Beleidsverklaring

Delft, 1 augustus 2019 – Het beleid van onze organisatie is gericht op het continu voldoen aan de verwachtingen van de interne en externe omgeving van Vabi.

In het beleid staat de ambitie voorop om zo groot mogelijke toegevoegde waarde te creëren voor onze klanten en bij te dragen aan het behalen van hun strategische doelen. Om dit te realiseren leggen we in ons beleid een hoge focus op het selecteren, behouden en vergroten van kennis en vaardigheden van onze medewerkers. Het borgen en continu verbeteren van ons kwaliteit management systeem, in overeenstemming met de voorwaarden zoals omschreven in de normen ISO 9001 en ISO/IEC 27001, is daarbij van wezenlijk belang.

 

Beleid doelstellingen

Ten aanzien van kwaliteit is het beleid van Vabi gericht op:

  • bewaken en optimaliseren van de klanttevredenheid en klantgerichtheid;
  • het vergroten van de kennis en vaardigheden die bij werknemers in de organisatie aanwezig zijn;
  • het blijven voldoen aan de eisen die worden gesteld vanuit wet- en regelgeving;
  • het bieden van een raamwerk voor het bepalen van kwaliteitsdoelstellingen en continu verbeteren;
  • het bewaken van de externe en interne kwaliteit en het continu verbeteren van de processen;
  • het bijdragen aan duidelijkheid in de organisatie door middel van het vastleggen van verantwoordelijkheden, bevoegdheden, procedures en werkwijzen op kwaliteitsgebied;
  • het bevorderen van eenduidigheid in werken, waardoor de kracht van onze werk methodiek tot zijn recht komt en bijdraagt aan ons succes;
  • het leveren van diensten conform de gestelde eisen en focus op een gezonde balans tussen risico’s en kansen.

De directie van Vabi houdt haar medewerkers van dit beleid en de daaruit volgende afspraken op de hoogte. Zij ziet toe op de uitvoering van dit beleid en stuurt waar nodig bij. De doelstellingen en KPI’s worden jaarlijks opgesteld en weergegeven in een jaarplan dat gecommuniceerd wordt naar alle medewerkers. De doelstellingen en KPI’s worden proactief gemonitord, geëvalueerd en direct bijgestuurd waar nodig tijdens de diverse overleggen. Eenmaal per jaar vindt een eind evaluatie plaats van de prestaties via de directiebeoordeling. Relevante delen van de verslaglegging zijn zowel intern als extern beschikbaar voor geïnteresseerden.

Vabi wil dat processen zoals deze verwoord zijn of waarnaar verwezen wordt in het kwaliteitshandboek, als zodanig worden uitgevoerd door haar medewerkers. Alle medewerkers en ook derden die namens Vabi werkzaamheden uitvoeren ondersteunen dit beleid vanuit de eigen verantwoordelijkheid en betrokkenheid bij de kwaliteit van onze organisatie en onze dienstverlening.

De directie zorgt ervoor dat deze beleidsverklaring minimaal om de drie jaar wordt geëvalueerd en eventueel wordt herzien.

Informatie is essentieel geworden voor zowel het functioneren van onze bedrijfsvoering als voor de concurrentiepositie en de waarde toevoeging in onze producten en diensten. Denk bijvoorbeeld aan een business plan, personeelsinformatie of wachtwoorden. Enerzijds willen we deze informatie beschermen en veilig opslaan. Anderzijds moet er ook met deze informatie kunnen worden gewerkt.

De directie van Vabi heeft er derhalve voor gekozen dat het managementsysteem van Vabi naast de norm ISO 9001 eveneens moet voldoen aan de vereisten zoals vastgelegd in de norm ISO/IEC 27001. Deze norm beschrijft de manier waarop Vabi om moet gaan met het onderwerp informatiebeveiliging. De voorlopers (BIS, NEN) van deze norm hadden een voorschrijvend karakter (‘doe dit, doe dat’), maar ISO/IEC 27001 sluit aan bij de opzet die praktisch alle managementsystemen volgen: Continue verbetering van processen (PDCA-Plan, Do, Check, Act).

Informatie dient te worden gezien als een aspect of kenmerk van een proces. Voorbeelden:

  • informatie van de klant die nodig is om een product te kunnen maken, gaat met de orderstroom mee;
  • informatie over de klant zit in een klantdossier en in mailingen om informatie te delen;
  • een e-mail waarin de klant de order bevestigt, is onderdeel van de overeenkomst;
  • functioneringsgesprekken leiden tot verslagen en personeelsdossiers.

