WERELDWIJD BELEID INZAKE INFORMATIEBEVEILIGING VOOR WERKNEMERS EN CONTRACTPARTNERS VAN CRAWFORD
Herzien: 12.07.2012
Crawfords wereldwijde beleid inzake informatiebeveiliging
INHOUDSOPGAVE Pagina
1. Overzicht .............................................................................................................3 2. Doel......................................................................................................................3 3. Reikwijdte ............................................................................................................3 4. Verantwoordelijkheden .......................................................................................4 5. Het melden van incidenten ..................................................................................4 6. Classificatie en afhandeling van informatie ........................................................5 7. Aanvaardbaar e-mailgebruik ...............................................................................6 8. Aanvaardbaar internetgebruik .............................................................................7 9. Toegangscontrole.................................................................................................8 10. Wachtwoorden .....................................................................................................9
Herzien: 12.07.2012
Pagina 2 van 10
Crawfords wereldwijde beleid inzake informatiebeveiliging
WERELDWIJD BELEID INZAKE INFORMATIEBEVEILIGING VOOR WERKNEMERS EN CONTRACTPARTNERS VAN CRAWFORD 1. Overzicht 1.1 De bedrijfsvoering van Crawford & Company (“Crawford”) is in essentiële mate afhankelijk van informatie en informatiesystemen. Crawfords executive management is toegewijd aan het beschermen van de informatie waarover zij beschikt. Het wereldwijde beleid inzake informatiebeveiliging voor werknemers en contractpartners van Crawford (“Crawfords wereldwijde IB-beleid”) werd ontwikkeld om te zorgen dat Crawford haar informatie en de informatie die aan haar is toevertrouwd door haar klanten (d.w.z. de partij die Crawford inhuurt en betaalt of de betaling van de honoraria van Crawford faciliteert) en zakelijke partners (d.w.z. onafhankelijke leveranciers, onderaannemers) efficiënt en effectief kan beheren, controleren en beschermen. Crawfords Wereldwijde IB-beleid geldt voor alle bedrijfsonderdelen (met uitzondering van de Garden City Group), al het personeel en alle contractpartners van Crawford. 1.2 Crawfords wereldwijde IB-beleid kan worden opgevraagd bij het management van Crawford en is terug te vinden onder beleid en procedures op het Crawford-intranet op www.accesscrawford.com.
2. Doel 2.1. Crawfords wereldwijde IB-beleid is opgesteld om te communiceren dat Crawfords management de volgende onderliggende principes voor informatiebeveiliging onderschrijft:
de toegang tot informatie en informatiesystemen wordt gecontroleerd, waarbij toegang alleen wordt verleend tot de mate waarin dat noodzakelijk is voor het ondersteunen van geautoriseerde bedrijfsfuncties;
informatie en informatiesystemen worden beschermd op een wijze die overeenstemt met de gevoeligheid, waarde en mate van belangrijkheid van de informatie, en;
informatie wordt op juiste wijze beheerd om te zorgen dat de informatie compleet, nauwkeurig, vertrouwelijk, veilig en beschikbaar is voor de geautoriseerde bedrijfsactiviteiten.
3. Reikwijdte 3.1 Crawfords wereldwijde IB-beleid geldt voor alle personen die de mogelijkheid hebben toegang te krijgen tot informatie van Crawford en/of deze informatie kunnen verwerken, waaronder fulltime werknemers, parttime werknemers, tijdelijke werknemers, derden, adviseurs en contractpartners. 3.2 Crawfords wereldwijde IB-beleid is van toepassing op alle informatie van Crawford, ongeacht het medium, inclusief maar niet beperkt tot hardware, software, data, netwerken (vast en draadloos), telecommunicatie, mobiele apparaten, verwijderbare
Herzien: 12.07.2012
Pagina 3 van 10
Crawfords wereldwijde beleid inzake informatiebeveiliging
media, data ondergebracht in systemen die door derden worden beheerd, en exemplaren van uitdraaien van papieren rapporten en dossiers. 3.3 Crawfords wereldwijde IB-beleid is van toepassing op alle vormen van informatie gecreëerd, gebruikt of onderhouden door of namens Crawford, inclusief maar niet beperkt tot werknemersinformatie, klanteninformatie, reclamanteninformatie, informatie van overige eisende partijen, informatie over zakelijke partners, en informatie over Crawfords producten, diensten, processen, strategieën en prestaties.
