de z.g. management review.
  2. Het management is zich bewust van en zal erop toe zien dat de informatiebeveiligingseisen vanuit het managementsysteem in de processen van de organisatie geïntegreerd worden alsmede toetsen of de externe input van bijvoorbeeld leveranciers voldoen aan de eisen van het managementsysteem.
  3. Tijdens de managementbeoordeling stelt het management vast of beschikbaar gestelde resources en middelen voldoende zijn voor het behalen van de doelstellingen van het managementsysteem.
  4. Directie ondersteunt het continue informeren van medewerkers rondom het voldoen aan de eisen van het managementsysteem rondom informatiebeveiliging.
  5. Het aansturen en ondersteunen van medewerkers en externen om een bijdrage te leveren aan de doeltreffendheid van het managementsysteem. Dit onder andere door regulier het onderwerp te behandelen in werkbesprekingen.
  6. Het bevorderen van continue verbeteringen. Indien nodig zullen resources beschikbaar gesteld worden om verbeteringen te effectueren.
  7. Het ondersteunen van alle managementfuncties in het tonen van leiderschap binnen hun verantwoordelijkheidsgebied. Dit wordt mede in persoonlijke ontwikkeling ondersteund alsmede het beschikbaar stellen van voldoende middelen.

Beleid

De directie heeft informatiebeveiligingsbeleid vastgesteld dat:

  1. Passend is voor de organisatie
  2. Doelstellingen bevat en een kader geeft voor het vaststellen dan deze doelstellingen (zie 6.2)
  3. Als uitgangspunt heeft dat managementsysteem continu zal verbeteren om te voldoen aan de hoge eisen die de stakeholders stellen. Dit zal zich uiten in de processen, het voeren van een risico register en een jaarlijkse evaluatie van het systeem.
  4. als uitgangspunt heeft te voldoen aan vigerende wetgeving, voor zover van invloed op het managementsysteem
  5. Beschikbaar is middels Confluence waar beleid en andere documentatie te vinden is rondom de standaarden als gesteld in het managementsysteem.
  6. Gecommuniceerd is aan het gehele team en leveranciers. En er voor te zorgen dat nieuwe medewerkers, leveranciers voldoende op de hoogte worden gesteld van het beleid.
  7. In de vorm van een gedragscode beschikbaar gesteld is voor belanghebbenden.

Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie

De directie heeft in de volgende structuur de verantwoordelijkheden rondom informatiebeveiliging toegekend. De rollen zijn tevens in het organisatieplan opgenomen en gecommuniceerd aan het team. Dit zijn de rollen die in scope zijn van het management systeem.

COO (COO en SO momenteel 1 persoon)

  • Portefeuille-eigenaar Informatie Beveiliging
  • Opstellen informatiebeveiligingsdoelstellingen
  • Vaststellen van informatiebeveiligingsbeleid
  • Zorgen dat doelstellingen en beleid aansluiten op de strategische richting van de organisatie
  • Mede-vaststellen van de benodigde middelen voor het bewerkstelligen van een managementsysteem voor informatiebeveiliging
  • Communicatie van het belang van informatiebeveiliging
  • Beoordelen van het managementsysteem met geplande tussenpozen
  • Besluit over acceptaties risico’s
  • Beheert de SLA met de leveranciers
  • Aanspreekpunt voor de autoriteit

Security Officer(COO en SO momenteel 1 persoon)

  • Ondersteunt en adviseert de directie en medewerkers over informatieveiligheid,
  • Is betrokken bij Privacy Impact Assessments
  • Bewaakt het opgestelde beleid
  • Kan audits initiëren en/of uitvoeren
  • Is lid van en rapporteert aan het veiligheidscomité
  • Kan leveranciersaudits initiëren en/of uitvoeren
  • Volgt en managed incidenten en mitigerende acties
  • Bewaakt Privacy aspecten en processen AVG
  • Adviseert organisatie gevraagd en ongevraagd, op het gebied van Privacy
  • Eigenaar van Privacy Statement

CTO

  • Volgt de richtlijnen rondom informatiebeveiliging in projecten
  • Herhaalt risicoanalyses en neemt in overleg met betrokkenen mitigerende maatregelen
  • Volgt de richtlijnen en processen rondom beveiligd ontwikkelen
  • Zorgt voor geteste en geaccepteerde overdracht naar productie
  • Bewaakt de architectuurkaders van m.b.t. de veiligheid van systemen en data
  • Verantwoordelijk voor het initiëren en beheren van externe testen en initiatieven
  • Is verantwoordelijk voor autorisatie en toegang van system admin accounts
  • Is lid van het veiligheidscomité

