Informatiebeveiligingsbeleid

Sabaas is opgericht in 2015 en gespecialiseerd in het aanbieden van managed SAP-omgevingen in de cloud. Sindsdien is Sabaas uitgegroeid tot een bedrijf dat, met diepgaande kennis van SAP en de cloud, haar klanten helpt bij het realiseren van hun digitale reis. Door middel van detachering of applicatie beheer bedient Sabaas inmiddels een breed scala aan organisaties met cloudmigratie, Devops ondersteuning en service management.

Sabaas wenst een beeld uit te stralen en te handelen als een organisatie die te allen tijde streeft naar het vertrouwelijk en integer omgaan met (klant)informatie. Om dit te kunnen realiseren heeft Sabaas een informatiebeveiligingsmanagementsysteem, hierna benoemd als managementsysteem, opgezet, waarin alle kritische momenten op het gebied van informatieveiligheid zijn geborgd. Bovendien voldoet dit managementsysteem aan de eisen van de NEN-EN-ISO 27001 zodat de werking van dit managementsysteem ook door onafhankelijke partijen kan worden geverifieerd en worden bevestigd.

Sabaas opereert in een omgeving met verschillende organisaties, groepen en individuen die bepaalde verwachtingen hebben als het gaat om informatiebeveiliging. Dit wordt weergegeven in de stakeholder- en contextanalyse”.

Het toepassingsgebied voor het managementsysteem omvat alle bedrijfsmiddelen, medewerkers (incl. inhuurkrachten) en activiteiten die door Sabaas in de vestiging te ’s Hertogenbosch worden uitgevoerd, dan wel van daar uit worden gecoördineerd. De scope van het managementsysteem is als volgt gedefinieerd:

Het aanbieden van IT diensten met betrekking tot cloudmigratie, Devops ondersteuning en service management.

Vanuit ISO 27001 zijn er paragrafen niet van toepassing verklaard, deze zijn terug te vinden in de verklaring van toepasselijkheid ISMS (inclusief redenatie).

In het huishoudelijk reglement wordt het beleid op het gebied van informatiebeveiliging van Sabaas nader uitgewerkt en vorm gegeven. Het huishoudelijk reglement maakt daarmee onderdeel uit van dit beleid.

De benodigde verbeteringen kunnen worden geïnitieerd naar aanleiding van;

• de periodieke evaluaties van de stakeholder- en contextanalyse en risicoanalyse, waarbij rekening wordt gehouden met veranderingen in de wet- en regelgeving;

• een beoordeling van de bedrijfscontinuïteit; een goede in- en externe communicatiestructuur; periodieke interne en externe audits

• technische testen, maatregelen op basis van monitoring en meting van het behalen van gestelde doelen en andere performance indicatoren, en

• een jaarlijkse management review.

De voornaamste risico’s zijn vastgelegd in de Risicoanalyse (incl. risicobehandelplan).

Het bestuur van Sabaas is verantwoordelijk voor de opzet, implementatie en evaluatie van het managementsysteem. Hierbij streeft de organisatie naar een effectief managementsysteem dat geschikt en passend is voor de organisatie. Eenmaal per jaar formuleert het bestuur een aantal doelstellingen, dat zich richt op informatiebeveiliging van de organisatie. Deze doelstellingen worden uitgewerkt, opgevolgd en waar nodig bijgesteld. Daarnaast neemt het bestuur alle mogelijke maatregelen, w.o. het beschikbaar stellen van middelen, om het beleid uit te voeren en om ervoor te zorgen dat dit beleid door alle medewerkers wordt begrepen, onderschreven en uitgedragen.

Iedere medewerker draagt de verantwoordelijkheid voor het nakomen van de afspraken die zijn vastgelegd in het managementsysteem. Het operationele beheer van het managementsysteem wordt uitgevoerd door de Security Officer. Hij draagt zorg voor het onderhoud van het managementsysteem en verzorgt de rapportage aan het bestuur.

Dit beleid wordt door het bestuur actief uitgedragen aan de medewerkers en toegepast in de bedrijfsvoering. Sabaas stelt het beleid daarnaast graag beschikbaar aan relevante belanghebbenden.