Over ons

Informatiebeveiliging

Ons beleid om informatie veilig te houden

Al sinds haar oprichting in 2004 heeft Calco het concept beveiliging hoog in het vaandel staan. Dit gegeven wordt nog belangrijker doordat Calco haar medewerkers detacheert bij diverse opdrachtgevers. Mede door het verzoek van een aantal van deze opdrachtgevers is in 2012 besloten om de aandacht voor beveiliging te formaliseren, en wel in de vorm van het certificaat ISO-27001. Conform de norm worden de uitkomsten van periodieke risicoanalyses, evenals gesignaleerde aandachts- en verbeterpunten, vertaald naar concrete maatregelen.

Certificering en richtlijnen voor de veiligheid van uw informatie

De internationale norm voor informatiebeveiliging ISO-27001 vereist van Calco dat zij een toepassingsgebied benoemt op wie de informatiebeveiliging van kracht is. Bij Calco zijn dit haar medewerkers, en dan vooral degenen die gedetacheerd worden bij een opdrachtgever. Om de certificering te kunnen behalen, voldoen alle processen die leiden tot de detachering van medewerkers aan de eisen van informatiebeveiliging. Deze processen worden periodiek beoordeeld. De externe beoordeling wordt gedaan door de BSI Group, een internationaal opererende organisatie voor certificering. Zij toetsen het zogeheten Information Security Management System (ISMS) op de definitie, implementatie en aansturing daarvan in de dagelijkse gang van zaken. De toetsing van het ISMS wordt gedaan door middel van het onderzoeken van de documentatie en houden van interviews met het managementteam. Met goed resultaat: Calco heeft het certificaat ISO-27001:2013.

Informatiebeveiliging is mensenwerk

Informatiebeveiliging is mensenwerk. Medewerkers en externe partijen worden daarom nadrukkelijk uitgenodigd bij te dragen aan het continue verbeteren hiervan. Een onderdeel hiervan is de interne training die standaard wordt aangeboden aan nieuwe medewerkers. In deze training krijgen Calco werknemers uitleg over informatiebeveiliging, en worden handvatten aangereikt die in de dagelijkse gang van zaken toegepast kunnen worden. Voorbeelden daarvan zijn de clean desk en clear screen policies en richtlijnen voor het gebruik van social media. Ook wordt uitdrukkelijk gevraagd deze aangereikte kennis toe te passen bij opdrachtgevers die geen eigen beleid voor informatiebeveiliging geformuleerd hebben.