4. Verantwoordelijkheden 4.1 Het executive management van Crawford is toegewijd om te zorgen dat door de hele organisatie heen de juiste informatiebeveiliging wordt toegepast. Het executive management heeft daartoe de Global Chief Information Officer (“CIO”) als verantwoordelijke aangewezen voor het plannen, invoeren en administreren van Crawfords initiatieven op het gebied van informatiebeveiliging. De Global CIO geeft het executive management van Crawford regelmatig updates over informatiebeveiligingsonderwerpen en initiatieven. 4.2 Managers zijn verantwoordelijk voor het autoriseren en goedkeuren van verzoeken voor toegang tot informatiesystemen, waarbij als punt van overweging geldt dat gebruikerstoegang wordt verleend op basis van geautoriseerde bedrijfsvereisten. Managers zijn er ook verantwoordelijk voor dat toegangsrechten van werknemers en contractpartners periodiek opnieuw worden bekeken en worden ingetrokken als zij niet langer vereist zijn, ofwel door op non-actiefstelling of beëindiging van een dienstverband of door verandering in de toegewezen verantwoordelijkheden. 4.3 Managers zijn er verantwoordelijk voor toezicht te houden op werknemersactiviteiten en ieder potentieel beveiligingsincident of overtreding te melden. Disciplinaire maatregelen als gevolg van overtreding van het informatiebeveiligingsbeleid worden afgehandeld door plaatselijke managers op aanwijzing van personen van ICT, personeelszaken, juridische zaken en/of enige andere toepasselijke functie op het gebied van risico en naleving, daar waar nodig. 4.4 Het is de verantwoordelijkheid van alle personen met toegang tot Crawford-informatie om zich bewust te zijn van Crawfords wereldwijde IB-beleid en alle aan beveiliging gerelateerde normen, beleidslijnen, procedures en werkmethoden die gelden voor hun eigen activiteiten en verantwoordelijkheidsgebieden, en deze te begrijpen en na te leven. Crawford moet ervoor zorgen dat al haar informatie, zij het in de vorm van uitdraaien of in elektronische vorm, en de hulpmiddelen die worden gebruikt om er toegang toe te krijgen of te verwerken, bestand is tegen voorziene bedreigingen, gevaren en niet-toegestaan gebruik en/of openbaarmaking.
5. Het melden van incidenten 5.1
Alle privacy- en beveiligingsincidenten moeten worden gemeld overeenkomstig de toepasselijke incidentmeldingsprocedure, wat het waarschuwen kan inhouden van een of meer van de volgende personen: uw ICT-ondersteuningsteam, leidinggevende, landelijk manager (d.w.z.: de hoogste manager verantwoordelijk voor de
Herzien: 12.07.2012
Pagina 4 van 10
Crawfords wereldwijde beleid inzake informatiebeveiliging
bedrijfsvoering in het land en doorgaans gevestigd in dat land. Hij/zij kan de functietitel landelijk manager hebben, of worden beschreven als de CEO voor het betreffende land of bedrijfsonderdeel). Een privacyincident is een gebeurtenis waarbij sprake is van de wetenschap of een redelijk vermoeden dat er ongeautoriseerde of ongepaste verzameling, gebruik, toegang, openbaarmaking, overdracht, verandering en/of blootstelling van persoonlijk identificeerbare informatie (personally identifiable information, “PII”) heeft plaatsgevonden. PII is iedere informatie die kan worden gebruikt om een persoon, of de gegevens van een bankpas- of creditkaarthouder te identificeren. Een beveiligingsincident doet zich voor wanneer er een poging wordt ondernomen om toegang te verkrijgen tot data, systemen of netwerken, of deze ongunstig te beïnvloeden, wat van invloed is op de vertrouwelijkheid, integriteit of beschikbaarheid, en wat al dan niet de blootstelling van PII en/of informatie van bankpas- en creditkaarthouders kan omvatten. 5.2 De internationale incidentmeldingsprocedure moet worden gevolgd telkens wanneer:
informatie van Crawford is kwijtgeraakt, openbaar gemaakt aan ongeautoriseerde partijen, of waarvan het vermoeden bestaat dat deze is kwijtgeraakt of openbaar gemaakt aan ongeautoriseerde partijen;
ongeautoriseerd gebruik van Crawfords informatiesystemen heeft plaatsgevonden of het vermoeden bestaat dat dit heeft plaatsgevonden, of wanneer wachtwoorden of andere controlemechanismen voor systeemtoegang zijn kwijtgeraakt, ontvreemd of openbaar gemaakt;
er ongebruikelijk systeemgedrag plaatsvindt, zoals ontbrekende bestanden, frequente systeemcrashes, onjuist gerouteerde berichten, of vergelijkbaar gedrag, wat kan duiden op een infectie met schadelijke computersoftware.
