+ 41 52 511 3200 (SUI)     + 1 713 955 7305 (USA)     
Cybersecuritybeleid

 

1. Inleiding en doel

1.1 Rheonics streeft ernaar haar informatie-activa, waaronder bedrijfseigen gegevens, klantgegevens, intellectuele eigendom en IT-infrastructuur te beschermen tegen ongeautoriseerde toegang, gebruik, openbaarmaking, wijziging, verstoring of vernietiging.

1.2 Dit beleid stelt het kader vast voor het handhaven van een veilige omgeving voor Rheonics' digitale operaties, afgestemd op:

  • Regelgeving: Zwitserse FADP, AVG (waar van toepassing), Amerikaanse staats-/federale wetten en andere toepasselijke nationale wetten waar Rheonics opereert.
  • Normen: Zero Trust-principes, CIS-benchmarks, NIST-richtlijnen (bijv. SP 800-88, SP 800-171 waar van toepassing) en OWASP-richtlijnen.

1.3 Doelstellingen:

  • Beveilig de vertrouwelijkheid, integriteit en beschikbaarheid (CIA) van gegevens en systemen.
  • Minimaliseer de risico's van cyberbeveiligingsincidenten en zorg voor bedrijfscontinuïteit.
  • Bevorder een cultuur waarin alle medewerkers bewust omgaan met beveiliging.
  • Zorg ervoor dat u voldoet aan wettelijke, reglementaire en contractuele verplichtingen.

 

2. strekking

Geldt voor iedereen Rheonics werknemers, contractanten, consultants, stagiaires, vrijwilligers en derden (“Gebruikers”) die toegang hebben tot Rheonics systemen, gegevens of faciliteiten. Omvat:

2.1 Activa

  • Hardware
  • Software (inclusief SaaS/IaaS/PaaS)
  • Gegevens (elektronisch en fysiek)
  • Networks
  • Fysieke faciliteiten

2.2-activiteiten

  • Werk op locatie
  • Afstandswerk
  • Gebruik van bedrijfseigen apparaten
  • Gebruik van persoonlijke apparaten (BYOD)
  • Ontwikkelingsactiviteiten
  • Interacties met externe leveranciers

 

3. Rollen en verantwoordelijkheden


RolKey Duties
beheerWees een voorstander van beleid, wijs middelen toe en zorg voor algemene naleving en risicobeheer.
IT/beveiligingsteamImplementeer/beheer controles; leid de reactie op incidenten; voer audits en beoordelingen uit.
Alle gebruikersVoldoe aan het beleid; gebruik sterke wachtwoorden + MFA; meld incidenten direct; rond de training af.

 

4. Beleidsverklaringen

4.1 Gegevensbeveiliging

  • Classificatie en behandeling: Gegevens moeten worden geclassificeerd en behandeld op basis van gevoeligheid (zie Bijlage A). De eisen nemen toe naarmate de gevoeligheid toeneemt.
  • encryptie: Beperkte en vertrouwelijke gegevens moeten tijdens opslag en verzending worden gecodeerd met behulp van krachtige algoritmen die voldoen aan de industriestandaard.
  • verwijdering: Er moeten veilige methoden worden gebruikt: NIST SP 800-88-conform wissen voor elektronische media; cross-cut vernietigen (P-4 of hoger) voor fysieke documenten die vertrouwelijke of beperkte gegevens bevatten. Bewaartermijnen voor gegevens moeten worden nageleefd.

4.2 Toegangscontrole

  • Minste privilege en RBAC: Toegang wordt verleend op basis van de noodzaak van de functie (minste privilege) met behulp van Role-Based Access Control (RBAC).
  • authenticatie: Unieke gebruikers-ID's vereist. Sterke wachtwoorden (zie Bijlage B) en MFA zijn verplicht voor cloudservices, externe toegang, beheerdersaccounts en systemen die vertrouwelijke/beperkte gegevens verwerken.
  • Recensies: Toegangsrechten worden elk kwartaal beoordeeld door managers/systeemeigenaren; worden direct ingetrokken bij beëindiging van het dienstverband of bij een rolwijziging. Een formeel goedkeuringsproces is vereist voor toegangsverlening/-wijzigingen.

