ISO/IEC 27001:2013

De vertrouwelijkheid, beschikbaarheid en integriteit van uw informatie zeker stellen nemen we serieus bij Doxx. Duidelijk. Flexibel. Persoonlijk. Ontdek Doxx

ISO/IEC 27001:2013

De vertrouwelijkheid, beschikbaarheid en integriteit van uw informatie zeker stellen nemen we zeer serieus bij Doxx. Duidelijk. Flexibel. Persoonlijk. Ontdek Doxx

Certificaat

Certificate ISO 27001 in NederlandsCertificate ISO 27001 in English

Verklaring van Toepasselijkheid

Deze pagina toont de Verklaring van Toepasselijkheid (VVT) voor het ISO/IEC 27001:2013 Managementsysteem Certificaat Nr: C602796 uitgegeven door DNV Londen, 08-06-2023.

De van toepassing zijnde beheersmaatregelen zijn geïdentificeerd op basis van de beheersmaatregelen benoemd in de ISO/IEC 27001 norm Annex A controls van ons ISMS.

Directieverklaring

De directie van Doxx bv verklaart hierbij de in deze VVT vermelde maatregelen bekrachtigd in relatie tot de uitgevoerde risicoanalyses en accepteert het restrisico van eventuele niet genomen maatregelen.

Den Haag, juni 2023

Pascal GroosSaxwin Brouwer

Scope

Het hosten en beheren van klant systemen (ICT beheer & support), softwareontwikkeling en consultancy.

Mede gecertificeerde locaties:

  • Doxx HQ, Rijswijk
  • BPRC Campus, Rijswijk

Van toepassing zijnde maatregelen

Onderstaande maatregelen zijn van toepassing bij Doxx.

