Beleidsverklaring

Datum: 18-11-2025

1. Doel en reikwijdte

Deze beleidsverklaring definieert het kader voor informatiebeveiliging binnen Incito ICT en Telecom. Zij is van toepassing op alle bedrijfsactiviteiten, medewerkers (vast, tijdelijk), externen en verwerkers die betrokken zijn bij het leveren van onze diensten aan maar niet beperkt tot beheerde werkplekken, cloudomgevingen, support en integraties met documentmanagementsystemen, tenzij anders contractueel vastgelegd.

 

1.1 Missie
Incito ondersteunt organisaties met betrouwbare en schaalbare ICT‑oplossingen, zodat zij zich kunnen richten op hun kerntaken. We leveren helder advies, ontzorgen volledig en kiezen altijd voor wat écht bij de klant past. We zorgen ervoor dat jouw organisatie zich kan focussen op de onderdelen die belangrijk zijn. Als partner stellen we het gezamenlijk belang voorop.

 

1.2 Visie
Wij willen hét toonaangevende full‑service ICT‑partner zijn voor de zakelijke markt: flexibel, mensgericht en technologisch vooruitstrevend. Onze aanpak kenmerkt zich door daadkracht, schaalbaarheid en extra inzet waar anderen stoppen — zodat ieder type organisatie, van klein tot groot, maximaal profiteert van cloud, connectivity, security en moderne werkplekdiensten.

Het doel van Informatiebeveiliging is het waarborgen van de bedrijfscontinuïteit en het minimaliseren van bedrijfsschade door het voorkomen en minimaliseren van de impact van beveiligingsincidenten. Met name moeten informatiemiddelen worden beschermd om ervoor te zorgen:
1. Vertrouwelijkheid, d.w.z. bescherming tegen ongeoorloofde openbaarmaking
2. Integriteit, d.w.z. bescherming tegen ongeoorloofde of accidentele wijziging
3. Beschikbaarheid waar en wanneer nodig voor het realiseren van de bedrijfsdoelstellingen.

 

2. Richtlijn en normenkader

Ons Information Security Management System (ISMS) is opgezet en onderhouden via beheersmaatregelen conform ISO/IEC 27001:2023 en aanvullende sectorspecifieke vereisten (o.a. AVG/GDPR, contractuele bepalingen van klanten en leveranciers).

 

3. Leiderschap & verantwoordelijkheid

De directie van Incito ICT en Telecom:

Stelt deze beleidsverklaring vast en stelt middelen (mensen, budget, tools) beschikbaar;

Benoemt een ISMS-eigenaar en verantwoordelijke

Bewaakt doelstellingen, risicoacceptatie en verbeteracties via managementreviews

ISMS-eigenaar: Directie Incito ICT en Telecom

 Contact: [info@incito.nl]

 

3.1 Verantwoordelijkheden
1. De directie heeft dit Informatiebeveiligingsbeleid goedgekeurd;

2. De dagelijkse verantwoordelijkheid voor en de contacten met externe organisaties voor de naleving van de wettelijke eisen, met inbegrip van de bescherming van gegevens, berusten bij de Information Security Manager.

3. Alle werknemers of dienstverleners namens de organisatie hebben de plicht om de middelen, inclusief locaties, hardware, software, systemen of informatie, die zij onder hun hoede hebben, te beschermen en elke vermoede inbreuk op de beveiliging onmiddellijk te melden.

4. Het naleven van informatiebeveiligingsprocedures zoals uiteengezet in de beleids- en richtlijnstukken wordt geaccepteerd als onderdeel van de standaardwerkwijzen binnen de organisatie. Niet-naleving leidt tot disciplinaire maatregelen.

5. Aan alle wettelijke en reglementaire vereisten wordt voldaan en regelmatig op wijzigingen gecontroleerd.

6. Er is een bedrijfscontinuïteitsplan. Dit wordt onderhouden, getest en regelmatig herzien.

7. Dit informatiebeveiligingsbeleid wordt regelmatig herzien en kan door de informatiebeveiligingsmanager worden gewijzigd om de blijvende levensvatbaarheid, toepasbaarheid en naleving van de wetgeving te waarborgen en om de informatiebeveiliging systemen voortdurend te verbeteren.