Er is ook informatie waar we niet direct mee werken, maar die wel essentieel is. Denk aan:

  • de oprichtingsakte van een Vabi vennootschap;
  • de back up van een server;
  • afspraken in een arbeidscontract of algemene leveringsvoorwaarden.

Vervolgens dienen we nog rekening te houden met de informatiedragers c.q. de media. Een back up staat op een harde schijf of in een datacenter. Informatie staat in diverse mail boxen, zoals verzonden items, verwijderde items en ontvangen items van verschillende collega’s. ISO/IEC 27001 vraagt ons om goed na te denken over de media, opslag en gebruik.

Alles bij elkaar opgeteld, is het de vraag voor Vabi op welke wijze met processen alsook hun informatie wordt omgegaan. De keuzes in de procesbeheersing hangen grotendeels af van de eisen van klanten, andere stakeholders en richtlijnen in de wet. Daarnaast heeft Vabi natuurlijk ook een eigen visie. Vabi zorgt dat de mate van procesbeheersing aansluit bij de missie, visie en doelstellingen van Vabi en zorgt dat deze geïntegreerd zijn in de maatregelen in het bestaande managementsysteem. Daarmee is het Vabi Information Security Management System (Vabi ISMS) integraal onderdeel van ons operationele managementsysteem.

 

Beleid doelstellingen informatiebeveiliging

Ten aanzien van informatiebeveiliging is het beleid gericht op:

  • een goede omgang met vertrouwelijke gegevens;
  • informatie van de eigen organisatie eveneens veilig is;
  • informatie die alleen beschikbaar is voor functionarissen die volgens de processen, functie omschrijvingen en bedrijfsreglement toegang toe hebben;
  • informatie van Vabi zelf, van klanten en medewerkers als ook informatie over producten en diensten alleen beschikbaar voor medewerkers van de eigen organisatie.

Hieruit volgen specifieke maatregelen, die zijn afgeleid van en die passen bij de eisen van stakeholders, de wetgeving, de norm ISO/IEC 27001 en natuurlijk de vereisten van Vabi zelf, gekoppeld aan de missie en visie.

Deze maatregelen komen voort uit het mechanisme om de informatiebeveiliging continue op een hoger niveau te brengen: procesmanagement, de continue verbetering van processen. Dit gebeurt enerzijds via het continue meten en analyseren van processen en anderzijds uit het maken van periodieke risico analyses.

De doelen – de proces prestatie niveaus – die Vabi ten aanzien van informatiebeveiliging wilt bereiken, worden middels de beleidscyclus bepaald en via de jaarplanning gerealiseerd. De doelen worden vertaald naar doelen voor afdelingen en individuele medewerkers. Ze worden vervolgens gemeten, waarna wordt bijgestuurd en gecommuniceerd. De informatiebeveiliging wordt verbeterd en risico’s gereduceerd.

Uiteraard is de directie van Vabi eindverantwoordelijk voor een juiste invoering, uitvoering en het onderhoud aan het informatie beveiligingssysteem als onderdeel van het algemene managementsysteem. De praktische invulling hiervan is het hiervoor genoemde Vabi Information Security Management System. De directie tezamen met het management team voert periodiek risicoanalyses uit, onderzoekt kansen, meet de resultaten van processen en stelt verbeteringen voor.

De medewerkers zijn binnen hun functie en werkgebied verantwoordelijk voor de juiste uitvoering van procedures. Naast dat zij kennis moeten hebben van het managementsysteem en het Vabi Information Security Management System als onderdeel daarvan, ontvangen zij diverse proces documenten, het ICT Beleid, het ICT Beveiligingsbeleid en de ICT gedragscode waarvan zij verklaren hiernaar te handelen.

 

Verklaring van toepasselijkheid

Vabi wil voldoen aan de vereisten van de normen ISO 9001 en ISO/IEC 27001. In ons Vabi Information Security Management System is het document “F1250 Risicoanalyse” opgenomen. Dit document beschrijft de wijze waarop de vereisten van beide normen zijn geïntegreerd in het algemene managementsysteem. Daarmee ontstaat er één geïntegreerd managementsysteem voor de hele organisatie voor alle relevante informatie.

Het meten van de resultaten van processen ten aanzien van informatiebeveiliging zijn verwoord in de documenten die de waardestroom beschrijven voor de diverse aandachtsgebieden. Deze zijn in het handboek opgenomen onder hoofdstukken 2000 en 3000. De criteria voor de aanvaarding van risico’s zijn verwoord in document “F1250 Risicoanalyse”, waarin zowel de werkwijze van de risicoanalyse alsook de stakeholder analyse zijn beschreven.