4.3 Acceptabel gebruikbeleid (AUP)

  • Zakelijk doel: Rheonics Middelen zijn primair bedoeld voor zakelijk gebruik. Beperkt incidenteel persoonlijk gebruik is toegestaan, mits dit geen belemmering vormt voor taken, geen overmatig gebruik van middelen inhoudt, geen kosten met zich meebrengt of in strijd is met beleid/wetten.
  • Verboden activiteiten: Inclusief, maar niet beperkt tot: illegale activiteiten, intimidatie, het verkrijgen/verspreiden van aanstootgevend materiaal, inbreuk op het auteursrecht, ongeautoriseerde systeemwijzigingen, het omzeilen van beveiligingsmaatregelen, het installeren van ongeautoriseerde software, het introduceren van malware, ongeautoriseerd delen/exfiltreren van gegevens, buitensporig persoonlijk gebruik.
  • Gebruikerswaakzaamheid: Gebruikers moeten voorzichtig zijn met e-mail (phishing), surfen op internet (kwaadaardige sites) en het omgaan met bijlagen/links.

4.4 Netwerkbeveiliging

  • Omtrek en segmentatie: Firewalls, IDS/IPS worden onderhouden. Netwerksegmentatie isoleert kritieke systemen (bijv. R&D, productie) en dataopslag.
  • Wi-Fi: Beveiligde WPA3-Enterprise (of minimaal WPA2-Enterprise) voor interne netwerken. Gast-wifi moet logisch gescheiden zijn en geen toegang bieden tot interne bronnen.
  • Remote Access: Alleen via een door het bedrijf goedgekeurde VPN met MFA. Split-tunneling is mogelijk beperkt.
  • Nul vertrouwen: De implementatie van de Zero Trust-architectuurprincipes (zoals microsegmentatie, continue verificatie, gezondheidscontroles van apparaten) is nog steeds gaande. Het doel is om deze voor kritieke netwerken in het eerste kwartaal van 1 te voltooien.

4.5 Bedrijfseigen endpointbeveiliging

  • Bescherming:Alle eindpunten die eigendom zijn van het bedrijf (desktops, laptops, mobiele apparaten) moeten beschikken over door het bedrijf beheerde Endpoint Detection & Response (EDR) of goedgekeurde antivirussoftware, die actief en bijgewerkt is.
  • patchen: Besturingssystemen en applicaties moeten up-to-date worden gehouden via het patchmanagementproces van het bedrijf. Kritieke patches worden binnen vastgestelde tijdlijnen toegepast [Rheonics om tijdlijnen te definiëren, bijvoorbeeld 72 uur voor kritieke besturingssystemen].
  • encryptie: Volledige schijfversleuteling (bijvoorbeeld BitLocker, FileVault) is verplicht op laptops en draagbare apparaten.

4.6 Breng uw eigen apparaat mee (BYOD)

  • Goedkeuring en normen: Gebruik van persoonlijke apparaten (BYOD) voor toegang tot niet-openbare Rheonics Gegevens vereisen expliciete goedkeuring en naleving van minimumnormen (zie Bijlage D).
  • Beveiligingsvereisten: Omvat MDM-inschrijving, ondersteunde OS-versies, beveiligingssoftware, encryptie, toegangscodes, de mogelijkheid om op afstand gegevens te wissen en scheiding/containerisatie van gegevens.
  • Disclaimer: Rheonics behoudt zich het recht voor om bedrijfsgegevens van BYOD-apparaten te beheren/wissen; Rheonics is niet verantwoordelijk voor het verlies van persoonsgegevens tijdens beveiligingsmaatregelen.

4.7 Softwarebeveiliging en -beheer

  • Geautoriseerde software: Alleen door IT goedgekeurde, gelicentieerde software mag worden geïnstalleerd. Het is gebruikers verboden ongeautoriseerde applicaties te installeren.
  • Patchbeheer: Geldt voor alle software (besturingssystemen, applicaties, firmware) op alle systemen (servers, eindpunten, netwerkapparaten).
  • Kwetsbaarheidsbeheer: Regelmatige kwetsbaarheidsscans worden uitgevoerd. Kritieke kwetsbaarheden moeten binnen vastgestelde tijdlijnen worden verholpen [Rheonics Penetratietesten die periodiek op kritieke systemen worden uitgevoerd.
  • Veilige ontwikkeling: (Indien van toepassing) Ontwikkelteams moeten veilige coderingspraktijken volgen (bijv. OWASP Top 10), codebeoordelingen uitvoeren en beveiligingstesttools gebruiken (SAST/DAST).
  • Softwarecompositieanalyse (SCA): Open-sourcecomponenten moeten worden geïnventariseerd en gescand op kwetsbaarheden. Het gebruik van end-of-life (EOL) software/componenten is verboden, tenzij het management/IT-beveiliging het risico expliciet accepteert.

