Overslaan naar inhoud

Informatiebeveiliging bij Newway

Bij Newway staat het beschermen van informatie centraal in alles wat we doen. Wij zorgen ervoor dat data, systemen en processen betrouwbaar, veilig en beschikbaar zijn voor onze klanten én voor onze eigen organisatie.

Informatiebeveiliging is voor ons geen losse maatregel, maar een integraal onderdeel van hoe wij werken en oplossingen ontwerpen. Dit document geeft een nadere toelichting op onze werkwijze.


Onze visie op informatiebeveiliging

Wij benaderen informatiebeveiliging vanuit drie kernprincipes:

  • Vertrouwelijkheid – informatie is alleen toegankelijk voor bevoegden

  • Integriteit – informatie is correct, volledig en betrouwbaar

  • Beschikbaarheid – informatie is beschikbaar wanneer dat nodig is

Deze principes vormen de basis van al onze processen, systemen en keuzes.


Hoe wij informatiebeveiliging organiseren

Newway werkt volgens een gestructureerde aanpak gebaseerd op een Information Security Management System (ISMS), in lijn met internationale normen zoals ISO 27001 en NEN 7510.

Onze werkwijze volgt een cyclisch proces:

  1. Beleid en uitgangspunten

    Vaststelling van informatiebeveiligingsbeleid door de directie

  2. Risicoanalyse

    Periodieke beoordeling van risico’s rondom informatie en systemen

  3. Maatregelen en inrichting

    Implementatie van passende technische en organisatorische maatregelen

  4. Uitvoering en monitoring

    Doorlopende toepassing, logging en controle van maatregelen

  5. Evaluatie en verbetering

    Periodieke management reviews en bijsturing

Voor ons is informatiebeveiliging geen project, maar een continu proces.


Beveiliging in de praktijk

Wij treffen passende maatregelen om informatie en systemen te beschermen. 

Toegang en autorisatie

Toegang tot systemen en data wordt ingericht op basis van rollen en verantwoordelijkheden. Autorisaties worden beheerd en periodiek gecontroleerd.

Authenticatie en toegangsbescherming

Wij hanteren sterke wachtwoordrichtlijnen en passen waar mogelijk multi-factor authenticatie toe.

Omgaan met informatie

Informatie wordt geclassificeerd op basis van gevoeligheid en risico. De mate van beveiliging wordt hierop afgestemd.

Leveranciers en samenwerking

Wij werken uitsluitend met leveranciers die voldoen aan onze beveiligingseisen. Afspraken worden contractueel vastgelegd en periodiek geëvalueerd.

Incidentmanagement

Beveiligingsincidenten worden geregistreerd, geanalyseerd en opgevolgd. Waar nodig nemen wij direct maatregelen en verwerken wij verbeteringen structureel.

Continuïteit

Wij treffen maatregelen om de continuïteit van onze dienstverlening te waarborgen, ook bij verstoringen of incidenten.


Mens en organisatie

Informatiebeveiliging begint bij mensen. Daarom zorgen wij voor:

  • duidelijke rollen en verantwoordelijkheden

  • bewustwording en training van medewerkers

  • integratie van beveiliging in dagelijkse werkzaamheden

De directie is eindverantwoordelijk voor het informatiebeveiligingsbeleid en de borging daarvan binnen de organisatie.


Compliance en normen

Newway werkt in lijn met relevante wet- en regelgeving en erkende normen, waaronder:

  • ISO 27001

  • NEN 7510 (waar van toepassing)

  • Algemene Verordening Gegevensbescherming (AVG)

Wij toetsen onze werkwijze periodiek en sturen bij waar nodig.


Borging en controle

Om de werking van informatiebeveiliging te waarborgen, voert Newway onder andere uit:

  • periodieke evaluaties van beleid en maatregelen (minimaal jaarlijks)

  • doorlopende monitoring van systemen en processen

  • periodieke controle van autorisaties en toegangsrechten

  • registratie en opvolging van incidenten

  • onderhoud en actualisatie van documentatie en procedures

De verantwoordelijkheden zijn als volgt ingericht:

  • Directie – eindverantwoordelijk voor informatiebeveiliging

  • Beheer / security-verantwoordelijke rol – bewaking van uitvoering en naleving

  • Medewerkers – naleving van richtlijnen en veilig gebruik van systemen

De belangrijkste beheersactiviteiten vinden plaats met de volgende frequentie:

  • Evaluatie van beleid en maatregelen: minimaal jaarlijks

  • Controle van autorisaties: periodiek

  • Monitoring van systemen en processen: doorlopend

  • Management reviews: periodiek

  • Incidentopvolging: direct en continu

Het informatiebeveiligingsbeleid wordt vastgesteld door de directie en periodiek herzien.


Rollen en verantwoordelijkheden

Om informatiebeveiliging effectief te organiseren, hanteert Newway een duidelijke verdeling van verantwoordelijkheden.

Onderstaande tabel geeft op hoofdlijnen inzicht in de inrichting van verantwoordelijkheden binnen Newway.

Onderdeel

Verantwoordelijk

Betrokken

Vaststellen beleid

Directie

Security-verantwoordelijke

Uitvoering maatregelen

Security-verantwoordelijke

IT / operatie

Toegang & autorisatiebeheer

Beheer / IT

Leidinggevenden

Incidentmanagement

Security-verantwoordelijke

Betrokken teams

Evaluatie & verbetering

Directie

Security-verantwoordelijke

Bewustwording & naleving

Medewerkers

Organisatiebreed

De exacte invulling van rollen kan per situatie of project verschillen, maar de verantwoordelijkheden blijven geborgd binnen de organisatie.


Continue verbetering

Informatiebeveiliging is continu in ontwikkeling. Door monitoring, evaluaties en verbetermaatregelen blijven wij onze processen en maatregelen aanscherpen.


Meer informatie

Heeft u vragen over ons informatiebeveiligingsbeleid of wilt u aanvullende documentatie ontvangen?

Neem dan contact met ons op via: info@newway.nl

Op verzoek kunnen wij nadere toelichting geven op de inrichting, verantwoordelijkheden en frequentie van onze beheersmaatregelen, afgestemd op de context van de samenwerking.