Helpdesk

  • Beantwoordt vragen van klanten via de verschillende kanalen (1e lijn) en signaleert incidenten

Veiligheidscommité

  • Beheert de risicomatrix
  • Bewaakt voortgang van de mitigerende risico’s
  • Verzamelt de gegevens van de projecten en helpdesk

Medewerkers

  • Volgen van beleid en richtlijnen binnen het management systeem

 

Maatregelen om risico’s te beperken en kansen te benutten

Algemeen

Welly heeft de volgende eisen overwogen welke gerelateerd zijn aan de stakeholders en op de volgende manier geïmplementeerd in het management systeem:

Privacywetgeving moet worden gewaarborgd door

  • Opstellen van specifieke gerelateerde processen rondom o.a. datalekken en bescherming van fundamentele rechten rondom data subjecten
  • Het definiëren en implementeren van cryptografische maatregelen

Een actief beveiligingsbeleid uitdragen naar de keten en de medewerkers:

  • Leveranciers voorwaarden
  • Leveranciers audit
  • In de gaten houden van veranderingen bij leveranciers die invloed hebben op informatiebeveiliging
  • Informeren en opleiden van medewerkers en externe stakeholders

Beschermen van reputatie door:

  • Het implementeren van een integraal incidenten proces
  • Het bewaken van veranderingen op de productie omgeving
  • Het uitvoeren van externe testen ter controle van de stand van de techniek
  • Screening en contractuele voorwaarden medewerkers
  • Het voeren van een Business continuity plan en uitvoering van testen
  • Het opstellen en uitvoeren van een integraal informatiebeveiligingsbeleid
  • Aanstellen van een  Security Officer

Het minimaliseren van risico’s:

  • Invoering en volgen van een integraal risicomanagement methodologie
  • Actief beheer van middelen
  • Digitale protectie middels o.a. malware protectie, firewall, vulnerability scans
  • Wachtwoordbeleid en rechten controle
  • Uitvoering van periodieke controles

De doeltreffendheid van deze systeemcomponenten wordt gemeten op de volgende manier:

  • Tijdens VC/IBMF overleggen 4 keer per jaar
  • Tijdens management reviews 4 keer per jaar
  • N.a.v. evaluaties van projecten, incidenten
  • Tijdens interne audits 1 keer per jaar
  • Tijdens leveranciersbeoordelingen – evaluaties 1 keer per jaar

Risicobeoordeling van informatiebeveiliging

Risico’s worden gedefinieerd als potentiële bedreiging voor de betrouwbaarheid, beschikbaarheid en vertrouwelijkheid van de informatie en of de middelen die volgens het classificatieschema op een specifieke manier beschermd dienen te worden.

Risico’s worden geregistreerd aan de hand van:

  • Evaluaties van externe testen
  • Evaluaties van interne audits
  • Evaluaties van incidenten
  • Evaluaties van controles
  • Evaluaties van leveranciersbeoordelingen
  • Evaluaties projecten
  • Management beoordelingen
  • Tickets met betrekking tot bevindingen externe gebeurtenissen

De risico’s worden gerapporteerd aan CTO en COO en  zal actief de evaluaties en statusvoortgang beheren.

Risico’s en mogelijkheden welke zijn vastgesteld, zullen worden beheerd door middel van de risico matrix.

Elk kwartaal, of wanneer interne of externe ontwikkelingen dat vereisen, wordt een risico review bijeenkomst gehouden. Tijdens de risico review, welke wordt genotuleerd door de servicemanager, worden risico’s beoordeeld op kans (van daadwerkelijk gebeuren) en de impact (als het daadwerkelijk mocht gebeuren). Kans en impact worden beide gescoord op een 5-punts schaal. Door beide scores met elkaar te vermenigvuldigen ontstaat een risicoprofiel score. Toekennen van scores voor kans en impact is een subjectief proces, maar door dit te laten doen door een multidisciplinair team, verwacht de organisatie dat het risicoprofiel bij herhaling van beoordeling de zelfde waarde zal geven.

oor deze risico’s dienen direct passende maatregelen genomen te worden. Realisatie van de maatregelen dient de hoogste prioriteit te hebben en het top management dient geïnformeerd en betrokken te zijn totdat het risico terug gebracht is tot hoog/gemiddeld/laag.

