Beveiligingsbeleid

Introductie

Merlin helpt haar klanten met praktische softwaretools voor het voorbereiden op, ondersteunen tijdens en verbeteren van het crisismanagement.

Om dit te kunnen doen, moeten we ervoor zorgen dat uw data veilig is. Het beveiligen van uw data is een van onze hoogste prioriteiten. We willen u graag helpen om onze aanpak te begrijpen.

Onze beveiliging is afgestemd op de ISO 27001 norm en wordt regelmatig gecontroleerd en beoordeeld door derde partijen.

Beveiliging voor medewerkers

Maatregelen zijn van toepassing op alle tijdelijke en vaste, interne en externe medewerkers en leveranciers die toegang hebben tot onze softwaretools, onze interne informatiesystemen en/of fysieke locaties.

Alvorens toegang wordt afgegeven voor systemen moeten medewerkers akkoord gaan met de geheimhoudingsverklaring, een achtergrondscreening doorstaan en een securitytraining bijwonen. Deze training omvat privacy en security onderwerpen, inclusief device security (BYOD), acceptabel gebruik, voorkomen van malware, fysieke beveiliging, dataprivacy, toegangsbeheer, wachtwoordbeheer en incidentrapportage.

Bij beëindiging van de werkzaamheden wordt alle toegang tot systemen onmiddellijk uitgeschakeld.

Security en privacy training

Tijdens het dienstverband moeten alle medewerkers minstens eenmaal per jaar hun kennis van privacy en security opfrissen. De medewerkers ondertekenen dat zij de informatiebeveiligingsbeleidsstukken hebben gelezen en zich daaraan zullen houden. Sommige medewerkers die extra toegang tot systemen of gegevens hebben, zoals beheerders en ondersteunend personeel, krijgen aanvullende, specifieke training over privacy en beveiliging.

Medewerkers zijn verplicht om veiligheids- en privacy problemen te melden. Medewerkers zijn geïnformeerd dat niet-naleving van beleid in het uiterste geval kan leiden tot beëindiging van het dienstverband.

Rollen en verantwoordelijkheden

Merlin heeft rollen en verantwoordelijkheden gedefinieerd om te bepalen welke rollen in de organisatie verantwoordelijk zijn voor de werking van de verschillende aspecten van ons Managementsysteem voor Informatiebeveiliging (ISMS). De verantwoordelijkheden van elke rol zijn gedetailleerd beschreven in onze beveiligingsdocumenten.

Merlin heeft een Directeur Beveiliging aangesteld die algemeen verantwoordelijk is voor de implementatie en het beheer van ons ISMS.

Beleid en standaarden

Merlin onderhoudt diverse beleidsdocumenten, normen, procedures en richtlijnen die medewerkers de weg wijzen in het gebruik van ons ISMS. Onze beveiligingsdocumenten zorgen ervoor dat onze klanten erop kunnen vertrouwen dat onze medewerkers zich veilig en ethisch gedragen.

Beveiligingsdocumenten omvatten, maar zijn niet beperkt tot, beleid voor:

  • Bring Your Own Device (BYOD)
  • Aanvaardbaar Gebruik
  • Geclassificeerde Informatie
  • Telewerken
  • Toegangsbeheer
  • ICT
  • Software ontwikkeling
  • Leveranciers
  • Incidentbeheer
  • Bedrijfscontinuïteit

De beleidsdocumenten zijn levende documenten en worden regelmatig beoordeeld en/of bijgewerkt. Vanzelfsprekend worden de documenten ook beschikbaar gesteld aan alle medewerkers op wie zij van toepassing zijn.

Audits en beoordelingen

Audits

Merlin evalueert het ontwerp en de werking van haar ISMS op de naleving van interne en externe normen. Merlin laat zich periodiek beoordelen door externe auditors. Auditresultaten worden gedeeld met de directie en alle bevindingen worden opgevolgd.

Penetratietesten

Merlin laat onafhankelijke instanties periodiek penetratietesten uitvoeren. Resultaten van deze testen worden gedeeld met de directie. De gerapporteerde bevindingen worden geprioriteerd en opgevolgd.

Security & Privacy by Design

Secure Software Development

Beveiliging is geïntegreerd in het software ontwikkelproces middels diverse beleidsstukken en procedures.

Alle code wordt opgeslagen in een versiebeheeromgeving. Codewijzigingen zijn onderworpen aan peer reviews en continue integratietesten.

Privacy by Design

Bij invoering van nieuwe verwerkingen van persoonsgegevens of bij wijzigingen worden vanaf het begin ontwerpcriteria gehanteerd waarmee invulling wordt gegeven aan het principe van “privacy by design”.

Persoonsgegevens

Bij de implementatie van beveiligingsmaatregelen en Privacy by Design is er speciale aandacht voor persoonsgegevens. Meer informatie over privacy vindt u in onze Privacyverklaring.

Data encryptie 'in transit and at rest'

De gegevens tussen Merlin-klanten en de Merlin-dienst worden over openbare netwerken verzonden met behulp van sterke encryptie. De verbinding tussen de cliënt (uw laptop, PC, tablet of smartphone) en de CrisisSuite server is uitsluitend mogelijk op basis van SSL/TLS beveiligde protocollen (https, wss, ssh), waardoor de communicatie tussen cliënt en server afgeschermd blijft.

Bovendien geldt dat zowel de productieservers als de back-ups versleuteld opgeslagen zijn.

Netwerkbeveiliging

Binnen Merlin zijn regels opgesteld voor het versturen van informatie over publieke netwerken. De methode en het niveau van beveiliging wordt bepaald aan de hand van de toegewezen classificatie aan informatie.

