De vertrouwelijkheid, beschikbaarheid en integriteit van uw informatie zeker stellen nemen we zeer serieus bij Doxx. Duidelijk. Flexibel. Persoonlijk. Ontdek Doxx
Deze pagina toont de Verklaring van Toepasselijkheid (VVT) voor het ISO/IEC 27001:2013 Managementsysteem Certificaat Nr: C602796 uitgegeven door DNV Londen, 08-06-2023.
De van toepassing zijnde beheersmaatregelen zijn geïdentificeerd op basis van de beheersmaatregelen benoemd in de ISO/IEC 27001 norm Annex A controls van ons ISMS.
De directie van Doxx bv verklaart hierbij de in deze VVT vermelde maatregelen bekrachtigd in relatie tot de uitgevoerde risicoanalyses en accepteert het restrisico van eventuele niet genomen maatregelen.
Den Haag, juni 2023
Pascal GroosSaxwin Brouwer
Het hosten en beheren van klant systemen (ICT beheer & support), softwareontwikkeling en consultancy.
Mede gecertificeerde locaties:
Onderstaande maatregelen zijn van toepassing bij Doxx.
Control | Relevant | Reden | Status |
---|---|---|---|
A.5 Informatiebeveiligingsbeleid | |||
A. 5.1.1 Beleidsregels voor informatiebeveiliging | JA | Risicobeoordeling | Geïmplementeerd |
A. 5.1.2 Beoordeling van het informatiebeveiligingsbeleid | JA | Best practice | Geïmplementeerd |
A.6 Organiseren van informatiebeveiliging | |||
A. 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging | JA | Best practice | Geïmplementeerd |
A. 6.1.2 Scheiding van taken | JA | Risicobeoordeling | Geïmplementeerd |
A. 6.1.3 Contact met overheidsinstanties | JA | Risicobeoordeling | Geïmplementeerd |
A. 6.1.4 Contact met speciale belangengroepen | JA | Risicobeoordeling | Geïmplementeerd |
A. 6.1.5 Informatiebeveiliging in projectbeheer | JA | Best practice | Geïmplementeerd |
A. 6.2.1 Beleid voor mobiele apparatuur | JA | Risicobeoordeling | Geïmplementeerd |
A. 6.2.2 Telewerken | JA | Risicobeoordeling | Geïmplementeerd |
A.7 Veilig Personeel | |||
A. 7.1.1 Screening | JA | Risicobeoordeling | Geïmplementeerd |
A. 7.1.2 Arbeidsvoorwaarden | JA | Risicobeoordeling | Geïmplementeerd |
A. 7.2.1 Directieverantwoordelijkheden | JA | Best practice | Geïmplementeerd |
A. 7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging | JA | Risicobeoordeling | Geïmplementeerd |
A. 7.2.3 Disciplinaire procedure | JA | Risicobeoordeling | Geïmplementeerd |
A. 7.3.1 Beëindiging of wijziging van verantwoordelijkheden van het dienstverband | JA | Risicobeoordeling | Geïmplementeerd |
A.8 Beheer van bedrijfsmiddelen | |||
A. 8.1.1 Inventariseren van bedrijfsmiddelen | JA | Risicobeoordeling | Geïmplementeerd |
A. 8.1.2 Eigendom van bedrijfsmiddelen | JA | Risicobeoordeling | Geïmplementeerd |
A. 8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen | JA | Risicobeoordeling | Geïmplementeerd |
A. 8.1.4 Teruggeven van bedrijfsmiddelen | JA | Risicobeoordeling | Geïmplementeerd |
A. 8.2.1 Classificatie van informatie | JA | Risicobeoordeling | Geïmplementeerd |
A. 8.2.2 Informatie labelen | JA | Risicobeoordeling | Geïmplementeerd |
A. 8.2.3 Behandelen van bedrijfsmiddelen | JA | Risicobeoordeling | Geïmplementeerd |
A. 8.3.1 Beheer van verwijderbare media | JA | Risicobeoordeling | Geïmplementeerd |
A. 8.3.2 Verwijderen van media | JA | Risicobeoordeling | Geïmplementeerd |
A. 8.3.3 Media fysiek overdragen | JA | Risicobeoordeling | Geïmplementeerd |
A.9 Toegangsbeveiliging | |||
A. 9.1.1 Beleid voor toegangsbeveiliging | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.1.2 Toegang tot netwerken en netwerkdiensten | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.2.1 Registratie en afmelden van gebruikers | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.2.2 Gebruikers toegang verlenen | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.2.3 Beheren van speciale toegangsrechten | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.2.4 Beheer van geheime authenticatie‐informatie van gebruikers | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.2.5 Beoordeling van toegangsrechten van gebruikers | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.2.6 Toegangsrechten intrekken of aanpassen | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.3.1 Geheime authenticatieinformatie gebruiken | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.4.1 Beperking toegang tot informatie | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.4.2 Beveiligde inlogprocedures | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.4.3 Systeem voor wachtwoordbeheer | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.4.4 Speciale systeemhulpmiddelen gebruiken | JA | Risicobeoordeling | Geïmplementeerd |
