Informatiebeveiligingsbeleid - Yours Clothing Limited


Dit informatiebeveiligingsbeleid is een belangrijk onderdeel van het algemene managementsysteem voor informatiebeveiliging van Yours Clothing Limited.

Gegevens- en informatiesystemen zijn van vitaal belang voor het bedrijf. Incidenten betreffende het verlies van vertrouwelijkheid, integriteit of beschikbaarheid van informatie kunnen kostbaar zijn. Ernstige incidenten, waaronder het niet naleven van informatiewetgeving, kunnen ook schadelijk zijn voor de bedrijfsreputatie.

1. Doelstellingen, doel en reikwijdte

  • 1.1. Doelstellingen

    De doelstellingen van het informatiebeveiligingsbeleid van Yours Clothing Limited zijn:

    • Vertrouwelijkheid - Toegang tot gegevens zal worden beperkt tot die personen met de juiste machtiging en worden beschermd tegen ongeoorloofde toegang.
    • Integriteit - De informatie moet volledig en accuraat zijn. Alle systemen, activa en netwerken moeten correct volgens de specificaties werken.
    • Risicobeheer - Er worden passende maatregelen genomen om risico's van beschikbaarheid en openbaarmaking van informatie te beheersen.
    • Naleving - Gewaarborgde naleving van wet- en regelgeving en contractvoorwaarden.

    Het niet naleven van het informatiebeveiligingsbeleid van Yours Clothing Limited kan leiden tot disciplinaire maatregelen.

  • 1.2. Beleidsdoel

    Het doel van dit beleid is de beveiliging van informatie van personen, informatiesystemen, applicaties en netwerken die het eigendom zijn van of bewaard worden door Yours Clothing Limited te waarborgen en te handhaven door:

    • Ervoor te zorgen dat alle personeelsleden zich bewust zijn van en volledig voldoen aan de relevante wetgeving zoals beschreven in dit en ander beleid.
    • De beveiligingsprincipes uit te leggen en de manier waarop ze in de organisatie moeten worden geïmplementeerd.
    • Ervoor te zorgen dat alle personeelsleden hun eigen verantwoordelijkheden ten aanzien van een consistente benadering van beveiliging volledig begrijpen.
    • Het creëren en onderhouden van een bewustzijnsniveau ten aanzien van de noodzaak van informatiebeveiliging als een integraal onderdeel van de dagelijkse gang van zaken.
    • Het beschermen van onze informatiemiddelen.
  • 1.3. Toepassingsbereik
    • Dit beleid is van toepassing op alle informatie, informatiesystemen, netwerken, applicaties, locaties en gebruikers van Yours Clothing Limited of op informatie die op contractbasis aan hen wordt verstrekt.

2. Verantwoordelijkheden voor informatiebeveiliging

  • 2.1. De uiteindelijke verantwoordelijkheid voor informatiebeveiliging ligt bij de Raad van bestuur van Yours Clothing Board en deze zal verantwoordelijk zijn voor het beheer van en het toezicht op de implementatie van het beleid en de bijbehorende procedures.
  • 2.2. Lijnmanagers zijn ervoor verantwoordelijk dat hun vaste en tijdelijke personeel en contractanten op de hoogte zijn van:
    • De onderdelen van het informatiebeveiligingsbeleid die van toepassing zijn op hun afdeling
    • Persoonlijke verantwoordelijkheden voor informatiebeveiliging
    • De locatie waar ze advies kunnen vinden over informatiebeveiliging en hoe ze er toegang toe krijgen
  • 2.3. Alle personeelsleden moeten zich houden aan de procedures voor informatiebeveiliging, inclusief het in stand houden van de vertrouwelijkheid en integriteit van gegevens.
  • 2.4. Het informatiebeveiligingsbeleid zal jaarlijks worden opnieuw worden bekeken, herzien en bijgewerkt.
  • 2.5. Lijnmanagers zijn verantwoordelijk voor de beveiliging van de fysieke omgevingen van hun afdelingen waar informatie wordt geopend, verwerkt of opgeslagen.
  • 2.6. Elk personeelslid is verantwoordelijk voor de operationele veiligheid van de informatiesystemen die zij gebruiken.
  • 2.7. Elke systeemgebruiker moet voldoen aan de beveiligingsvereisten die dat moment van kracht zijn en moet er ook voor zorgen dat de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie die hij/zij gebruikt, volgens de hoogste normen in stand worden gehouden.
  • 2.8. Contracten met externe contractanten waardoor deze toegang krijgen tot de informatiesystemen van de organisatie, moeten van kracht zijn voordat hen toegang wordt verleend. Deze contracten moeten ervoor zorgen dat het personeel of de onderaannemers van de externe organisatie zich houden aan alle desbetreffende beleidslijnen inzake beveiliging.

