De aangestelde KAM/Security-manager is binnen MSA verantwoordelijk voor het checken, verifiëren en updaten van alle compliance verplichtingen. Hierbij wordt met vastgestelde tussenpozen bekeken of de organisatie nog voldoet aan alle wettelijke regelgeving inzake informatiebeveiliging. Daarnaast controleert en beheert de KAM/Security-manager overzichten van alle eisen en wensen van de opdrachtgevers zoals opgenomen in contracten of verwerkersovereenkomsten.
De KAM/Security-manager zorgt er ook voor dat eventuele wijzigingen in de compliance verplichtingen gecommuniceerd worden naar de diverse afdelingsleiders. Deze zijn op hun beurt weer verantwoordelijk voor de communicatie naar de rest van het personeel.
Alle binnen MSA gebruikte software is officiële software. Dat wil zeggen dat deze allen voorzien zijn van de juiste certificaten en dat de meest recente versies aanwezig zijn. Het is medewerkers niet toegestaan om eigen software te installeren op de bedrijfssystemen. Deze systemen zijn allen zo ingericht dat dit ook niet mogelijk is. Alleen de netwerkbeheerder heeft de bevoegdheid en de mogelijkheid om benodigde software te installeren. De netwerkbeheerder draagt er zorg voor dat het aantal gebruikers niet het aantal aangeschafte licenties overschrijdt. Een aantal softwarepakketten hebben ingebouwd dat er op een bepaald moment maar een x-aantal medewerkers gebruik kunnen maken van de software. Bij overschrijding zal de toegang geweigerd worden.
Licentie- en softwarebeheer zijn opgenomen in het register bedrijfsmiddelen. Per systeem/gebruiker is geregistreerd welke software is geïnstalleerd. Zodoende is er ook altijd een goed overzicht of er voor deze gebruiker geen overbodige software is geïnstalleerd op het betreffende systeem. Er wordt binnen MSA veel gebruik gemaakt van drukwerk en beeldmateriaal. Drukwerk wordt door de klant aangeleverd op hardcopy of als PDF. Drukwerk kan ingezet worden voor postale verwerking maar ook op de inpakafdeling is veel drukwerk aanwezig voor de afhandeling van webshop bestellingen. In het geval van drukwerk bemiddeling of printen van drukwerk zal de klant een PDF, of andere printbare media, doorsturen en expliciet aangeven dat deze gebruikt mogen worden voor de beoogde doeleinden. MSA zal alleen de door de klant aangegeven hoeveelheden (laten) maken.
Daarnaast zijn er met klanten afspraken gemaakt over het bijdrukken van materialen. Als een bepaald product onder een minimum voorraad niveau uitkomt zal het product worden bijgemaakt door de printafdeling. Er worden geen kopieën gemaakt van drukwerk. Beeldmateriaal wordt gebruikt door de webshop afdeling. Daar worden voor klanten webshops beheert en dienen geregeld nieuwe producten toegevoegd te worden of bestaande aangepast.
Klanten kunnen ervoor kiezen om het beeldmateriaal aan te leveren of MSA het beeldmateriaal te laten maken. In het eerste geval zal het beeldmateriaal alleen bewerkt worden zodat het in een standaardformaat in de webshops geplaatst kan worden. Als het beeldmateriaal door MSA gemaakt wordt gebeurt dit middels scannen of fotografie. Ook in deze laatste gevallen zal het geproduceerde beeldmateriaal alleen gebruikt worden daar waar het voor bedoeld is.
Onderdeel van het managementsysteem is archivering van documenten, registratie en bestanden. Hiervoor is een speciaal register opgesteld waarin omschreven wordt welke documenten en registraties gearchiveerd worden, hoe deze gearchiveerd zijn en welke bewaartermijn hieraangekoppeld is. Hierbij is uitgegaan van de bestaande wet- en regelgeving, compliance verplichtingen vanuit onze relaties en bepalingen vanuit MSA zelf over het bewaren van databestanden.
Vernietiging van hardcopy archief gebeurt met gerenommeerde archiefverwerking bedrijven. Vernietiging van databestanden wordt geregeld door de informatie verwerkende systemen dan wel door de directie en de netwerkbeheerder.
Voor onze relaties werken we veel met databestanden die gevoelige informatie kunnen bevatten. Adressenbestanden voor mailing activiteiten zijn daar een goed voorbeeld van maar ook binnen het beheer van de webshops is privacy van persoonsgegevens een belangrijk gegeven. Al voor het invoeren van de Algemene Verordening Gegevensbescherming (AVG) had MSA de veiligheid en bescherming van deze bestanden hoog in het vaandel.