A. 9.4.5 Toegangsbeveiliging op programmabroncode | JA | Risicobeoordeling | Geïmplementeerd |
A.10 Cryptografi | |||
A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen | JA | Risicobeoordeling | Geïmplementeerd |
A.10.1.2 Sleutelbeheer | JA | Risicobeoordeling | Geïmplementeerd |
A.11 Fysieke beveiliging en beveiliging van de omgeving | |||
A.11.1.1 Fysieke beveiligingszone | JA | Risicobeoordeling | Geïmplementeerd |
A.11.1.2 Fysieke toegangsbeveiliging | JA | Risicobeoordeling | Geïmplementeerd |
A.11.1.3 Kantoren, ruimten en faciliteiten beveiligen | JA | Risicobeoordeling | Geïmplementeerd |
A.11.1.4 Beschermen tegen bedreigingen van buitenaf | JA | Best practice | Geïmplementeerd |
A.11.1.5 Werken in beveiligde gebieden | JA | Best practice | Geïmplementeerd |
A.11.2.1 Plaatsing en bescherming van apparatuur | JA | Best practice | Geimplementeerd |
A.11.2.2 Nutsvoorzieningen | JA | Best practice | Geïmplementeerd |
A.11.2.3 Beveiliging van bekabeling | JA | Best practice | Geimplementeerd |
A.11.2.4 Onderhoud van apparatuur | JA | Risicobeoordeling | Geïmplementeerd |
A.11.2.5 Verwijdering van bedrijfsmiddelen | JA | Best practice | Geïmplementeerd |
A.11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein | JA | Best practice | Geïmplementeerd |
A.11.2.7 Veilig verwijderen of hergebruiken van apparatuur | JA | Risicobeoordeling | Geïmplementeerd |
A.11.2.8 Onbeheerde gebruikersapparatuur | JA | Best practice | Geïmplementeerd |
A.11.2.9 ‘Clear desk’‐ en ‘clear screen’‐ beleid | JA | Best practice | Geïmplementeerd |
A.12 Beveiliging bedrijfsvoering | |||
A.12.1.1 Gedocumenteerde bedieningsprocedures | JA | Risicobeoordeling | Geïmplementeerd |
A.12.1.2 Wijzigingsbeheer | JA | Risicobeoordeling | Geimplementeerd |
A.12.1.3 Capaciteitsbeheer | JA | Risicobeoordeling | Geïmplementeerd |
A.12.1.4 Scheiding van ontwikkel‐, testen productieomgevingen | JA | Risicobeoordeling | Geïmplementeerd |
A.12.2.1 Beheersmaatregelen tegen malware | JA | Risicobeoordeling | Geimplementeerd |
A.12.3.1 Back‐up van informatie | JA | Risicobeoordeling | Geïmplementeerd |
A.12.4.1 Gebeurtenissen registreren | JA | Risicobeoordeling | Geïmplementeerd |
A.12.4.2 Beschermen van informatie in logbestanden | JA | Risicobeoordeling | Geïmplementeerd |
A.12.4.3 Logbestanden van beheerders en operators | JA | Risicobeoordeling | Geïmplementeerd |
A.12.4.4 Kloksynchronisatie | JA | Risicobeoordeling | Geïmplementeerd |
A.12.5.1 Software installeren op operationele systemen | JA | Risicobeoordeling | Geïmplementeerd |
A.12.6.1 Beheer van technische kwetsbaarheden | JA | Risicobeoordeling | Geïmplementeerd |
A.12.6.2 Beperkingen voor het installeren van software | JA | Risicobeoordeling | Geïmplementeerd |
A.12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen | JA | Best practice | Geïmplementeerd |
A.13 Communicatiebeveiliging | |||
A.13.1.1 Beheersmaatregelen voor netwerken | JA | Baseline | Geïmplementeerd |
A.13.1.2 Beveiliging van netwerkdiensten | JA | Best practice | Geïmplementeerd |
A.13.1.3 Scheiding in netwerken | JA | Risicobeoordeling | Geïmplementeerd |
A.13.2.1 Beleid en procedures voor informatietransport | JA | Risicobeoordeling | Geïmplementeerd |
A.13.2.2 Overeenkomsten over informatietransport | JA | Risicobeoordeling | Geïmplementeerd |
A.13.2.3 Elektronische berichten | JA | Risicobeoordeling | Geïmplementeerd |
A.13.2.4 Vertrouwelijkheids‐ of geheimhoudingsovereenkomst | JA | Risicobeoordeling | Geïmplementeerd |
A.14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen | |||
A.14.1.1 Analyse en specificatie van informatiebeveiligingseisen | JA | Risicobeoordeling | Geïmplementeerd |
