Operationele planning en beheersing
Dit document beschrijft hoe YipYip de ISMS-processen plant en beheerst, en hoe informatiebeveiliging is ingebed in de primaire bedrijfsprocessen.
ISMS-processen
| Proces | Frequentie | Eigenaar | Documentatie |
|---|---|---|---|
| Risicobeoordeling | Jaarlijks + ad hoc | IB-coördinator | 03-planning/6.1-risicobeoordeling/ |
| Risicobehandeling | Doorlopend | Risico-eigenaren | 05-uitvoering/8.3-risicobehandeling.md |
| Incident management | Doorlopend | IB-coördinator | Jira + registers/incidenten.yaml |
| Change management | Doorlopend | Developers | registers/wijzigingen.yaml |
| Toegangsbeheer | Doorlopend | IB-coördinator / DevOps | Controls 5.15–5.18 |
| Asset management | Doorlopend | Eigenaren | registers/assets.yaml |
| Leveranciersbeheer | Jaarlijks | IB-coördinator | registers/leveranciers.yaml |
| Awareness | Doorlopend | IB-coördinator / HR | 04-ondersteuning/7.3-bewustzijn.md |
| Monitoring | Doorlopend | IB-coördinator | 06-evaluatie/9.1-monitoring.md |
| Interne audit | Jaarlijks | Auditor (extern) | 06-evaluatie/9.2-interne-audit/ |
| Directiebeoordeling | Jaarlijks | Directie | 06-evaluatie/9.3-directiebeoordeling.md |
Jaarplanning ISMS
| Kwartaal | Activiteiten |
|---|---|
| Q1 | Jaarplan vaststellen, risicobeoordeling starten, leveranciersbeoordelingen |
| Q2 | Risicobeoordeling afronden, halfjaar review |
| Q3 | Interne audit, asset register review |
| Q4 | Awareness-training, management review, jaarafsluiting |
Operationele taken worden bijgehouden in Jira.
Primaire processen
Verkoopproces (intake nieuwe klant)
- Benadering — eerste contact met (potentiële) klant
- Functionaliteiten vaststellen — in samenwerking met klant
- Prijsschatting — ureninschatting (evt. met input developers)
- Risicoclassificatie — laag risico (één discipline, geen backend data) of hoog risico (meerdere disciplines, data in backend)
- Documentatie — opdrachtbevestiging (laag risico) of PRD (hoog risico)
- Ondertekening — klant en YipYip tekenen
Bij bestaande klanten met aanvullende opdracht: nieuw PRD of opdrachtbevestiging conform dezelfde classificatie.
Verwerkersovereenkomst
Na gunning wordt beoordeeld of persoonsgegevens worden verwerkt. Indien ja: verwerkersovereenkomst opstellen (YipYip = verwerker, opdrachtgever = verwerkingsverantwoordelijke). Bij zorgprojecten is dit nagenoeg altijd vereist.
Uitbestede processen
| Proces | Leverancier | Beheersing |
|---|---|---|
| Cloud hosting | AWS / GCP | SLA, certificeringen (SOC 2, ISO 27001) |
| Penetratietest | Nog te contracteren | Contract, scope-definitie |
Beheersing via contractuele afspraken, security-eisen in SLA, periodieke beoordeling en incidentnotificatie-afspraken.
Gerelateerde controls
| Control | Onderwerp | Status |
|---|---|---|
| 5.08 | IB in projectmanagement | implemented |
| 5.15 | Toegangsbeheersing | implemented |
| 5.16 | Identiteitsbeheer | implemented |
| 5.17 | Authenticatie-informatie | implemented |
| 5.18 | Toegangsrechten | implemented |
Vastgesteld door: Directie YipYip B.V. Datum: 2026-01-29