MSA voldoet aan de eisen gesteld in de privacywet en de AVG. Met alle relaties waarvoor MSA- databewerking uitvoert zijn verwerkersovereenkomsten opgesteld waarin exact wordt omschreven hoe de organisatie omgaat met het beheer van deze bestanden in samenhang met de gestelde AVG- regelgeving.
Aangeleverde adressenbestanden worden per klant in speciale mapjes geplaatst welke alleen toegankelijk zijn voor een geselecteerde groep medewerkers. Een geautomatiseerd proces checkt dagelijks welke adressenbestanden langer dan 14 dagen in deze mappen staan. Als dat het geval is worden deze automatisch verwijderd.
In de geschreven gebruiker instructie wordt aan de medewerkers uitgelegd hoe om te gaan met de privacy en bescherming van gegevens tijdens alle stadia van de productie. Vanaf het aanleveren van databestanden, de verwerking van de printafdeling tot de productie naar post klaar eindproduct, is iedere medewerker bewust van de wijze waarop MSA omgaat met de privacy en bescherming van persoonsgegevens.
Het bedrijfspand van MSA is voorzien van bewakingscamera’s. Deze camera’s nemen alleen beelden op indien er beweging wordt gedetecteerd. Deze beelden worden opgeslagen op een aparte server. Deze server heeft de capaciteit om circa twee weken beelden op te slaan, daarna worden deze automatisch verwijderd. Indien er een incident is geweest bij MSA of bij één van de naastgelegen panden worden de beelden geanalyseerd. Indien noodzakelijk worden deze van de server gehaald om het incident verder te (laten) onderzoeken. Als het incident op een juiste wijze is afgehandeld zullen ook deze camerabeelden worden verwijderd. De camerabeelden kunnen door vijf personen bekeken worden. De beide medewerkers van het secretariaat hebben de camerabeelden “live” op het scherm om te checken wie er tijdens de openingstijden voor de toegangsdeuren staan alvorens deze te openen. Daarnaast hebben de directieleden en de netwerk- en systeembeheerder rechten om de beelden te bekijken.
Cryptografische beheersmaatregelen worden binnen MSA voornamelijk gebruikt bij het onderhouden en beheren van webshops. Deze beheersmaatregelen garanderen een veilige en betrouwbare afhandeling van webshop bestellingen en betalingen. De wet-en regelgeving schrijft voor dat transacties binnen webshops op een beveiligde manier verwerkt dienen te worden. Door
MSA beheerde en gebouwde webshops zijn allen voorzien van een SSL certificaat wat de gebruiker een indicatie geeft dat de websites versleuteld en beveiligd zijn. Betaalmodules werken met beveiligde API-sleutels welke een snelle en veilige verwerking van betalingstransacties garanderen. De KAM/Security-manager controleert met geplande tussenpozen of er nog immer voldaan wordt aan de bestaande wet- en regelgeving.
Het geïmplementeerde informatiebeveiligingsbeleid wordt met geplande tussenpozen getoetst op de werking. Middels interne en externe audits wordt beoordeeld of de documentatie, de processen, het bewustzijn bij de medewerkers en de werking van het ib-beleid nog voldoet aan de wensen en eisen van de organisatie.
De interne audit wordt jaarlijks uitgevoerd door de KAM/Securitymanager. Een audit planning is opgenomen in het MSA Managementsysteem onder §9.2. Hierin wordt ook omschreven hoe de audit wordt uitgevoerd, door wie deze wordt uitgevoerd, het doel van de audit en wanneer deze wordt uitgevoerd.
De externe audit voor het behoud van het certificaat vindt elke 3 jaar plaats. In de twee tussenliggende jaren vindt een tussentijds onderzoek plaats om te checken of MSA nog immer voldoet aan de eisen zoals gesteld in de ISO:27001 norm. Deze externe audits worden uitgevoerd door Bureau Veritas en vinden plaats in het eerste kwartaal van het jaar.
De resultaten van de interne en externe audit worden door de directie opgenomen in de jaarlijkse directie beoordeling. Daarin wordt omschreven welke afwijkingen er zijn geconstateerd tijdens deze audits, of er corrigerende maatregelen benodigd zijn en deze te implementeren. Beoordeling van deze corrigerende maatregelen vindt plaats 3 maanden na invoering. Bij het schrijven van de nieuwe directiebeoordeling wordt ook gekeken naar de resultaten opgenomen in voorgaande directie beoordelingen.
De werking, capaciteit en actuele staat van de informatie verwerkende faciliteiten worden gemonitord en gecontroleerd door de netwerkbeheerder. Deze logt regelmatig in op de servers. Als er zich capaciteitsproblemen voordoen verschijnt er een melding. De SFTP-server wordt automatisch gecheckt door een tool welke verbinding maakt met de SFTP-site. Als deze down is wordt daar een melding van verzonden via de mail. Ook de mailserver heeft een capaciteitscheck en maakt melding van overschrijding.