8. De directie stuurt erop aan dat er wordt voldaan aan de geldende wet- en regelgeving en dat middels het Informatiebeveiligingsmanagementsysteem continue verbetering wordt bewerkstelligd binnen de organisatie.

 

4. Doelstellingen informatiebeveiliging

We vertalen strategische doelen naar meetbare KPI’s gericht op:

Vertrouwelijkheid: bescherming van cliënt- en zaakgegevens, authenticatie & autorisatie, encryptie (in transit/at rest);

Integriteit: change management, logging & monitoring, code/configuratiebeheer;

Beschikbaarheid: uptime-targets, capaciteits- en continuïteitsplanning, back-up & hersteltests.

 

5. Risicogebaseerde aanpak

Jaarlijkse risicobeoordeling (en bij significante wijzigingen) op processen, systemen, partijen en informatieclassificaties;

Vastleggen van risicomanagement;

Specifieke aandacht voor ketenrisico’s (cloud, leveranciers, integraties etc.).

 

6. Compliance & privacy

Naleving van toepasselijke wet- en regelgeving (waaronder AVG), contractuele eisen en brancheafspraken.

Privacy by design & default waar vereist en toepasbaar.

 

7. Beheersmaatregelen (hoog over)

Toegangsbeheer: least privilege, MFA, periodieke recertificatie;

Cryptografie: versleuteling in transit/at rest, sleutelbeheer;

Fysieke & omgevingsbeveiliging: datacenter/office controls conform rolverdeling leveranciers;

Operationele security: patching, malwarebescherming, kwetsbaarhedenscans;

Loggen & monitoring: Alerts en monitoring;

Back-up & herstel: Back-ups in-place;

Ontwikkeling & wijzigingen: change control, test/acceptatie, segregatie;

Bewustzijn & training: onboarding, jaarlijkse refreshers;

Leveranciersmanagement: periodieke evaluaties.

 

8. Incidentmanagement & continuïteit

24/7 meldpunt voor security-incidenten en datalekken;

Gestandaardiseerde triage, onderzoek, containment, herstel en notification (incl. AVG-meldplichten);

Oefeningen (tabletop), rapportages en verbeteracties.

 

9. Documentbeheer & verbetercyclus

ISMS-documentatie (beleid, procedures, risicoregisters, rapportages) is versiebeheerd;

PDCA-cyclus: audits (intern/extern), managementreviews, correctieve & preventieve acties;

Deze verklaring wordt minimaal jaarlijks herzien of bij substantiële wijzigingen in risico’s, wetgeving of diensten.

 

10. Voorbeeld-KPI’s (meetbaar en rapportagegereed)

Uptime kernservices doel: ≥ 99% per kwartaal;

Patching kritieke systemen: ≤ 14 dagen na release (Doel ≥ 95% naleving);

MFA-dekking: 100% op externe toegang en beheerdersaccounts;

Security-awareness deelname: ≥ 98% medewerkers

Hersteltijd (P1-incidenten): mediane ≤ 4 uur;

Back-up hersteltest: quarterly, ≥ 1 representatieve dataset succesvol;

Leveranciersreview: jaarlijks voor kritieke leveranciers.

 

11. Communicatie & publicatie

Deze beleidsverklaring is publiek beschikbaar op de website;

Interne versies bevatten extra detail (processen, drempelwaarden, contactlijsten) en zijn beschikbaar voor medewerkers/ auditors op het ISMS-platform.

 

12. Contact

Incito ICT en Telecom
Cilinderweg 43 U13
Roelofarendsveen

Email                 info@incito.nl
Telefoon          071-7400740
KvK                      69014949
Versie                1.0

OPLOSSINGEN
digitrust-Keurmerk-ISO-27001
SECTOREN
OVER INCITO
CONTACT

Cilinderweg 43-U13
2371DZ, Roelofarendsveen
KvK 69014949

071 - 7400 740
info@incito.nl

incitio-logo
digitrust-Keurmerk-ISO-27001

©2026 Incito - alle rechten voorbehouden

Algemene voorwaarden   |   Beleidsverklaring
Disclaimer   |  Privacyverklaring | Cookie verklaring