3. Wetgeving

  • 3.1 Yours Clothing Limited is verplicht zich te houden aan alle relevante wetgeving in het VK en de Europese Unie. De verplichting om te voldoen aan deze wetgeving zal worden overgedragen aan werknemers en agenten, die persoonlijk aansprakelijk kunnen worden gesteld voor inbreuken op de informatiebeveiliging waarvoor zij verantwoordelijk kunnen worden gehouden.

4. Beleidskader

  • 4.1. Beheer van beveiliging
    • De verantwoordelijkheid voor informatiebeveiliging berust bij de raad van bestuur.
    • Afdelingsmanagers zijn verantwoordelijk voor het implementeren, bewaken, documenteren en communiceren van de beveiligingsvereisten voor de organisatie binnen hun teams.
  • 4.2. Bewustmakingstraining voor informatiebeveiliging
    • Bewustmakingstraining voor informatiebeveiliging moet worden opgenomen in het inductieproces van het personeel.
    • Waakzaamheid van personeel zal waar nodig worden beoordeeld, vernieuwd en bijgewerkt.
  • 4.3. Arbeidsovereenkomsten
    • Alle arbeidsovereenkomsten moeten een vertrouwelijkheidsclausule bevatten.
    • Informatiebeveiligingsverwachtingen van personeel zullen worden opgenomen in het werknemershandboek en bij inductie.
  • 4.4. Beveiligingscontrole van activa
    • Aan elke IT-asset (d.w.z. hardware, software, applicatie) zal een persoon worden toegewezen die verantwoordelijk is voor de informatiebeveiliging van die asset.
  • 4.5. Toegangscontroles
    • Alleen geautoriseerd personeel met een gerechtvaardigde zakelijke noodzaak zal toestemming krijgen voor toegang tot onderdelen waarvoor beperkingen gelden en die informatiesystemen of opgeslagen gegevens bevatten.
  • 4.6. Computertoegangscontrole
    • Toegang tot computerfaciliteiten zal worden beperkt tot geautoriseerde gebruikers voor wie het een zakelijke noodzaak is om de faciliteiten te gebruiken.
  • 4.7. Toegangscontrole tot toepassingen
    • Toegang tot gegevens, systeemhulpprogramma’s en programmabronbibliotheken moet worden beheerd en worden beperkt tot geautoriseerde gebruikers die daartoe een legitieme zakelijke noodzaak hebben, bijv. beheerders van systemen of databases.
  • 4.8. Beveiliging van apparatuur
    • Om verlies van of schade aan alle activa te minimaliseren, moet apparatuur fysiek worden beschermd tegen dreigingen en milieurisico’s.
  • 4.9. Computer- en netwerkprocedures
    • Het beheer van computers en netwerken moet worden gereguleerd door middel van standaard gedocumenteerde procedures die door de raad zijn goedgekeurd.
  • 4.10. Informatierisicobeoordeling
    • Risicobeoordeling en -beheer vereist de identificatie en kwantificering van informatiebeveiligingsrisico's ten aanzien van hun waargenomen asset-waarde, ernst van de impact en de waarschijnlijkheid van optreden.
      Informatiebeveiligingsrisico's worden na identificatie vastgelegd in een centraal bedrijfsrisicoregister en actieplannen zullen worden opgesteld om deze risico's effectief te beheersen. Het risicoregister en alle bijbehorende acties zullen regelmatig worden beoordeeld. Alle geïmplementeerde informatiebeveiligingsmaatregelen zullen eveneens regelmatig opnieuw worden beoordeeld. Deze beoordelingen helpen bij het identificeren van onderdelen waar sprake is van best practice-aanpak en mogelijke zwaktes, evenals van de mogelijke risico's die wellicht zijn ontstaan sinds de uitvoering van de laatste beoordeling.
  • 4.11. Informatiebeveiligingsgebeurtenissen en -zwakheden
    • Alle informatiebeveiligingsgebeurtenissen en vermoedelijke zwakheden moeten worden gerapporteerd. Deze zullen worden onderzocht om hun oorzaak en gevolgen vast te stellen om soortgelijke gebeurtenissen in de toekomst te voorkomen.
  • 4.12. Bescherming tegen schadelijke software
    • Yours Clothing gebruikt beheersprocedures en tegenmaatregelen met betrekking tot software die wordt gebruikt om zichzelf te beschermen tegen de dreiging van schadelijke software. Gebruikers mogen geen software installeren op het eigendom van de organisatie zonder toestemming van de IT-manager of een directeur.
  • 4.13. Gebruikersmedia
    • Alle soorten verwisselbare media die software of gegevens van externe bronnen bevatten of die op externe apparatuur worden gebruikt, moeten door de IT-manager of een directeur worden goedgekeurd voordat ze mogen worden gebruikt op systemen van Yours Clothing. Dergelijke media moeten ook volledig worden gecontroleerd op virussen voordat ze worden gebruikt op apparatuur van de organisatie.
  • 4.14. Monitoring van systeemtoegang en -gebruik
    • Er moet een auditspoor van systeemtoegang en gegevensgebruik van alle personeelsleden worden bijgehouden.
    • Yours Clothing controleert regelmatig de naleving van dit en ander beleid. Daarnaast behoudt het zich het recht voor om activiteiten te monitoren, wanneer het vermoedt dat er sprake is geweest van een inbreuk op het beleid. De Regulation of Investigatory Powers Act (wet op de onderzoeksbevoegdheden) (2000) staat toezicht op en registratie van elektronische communicatie van werknemers (inclusief telefooncommunicatie) mogelijk om de volgende redenen:
      • Om het bestaan van feiten vast te stellen
      • Detectie en onderzoek van ongeoorloofd gebruik van het systeem
      • Preventie en opsporing van criminaliteit
      • Om normen te verifiëren of aan te tonen dat die worden nageleefd of zouden moeten worden nageleefd door personen die het systeem gebruiken (kwaliteitscontrole en training)
      • Nationale veiligheidsbelangen
      • Naleving van regelgevende praktijken of procedures
      • Om effectieve werking van systemen te garanderen.