ControlRelevantRedenStatus
A.5 Informatiebeveiligingsbeleid
A. 5.1.1 Beleidsregels voor informatiebeveiligingJARisicobeoordelingGeïmplementeerd
A. 5.1.2 Beoordeling van het informatiebeveiligingsbeleidJABest practiceGeïmplementeerd
A.6 Organiseren van informatiebeveiliging
A. 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiligingJABest practiceGeïmplementeerd
A. 6.1.2 Scheiding van takenJARisicobeoordelingGeïmplementeerd
A. 6.1.3 Contact met overheidsinstantiesJARisicobeoordelingGeïmplementeerd
A. 6.1.4 Contact met speciale belangengroepenJARisicobeoordelingGeïmplementeerd
A. 6.1.5 Informatiebeveiliging in projectbeheerJABest practiceGeïmplementeerd
A. 6.2.1 Beleid voor mobiele apparatuurJARisicobeoordelingGeïmplementeerd
A. 6.2.2 TelewerkenJARisicobeoordelingGeïmplementeerd
A.7 Veilig Personeel
A. 7.1.1 ScreeningJARisicobeoordelingGeïmplementeerd
A. 7.1.2 ArbeidsvoorwaardenJARisicobeoordelingGeïmplementeerd
A. 7.2.1 DirectieverantwoordelijkhedenJABest practiceGeïmplementeerd
A. 7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiligingJARisicobeoordelingGeïmplementeerd
A. 7.2.3 Disciplinaire procedureJARisicobeoordelingGeïmplementeerd
A. 7.3.1 Beëindiging of wijziging van verantwoordelijkheden van het dienstverbandJARisicobeoordelingGeïmplementeerd
A.8 Beheer van bedrijfsmiddelen
A. 8.1.1 Inventariseren van bedrijfsmiddelenJARisicobeoordelingGeïmplementeerd
A. 8.1.2 Eigendom van bedrijfsmiddelenJARisicobeoordelingGeïmplementeerd
A. 8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelenJARisicobeoordelingGeïmplementeerd
A. 8.1.4 Teruggeven van bedrijfsmiddelenJARisicobeoordelingGeïmplementeerd
A. 8.2.1 Classificatie van informatieJARisicobeoordelingGeïmplementeerd
A. 8.2.2 Informatie labelenJARisicobeoordelingGeïmplementeerd
A. 8.2.3 Behandelen van bedrijfsmiddelenJARisicobeoordelingGeïmplementeerd
A. 8.3.1 Beheer van verwijderbare mediaJARisicobeoordelingGeïmplementeerd
A. 8.3.2 Verwijderen van mediaJARisicobeoordelingGeïmplementeerd
A. 8.3.3 Media fysiek overdragenJARisicobeoordelingGeïmplementeerd
A.9 Toegangsbeveiliging
A. 9.1.1 Beleid voor toegangsbeveiligingJARisicobeoordelingGeïmplementeerd
A. 9.1.2 Toegang tot netwerken en netwerkdienstenJARisicobeoordelingGeïmplementeerd
A. 9.2.1 Registratie en afmelden van gebruikersJARisicobeoordelingGeïmplementeerd
A. 9.2.2 Gebruikers toegang verlenenJARisicobeoordelingGeïmplementeerd
A. 9.2.3 Beheren van speciale toegangsrechtenJARisicobeoordelingGeïmplementeerd
A. 9.2.4 Beheer van geheime authenticatie‐informatie van gebruikersJARisicobeoordelingGeïmplementeerd
A. 9.2.5 Beoordeling van toegangsrechten van gebruikersJARisicobeoordelingGeïmplementeerd
A. 9.2.6 Toegangsrechten intrekken of aanpassenJARisicobeoordelingGeïmplementeerd
A. 9.3.1 Geheime authenticatieinformatie gebruikenJARisicobeoordelingGeïmplementeerd
A. 9.4.1 Beperking toegang tot informatieJARisicobeoordelingGeïmplementeerd
A. 9.4.2 Beveiligde inlogproceduresJARisicobeoordelingGeïmplementeerd
A. 9.4.3 Systeem voor wachtwoordbeheerJARisicobeoordelingGeïmplementeerd
A. 9.4.4 Speciale systeemhulpmiddelen gebruikenJARisicobeoordelingGeïmplementeerd
A. 9.4.5 Toegangsbeveiliging op programmabroncodeJARisicobeoordelingGeïmplementeerd
A.10 Cryptografi
A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelenJARisicobeoordelingGeïmplementeerd
A.10.1.2 SleutelbeheerJARisicobeoordelingGeïmplementeerd
A.11 Fysieke beveiliging en beveiliging van de omgeving
A.11.1.1 Fysieke beveiligingszoneJARisicobeoordelingGeïmplementeerd
A.11.1.2 Fysieke toegangsbeveiligingJARisicobeoordelingGeïmplementeerd
A.11.1.3 Kantoren, ruimten en faciliteiten beveiligenJARisicobeoordelingGeïmplementeerd
A.11.1.4 Beschermen tegen bedreigingen van buitenafJABest practiceGeïmplementeerd
A.11.1.5 Werken in beveiligde gebiedenJABest practiceGeïmplementeerd
A.11.2.1 Plaatsing en bescherming van apparatuurJABest practiceGeimplementeerd
A.11.2.2 NutsvoorzieningenJABest practiceGeïmplementeerd
A.11.2.3 Beveiliging van bekabelingJABest practiceGeimplementeerd
A.11.2.4 Onderhoud van apparatuurJARisicobeoordelingGeïmplementeerd
A.11.2.5 Verwijdering van bedrijfsmiddelenJABest practiceGeïmplementeerd
A.11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terreinJABest practiceGeïmplementeerd
A.11.2.7 Veilig verwijderen of hergebruiken van apparatuurJARisicobeoordelingGeïmplementeerd
A.11.2.8 Onbeheerde gebruikersapparatuurJABest practiceGeïmplementeerd
A.11.2.9 ‘Clear desk’‐ en ‘clear screen’‐ beleidJABest practiceGeïmplementeerd
A.12 Beveiliging bedrijfsvoering
A.12.1.1 Gedocumenteerde bedieningsproceduresJARisicobeoordelingGeïmplementeerd
A.12.1.2 WijzigingsbeheerJARisicobeoordelingGeimplementeerd
A.12.1.3 CapaciteitsbeheerJARisicobeoordelingGeïmplementeerd
A.12.1.4 Scheiding van ontwikkel‐, testen productieomgevingenJARisicobeoordelingGeïmplementeerd
A.12.2.1 Beheersmaatregelen tegen malwareJARisicobeoordelingGeimplementeerd
A.12.3.1 Back‐up van informatieJARisicobeoordelingGeïmplementeerd
A.12.4.1 Gebeurtenissen registrerenJARisicobeoordelingGeïmplementeerd
A.12.4.2 Beschermen van informatie in logbestandenJARisicobeoordelingGeïmplementeerd