 

Behandeling van informatiebeveiligingsrisico’s

Acties om risico’s te behandelen en zorgen dat deze in impact worden verlaagd, worden opgenomen in het risico overzicht. Alle benodigde acties worden toegewezen aan een eigenaar. De eigenaar van de actie stelt, in overleg met de overige deelnemers een deadline om het benodigde resultaat op te leveren.

Alle acties worden gevolgd door de COO en op voortgang gemeten. De COO zal uiteindelijk het resultaat van de acties beoordelen door middel van een herbeoordeling van het bijbehorende risico.

Acties (om risico’s te beperken) worden door de organisatie in 3 categorieën verdeeld en kunnen individueel of in combinatie worden aangesproken om risico’s te verlagen:

  • Technische maatregelen
  • Organisatorische/procedurele maatregelen
  • Aanpassingen aan het ISMS

OPLOSSINGEN – ACCEPTATIE VAN MAATREGELEN, REST RISICODe oplevering van oplossingen of de implementatie van maatregelen om risico’s te beperken, gebeurt door de actie eigenaar. De acceptatie hiervan gebeurt door de COO.

Risico acceptatie zet tevens de evaluatie van het rest risico in werking. Indien het rest risico hoger scoort dan het ingestelde acceptatie niveau, zullen aanvullende acties worden vastgesteld.

VERSIE BEHEER RISICOMATRIX

Voorafgaand aan de risico review sessie wordt van de laatste versie van de matrix een nieuwe versie met de datum van die dag opgeslagen en verder bewerkt.

Doelstellingen

Welly heeft een aantal doelstellingen opgesteld die voor ons van belang zijn in op het gebied van informatiebeveiling en het beheersen van de processen rondom dit onderwerp:

  1. Het huidige technische informatie beveligingsproces aanscherpen. (Inclusief risico-analyse bij refinement) Eigenaar:Bas Blokhuis / Einddatum januari 2022. Daarna continue verbeteren en aanpassen.
  2. Het verminderen van de risico’s van menselijke fouten, diefstal, fraude of misbruik van voorzieningen door het opstellen van een en invoeren van een beleid en de benodigde controles en processen. Eigenaar Nicole Schram.  Einddatum: januari 2022. Daarna continue verbeteren en aanpassen.
  3. Een algemeen informatie beveiligingsproces beschrijven en verbeteren voor de rest van de organisatie.  Eigenaar Nicole Schram.  Einddatum: januari 2022. Daarna periodiek verbeteren en aanpassen.
  4. Het creëren van bewustzijn van de medewerkers van de organisatie rondom het onderwerp van informatiebeveiliging doormiddel van training (2x per jaar) en maandelijkse nieuwsbrieven.  Eigenaar Nicole Schram.  Einddatum: september 2021 daarna periodiek herhalen
  5. Aanscherpen van de authorisatiematrix voor alle systemen. Eigenaar Nicole Schram. Einddatum: september 2021
  6. ISO certificering. Eigenaar Nicole Schram. Einddatum: februari 2022

Ondersteuning

Middelen

Welly stelt tijdens de management review vast welke middelen er additioneel nodig zijn om gestelde doelstellingen te behalen. Middelen die gebruikt worden als onderdeel van de architectuur en deel uit maken van de klant en gebruikers service vallen onder de operationele verantwoordelijkheid van de bestuurder — business owner. Maandelijks is er een budget gereserveerd die vallen onder operationele kosten die de informatie en beveiliging ondersteunen. Daarnaast is er een wekelijkse review van de financiele planning in het wekelijkse management overleg.

Additionele middelen zoals inhuur van adviesdiensten worden op basis van de doelstellingen door de eigenaar van het ISMS geaccordeerd.

Competentie

Welly heeft voor de verschillende beheersfuncties van het ISMS-competentie profielen opgesteld. Deze profielen zijn opgesteld voor:

  • Security Officer
  • CTO

In de personeelsdossiers is zowel bewijs van competentie te vinden alsmede persoonlijke afspraken over opleiding en extra maatregelen om competenties aan te vullen. 