      Alle monitoringactiviteiten zullen worden uitgevoerd in overeenstemming met bovengenoemde wet en de Human Rights Act

  • 4.15. Accreditatie van informatiesystemen
    • Yours Clothing zal ervoor zorgen dat alle nieuwe informatiesystemen, applicaties en netwerken een beveiligingsplan hebben en zijn goedgekeurd door de raad, voordat ze in gebruik worden genomen.
  • 4.16. Systeemwijzigingsbeheer
    • Wijzigingen in informatiesystemen, applicaties of netwerken moeten worden beoordeeld en goedgekeurd door de IT-manager en de raad.
  • 4.17. Intellectuele eigendomsrechten
    • Yours Clothing zal ervoor zorgen dat alle informatieproducten op juiste wijze zijn gelicentieerd en goedgekeurd. Gebruikers mogen geen software installeren op eigendommen van de organisatie zonder toestemming van de IT-manager of een directeur.
  • 4.18. Zakelijke continuïteit en noodherstelplannen
    • De organisatie dient ervoor te zorgen dat bedrijfseffectbeoordelingen, bedrijfscontinuïteit en noodherstelplannen worden opgesteld voor alle bedrijfskritische informatie, applicaties, systemen en netwerken.
  • 4.19. Rapportage
    • De IT-manager zal de raad op de hoogte houden van de informatiebeveiligingsstatus van de organisatie door middel van regelmatige rapporten.
Sign Up for Exclusive News and Offers >Close