A.12.4.3 Logbestanden van beheerders en operatorsJARisicobeoordelingGeïmplementeerd
A.12.4.4 KloksynchronisatieJARisicobeoordelingGeïmplementeerd
A.12.5.1 Software installeren op operationele systemenJARisicobeoordelingGeïmplementeerd
A.12.6.1 Beheer van technische kwetsbaarhedenJARisicobeoordelingGeïmplementeerd
A.12.6.2 Beperkingen voor het installeren van softwareJARisicobeoordelingGeïmplementeerd
A.12.7.1 Beheersmaatregelen betreffende audits van informatiesystemenJABest practiceGeïmplementeerd
A.13 Communicatiebeveiliging
A.13.1.1 Beheersmaatregelen voor netwerkenJABaselineGeïmplementeerd
A.13.1.2 Beveiliging van netwerkdienstenJABest practiceGeïmplementeerd
A.13.1.3 Scheiding in netwerkenJARisicobeoordelingGeïmplementeerd
A.13.2.1 Beleid en procedures voor informatietransportJARisicobeoordelingGeïmplementeerd
A.13.2.2 Overeenkomsten over informatietransportJARisicobeoordelingGeïmplementeerd
A.13.2.3 Elektronische berichtenJARisicobeoordelingGeïmplementeerd
A.13.2.4 Vertrouwelijkheids‐ of geheimhoudingsovereenkomstJARisicobeoordelingGeïmplementeerd
A.14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
A.14.1.1 Analyse en specificatie van informatiebeveiligingseisenJARisicobeoordelingGeïmplementeerd
A.14.1.3 Transacties van toepassingen beschermenJARisicobeoordelingGeïmplementeerd
A.14.2.1 Beleid voor beveiligd ontwikkelenJARisicobeoordelingGeïmplementeerd
A.14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemenJARisicobeoordelingGeïmplementeerd
A.14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatformJARisicobeoordelingGeïmplementeerd
A.14.2.4 Beperkingen op wijzigingen aan softwarepakkettenJARisicobeoordelingGeïmplementeerd
A.14.2.5 Principes voor engineering van beveiligde systemenJARisicobeoordelingGeïmplementeerd
A.14.2.6 Beveiligde ontwikkelomgevingJARisicobeoordelingGeïmplementeerd
A.14.2.8 Testen van systeembeveiligingJARisicobeoordelingGeimplementeerd
A.14.2.9 SysteemacceptatietestsJARisicobeoordelingGeïmplementeerd
A.14.3.1 Bescherming van testgegevensJARisicobeoordelingGeïmplementeerd
A.15 Leveranciersrelaties
A.15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelatiesJARisicobeoordelingGeïmplementeerd
A.15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomstenJARisicobeoordelingGeïmplementeerd
A.15.1.3 Toeleveringsketen van informatie‐ en communicatietechnologieJARisicobeoordelingGeïmplementeerd
A.15.2.1 Monitoring en beoordeling van dienstverlening van leveranciersJARisicobeoordelingGeïmplementeerd
A.15.2.2 Beheer van veranderingen in dienstverlening van leveranciersJABest practiceGeïmplementeerd
A.16 Beheer van informatiebeveiligingsincidenten
A.16.1.1 Verantwoordelijkheden en proceduresJARisicobeoordelingGeïmplementeerd
A.16.1.2 Rapportage van informatiebeveiligingsgebeurtenissenJARisicobeoordelingGeïmplementeerd
A.16.1.3 Rapportage van zwakke plekken in de informatiebeveiligingJARisicobeoordelingGeïmplementeerd
A.16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissenJARisicobeoordelingGeimplementeerd
A.16.1.5 Respons op informatiebeveiligingsincidentenJARisicobeoordelingGeïmplementeerd
A.16.1.6 Lering uit informatiebeveiligingsincidentenJARisicobeoordelingGeïmplementeerd
A.16.1.7 Verzamelen van bewijsmateriaalJARisicobeoordelingGeïmplementeerd
A.17 Informatiebeveiligingsaspecten en bedrijfscontinuïteitsbeheer
A.17.1.1 Informatiebeveiligingscontinuïteit plannenJARisicobeoordelingGeimplementeerd
A.17.1.2 Informatiebeveiligingscontinuïteit implementerenJARisicobeoordelingGeïmplementeerd
A.17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evaluerenJARisicobeoordelingGeïmplementeerd
A.17.2.1 Beschikbaarheid van informatieverwerkende faciliteitenJARisicobeoordelingGeïmplementeerd
A.18 Naleving
A.18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisenJAWettelijke en contractuele vereistenGeïmplementeerd
A.18.1.2 Intellectuele‐eigendomsrechtenJAWettelijke en contractuele vereistenGeïmplementeerd
A.18.1.3 Beschermen van registratiesJAWettelijke en contractuele vereistenGeïmplementeerd
A.18.1.4 Privacy en bescherming van persoonsgegevensJAWettelijke en contractuele vereistenGeïmplementeerd
A.18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelenJAWettelijke en contractuele vereistenGeïmplementeerd
A.18.2.1 Onafhankelijke beoordeling van informatiebeveiligingJABest practiceGeïmplementeerd
A.18.2.2 Naleving van beveiligingsbeleid en ‐normenJABest practiceGeïmplementeerd
A.18.2.3 Beoordeling van technische nalevingJARisicobeoordelingGeïmplementeerd

Niet van toepassing zijnde maatregelen

Onderstaande maatregelen zijn niet van toepassing bij Doxx. Deze worden echter wel meegenomen met de jaarlijkse review en risicobeoordeling.

ControlRelevantRedenStatus
A.11.1.6 Laad‐ en loslocatieNEEEr zijn geen laad- en losgebieden.Niet geïmplementeerd
A.14.1.2 Toepassingen op openbare netwerken beveiligenNEEInformatie wordt niet op beschreven manier uitgewisseld.Niet geïmplementeerd
A.14.2.7 Uitbestede softwareontwikkelingNEEOp dit moment NVTNiet geïmplementeerd

Ontdek Doxx

Laan van Vredenoord 1
2289 DA, Rijswijk
Nederland
kvk 27153323
btw NL8037.30.330.B01
iban NL73ABNA0421694718