A.14.1.3 Transacties van toepassingen beschermen | JA | Risicobeoordeling | Geïmplementeerd |
A.14.2.1 Beleid voor beveiligd ontwikkelen | JA | Risicobeoordeling | Geïmplementeerd |
A.14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen | JA | Risicobeoordeling | Geïmplementeerd |
A.14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform | JA | Risicobeoordeling | Geïmplementeerd |
A.14.2.4 Beperkingen op wijzigingen aan softwarepakketten | JA | Risicobeoordeling | Geïmplementeerd |
A.14.2.5 Principes voor engineering van beveiligde systemen | JA | Risicobeoordeling | Geïmplementeerd |
A.14.2.6 Beveiligde ontwikkelomgeving | JA | Risicobeoordeling | Geïmplementeerd |
A.14.2.8 Testen van systeembeveiliging | JA | Risicobeoordeling | Geimplementeerd |
A.14.2.9 Systeemacceptatietests | JA | Risicobeoordeling | Geïmplementeerd |
A.14.3.1 Bescherming van testgegevens | JA | Risicobeoordeling | Geïmplementeerd |
A.15 Leveranciersrelaties | |||
A.15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties | JA | Risicobeoordeling | Geïmplementeerd |
A.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten | JA | Risicobeoordeling | Geïmplementeerd |
A.15.1.3 Toeleveringsketen van informatie‐ en communicatietechnologie | JA | Risicobeoordeling | Geïmplementeerd |
A.15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers | JA | Risicobeoordeling | Geïmplementeerd |
A.15.2.2 Beheer van veranderingen in dienstverlening van leveranciers | JA | Best practice | Geïmplementeerd |
A.16 Beheer van informatiebeveiligingsincidenten | |||
A.16.1.1 Verantwoordelijkheden en procedures | JA | Risicobeoordeling | Geïmplementeerd |
A.16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen | JA | Risicobeoordeling | Geïmplementeerd |
A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging | JA | Risicobeoordeling | Geïmplementeerd |
A.16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen | JA | Risicobeoordeling | Geimplementeerd |
A.16.1.5 Respons op informatiebeveiligingsincidenten | JA | Risicobeoordeling | Geïmplementeerd |
A.16.1.6 Lering uit informatiebeveiligingsincidenten | JA | Risicobeoordeling | Geïmplementeerd |
A.16.1.7 Verzamelen van bewijsmateriaal | JA | Risicobeoordeling | Geïmplementeerd |
A.17 Informatiebeveiligingsaspecten en bedrijfscontinuïteitsbeheer | |||
A.17.1.1 Informatiebeveiligingscontinuïteit plannen | JA | Risicobeoordeling | Geimplementeerd |
A.17.1.2 Informatiebeveiligingscontinuïteit implementeren | JA | Risicobeoordeling | Geïmplementeerd |
A.17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren | JA | Risicobeoordeling | Geïmplementeerd |
A.17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten | JA | Risicobeoordeling | Geïmplementeerd |
A.18 Naleving | |||
A.18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen | JA | Wettelijke en contractuele vereisten | Geïmplementeerd |
A.18.1.2 Intellectuele‐eigendomsrechten | JA | Wettelijke en contractuele vereisten | Geïmplementeerd |
A.18.1.3 Beschermen van registraties | JA | Wettelijke en contractuele vereisten | Geïmplementeerd |
A.18.1.4 Privacy en bescherming van persoonsgegevens | JA | Wettelijke en contractuele vereisten | Geïmplementeerd |
A.18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen | JA | Wettelijke en contractuele vereisten | Geïmplementeerd |
A.18.2.1 Onafhankelijke beoordeling van informatiebeveiliging | JA | Best practice | Geïmplementeerd |
A.18.2.2 Naleving van beveiligingsbeleid en ‐normen | JA | Best practice | Geïmplementeerd |
A.18.2.3 Beoordeling van technische naleving | JA | Risicobeoordeling | Geïmplementeerd |
Onderstaande maatregelen zijn niet van toepassing bij Doxx. Deze worden echter wel meegenomen met de jaarlijkse review en risicobeoordeling.
Control | Relevant | Reden | Status |
---|---|---|---|
A.11.1.6 Laad‐ en loslocatie | NEE | Er zijn geen laad- en losgebieden. | Niet geïmplementeerd |
A.14.1.2 Toepassingen op openbare netwerken beveiligen | NEE | Informatie wordt niet op beschreven manier uitgewisseld. | Niet geïmplementeerd |
A.14.2.7 Uitbestede softwareontwikkeling | NEE | Op dit moment NVT | Niet geïmplementeerd |