5.3 De details van privacy- en beveiligingsincidenten moeten niet in brede kring worden besproken, maar alleen worden uitgewisseld als dat noodzakelijk is. Alle communicatie met externe partijen verloopt op aanwijzing van juridische zaken, een toepasselijke risico- en nalevingsfunctionaris en/of een lid van het Global Executive Managementteam.
6. Classificatie en afhandeling van informatie 6.1 Crawford draagt de juridische en contractuele verantwoordelijkheid om te zorgen voor de veiligheid en privacy van gevoelige informatie die aan Crawford is toevertrouwd, waaronder werknemersinformatie (zoals: salarisgegevens, arbeidsvoorwaarden, persoonlijke contactgegevens), klanteninformatie (zoals: contractgegevens, facturatiegegevens, kredietlimieten), informatie van reclamanten, informatie van overige eisende partijen, informatie van zakelijke partners, en informatie over Crawfords producten, diensten, processen, strategieën en prestaties. 6.2 Alle informatie in de Crawford-systemen of in de Crawford-dossiers moet als gevoelig worden beschouwd en mag alleen worden uitgewisseld met degenen die toegang tot die data mogen hebben. Crawford-medewerkers zijn er verantwoordelijk voor dat de juiste bescherming van informatie in stand blijft, zo lang die informatie bestaat. Het is noodzakelijk dat iedereen de plaatselijke wetgeving met betrekking tot
Herzien: 12.07.2012
Pagina 5 van 10
Crawfords wereldwijde beleid inzake informatiebeveiliging
gegevensbescherming en gegevensbeveiliging naleeft, en de beveiligings- en beschermingsclausules in klantentcontracten en geheimhoudingsovereenkomsten (met reclamanten en andere eisende partijen) die met de juiste bevoegdheid zijn aangegaan.
7. Aanvaardbaar e-mailgebruik 7.1 Het e-mailsysteem moet hoofdzakelijk worden gebruikt in het kader van Crawfords bedrijfsvoering. 7.2 Het e-mailsysteem en alle inhoud van e-mails is eigendom van Crawford. Alle berichten die middels het e-mailsysteem van Crawford worden opgesteld, verzonden of ontvangen, worden eigendom van Crawford en worden opgeslagen in het emailsysteem. 7.3 E-mailberichten moeten als vertrouwelijk worden behandeld en mogen alleen geopend worden door de beoogde ontvanger. Gebruikers mogen niet proberen toegang te krijgen tot e-mailaccounts van anderen of tot andere computersystemen waarvoor zij niet geautoriseerd zijn. 7.4 E-mailgebruikers moeten beleefd zijn met andere gebruikers en professioneel te werk gaan bij het opstellen en verzenden van e-mailberichten. 7.5 E-mails mogen geen berichten of bijlagen bevatten die pornografisch, seksueel georiënteerd of aanstootgevend zijn. Voorbeelden van verboden inhoud zijn onder meer maar niet beperkt tot: materiaal dat frauduleus is, treiterend, beschamend, godslasterlijk, intimiderend, lasterlijk, onwettig, discriminerend, ongepast, beledigend of dat in overtreding is met Crawfords beleid op het gebied van gelijke arbeidskansen en Crawfords beleid tegen seksuele of overige intimidatie. 7.6 E-mailcommunicatie mag niet worden gebruikt voor persoonlijke bedrijfsactiviteiten, advertenties, invitaties of kettingbrieven; voor propaganda of bekeringswerk voor politieke of religieuze doelen, externe organisaties of niet aan het werk gerelateerde doelen; voor gokken, pornografie of gewelddadige doelen; of voor onwettige activiteiten. 7.7 Het e-mailsysteem mag zonder de benodigde toestemming niet worden gebruikt voor het verzenden (uploaden) of ontvangen (downloaden) van materialen waarop auteursrecht rust, software, bedrijfsgeheimen, eigendomsrechtelijke financiële informatie of vergelijkbare materialen. 