Skyliner levert ICT diensten, afhankelijk van de behoefte van de opdrachtgever, die vallen onder het toepassingsgebied van het managementsysteem voor informatiebeveiliging. Dit omvat het adviseren, leveren, inrichten en beheren van ICT-systemen, netwerken, werkplekken, clouddiensten, telefonie. Alsook het ontwikkelen, implementeren en onderhouden van maatwerk software.
Skyliner verbindt automatisering en mensen. Mede door de kernwaarden betrouwbaarheid, betrokkenheid en tevredenheid groeit het klantenbestand al jaren. Voor diverse opdrachtgevers in de MKB branche is de vertrouwelijkheid, beschikbaarheid en integriteit op het gebied van informatiebeveiliging essentieel. Informatiebeveiliging als contractuele eis heeft Skyliner opgenomen in het informatiebeveiligingsbeleid.
De begrippen vertrouwelijkheid, integriteit en beschikbaarheid van informatie definieert Skyliner als volgt:
- Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn;
- Integriteit: het waarborgen van de correctheid en de volledigheid van de informatie en de verwerking daarvan;
- Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot de informatie.
1. Beleid – Strategische richting
De directie heeft een informatiebeveiligingsbeleid met -doelstellingen opgesteld dat aansluit bij de strategische richting van de organisatie. Skyliner heeft de groeiambitie om als organisatie proactief betrouwbare ICT diensten te leveren om zo het vertrouwen van opdrachtgevers te behouden dat informatie en data veilig zijn aangaande de vertrouwelijkheid, integriteit en beschikbaarheid. Skyliner wil een toekomstbestendige organisatie zijn door veilige en betrouwbare IT diensten te leveren door de informatiebeveiligingsrisico’s adequaat te beheersen.
Het overkoepelend doel is het beschermen van de beschikbaarheid, de integriteit en de vertrouwelijkheid van de informatie. Passend voor dit doel heeft de directie een beleidskader voor informatiebeveiliging vastgesteld.
2. Beleidskader Informatiebeveiliging
Met het informatiebeveiligingsbeleidskader wil Skyliner aantoonbaar in control zijn op het gebied van informatiebeveiliging door:
- Het beleid is opgesteld in overeenstemming met de van toepassing zijnde normeisen ISO 27001, de wettelijke en de contractuele eisen.
- De organisatie streeft ernaar om geïdentificeerde informatiebeveiligingsrisico’s te verlagen door het implementeren van beheersmaatregelen en deze informatiebeveiligingsrisico’s op een aanvaardbaar niveau houden;
- De organisatie streeft ernaar om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen binnen alle fasen van de bedrijfsprocessen en binnen de gebruikte informatiesystemen;
- De medewerker dient zorgvuldig om te gaan met informatie in elke fase van het bedrijfsproces, conform de vastgestelde regels en procedures;
- De organisatie zal de beveiliging binnen de informatiesystemen waarborgen en beveiligingseisen toepassen in het proces van implementatie, ontwikkeling en onderhoud.
- De organisatie zal actuele en vermoedde informatiebeveiligingsincidenten registreren, onderzoeken en behandelen.
- Het niet naleven van het beleid voor informatiebeveiliging zal leiden tot disciplinaire maatregelen.
- De directie streeft naar continue verbetering van de informatiebeveiliging door regelmatige beoordeling van de context van de organisatie, het beleid, het risicobeoordelingsproces, de deelname aan audits. De technologische en organisatorische ontwikkelingen zullen indien nodig leiden tot besluiten of de beheersmaatregelen doeltreffend zijn en of dat verbetering nodig is.
3. Informatiebeveiligingsdoelstellingen
Het informatiebeveiligingsbeleid ondersteunt de onderstaande informatiebeveiligings-doelstellingen:
- De directie heeft als doel gesteld dat het managementsysteem voor informatiebeveiliging voldoet aan alle eisen van de norm ISO 27001;
- De directie en het management moeten zorgen dat er voldaan wordt aan de wettelijke en contractuele eisen van de klanten aangaande informatiebeveiliging;
- Het management moet zorgen dat alle medewerkers hun verantwoordelijkheid begrijpen bij het beschermen van informatie;
- De security officer heeft als doel continu bewustzijn te creëren onder alle medewerkers aangaande informatiebeveiliging en de daarvoor opgesteld richtlijnen.
Om de informatiebeveiligingsdoelstellingen te bereiken heeft de directie een aantal rollen en verantwoordelijkheden aangaande informatiebeveiliging toegewezen. Het beleid wordt jaarlijks, of eerder indien noodzakelijk, herzien op basis van significante ontwikkelingen, trends, incidenten, risicoanalyses en controles. Het beleidskader voor informatiebeveiliging wordt door de directie gecommuniceerd aan relevante belanghebbenden.