Classificatie en opslaan van data

Binnen Merlin wordt informatie geclassificeerd aan de hand van de volgende criteria:

  • Waarde van de informatie gebaseerd op de gevolgen zoals beoordeeld gedurende de risicobeoordeling;
  • Gevoeligheid en mate van kritiek zijn van informatie gebaseerd op het hoogst berekende risico voor elk item van informatie gedurende risicobeoordeling;
  • Wetgeving en contractuele verplichtingen.

Er wordt onderscheid gemaakt tussen classificatieniveaus waarbij elk classificatieniveau is gekoppeld aan een set beveiligingsmaatregelen.

Geautoriseerde toegang

Om de risico's van gegevensblootstelling te minimaliseren, volgt Merlin het principe van need to know. Medewerkers hebben alleen toegang tot gegevens die ze redelijkerwijs nodig hebben om hun huidige taken te vervullen. Om dit te handhaven gebruikt Merlin de volgende maatregelen:

  • De toegang van elke gebruiker wordt regelmatig beoordeeld om ervoor te zorgen dat de toegekende toegang nog steeds geschikt is voor de huidige werkverantwoordelijkheden van de gebruiker.
  • Om het risico van onbevoegde toegang tot data verder te verminderen, past Merlin waar mogelijk tweefactorauthenticatie toe voor toegang tot systemen van derden.
  • Merlin eist dat personeel een goedgekeurde wachtwoordmanager gebruikt. Wachtwoordmanagers genereren unieke en complexe wachtwoorden, slaan ze op en voeren ze in. Gebruik van een wachtwoordmanager helpt bij het voorkomen van wachtwoordhergebruik, phishing en ander gedrag dat de beveiliging kan reduceren.

Systeem monitoring, logging, alarmering

Binnen Merlin zijn rollen en verantwoordelijkheden vastgesteld voor zowel het controleren van de logs van automatisch gerapporteerde fouten, als ook voor het registreren van fouten gerapporteerd door gebruikers. Hierdoor kan geanalyseerd worden waarom fouten optreden en kunnen geschikte corrigerende acties ondernomen worden.

Bring Your Own Device (BYOD)

Merlin ondersteunt het gebruik van BYOD voor zakelijk gebruik. Er wordt een lijst bijgehouden van de functienamen en/of welke medewerkers die BYOD mogen gebruiken, tezamen met de applicaties en databases waartoe zij toegang mogen hebben met hun eigen apparaten.

Daarnaast stelt Merlin diverse regels aan het gebruik van BYOD en is er een minimumconfiguratie vereist voor elk type device.

Reageren op incidenten

Elke medewerker, leverancier of een andere derde partij die in contact komt met informatie en/of systemen van Merlin dient elke bedreiging, elk incident of elke gebeurtenis aan een systeem die zou kunnen leiden tot een mogelijk incident aan de Directeur Beveiliging te melden. Er zijn diverse procedures ontwikkeld om snel en adequaat te reageren op incidenten.

Alle incidenten worden regelmatig beoordeeld en geëvalueerd om ervan te leren.

Verwijdering en vernietiging van apparatuur en media

Binnen Merlin worden regels gehanteerd over het verwijderen en/of vernietigen van apparatuur en media voordat het wordt weggegooid, verkocht, gedoneerd, verzonden, gerepareerd, hergebruikt of aan een andere gebruiker wordt gegeven.

Clear desk & clear screen

Binnen Merlin wordt er gewerkt conform het clear desk en clear screen beleid. Indien de geautoriseerde persoon niet op zijn/haar werkplek zit, dient hij/zij de informatie, papieren, opslagmedia, van het bureau of andere plaatsen, zoals printers, kopieerapparaten etc. te verwijderen om ongeautoriseerde toegang te voorkomen.

Op dezelfde wijze geldt dat alle gevoelige informatie van het beeldscherm verwijderd dient te worden en dat schermvergrendeling wordt toegepast wanneer de geautoriseerde persoon zijn/haar werkplek verlaat.

Derde partijen

Om de business efficiënt te runnen vertrouwt Merlin op dienstverlenende organisaties. Waar de dienstverlenende organisaties de secundaire productie van Merlin kunnen beïnvloeden, neemt Merlin maatregelen om ervoor te zorgen dat het beveiligingsniveau wordt gewaarborgd. Merlin legt afspraken vast die vereisen dat dienstverleners zich houden aan de verplichtingen die Merlin aan hen heeft gesteld. Merlin controleert ten minste een keer per jaar de effectieve werking van de beveiligingsmaatregelen van de organisatie.

Hosting

Merlin maakt gebruik van een hostingprovider. De servers zijn redundant uitgevoerd en worden 24/7 gemonitord. De serverruimtes worden 24/7 bewaakt. Systeemruimtes zijn voorzien van een redundant uitgevoerde stroomvoorziening met een back-up van dieselgeneratoren. De datacenters voldoen aan de strengste normen op het gebied van branddetectie, luchtkoeling en toegangsbeheer. Het door CrisisSuite gebruikte netwerk garandeert een uptime van 99,99%.

De datacenters zijn volgens ISO9001, ISO27001, ISO14001 en NEN7510 kwaliteitsnormen gecertificeerd en staan fysiek in Nederland.

Conclusie

Bij Merlin nemen we beveiliging serieus, omdat iedereen die onze dienst gebruikt, verwacht dat deze gegevens veilig zijn en vertrouwelijk blijven. Beveiliging van deze gegevens is een kritische verantwoordelijkheid tegenover onze klanten. We werken er hard aan om dat vertrouwen te behouden.

Versie: 28-5-2024