We voldoen al 10 jaar aan de eisen van het ISO27001-certificaat, een wereldwijde erkende norm op het gebied van informatiebeveiliging. Bij de meest recente audit heeft het team zelfs 0 tekortkomingen ontvangen. Daar zijn we trots op.
In 2023-2027 willen we het volwassenheidsniveau van onze informatiebeveiliging behouden. En software by design intensiever toepassen.
Hier gaan we voor
In februari 2022 beoordeelde Software Improvement Group (SIG) het volwassenheidsniveau van onze informatiebeveiliging (IB) met een dikke voldoende: 4 van de 5 sterren. Hiermee zijn we koploper binnen RVO.
We willen onze IB-volwassenheid graag behouden. Dit vereist een constante focus op IB-aspecten in de applicatie. Maar ook in de keten waarin TenderNed opereert. Bijvoorbeeld het netwerk waarbinnen TenderNed functioneert en de externe koppelingen waarvan we afhankelijk zijn. Hierin kunnen kwetsbaarheden voorkomen.
Security & privacy ‘by design’
TenderNed staat voor veilig aanbesteden en inschrijven. Gebruikers moeten erop kunnen vertrouwen dat zij hun informatie veilig kunnen opslaan, verzenden of ontvangen. Informatie moet zichtbaar zijn wanneer dat mag en nodig is, maar onzichtbaar blijven in alle andere gevallen. Zowel veiligheid als privacy zitten daarom organisatorisch ‘ingebakken’ in alles wat we bij TenderNed bedenken, bouwen, testen en ‘live’ brengen. Al in een vroeg stadium zorgen we zowel functioneel als technisch voor zorgvuldige omgang met persoonsgegevens en veiligheid aspecten.
Onze Servicedeskmedewerkers zien bijvoorbeeld in TenderNed voldoende om hun werkzaamheden te kunnen verrichten en niet meer dan dat. Ze kunnen, na toestemming, meekijken in de schermen van een gebruiker, maar zien daar niet alle velden. Ook technisch applicatiebeheerders kunnen bij TenderNed niet alles zien en wijzigen, door de encryptiemethodes die we hanteren.
Kwetsbaarheden opsporen en afzwakken
Het snel kunnen opsporen en afzwakken van kwetsbaarheden is uiterst belangrijk. Om onze snelheid te vergroten, zetten we verder in op life cycle management (LCM) en breiden we onze real-time dashboards uit.
Life cycle management
TenderNed maakt gebruik van zeer veel verschillende componenten die afhankelijkheden met elkaar hebben. Elk component heeft een levensduur (life cycle). De levensduur van de verschillende componenten verschillen van elkaar. Niet elke versie van het ene component draait in combinatie met een versie van een ander component. Met LCM managen we deze complexiteit en zorgen we ervoor dat alle componenten blijven functioneren. Zo voorkomen we dat er een situatie ontstaat waarin verouderde versies onnodige incidenten en risico’s veroorzaken.
Real-time dashboards
We hebben verschillende dashboards met indicatoren die in 1 oogopslag laten zien hoe we ervoor staan. We zijn bezig deze dashboards verder te optimaliseren, zodat we nog sneller kunnen inspelen op mogelijke risico’s of incidenten.
Blockchain voor de kluis
Met blockchain-technologie is een techniek beschikbaar als mogelijk alternatief voor onze huidige kluistechnologie. De komende periode gaan we onderzoeken of blockchain eenvoudiger en veilig is.