7.8 De e-maildistributielijsten in het systeem zijn eigendom van Crawford, ongeacht van wie dergelijke lijsten afkomstig zijn. E-maildistributielijsten mogen als zodanig niet worden overgedragen aan iemand buiten Crawford zonder de goedkeuring vooraf van het hoger management. 7.9 E-mailgebruikers zijn verplicht om hun wachtwoord te wijzigen als zij daartoe worden gewaarschuwd door het e-mailsysteem. Wachtwoorden moeten vertrouwelijk worden behandeld en niet worden bekend gemaakt, behoudens indien op verzoek van het management van de gebruiker en alleen nadat de benodigde goedkeuring is verkregen. 7.10 Het is verboden om zakelijke e-mails door te sturen naar apparaten die niet door Crawford zijn verstrekt, of naar e-mailaccounts die niet van Crawford zijn. Herzien: 12.07.2012
Pagina 6 van 10
Crawfords wereldwijde beleid inzake informatiebeveiliging
7.11 Crawford-informatie die over het internet wordt verzonden via de e-mail of via andere middelen, moet beveiligd en beschermd worden gedurende de verzending. Veel klanten eisen contractueel dat wanneer informatie van reclamanten per e-mail wordt verstuurd, dat deze informatie met encryptie wordt beveiligd of op een andere manier beveiligd wordt verzonden (bijvoorbeeld een zipbestand beveiligd met een wachtwoord). Het is noodzakelijk dat iedereen de voorgeschreven beschermingsmechanismen gebruikt bij het per e-mail verzenden van gegevens van reclamanten. 7.12 Beperkt en incidenteel persoonlijk gebruik van het e-mailsysteem is toegestaan, mits de inhoud in overeenstemming is met bovenstaande richtlijnen.
8. Aanvaardbaar internetgebruik 8.1 Internet- en intranetsystemen worden beschikbaar gesteld om te gebruiken in de zakelijke activiteiten voor Crawford en om toegang te krijgen tot informatie die werkgerelateerd is. 8.2 Alvorens informatie met betrekking tot Crawford op commerciële online systemen of op het internet te plaatsen, is toestemming van het management vereist. 8.3 Het internet mag niet worden gebruikt voor het communiceren, overdragen of opslaan van personeelsinformatie, klanteninformatie, reclamanteninformatie of informatie van overige eisende partijen, tenzij de vertrouwelijkheid en integriteit van de informatie gegarandeerd wordt, de identiteit van de ontvanger(s) is vastgesteld en de communicatie op beveiligde wijze wordt uitgevoerd om vertrouwelijke informatie te beschermen. Hiervoor moet toestemming worden verkregen van de informatiebeveiligingsfunctionaris in uw land. 8.4 Gebruikers moeten auteursrechtwetgeving en toepasselijke licentievereisten naleven. Het via internet downloaden van niet van Crawford afkomstige uitvoerbare software of materialen waarop auteursrecht rust, is vanwege veiligheids- en wettelijke redenen verboden. Uitzonderingen zijn alleen toegestaan met de goedkeuring van de informatiebeveiligingsfunctionaris in uw land. 8.5 Crawfords netwerk- en computerresources mogen niet worden gebruikt als een middel om internetgebruikers, diensten of apparatuur te storen of te verstoren. Verstoringen zijn onder meer maar niet beperkt tot het verspreiden van “spam”, het gebruik van Crawfords internetresources om door te dringen of proberen door te dringen op andere computers in het netwerk, of doelbewust kwaadaardige software op het netwerk loslaten. 8.6 Crawfords netwerk- en computerhulpbronnen mogen niet worden gebruikt om zich ongeautoriseerde toegang te verschaffen, of proberen te verschaffen tot vanaf internet toegankelijke netwerken of computers. 8.7 Het gebruik van de gebruikersnaam of wachtwoord door een ander dan de persoon aan wie de gebruikersnaam en wachtwoord eigenlijk zijn verstrekt om zich toegang te verschaffen tot Crawfords netwerk en internet is verboden en maakt de werknemergebruiker verantwoordelijk voor alle acties van die persoon of personen.