4.8 Fysieke beveiliging

  • Toegangscontrole: Toegang tot Rheonics Faciliteiten, serverruimtes en R&D-laboratoria worden beveiligd door middel van fysieke controles (badges, sleutels, biometrie). Toegangslogboeken worden bijgehouden voor gevoelige gebieden.
  • Bezoekersbeheer: Bezoekers moeten zich registreren, een tijdelijk identiteitsbewijs ontvangen en worden begeleid naar niet-openbare ruimtes.
  • Beveiliging van werkplekken: Gebruikers moeten werkstations vergrendelen als ze niet aanwezig zijn (Windows+L / Ctrl+Cmd+Q).
  • Leeg bureau/scherm: Gevoelige informatie (fysieke documenten, schermen) moet worden beschermd tegen onbevoegde inzage, vooral in open ruimtes of wanneer u bureaus onbeheerd achterlaat. Er moeten veilige afvalbakken worden gebruikt.

4.9 Cloudbeveiliging

  • Goedgekeurde diensten: Gebruik van clouddiensten (SaaS, IaaS, PaaS) voor Rheonics Gegevens moeten worden goedgekeurd door IT/Beveiliging.
  • Configuratie & Monitororing: Services moeten veilig worden geconfigureerd en, indien van toepassing, worden afgestemd op CIS Benchmarks (AWS/GCP/Azure). Beleid voor voorwaardelijke toegang (bijv. geolocatie, apparaatcompliance) moet worden gehandhaafd. API- en gebruikersactiviteitsregistratie moet worden ingeschakeld en bewaakt.
  • Gegevensbescherming: Zorg ervoor dat cloudproviders voldoen aan Rheonics'Gegevensbeveiliging, encryptie, back-up en verblijfsvereisten via contracten en beoordelingen.

4.10 Beheer van derden/leveranciers

  • Risicobeoordeling: Er worden beveiligingsbeoordelingen uitgevoerd voordat er leveranciers worden ingeschakeld die toegang hebben tot uw gegevens, deze verwerken en opslaan. Rheonics gegevens of verbinding met netwerken. Het risiconiveau bepaalt de diepgang van de beoordeling.
  • Contractuele vereisten: Contracten moeten clausules bevatten over vertrouwelijkheid, gegevensbescherming (inclusief DPA's bij verwerking van persoonsgegevens onder de AVG/FADP), beveiligingsmaatregelen, melding van incidenten en auditrechten.
  • Doorlopende monitororing: Regelmatige beoordeling van de kritische beveiligingshouding van leveranciers.

4.11 Reactie op incidenten

  • Rapportage: Vermoedelijke incidenten moeten onmiddellijk (binnen 1 uur na ontdekking) worden gemeld via () of (24/7 Interne Bedrijfsteams kanaal).
  • Reactieplan: Rheonics onderhoudt een Incident Response Plan (IRP). Zie Bijlage C voor de basisstroom.
  • Kritieke incidenten: (bijv. ransomware, bevestigde datalekken). Activeer escalatie- en inperkingsmaatregelen (doelstelling binnen 4 uur). Meldingen aan juridische/bestuurlijke instanties volgen de door de regelgeving voorgeschreven tijdlijnen (bijv. melding van datalekken binnen 72 uur volgens de AVG/FADP, indien van toepassing).
  • Samenwerking: Alle gebruikers moeten volledig meewerken aan onderzoeken naar incidenten.

 

5. Handhaving

Overtredingen worden aangepakt op basis van de ernst en bedoeling, conform de lokale arbeidswetgeving.

schendingVoorbeeldGevolg (voorbeelden)
MinderOnbedoelde beleidsafwijking; gemiste niet-kritieke trainingSchriftelijke waarschuwing; verplichte omscholing
GrootGedeelde inloggegevens; herhaalde kleine overtredingen; het installeren van ongeautoriseerde P2P-softwareSchorsing; formele disciplinaire maatregelen
Kritisch / OpzettelijkOpzettelijke datalekken; kwaadaardige activiteiten; sabotageBeëindiging; mogelijke juridische stappen

 

6. Beleidsonderhoud

  • Beoordeling Cadence: Minimaal eenmaal per jaar beoordeeld door de beleidseigenaar (hoofd IT) en belanghebbenden.
  • Beoordelingstriggers: Ad-hocbeoordelingen naar aanleiding van: grote beveiligingsincidenten, belangrijke wetswijzigingen (bijv. nieuwe wetgeving inzake gegevensbescherming), belangrijke veranderingen in technologie/infrastructuur (bijv. een grote migratie naar de cloud), auditbevindingen.
  • Bijgewerkt: Goedgekeurde wijzigingen gecommuniceerd naar alle gebruikers.