Bewustzijn

Alle medewerkers die direct of indirect voor Welly werk verrichten zijn zich bewust van:

  • Het informatiebeveiligingsbeleid door:
    1. Het voorleggen van de Gedragscode en deze laten ondertekenen in de dienstverleningsovereenkomst
    2. Het volgen van een informatiesessie rondom informatiebeveiliging en het beleid binnen Welly gegeven door de Security Officer
  • Medewerkers krijgen toegang tot het standaard ISMS beleid en vastgestelde processen. De processen beschrijven per rol welke activiteiten gewenst zijn uit te voeren ten bate van het ISMS en bijbehorende doelstellingen
  • Medewerkers zijn contractueel verbonden aan geheimhouding en het volgen van het beleid. Bij niet volgen van het beleid worden de gevolgen per case vastgesteld
  • Tijdens de uitdienst procedure dan wel beëindiging van opdracht worden de medewerkers op hun blijvende geheimhouding gewezen.

Communicatie

Welly heeft binnen de processen de communicatielijnen beschreven en de rollen die hierbij betrokken zijn. Alle beschreven processen zijn beschikbaar gesteld in de Confluence omgeving die specifiek voor Welly is opgezet en waar de teamleden toe geautoriseerd zijn.

Buiten de procesmatige communicatielijnen gerelateerd aan het ISMS vindt er een maandelijkse werkbespreking plaats.

 

Uitvoering

Operationele planning en beheersing

De informatiebeveiligingseisen zijn opgenomen in de processen. De processen zijn gemodelleerd aan de hand van de bestaande situaties dan wel opgezet met de teamleden op basis van consensus en getoetst aan de uitgangspunten van het beveiligingsbeleid.

Op reguliere basis toetst de Information Security Officer gezamenlijk met medewerkers en management de werking en het opvolgen van de beschreven processen. Afwijkingen worden geregistreerd en meegenomen als verbeteracties en besproken door het veiligheidscommité/IBMF

Ook de activiteiten van de leveranciers zijn gemodelleerd afgestemd tijdens de procesuitvoering de input wordt getoetst. Op basis van proces uitkomsten en een vast aantal parameters worden de resultaten minimaal jaarlijks met de leverancier geëvalueerd.

Risicobeoordeling van informatiebeveiliging

Risicobeoordelingen worden minimaal 4 keer per jaar uitgevoerd op vaste momenten of indien er aanleiding is vanwege incidenten en of veranderingen in de omgeving of stakeholders.

De risicobeoordeling volgt een vast proces zoals beschreven in 6.1.2. Alle bevindingen worden geregistreerd in de risicomatrix die bij elke beoordeling een nieuwe versie krijgt. De verzamelde risico’s worden gewaardeerd en indien de risicowaarde boven of op de limiet van 12 komt worden de mitigerende activiteiten gedefinieerd en toegewezen.

8.3 Informatiebeveiligingsrisico’s behandelen

Het behandelplan van de risico’s wordt per actie toegewezen aan een eigenaar. De status van acties worden elke twee maanden gerapporteerd aan het management. De rapportage kan ertoe leiden dat management doelstellingen aanpast dan wel prioriteiten bij te stelen of extra middelen beschikbaar te stellen.

 

Evaluatie van prestaties

Monitoren, meten, analyseren en evalueren

Welly heeft om de informatiebeveiligingsprestaties en de doeltreffendheid van het managementsysteem voor informatiebeveiliging te evalueren een controleplan opgesteld:

Het controleplan is opgedeeld in procescontroles en technische controles. De controles zijn gepland via de agenda van Base27 (authorisatie, leveranciers, organisatorische controles) Jira en google calender. (technische controles) Het controleplan beschrijft tevens de planning van alle andere activiteiten zoals interne audit en leveranciersbeoordeling.

Controles zijn vastgesteld op naam en hebben een deadline. Alle resultaten worden door het veiligheidscommité/IBMF geëvalueerd en indien noodzakelijk extra risico’s geadresseerd.

Interne audit

Welly heeft een auditprogramma opgesteld dat beschrijft over drie jaar welke onderwerpen onderdeel zijn van de interne audit. Welly werkt de jaarplanning bij in twee audit rondes per jaar.

Afhankelijk van incidenten, additionele risico’s en calamiteiten wordt het auditprogramma aangepast. De audit wordt uitgevoerd door de Information Security Officer en waar nodig bijgestaan met externe onafhankelijke auditoren.

De interne auditresultaten worden verwerkt en gebruikt als input voor

  • Risico evaluatie
  • Managementbeoordeling
  • Tweemaandelijkse directierapportage

De auditrapportage wordt opgesteld en toegevoegd aan het ISMS als onderlegger voor additionele risico’s en of managementbesluiten.

Directiebeoordeling

De directie beoordeeld jaarlijks de naleving van de informatieverwerking en – procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.

Middelen en normenkader

Welly stelt naleving aan de hand van de volgende middelen vast:

  • Resultaten en uitslagen externe audits
  • Resultaten en uitslagen interne audits
  • Resultaten leveranciersaudits
  • Resultaten en evaluaties van incidenten

Het normenkader dat door de directie zal worden gehanteerd tijdens de beoordeling, zijn:

  • Beleidskaders opgenomen in het ISMS
  • Standaard normenkader ISO 27001
  • Wettelijke kaders rondom AVG
  • Contractuele afspraken met klanten en leveranciers

Beleidsregels

Naar aanleiding van bevindingen van niet naleving:

  • Worden oorzaken van de niet naleving vastgesteld
  • Wordt de noodzaak geëvalueerd tot het treffen van maatregelen om naleving te bewerkstelligen
  • Worden passende corrigerende maatregelen geïmplementeerd
  • Worden getroffen corrigerende maatregelen beoordeeld om de doeltreffendheid ervan te verifiëren en om gebreken of zwakke plekken te identificeren.

De beleidsregels worden door het veiligheidscommité gehanteerd, geëvalueerd en onderhouden.

Directiebeoordeling

De directie beoordeelt jaarlijks tijdens een van de management reviews het informatie management systeem (beleid, processen, procedures, technologie, organisatie) op continue geschiktheid, adequaatheid en doeltreffendheid.

De volgende agenda zal worden gehanteerd en van de beoordeling zal verslag worden gelegd:

  1. Opening
  2. Status van acties voorgaande beoordelingen
  3. Wijzigingen in externe en of interne onderwerpen die relevant zijn voor het management systeem
  4. Feedback informatiebeveiligingsprestaties – monitoringsrapportages
  5. Feedback van belanghebbenden
  6. Resultaten van risicobeoordeling en het risicobehandelplan
  7. Kansen continue verbetering

Er wordt een besluitenlijst vastgesteld met betrekking tot:

  1. Kansen voor continue verbetering
  2. Noodzakelijke wijzigingen aan het ISMS

Manier van controle

Jaarlijks zal de Directie beoordeling herzien zijn en het verslag beschikbaar. Dit is zowel onderdeel van de interne als externe audit.

 

Verbetering

10.1 Afwijking en corrigerende maatregelen

Welly definieert afwijkingen als ongewenste uitkomst vanuit een interne of externe audit. Het referentiekader voor deze constatering is het eigen ISMS en de normelementen uit ISO 27001.

De procedure die wordt afgewikkeld:

  1. De interne – externe auditor rapporteert de bevinding
  2. De bevinding wordt geregistreerd als ticket in Jira (technische ontwikkeling) en Base27 (overige bedrijfsprocessen)
  3. Het eerste doel is te zorgen dat de afwijking wordt geminimaliseerd – opgelost zodat potentiele risico’s die zijn ontstaan geminimaliseerd worden. Dit wordt uitgevoerd door het afwerken van het ticket.
  4. Nadat de eerste correctie is uitgevoerd zal er een evaluatie worden uitgevoerd met de volgende activiteiten
  5. a. Oorzaakanalyse – in het ticket zal een oorzaak worden aangegeven hoe het probleem heeft kunnen ontstaan en of er nog meer gerelateerde problemen kunnen ontstaan
    • b. Acties definiëren als correctieve maatregel waardoor de afwijking niet meer zal ontstaan. Dit kunnen technische maatregelen zijn of maatregelen in procedures, beleid of controles die onderdeel zijn van het ISMS.
  6. De maatregel wordt na bijeenkomst van het IBMF besproken en indien nodig als actie in een ticket omgezet. In het ticket wordt de actie opgevolgd en het resultaat geregistreerd.

Continue verbetering

De organisatie verbeterd continu de geschiktheid, adequaatheid en doeltreffendheid van het managementsysteem voor informatiebeveiliging. Dit wordt gedaan mede door:

  • Continue evaluatie door het veiligheidscommité leden van ISMS
  • Periodieke update overleggen met directie over informatiebeveiliging
  • Maandelijkse rapportage status rondom informatiebeveiliging
  • Continu te onderzoeken waar risico’s, procesmatige mogelijkheden en technische verbeteringen kunnen plaatsvinden
  • Te zorgen voor bewuste, gemobiliseerde medewerkers doormiddel van training en een nieuwsbrief
  • Te zorgen voor een open cultuur waarbij er geen drempels zijn om verbeteringen te melden.