Informationssäkerhetspolicy

Informationssäkerhetspolicyn fastställs av ledningsgruppen och anger Certezzas grundläggande synsätt och viljeinriktning på en övergripande nivå gällande arbete med informationssäkerhet.

Syfte och definitioner
De informationstillgångar som Certezza hanterar – både åt sig själva och åt sina kunder – är av grundläggande betydelse för Certezzas verksamhet. Att dessa hanteras korrekt har betydelse för förtroendet hos medarbetare, kunder och samarbetspartners. Med informationstillgångar förstås all information som är av värde för Certezza och deras kunder, oavsett om den behandlas analogt eller digitalt, automatiskt eller manuellt, och oberoende av dess form eller miljön den förekommer i. Syftet med denna informationssäkerhetspolicy är att påvisa ledningens vilja att dessa tillgångar behandlas i enlighet med uppsatta mål och principer.

Informationssäkerhet kan sammanfattas i enlighet med följande kravområden:

  • Tillgänglighet – att information är tillgänglig i förväntad utsträckning, för behöriga användare och inom önskad tid.
  • Riktighet – att information skyddas mot oönskad och/eller obehörig förändring, oavsett om den är avsiktlig eller oavsiktlig.
  • Konfidentialitet – att information i strid med lagkrav, regler, riktlinjer eller avtal tillgängliggörs eller delges obehörig.

Mål och principer
Denna policy omfattar hela Certezza och innehåller följande mål och principer:

  • att kunskap finns, och fortlöpande utvecklas, om hur informationssäkerhet säkerställs, upprätthålls och är under ständig förbättring.
  • att alla informationstillgångar klassificeras i enlighet med fastställd metodik,
  • att hot mot informationstillgångar och tjänster fortlöpande bedöms och hanteras enligt fastställd process för riskhantering,
  • att krishanteringsförmågan fortlöpande analyseras och upprätthålls,
  • att oväntade och oönskade händelser som leder till negativa konsekvenser förebyggs,
  • att arbete med informationssäkerhet är en naturlig och integrerad del i verksamheten, och
  • att säkerhetsåtgärder återkommande revideras för att uppnå ständig förbättring.

Ansvarsförhållande
Ansvaret för Certezzas informationssäkerhetsarbete ska följa det normala delegerade verksamhetsansvaret på alla nivåer.

Ägarna uttrycker mål och principer genom att fastställa Certezzas informationssäkerhetspolicy.

Ledningsgruppen har det yttersta ansvaret för Certezzas informationssäkerhetsarbete samt godkänner och fastställer vidhängande regelverk för informationssäkerhet. Ledningsgruppen äger och ansvarar för Certezzas infrastruktur, tjänster, system och applikationer samt tillsätter informations- och systemägare för dessa.

Informationssäkerhetsamordnaren arbetar på uppdrag av ledningsgruppen. Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla, samordna och revidera informationssäkerhetsarbetet.

Säkerhetsrådet arbetar strategiskt och operativt med riskhantering.

Risk- och incidentmanager arbetar operativt med att driva risk- och incidentprocesser framåt.

Respektive avdelning äger och ansvarar för egen verksamhetsspecifik infrastruktur, tjänster, system och applikationer och tillsätter ägare för dessa.

Alla medarbetare har ett ansvar för att informationssäkerheten upprätthålls.

Avvikelser och undantag
I de fall avvikelser eller undantag sker ifrån denna policy, eller vidhängande regelverk, ska dessa rapporteras till närmaste chef. Incidenter och händelser vilka kan få negativa konsekvenser för Certezza måste skyndsamt rapporteras till ledningsgruppen för att skada ska kunna minimeras och liknande incidenter förebyggas.

Granskning och uppföljning

Informationssäkerhetspolicyn, och vidhängande regelverk för informationssäkerhet ska granskas och uppdateras minst vart tredje år, eller om betydande förändringar i organisation eller omvärld sker. Detta för att säkerställa policyns fortsatta lämplighet, riktighet och verkan. Granskningen ska inkludera en bedömning av Certezzas möjligheter till förbättring av sitt regelverk och organisationens förhållningssätt till informationssäkerhet utifrån förändringar i Certezzas omvärld, verksamhetsförutsättningar, legala krav och tekniska miljö.

Relaterade dokument

Informationssäkerhetspolicyn beskriver Certezzas mål avseende informationssäkerhet. För att tillse behovet hos verksamheten finns ytterligare, och mer specificerade regler och riktlinjer avseende vad som ska genomföras samt på vilket sätt för att policyn ska kunna efterlevas.

Informationssäkerhetspolicyns giltighet
Informationssäkerhetspolicyn fastställdes av Certezzas ägare den 2018-06-18 och gäller till och med 2020-08-31.