Herzien: 12.07.2012
Pagina 7 van 10
Crawfords wereldwijde beleid inzake informatiebeveiliging
8.8 Incidenteel persoonlijk gebruik van internet- en intranetsystemen is toegestaan, op voorwaarde dat er geen persoonlijke bedrijfsactiviteiten worden uitgevoerd of gestimuleerd; geen propaganda of bekeringswerk wordt gemaakt voor politieke of religieuze doelen, externe organisaties of niet aan het werk gerelateerde doelen, of dat dit wordt aangemoedigd; geen onwettige activiteiten worden uitgevoerd of aangemoedigd; en men zich niet bezighoudt met gokken, pornografie of geweld, of dit aanmoedigt. 8.9 Het gebruik van internet met Crawfords netwerk- of computerhulpbronnen voor recreatieve spelen, of voor het verkrijgen of verspreiden van pornografische, seksueel georiënteerde of aanstootgevende materialen, is verboden. Voorbeelden van verboden inhoud zijn onder meer maar niet beperkt tot materiaal dat frauduleus is, treiterend, beschamend, godslasterlijk, intimiderend, lasterlijk, onwettig, ongepast, beledigend of dat in overtreding is met Crawfords beleid op het gebied van gelijke arbeidskansen en Crawfords beleid tegen seksuele of overige intimidatie.
9. Toegangscontrole 9.1 Personen met toegang tot Crawford-informatie zijn verantwoordelijk voor het beschermen van de vertrouwelijkheid, integriteit en nauwkeurigheid van de Crawfordinformatie die onder hun beheer valt. 9.2 Toegang tot en gebruik van de Crawford netwerk- en computeromgevingen wordt beperkt tot op juiste wijze geïdentificeerde, gevalideerde en geautoriseerde personen voor wie toegang en gebruik noodzakelijk is. 9.3 Toestemming van het management is vereist voordat een gebruiker wordt geautoriseerd om een netwerk- of computerhulpbron van Crawford te gebruiken. De toestemming moet schriftelijk worden vastgelegd en worden bewaard voor controledoeleinden. 9.4 Toestemming van het management, in overeenstemming met de bekendgemaakte beleidscriteria, is vereist voordat een persoon geautoriseerd wordt om toegang te krijgen tot het uitdraaien van Crawford-informatie. De toestemming moet schriftelijk worden vastgelegd en worden bewaard voor controledoeleinden. 9.5 Gebruikers (waaronder systemen en applicaties) moeten onvoorwaardelijk en afzonderlijk worden geïdentificeerd en geverifieerd voordat toegang tot de informatie van Crawford is toegestaan, of voordat toegestaan wordt informatie van Crawford bij te werken. 9.6 Informatie en systemen van Crawford moeten hoofdzakelijk worden gebruikt voor Crawford-zaken, en informatie en systemen van Crawford mogen niet worden gebruikt voor persoonlijke doeleinden of ten ongeautoriseerde voordele of nadele van anderen. 9.7 Papier, film, cd’s en andere verwijderbare media met informatie van Crawford moet worden versnipperd of anderszins vernietigd voordat deze wordt weggegooid. 9.8 Crawford-informatie moet op juiste wijze worden gemarkeerd, en het aantal kopieën en het aantal mensen aan wie gevoelige informatie wordt verspreid, moet worden gecontroleerd.
