Ga naar inhoud
YipYip ISMS YipYip

Informatiebeveiligingsbeleid

Gedeeltelijk IB-coördinator

Dit control zorgt ervoor dat er een IB-beleid en onderwerpspecifieke beleidsregels bestaan, zijn goedgekeurd door de directie, en gecommuniceerd aan medewerkers.

Wat we doen

  • Het overkoepelende IB-beleid staat in 05-leiderschap/5.2-beleid.md. Het is herschreven in januari 2026 — kort, concreet, passend bij YipYip.
  • Het beleid dekt de ISO 27001 Clausule 5.2 eisen: doel, principes, doelstellingen, verantwoordelijkheden, review-cyclus, en communicatie.
  • Onderwerpspecifieke beleidsregels (toegang, classificatie, backup, etc.) zijn vastgelegd als Annex A controls in controls/. Alle 93 controls zijn beschreven met YipYip-specifieke content — 74 implemented, 19 partial.
  • Beleid wordt beheerd in Git — elke wijziging is traceerbaar via versiebeheer.
  • Nieuwe medewerkers bevestigen bij onboarding de ontvangst en kennis van het IB-beleid via de onboarding checklist.
  • Jaarlijks wordt het beleid besproken in de awareness-training.
  • Directie reviewt het beleid minimaal jaarlijks als onderdeel van de directiebeoordeling.
  • Uitzonderingen op het beleid worden alleen verleend op basis van een expliciet besluit van de IB-coördinator of de directie. Er is geen standaard dispensatieproces; elke uitzondering is een bewuste beslissing.
  • Wijzigingen aan onderwerpspecifieke beleidsregels (Annex A controls) worden goedgekeurd door de IB-coördinator. Significante beleidswijzigingen worden ter kennisgeving aan de directie voorgelegd.

Gaps

  • Het IB-beleid is nog niet formeel ondertekend door de directie (inhoud is gereed, datum is ingevuld: 29 januari 2026).
  • Acknowledged receipt voor nieuwe medewerkers is gedekt via de onboarding checklist. Voor bestaande medewerkers is er geen aantoonbare jaarlijkse kennisname buiten de awareness-training (geen getekende verklaring of click-through bevestiging).
  • Geen formeel proces voor ad-hoc review bij significante veranderingen. De norm vereist review bij: nieuwe regelgeving, gewijzigd dreigingslandschap, significante incidenten, of grote organisatieveranderingen. Nu is alleen de jaarlijkse directiebeoordeling afgesproken.
  • Beleid niet proactief gecommuniceerd aan klanten en leveranciers — beschikbaar op verzoek, maar geen standaard onderdeel van contracten of verwerkersovereenkomsten.

Bewijs

  • IB-beleid: 05-leiderschap/5.2-beleid.md (Git history)
  • Control-beschrijvingen: controls/ directory (Git history)
  • Onboarding checklist: bevat bevestiging IB-beleid (referentie: HR-onboardingproces)
  • Awareness-training: nog vast te leggen in Google Sheets (zie tools/sheets/awareness.md)