versie 13 juli, 2022

Informatiebeveiligings- en kwaliteitsbeleid

Dit is het algemene beleid van Ibuildings met betrekking tot informatiebeveiliging en kwaliteit.

Het doel van de informatiebeveiliging is om het risico op schade te minimaliseren door incidenten te voorkomen en de impact te minimaliseren. Het informatiebeveiligingsbeleid is daarom gericht op het beschermen van de informatiemiddelen tegen alle interne en externe dreigingen opzettelijk of onopzettelijk.

Het kwaliteitsbeleid is gericht op het continu verbeteren en het verhogen van de klant- en medewerkerstevredenheid.

Doelen

Het doel van dit beleid is erop gericht om:

  • Informatie te beschermen tegen ongeautoriseerde toegang.

  • Vertrouwelijkheid van de informatie te verzekeren.

  • De integriteit van de informatie te behouden gedurende het proces.

  • De beschikbaarheid van de informatie voor de bedrijfsprocessen te verzekeren en wet- en regelgeving te volgen.

  • Bedrijfscontinu├»teitsplannen op te stellen, te onderhouden en te testen.

  • All het personeel te trainen op het gebied van informatiebeveiliging en hen bewust te maken dat voldoen aan het informatiebeveiligingsbeleid vereist is.

  • Alle incidenten en mogelijke kwetsbaarheden te rapporteren en te onderzoeken.

  • Alle actuele en verdachte informatiebeveiligingsincidenten en mogelijke kwetsbaarheden te rapporteren aan de rol datalek meldpunt of de rol informatiebeveiliging, en deze onderzocht worden.

  • Gedocumenteerde procedures te hanteren om het beleid te ondersteunen, inclusief maatregelen voor virusbescherming, wachtwoorden en continu├»teitsplannen.

  • Operationele processen en procedures zijn up-to-date en voor alle medewerkers inzichtelijk.

  • Bedrijfseisen voor beschikbaarheid van informatie en systemen te realiseren.

  • Te streven naar maximale klanttevredenheid.

  • De kwaliteitscertificering te behalen en te behouden.

  • Zorgvuldigheid te borgen bij het omgaan met gegevens van klanten en medewerkers conform de AVG en de ISO-27001 norm.

  • Te streven naar continue verbetering.

  • Te streven naar een zo hoog mogelijk kwaliteitsniveau van onze dienstverlening en opgeleverde producten.

Rollen en verantwoordelijkheden

De rol informatiebeveiliging is verantwoordelijk voor het onderhoud van het informatiebeveiligingsbeleid en het geven van ondersteuning en advies gedurende de implementatie en uitvoering. De Leadlinks zijn verantwoordelijk voor implementatie van het beleid en de naleving hiervan binnen hun cirkels.

De rol van Leadlink is verplicht om de kwaliteitsnormen en eisen te onderhouden en deze te implementeren binnen de cirkel.

Het beleid is intern gecommuniceerd en beschikbaar voor alle belanghebbenden. Naleving van het beleid is verplicht. De directeur heeft zijn goedkeuring gegeven aan het beleid.

Toepassingsgebied

Scope van de informatiebeveiliging

De informatiebeveiliging betreft de gehele organisatie, met de volgende scope:

  • Rechtspersoon: Ibuildings BV (KvK 22046933).

  • Alle activiteiten gericht op het leveren van diensten voor onze opdrachtgevers, alsook de ondersteunende activiteiten (sales, finance, office, etc).

  • De jaarlijkse tijdelijke projectorganisatie met daarin de activiteiten voor het organiseren van de Dutch PHP Conference vallen buiten de scope.

Activiteiten

Ibuildings heeft als activiteit het leveren van software ontwikkelingsdiensten voor web en mobiele toepassingen, uitgesplitst in applicatieontwerp, applicatie ontwikkeling, applicatiebeschikbaarheid, advisering en projectmanagement.

Scope van kwaliteitsnorm ISO 9001

De scope voor de kwaliteitsnorm ISO 9001 is EA Code 33: Information Technology. Alle activiteiten gericht op het leveren van diensten voor onze opdrachtgevers, alsook de ondersteunende activiteiten zijn in-scope. Daarnaast is het managementsysteem ook in-scope.

Doel van het managementsysteem

Ibuildings maakt gebruik van een op het EFQM-Model gebaseerd integraal performance managementsysteem. Met als doel:

  • De bedrijfsvoering te ondersteunen, beheersbaar en bestuurbaar te maken.
  • De organisatie, processen en producten te verbeteren om te blijven voldoen aan veranderende eisen van de markt en wetgevende instanties.
  • Als hulpmiddel te dienen om inzicht te krijgen in activiteiten, taken, bevoegdheden, informatiestructuur, resultaten en besturing en het uitvoeren van analyses.
  • Inzicht voor (nieuwe) medewerkers verschaffen in bedrijfsprocessen.
  • Elkaar kunnen aanspreken op gemaakte afspraken.
  • Continu te verbeteren en klanttevredenheid te verhogen.

Toegepaste norm

Het managementsysteem voldoet aan de eisen gesteld in de NEN-EN-ISO 9001:2015 norm. Er zijn geen artikelen uitgesloten.

Het managementsysteem voldoet aan de eisen gesteld in de NEN-EN-ISO 27001:2017 norm. Er zijn geen artikelen uitgesloten.

Opbouw van het managementsysteem

Het managementsysteem is opgezet vanuit de procesgerichte benadering, waarbij de organisatie wordt voorgesteld als een verzameling van processen om de producten en diensten te realiseren. De processen zijn ingedeeld in hoofdonderwerpen en vormen samen het bedrijfsmodel, bestaande uit processen voor:

  • Beleid en strategie
  • Uitvoering
    • Sales & Accountmanagement
    • (Agile) softwareontwikkeling
    • Applicatiebeschikbaarheid, support en beheer
    • Advies
  • Personeelsmanagement
    • Overzicht rollen en verantwoordelijkheden
    • In- door- en uitstroom van personeel
  • Middelenmanagement
  • Communicatie (intern en extern)
  • Evaluatie (o.a. interne audits, directiebeoordeling, klantevaluatie etc.)

Voor alle aangegeven processen zijn standaarden ontwikkeld. Deze standaarden vormen het totale managementsysteem en zijn beschreven in procesmodellen, informatiebeschrijvingen, werkdocumenten en formulieren, dashboards en overzichten.