 

7. Bijlagen

7.1 Bijlage A: Gegevensclassificatie

ClassificatieVoorbeeldVereisten voor verwerking
BeperktKlant-PII, R&D-broncode, cryptosleutels• Encryptie (in rust/transit)
• Strikte toegangslogboeken
• Noodzaak om te weten + expliciete goedkeuring
• Jaarlijkse toegangsbeoordeling
Inzichten doorPersoneelsgegevens, financiële gegevens, interne strategieën• MFA aanbevolen/vereist
• Noodzakelijke basis
• Beperkt intern delen
InternVergadernotulen, intern beleid, algemene communicatie• Zonder toestemming mag er niet met derden worden gedeeld.
• Gebruik bedrijfssystemen
PubliekeMarketingmateriaal, openbare website-inhoud• Geen beperkingen op het hanteren/delen

 

7.2 Bijlage B: Wachtwoord Vereisten

  • Minimale lengte:
    • Gebruikersaccounts: 12 tekens
    • Beheerder-/serviceaccounts: 16 tekens
  • Ingewikkeldheid
    • Minimaal 3 van de 4: hoofdletters, kleine letters, cijfers, symbolen (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Mag geen gebruikersnaam of veelgebruikte woordenboekwoorden bevatten.
  • Rotatie
    • Maximaal 90 dagen (tenzij er gebruik wordt gemaakt van goedgekeurde continue authenticatiemethoden).
  • Geschiedenis
    • De 5 vorige wachtwoorden kunnen niet opnieuw worden gebruikt.
  • Opslag:
    • Mag niet onbeveiligd worden opgeschreven. Gebruik een door het bedrijf goedgekeurde wachtwoordbeheerder (bijv. Bitwarden, 1Password) voororing Complexe, unieke wachtwoorden. Het delen van wachtwoorden is verboden. MFA-bypass is verboden.

 

7.3 Bijlage C: Stroomschema voor incidentrespons

  • Detectie en analyse: Identificeer potentiële incidenten.
  • Rapportage: Meld het ONMIDDELLIJK (binnen de beoogde termijn van 1 uur) aan IT/Beveiliging via de vastgestelde kanalen.
  • Triage en beoordeling: IT/beveiliging beoordeelt de ernst en impact.
  • insluiting: Isoleer de getroffen systemen/accounts (binnen de doelstelling van 4 uur bij kritieke incidenten).
  • Uitroeiing: Verwijder bedreiging/kwetsbaarheid.
  • Herstel: Systemen/gegevens veilig herstellen.
  • Beoordeling na incident: Geleerde lessen, procesverbetering.
    • Kennisgeving: Juridische/regelgevende/klantmeldingen worden uitgevoerd indien nodig op basis van een beoordeling (bijvoorbeeld binnen 72 uur bij inbreuken op persoonsgegevens conform de AVG/FADP).

 

7.4. Bijlage D: BYOD-minimumnormen

  • Goedkeuring van de miner: Vereist voordat u toegang krijgt tot niet-openbare gegevens.
  • Apparaatvereisten:
    • OS-versies: Moet draaien op de momenteel door de leverancier ondersteunde versies (bijv. Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Beveiliging: Schermvergrendeling/biometrie ingeschakeld; apparaatversleuteling ingeschakeld; goedgekeurde beveiligingssoftware (AV/anti-malware) is mogelijk vereist; apparaat niet gejailbreakt/geroot.
    • MDM: Inschrijving in Rheonics' Mobile Device Management (MDM)-oplossing is verplicht.
    • Op afstand wissen: De mogelijkheid voor bedrijfsgegevens/-profielen moet ingeschakeld zijn.
  • Gegevensscheiding: Bedrijfsgegevens worden geopend/opgeslagen via goedgekeurde applicaties binnen een beheerd profiel of container (bijv. Microsoft Intune MAM, Android Work Profile). Bedrijfsgegevens mogen niet worden gekopieerd naar persoonlijke apps/opslag.
  • Netwerk: Maak verbinding via een beveiligde wifi-verbinding. Gebruik voor uw werk geen onbetrouwbare openbare wifi-netwerken.

 

8. Contact en bevestiging

  • Veiligheidsvragen/-zorgen: Contact () of het IT/beveiligingsteam via interne kanalen.
  • Meld incidenten: Gebruik urgente methoden: () en (24/7 Interne Bedrijfsteams kanaal).
  • Erkenning: Alle gebruikers dienen dit beleid elektronisch te lezen, te begrijpen en te bevestigen via (HR-portal, trainingssysteem) bij onboarding en na belangrijke updates. Het niet bevestigen van de ontvangst ontneemt de geldigheid van het beleid niet.
Download Cybersecuritybeleid
Rheonics Cybersecuritybeleid
Zoeken