Certezzas informations- och cybersäkerhetspolicy

Informationssäkerhetspolicyn fastställs av ledningsgruppen och anger Certezzas grundläggande synsätt och viljeinriktning på en övergripande nivå gällande arbete med informationssäkerhet.

Inledning

Certezza är ett oberoende informations- och cybersäkerhetsföretag med mycket höga krav på det egna informations- och cybersäkerhetsarbetet. Informations- och cybersäkerhetspolicyn anger Certezzas syn på arbetet med informations- och cybersäkerhet. Certezza är SS-ISO/IEC 27001 certifierat.

Syfte

De informationstillgångar som Certezza hanterar – både för egen del och som rör kunder, samarbetspartners och medarbetare – är av central betydelse för Certezzas verksamhet och för att Certezza ska kunna verka och leverera tjänster och produkter för ett säkrare samhälle. Att informationstillgångarna hanteras korrekt och säkert är viktigt för att stärka och bibehålla förtroende hos kunder, samarbetspartners och medarbetare.

Syftet med denna informations- och cybersäkerhetspolicy är att presentera Certezzas syn på informations- och cybersäkerhet, hur arbetet med informations- och cybersäkerhets övergripande bedrivs på Certezza samt visa på ansvarighet.

Definitioner

Med informationstillgångar förstås all information som är av värde för Certezza, Certezzas kunder, samarbetspartner och medarbetare, oavsett om den behandlas analogt eller digitalt, automatiskt eller manuellt, och oberoende av dess form eller miljön den förekommer i, detta inkluderar personuppgifter.

Informationssäkerhet är skydd av informationstillgångar med avseende på konfidentialitet, riktighet och tillgänglighet.

Konfidentialitet – att informationstillgångar endast är tillgängliga för behöriga individer, objekt eller processer.
Riktighet – att informationstillgångar skyddas mot obehörig eller oönskad förändring eller borttagning, oavsett om förändringen är avsiktlig eller oavsiktlig.
Tillgänglighet – att informationstillgångar är tillgängliga i förväntad utsträckning, för behöriga användare och inom önskad tid.

Cybersäkerhet innebär all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot.

Cyberhot är potentiella omständigheter, händelser eller handlingar som kan skada, störa eller på annat sätt negativt påverka nätverks- och informationssystem, användare av dessa system och andra personer.

Nätverks- och informationssystem är bland annat en enhet eller grupp av enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter. Det är också digitala uppgifter som lagras, behandlas, hämtas eller överförs genom elektroniska kommunikationsnät eller sådana sammankopplade tidigare nämnda enheter för att de ska kunna drivas/driftas, användas, skyddas och underhållas.

Incident är en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller på annat sätt behandlade informationstillgångar hos Certezza.

Målsättning med informations- och cybersäkerhetsarbetet

Målet med Certezzas informations- och cybersäkerhetsarbete är att varken Certezza, Certezzas kunder, samarbetspartners eller medarbetare ska drabbas av incidenter och om något ändå sker drabbas så lite som möjligt genom att informationstillgångar som Certezza har kontroll över obehörigen avslöjas, ändras eller inte är tillgängliga när de behövs.

Målet mäts bland annat genom inträffade incidenter och avvikelser dokumenteras och analyseras i de interna processerna.

Åtagande och ledande principer

Certezza bedriver ett systematiskt och riskbaserat informations- och cybersäkerhetsarbete som är integrerat i Certezzas ledningssystem. Informations- och cybersäkerhetsarbetet ska uppfylla alla tillämpliga krav för att uppnå en hög nivå av informations- och cybersäkerhet.

Ledande principer:

  • Arbetet med informations- och cybersäkerhet är en naturlig och integrerad del av Certezzas verksamhet.
  • Inom Certezza ska kunskap finnas, och fortlöpande utvecklas om hur informations- och cybersäkerhet säkerställs, upprätthålls och ständigt förbättras.
  • Inom Certezza finns fastställda och dokumenterade riktlinjer för informations- och cybersäkerhetsarbetet, inklusive ansvarsförhållanden och ansvarsfördelning för informations- och cybersäkerhetsarbetet.
  • Alla Certezzas informationstillgångar klassificeras fackmannamässigt i enlighet med bästa praxis.
  • Risker för informationstillgångarna ska identifieras, analyseras och värderas kontinuerligt samt hanteras enligt fastställd process för riskhantering.
  • Certezzas krishanteringsförmåga analyseras och upprätthålls kontinuerligt.
  • Oväntade och oönskade händelser (incidenter) som kan leda till negativa konsekvenser för kunder, samarbetspartner, medarbetare och Certezza ska förebyggas och om något inträffar ska det hanteras skyndsamt.
  • Certezza har rutiner och processer för incidenthantering och rapportering av incidenter till tillsynsmyndigheter.
  • De tekniska och organisatoriska säkerhetsåtgärderna revideras vid behov och ses över minst årligen för att uppnå ständiga förbättringar av det systematiska informations- och cybersäkerhetsarbetet.
  • Informations- och cybersäkerhetsarbetet dokumenteras för att kunna visa på ansvarighet samt för att  kunna följa upp och åstadkomma förbättringar.