Herzien: 12.07.2012
Pagina 8 van 10
Crawfords wereldwijde beleid inzake informatiebeveiliging
9.9 Alle onbeheerde werkstations, laptops of andere apparatuur die informatie kan bevatten of verzenden, zoals een smartphone of een tabletcomputer, moeten worden beveiligd tegen ongeautoriseerde toegang en mogen niet onbeschermd worden achtergelaten. 9.10 Crawford-informatie mag niet van het terrein van Crawford worden meegenomen, tenzij in relatie tot Crawfords bedrijfsvoering. Wanneer informatie van het terrein van Crawford wordt meegenomen, dan moet deze informatie op de juiste wijze worden beveiligd. 9.11 Het is verboden om Crawford-informatie op te slaan op computerapparatuur die persoonlijk eigendom is (bijvoorbeeld een thuiscomputer, tablet of smartphone). Geautoriseerd gebruik van internetapplicaties (bijvoorbeeld claimssystemen met internettoegang) voor externe toegang is toegestaan; echter bijlagen of bestanden mogen niet worden gedownload of opgeslagen op een apparaat dat niet van Crawford is. 9.12 Gebruikers moeten informatie back-uppen en opslaan op niet-draagbare apparaten (dat wil zeggen Crawford-servers aangesloten op het Crawford-netwerk). Draagbare opslagapparatuur mag niet worden aangesloten op Crawford-computers, -systemen of netwerken zonder een specifiek, geautoriseerd bedrijfsdoel. Als een draagbaar apparaat wordt gebruikt, dan is encryptie van de informatie op het draagbare apparaat verplicht. Alle draagbare apparaten voor gegevensopslag moeten zich te allen tijde onder directe fysieke controle van de persoon bevinden die een dergelijk apparaat gebruikt. 9.13 Uitdraaien van Crawford-informatie moeten fysiek worden beveiligd wanneer zij buiten kantooruren in het kantoor worden achtergelaten. Gevoelige informatie mag niet onbeheerd achterblijven op een bureau, tafel of ergens anders. Gevoelige informatie moet worden gewist van whiteboards, flip-overs, of soortgelijke veelgebruikte locaties.
10.Wachtwoorden 10.1 Individuele gebruikers moeten de wachtwoorden voor alle accounts op juiste wijze beschermen. Wachtwoorden die uniek zijn voor een gebruiker, mogen niet worden uitgewisseld met andere personen of gebruikers. Tijdelijke of aanvangswachtwoorden mogen worden uitgewisseld met de leidinggevende van de gebruiker, maar alleen om het aanleveren van het wachtwoord aan gebruikers te faciliteren, die deze niet kunnen ontvangen middels de goedgekeurde verzendmethoden. Als een wachtwoord moet worden uitgewisseld met een geautoriseerde ICT-technicus om probleemoplossing, onderhoud, of installatie van hardware of software te faciliteren, dan moet het wachtwoord direct na de afronding van dat werk worden gewijzigd. 10.2 Voor iedere gebruikers-ID die wordt uitgegeven, geldt individuele verantwoordelijkheid. Het gebruik van ID’s voor groepsgebruik en/of algemene ID’s met bijbehorende wachtwoorden wordt ten strengste afgeraden en mag alleen worden toegepast als dat noodzakelijk is voor het ondersteunen van bedrijfsprocessen waar geen technisch alternatief voorhanden is.
Herzien: 12.07.2012
Pagina 9 van 10
Crawfords wereldwijde beleid inzake informatiebeveiliging
10.3 Het is verboden om wachtwoorden op te schrijven en dit is alleen toegestaan wanneer het voor de ondersteuning van bedrijfsprocessen noodzakelijk is. Wachtwoorden die genoteerd moeten worden, moeten op juiste wijze worden beveiligd om openbaarmaking aan anderen dan geautoriseerde gebruikers te voorkomen. 10.4 Wachtwoorden moeten worden gewijzigd wanneer zij verlopen of telkens wanneer er een aanwijzing is dat het systeem of het wachtwoord gecompromitteerd is. 10.5 Als een vertrekkende of ontslagen medewerker verantwoordelijk was voor het systeembeheer, dan moet de leidinggevende van die medewerker er voor zorgen dat, in verhouding tot de risico’s, alle toepasselijke wachtwoorden direct worden veranderd.
Herzien: 12.07.2012
Pagina 10 van 10
