Informationssäkerhetspolicyn fastställs av ledningsgruppen och anger Certezzas grundläggande synsätt och viljeinriktning på en övergripande nivå gällande arbete med informationssäkerhet.
Certezza är ett oberoende informations- och cybersäkerhetsföretag med mycket höga krav på det egna informations- och cybersäkerhetsarbetet. Informations- och cybersäkerhetspolicyn anger Certezzas syn på arbetet med informations- och cybersäkerhet. Certezza är SS-ISO/IEC 27001 certifierat.
De informationstillgångar som Certezza hanterar – både för egen del och som rör kunder, samarbetspartners och medarbetare – är av central betydelse för Certezzas verksamhet och för att Certezza ska kunna verka och leverera tjänster och produkter för ett säkrare samhälle. Att informationstillgångarna hanteras korrekt och säkert är viktigt för att stärka och bibehålla förtroende hos kunder, samarbetspartners och medarbetare.
Syftet med denna informations- och cybersäkerhetspolicy är att presentera Certezzas syn på informations- och cybersäkerhet, hur arbetet med informations- och cybersäkerhets övergripande bedrivs på Certezza samt visa på ansvarighet.
Med informationstillgångar förstås all information som är av värde för Certezza, Certezzas kunder, samarbetspartner och medarbetare, oavsett om den behandlas analogt eller digitalt, automatiskt eller manuellt, och oberoende av dess form eller miljön den förekommer i, detta inkluderar personuppgifter.
Informationssäkerhet är skydd av informationstillgångar med avseende på konfidentialitet, riktighet och tillgänglighet.
Konfidentialitet – att informationstillgångar endast är tillgängliga för behöriga individer, objekt eller processer.
Riktighet – att informationstillgångar skyddas mot obehörig eller oönskad förändring eller borttagning, oavsett om förändringen är avsiktlig eller oavsiktlig.
Tillgänglighet – att informationstillgångar är tillgängliga i förväntad utsträckning, för behöriga användare och inom önskad tid.
Cybersäkerhet innebär all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot.
Cyberhot är potentiella omständigheter, händelser eller handlingar som kan skada, störa eller på annat sätt negativt påverka nätverks- och informationssystem, användare av dessa system och andra personer.
Nätverks- och informationssystem är bland annat en enhet eller grupp av enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter. Det är också digitala uppgifter som lagras, behandlas, hämtas eller överförs genom elektroniska kommunikationsnät eller sådana sammankopplade tidigare nämnda enheter för att de ska kunna drivas/driftas, användas, skyddas och underhållas.
Incident är en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller på annat sätt behandlade informationstillgångar hos Certezza.
Målet med Certezzas informations- och cybersäkerhetsarbete är att varken Certezza, Certezzas kunder, samarbetspartners eller medarbetare ska drabbas av incidenter och om något ändå sker drabbas så lite som möjligt genom att informationstillgångar som Certezza har kontroll över obehörigen avslöjas, ändras eller inte är tillgängliga när de behövs.
Målet mäts bland annat genom inträffade incidenter och avvikelser dokumenteras och analyseras i de interna processerna.
Certezza bedriver ett systematiskt och riskbaserat informations- och cybersäkerhetsarbete som är integrerat i Certezzas ledningssystem. Informations- och cybersäkerhetsarbetet ska uppfylla alla tillämpliga krav för att uppnå en hög nivå av informations- och cybersäkerhet.
Ledande principer: