Informatiebeveiligingsbeleid

Transcriptie

1 2-Control B.V. +31 (0) Haagse Markt BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum

2 Versiebeheer Versie Datum Status Naam Toelichting Informatiebeveiligingsbeleid datum 2 van 6

3 Inhoud 1 Algemeen 4 2 Doelstelling 4 3 Reikwijdte 4 4 Uitgangspunten 5 5 Verantwoordelijkheden Directie Managers Finance Sales Consultants Medewerkers overig 6 Informatiebeveiligingsbeleid datum 3 van 6

4 1 Algemeen De toezichthouder en directie van geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid van en voor de hele organisatie. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid van en de relevante landelijke en Europese wet- en regelgeving. Dit beleid is nader uitgewerkt in een informatiebeveiligingsplan. is zelf verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hierbij gelden onder andere onderstaande wet- en regelgeving: De introductie van de Algemene Verordening Gegevensbescherming bij de verwerking van persoonsgegevens op 24 mei 2016 (waarbij organisaties tot 2018 de tijd hebben om alle nieuwe privacyregels te implementeren). De invoering van de meldplicht datalekken per 1 januari 2016, als onderdeel van de wet bescherming persoonsgegevens. 2 Doelstelling Het informatiebeveiligingsbeleid vormt een integraal onderdeel van het bedrijfsbeleid van de en dient te waarborgen dat: De organisatie en haar medewerkers zich goed bewust zijn van het belang van beveiliging en de behoefte hebben, maatregelen tegen ongewenste situaties te treffen en incidenten beheersbaar te maken en te houden. De taken, de verantwoordelijkheden en de bevoegdheden van de medewerkers ten aanzien van de beveiliging duidelijk zijn. De bedrijfsprocessen van voldoende zijn beveiligd tegen interne en externe risico s, met name waar het gaat om een ongestoord en veilig verblijf van de cliënten, familieleden, bezoekers, medewerkers en derden. Voldoende beveiligingsmaatregelen zijn getroffen om risico s te beperken ten aanzien van de Beschikbaarheid, Integriteit en Vertrouwelijkheid van bedrijfsgegevens. Het imago van niet in gevaar mogen worden gebracht door in- en externe risico s. een voortdurende solide uitstraling heeft, zowel intern als extern, met als uitgangspunt het kwaliteitskenmerk van. Het een basis biedt voor alle huidige en toekomstige activiteiten op het gebied van informatiebeveiliging. 3 Reikwijdte Het informatiebeveiligingsbeleid is van toepassing op alle onderdelen en locaties van. Informatiebeveiligingsbeleid datum 4 van 6

5 4 Uitgangspunten De aan de wet- en regelgeving ontleende uitgangspunten voor het informatiebeveiligingsbeleid zijn: 1. Alle informatie en informatiesystemen kunnen van kritiek en vitaal belang zijn voor de organisatie. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)management, met de directie als eindverantwoordelijke. De verantwoordelijkheden voor de informatiebeveiliging en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd. 2. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses. 3. Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het managementsysteem van informatiebeveiliging. 4. Vanuit een onafhankelijke positie wordt de organisatie ondersteunt bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en de rapportage hierover. 5. De organisatie stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid. 6. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld. Alle medewerkers van de organisatie worden getraind in het gebruik van beveiligingsprocedures. 7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht, waar nodig, gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. 8. dient een integere organisatie met integere medewerkers te zijn. Integriteitschendingen worden niet getolereerd en dienen te worden gevolgd door een nader te bepalen sanctie. 5 Verantwoordelijkheden 5.1 Directie De directie van : Stelt het informatiebeveiligingsbeleid vast en zorgt dat het wordt gecommuniceerd naar alle medewerkers. Zorgt voor het actualiseren en de instandhouding van het informatiebeveiligingsbeleid. Voorziet in maatregelen die onbevoegde beïnvloeding van de bedrijfsprocessen tegengaan en bescherming bieden aan de medewerkers en derden en aan de bedrijfsmiddelen van. Draagt zorg voor het opstellen van een informatiebeveiligingsplan en evalueert de uitvoering van dit plan jaarlijks. Zorgt voor een duidelijke toewijzing en delegatie van verantwoordelijkheden en bevoegdheden ten aanzien van de te nemen en uit te voeren beveiligingsmaatregelen. Draagt de operationele uitvoering van het beleid op aan de afdelingshoofden en locatiemanagers. Informatiebeveiligingsbeleid datum 5 van 6

6 5.2 Managers De managers van : Zijn verantwoordelijk voor de uitvoering van het beveiligingsplan. Dragen zorg voor de organisatie van de beveiliging. Zijn verantwoordelijk voor het bij de medewerkers bekend maken van geldende en relevante beveiligingsmaatregelen. Zijn verantwoordelijk voor het periodiek bespreken van beveiligingsaangelegenheden in het werkoverleg dat met de medewerkers wordt gehouden. Adviseren de directie gevraagd en ongevraagd met betrekking tot alle beveiligingsaangelegenheden en laten zich, ten aanzien van het treffen van de vereiste maatregelen, voortdurend leiden door hetgeen op dit terrein qua ontwikkeling gebruikelijk en noodzakelijk is. 5.3 Finance De afdeling finance van : 5.4 Sales De afdeling sales van : 5.5 Consultants De afdeling consultants van : 5.6 Medewerkers overig Individuele medewerkers (zowel vast als tijdelijk, intern of extern): Dit informatiebeveiligingsbeleid treedt in werking na vaststelling door de directie en toezichthouder. Aldus vastgesteld door de directie van op [datum], [Naam. Functie] De toezichthouder van op [datum], [Naam. Functie] Informatiebeveiligingsbeleid datum 6 van 6