Informationssäkerhetspolicyn fastställs av ledningsgruppen och anger Certezzas grundläggande synsätt och viljeinriktning på en övergripande nivå gällande arbete med informationssäkerhet.
De informationstillgångar som Certezza hanterar – både åt sig själva och åt sina kunder – är av grundläggande betydelse för Certezzas verksamhet. Att dessa hanteras korrekt har betydelse för förtroendet hos medarbetare, kunder och samarbetspartners. Med informationstillgångar förstås all information som är av värde för Certezza och deras kunder, oavsett om den behandlas analogt eller digitalt, automatiskt eller manuellt, och oberoende av dess form eller miljön den förekommer i. Syftet med denna informationssäkerhetspolicy är att påvisa Certezzas åtagande att dessa tillgångar behandlas i enlighet med de mål och principer som anges nedan.
Informationssäkerhet kan sammanfattas i enlighet med följande kravområden:
Konfidentialitet – att information endast tillgängliggörs för behöriga individer, objekt eller processer.
Riktighet – att information skyddas mot oönskad förändring eller borttag, oavsett om förändringen är avsiktlig eller oavsiktlig.
Tillgänglighet – att information är tillgänglig i förväntad utsträckning, för behöriga användare och inom önskad tid.
Certezza åtar sig att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete och att i det arbetet uppfylla alla tillämpliga krav för att uppnå en hög nivå av informationssäkerhet. Policyn omfattar hela Certezza och innehåller följande mål och principer:
Ansvaret för Certezzas informationssäkerhetsarbete ska följa det normala delegerade verksamhetsansvaret på alla nivåer.
Ägarna beslutar mål och principer genom Certezzas informationssäkerhetspolicy.
Ledningsgruppen har ansvaret för Certezzas informationssäkerhetsarbete samt godkänner och beslutar Certezzas interna regelverk för informationssäkerhet. Ledningsgruppen äger och ansvarar för Certezzas infrastruktur, tjänster, system och applikationer samt tillsätter informations- och systemägare för dessa.
Informationssäkerhetssamordnare har ett övergripande samordningsansvar för det systematiska informationssäkerhetsarbetet, att verksamheten följer lagar och regler gällande konfidentialitet, riktighet och tillgänglighet. Rapporterar direkt till ledningsgruppen.
Säkerhetsrådet arbetar strategiskt och operativt med riskhantering.
Säkerhetsskyddschef ansvarar för Certezzas säkerhetsskyddsavtal och utövar kontroll över säkerhetsskyddet
Risk- och incidentmanager arbetar operativt med att driva risk- och incidentprocesser framåt.
Respektive avdelning äger och ansvarar för egen verksamhetsspecifik infrastruktur, tjänster, system och applikationer och tillsätter ägare för dessa.
Alla medarbetare har i uppgift att upprätthålla en hög nivå av informationssäkerhet inom ramen för sitt arbete.
Internrevisor arbetar på uppdrag av ägarna och rapporterar till ledningsgruppen.
Dataskyddsombud har till uppgift att informera och ge råd till den högsta ledningen kring vilka skyldigheter som gäller enligt dataskyddsförordningen.
Enstaka undantag eller avvikelser från denna policy får i förväg godkännas av ägarna. Incidenter och händelser vilka kan få negativa konsekvenser för Certezza måste skyndsamt rapporteras till risk- och incidentmanager för att skada ska kunna minimeras och liknande incidenter förebyggas.
Informationssäkerhetspolicyn, och Certezzas interna regelverk för informationssäkerhet ska granskas vid behov och uppdateras minst vart tredje år, eller om betydande förändringar i organisation eller omvärld sker. Granskningen ska inkludera en bedömning av Certezzas möjligheter till förbättring av sitt interna regelverk och organisationens förhållningssätt till informationssäkerhet utifrån förändringar i Certezzas omvärld, verksamhetsförutsättningar, legala krav och tekniska miljö.
Informationssäkerhetspolicyn beskriver Certezzas mål avseende informationssäkerhet. För att tillse behovet hos verksamheten finns ytterligare, och mer specificerade riktlinjer och instruktioner avseende vad som ska genomföras samt på vilket sätt för att policyn ska kunna efterlevas.
Informationssäkerhetspolicyn fastställdes av Certezzas ägare den 2021-03-29 och gäller till och med 2024-03-30.