Gegevensbescherming

Informatiebeveiliging Technische en organisatorische maatregelen

De Radius groep hanteert een best-practice benadering van gegevensbescherming, volgens de richtlijnen van de ICO en in overeenstemming met de principes van de huidige wet- en regelgeving op het gebied van gegevensbescherming. Sinds 2014 hebben we zwaar geïnvesteerd in nieuwe IT-infrastructuur en belangrijk personeel om te voldoen aan de ISO 27001-norm voor informatiebeveiligingsbeheer, ondersteund door een vooraanstaand adviesbureau voor informatiebeveiliging (IS). In 2018 hebben we de ISO 27001 certificering behaald en in Q1 2021 zijn we opnieuw geaccrediteerd. Sinds 2016 hebben we ook de Cyber Essentials Plus certificering behaald, in Q4 van elk daaropvolgend jaar.

Hieronder volgt een gestructureerde samenvatting van onze technische en organisatorische maatregelen voor informatiebeveiliging die we hebben genomen en die zijn gebaseerd op de ISO 27001-norm voor een beheersysteem voor informatiebeveiliging (ISMS):

Management - Het management van Radius erkent dat de informatie die het beheert met gepaste zorg behandeld moet worden (of die informatie nu eigendom is van de organisatie, klanten van de organisatie of gebruikers van diensten die door de organisatie geleverd worden), en zet zich in voor het behoud van de Vertrouwelijkheid, Integriteit en Beschikbaarheid ervan.

Informatiebeveiligingsbeleid - Er bestaat een complete set IB-beleidsregels, bestaande uit een overkoepelend IB-beleid met een algemene verklaring en gedefinieerde doelstellingen, primaire IB-subbeleidsregels die van invloed zijn op alle werknemers, secundaire IB-subbeleidsregels die van invloed zijn op sommige werknemers en documenten met verwijzingen naar IB-subbeleidsregels voor algemene richtlijnen.

Organisatie van Informatiebeveiliging - De rollen en verantwoordelijkheden voor het ISMS zijn gedefinieerd, waarbij het ISMS wordt beheerd door een team bestaande uit het Hoofd Informatiebeveiliging, IB-auditors en de Cyber Security Analyst, die rapporteren aan de Raad van Bestuur.

Personeelsbeveiliging - Al het personeel wordt gescreend volgens de BPSS-norm, en de belangrijkste personeelsleden worden ook gecontroleerd op DBS - Er is een formeel proces voor starters/overplaatsers/verlaters en een formeel disciplinaire procedure van kracht - Training en bewustwording op het gebied van IS is een verplichte vereiste voor alle werknemers, die wordt gegeven via een mainstream virtueel Learning Management Systeem.

Middelenbeheer - Er zijn 3 soorten gegevensclassificatie gedefinieerd met bijbehorende richtlijnen voor de verwerking - Informatiemiddelen worden geregistreerd en beheerd in een hoofdmiddelenregister, met vermelding van toegewezen eigenaars en locaties - Alle middelen die niet langer nodig zijn, worden veilig afgevoerd via WEEE geregistreerde verwerkers.

Toegangscontrole - Alle gebruikers krijgen standaard gebruikersaccounts met een ID en wachtwoord - Beheerders krijgen een extra gebruikersaccount met verhoogde privileges - Single Sign On en Multi-Factor Authenticatie wordt steeds meer toegepast in het hele bedrijf - Hercertificering van gebruikersaccounts vindt regelmatig plaats, waarbij sommige accounts maandelijks worden gecontroleerd.

Cryptografie - Een zich snel ontwikkelend en groeiend aspect van het bedrijf, met sleutels die centraal en in overeenstemming met best practices worden beheerd.

Fysieke en omgevingsbeveiliging - Alle datacenters worden gehost in omgevingen met strikte fysieke beveiligingsmaatregelen - Een groeiend aantal kantoren, waaronder het hoofdkantoor, heeft toegangscontrole op basis van ID-kaarten, die uiteindelijk in alle kantoren zal worden ingevoerd - Hetzelfde geldt voor CCTV en ANPR-dekking - Maandelijkse Clear Desk-controle van kantoren.

Beveiliging van Operations - IT-teams volgen ITIL-principes - Wijzigingsbeheer wordt gecontroleerd door een Change Advisory Board-proces - Productieomgevingen zijn gescheiden van ontwikkel- en testomgevingen - Elk eindpunt van gebruikers is versleuteld en heeft anti-malwarebescherming - Alle systemen zijn NTP gesynchroniseerd - Logs worden 12 maanden bewaard - Software wordt centraal uitgerold, gepatcht en beheerd - Kwetsbaarheidsbeoordelingen worden met wisselende frequentie uitgevoerd.

Communicatiebeveiliging - Er is een scheiding van netwerken met enkele DMZ's - Processen voor informatieoverdracht zijn aanwezig - E-mailbeheer wordt dubbel gefilterd in de cloud - Non-Disclosure Agreements (NDA) zijn indien nodig van kracht.

Aankoop, ontwikkeling en onderhoud van systemen - Informatiebeveiliging is een ingebed onderdeel van de Security by Design-principes, waarbij gegevensbeschermingseffectbeoordelingen (DPIA's) worden uitgevoerd door de projectmanagers voor alle verplichte wijzigingen - Er worden verschillende ontwikkelomgevingen gebruikt - Alle wijzigingen worden getest door een intern testteam - Onafhankelijke penetratietests en kwetsbaarheidsbeoordelingen worden uitgevoerd op extern blootgestelde toepassingen.

Relaties met leveranciers - Leveranciers worden beoordeeld op hun interactie met Radius gegevens en systemen - Toezicht op naleving wordt voortdurend uitgevoerd - Contracten/overeenkomsten/NDA's worden geïmplementeerd in overeenstemming met GDPR-vereisten.

Beheer van informatiebeveiligingsincidenten - Rapportage van incidenten wordt beheerd door middel van een register met een beveiligde opslagplaats voor bewijsmateriaal - Diverse geautomatiseerde bewakingstools zijn aanwezig - Rapportageproces voor gegevensinbreuken wordt aangevuld met een Retainer-service van een derde partij voor reacties op gegevensinbreuken van een vooraanstaand Brits informatiebeveiligingsadviesbureau. Informatiebeveiligingsaspecten van Business Continuity Management - Business Continuity Plans aanwezig en tot op heden meerdere malen met succes toegepast - Disaster Recovery Plans gedefinieerd voor alle kernsystemen - Testschema aanwezig.

Naleving - Alle relevante wet- en regelgeving is geïdentificeerd en er is naar gehandeld - DPIA's uitgevoerd in lijn met GDPR - Onafhankelijke penetratietests - ISMS onafhankelijk beoordeeld - Management IS Forum zorgt voor interne beoordeling van ISMS.

Deze verklaring over gegevensbescherming is voor het laatst herzien en bijgewerkt op 30 maart 2022 - Versie 1.4.