Informatiebeveiligingsdoelstellingen
ISMS Copilot stelt meetbare informatiebeveiligingsdoelstellingen vast die zijn afgestemd op ons Informatiebeveiligingsbeleid, geïnformeerd door risicobeoordelingsresultaten en gevolgd tegen gedefinieerde streefcijfers. Elke doelstelling volgt de ISO 27001 Clausule 6.2-structuur: wat er zal worden gedaan, welke middelen vereist zijn, wie verantwoordelijk is, wanneer het wordt voltooid en hoe de resultaten worden geëvalueerd.
De voortgang van doelstellingen wordt driemaandelijks beoordeeld door de eigenaren van de doelstellingen en gerapporteerd als onderdeel van de jaarlijkse directiebeoordeling.
OBJ-001: ISO 27001-certificering behalen
Veld | Waarde |
|---|---|
Categorie | Compliance |
Eigenaar | CEO |
Doel | ISO 27001:2022-certificering behalen bij een geaccrediteerde instantie |
Deadline | Q4 2026 |
Meting | Certificering verleend |
Status | In behandeling |
Belangrijkste mijlpalen:
Voltooiing ISMS-documentatie (clausules 4-10) — Q1 2026 (in uitvoering)
Voltooiing Verklaring van Toepasselijkheid — Q1 2026 (voltooid)
Voltooiing risicoregister en behandeling — Q1 2026 (voltooid)
Uitvoeren interne audit — Q2 2026
Uitvoeren directiebeoordeling — Q2 2026
Fase 1-audit (documentatiebeoordeling) — Q3 2026
Fase 2-audit (implementatiebeoordeling) — Q4 2026
OBJ-002: Nul gevallen van datablootstelling tussen tenants
Veld | Waarde |
|---|---|
Categorie | Vertrouwelijkheid |
Doel | Nul incidenten van ongeautoriseerde toegang tot gegevens tussen tenants |
Deadline | Lopend (jaarlijkse meting) |
Meting | Aantal bevestigde incidenten van datablootstelling tussen tenants per jaar = 0 |
Status | Behaald (0 incidenten tot op heden) |
Beheersingsmaatregelen ter ondersteuning van deze doelstelling:
Row-Level Security (RLS) beleidsregels op alle tabellen met gebruikersgegevens
Expliciete validatie van eigendom in de backend chat-service
Geautomatiseerde beveiligingstestsuite
Vereiste voor code-review voor alle wijzigingen
OBJ-003: Platformveerkracht en beschikbaarheid
Veld | Waarde |
|---|---|
Categorie | Beschikbaarheid / Business Continuity |
Doel | Platform werkt betrouwbaar zonder dat handmatige tussenkomst vereist is |
Deadline | Q2 2026 |
Meting | Supportaanvragen die menselijke tussenkomst vereisen tijdens gedefinieerde testperioden |
Status | In behandeling |
OBJ-004: Herstel van kwetsbaarheden binnen SLA
Veld | Waarde |
|---|---|
Categorie | Beveiliging |
Doel | Alle kwetsbaarheden hersteld binnen gedefinieerde SLA's |
Deadline | Lopend (driemaandelijkse meting) |
Meting | Percentage hersteld binnen streeftijd: Kritiek 24u, Hoog 7d, Medium 30d, Laag 90d |
Streef % | 100% voor Kritiek/Hoog; 90% voor Medium/Laag |
Status | Actief |
Onze SLA-doelen voor kwetsbaarheden sluiten aan bij best practices in de sector: Kritieke kwetsbaarheden worden op dezelfde dag aangepakt, Hoog binnen een week, Medium binnen 30 dagen en Laag binnen 90 dagen.
OBJ-005: Streefcijfer voor beschikbaarheid van de dienst handhaven
Veld | Waarde |
|---|---|
Categorie | Beschikbaarheid |
Doel | 99,5% uptime voor kerndiensten (chat, authenticatie, database) |
Deadline | Lopend (maandelijkse meting) |
Meting | Maandelijks uptime-percentage volgens BetterStack-monitoring |
Status | Actief |
OBJ-006: Driemaandelijkse toegangsbeoordelingen voltooien
Veld | Waarde |
|---|---|
Categorie | Toegangsbeheer |
Doel | 100% voltooiing van driemaandelijkse toegangsbeoordelingen volgens schema |
Deadline | Lopend (driemaandelijkse meting) |
Meting | Gedateerde, voltooide controlelijsten voor beoordeling |
Status | Actief |
OBJ-007: Failover-capaciteit voor AI-provider behouden
Veld | Waarde |
|---|---|
Categorie | Veerkracht |
Doel | Automatische failover wordt geactiveerd binnen 60 seconden na uitval van de standaardprovider |
Deadline | Lopend (driemaandelijkse test) |
Meting | Resultaten failover-tests (tijd tot activering, impact op gebruiker tijdens omschakeling) |
Status | Actief — circuit breaker geïmplementeerd |
Alle zeven doelstellingen worden actief opgevolgd. Twee doelstellingen zijn volledig behaald (nul blootstelling tussen tenants, AI-failover-capaciteit), drie zijn lopend met actieve meting en twee gaan richting gedefinieerde mijlpalen.
Ritme van doelstellingsbeoordeling
Activiteit | Frequentie |
|---|---|
Voortgangsbeoordeling doelstellingen | Driemaandelijks |
Meten en rapporteren van doelstellingen | Driemaandelijks |
Vaststellen van doelstellingen voor de volgende periode | Jaarlijks |
Controle op afstemming met resultaten van risicobeoordeling | Na elke risicobeoordeling |