Informationssäkerhetspolicy

Informationssäkerhetspolicyn fastställs av ledningsgruppen och anger Certezzas grundläggande synsätt och viljeinriktning på en övergripande nivå gällande arbete med informationssäkerhet.

Syfte och definitioner

De informationstillgångar som Certezza hanterar – både åt sig själva och åt sina kunder – är av grundläggande betydelse för Certezzas verksamhet. Att dessa hanteras korrekt har betydelse för förtroendet hos medarbetare, kunder och samarbetspartners. Med informationstillgångar förstås all information som är av värde för Certezza och deras kunder, oavsett om den behandlas analogt eller digitalt, automatiskt eller manuellt, och oberoende av dess form eller miljön den förekommer i. Syftet med denna informationssäkerhetspolicy är att påvisa ledningens vilja att dessa tillgångar behandlas i enlighet med uppsatta mål och principer.

Informationssäkerhet kan sammanfattas i enlighet med följande kravområden:

Tillgänglighet – att information är tillgänglig i förväntad utsträckning, för behöriga användare och inom önskad tid.
Riktighet – att information skyddas mot oönskad förändring eller borttag, oavsett om den är avsiktlig eller oavsiktlig.
Konfidentialitet – att information i strid med lagkrav, regler, riktlinjer eller avtal inte tillgängliggörs eller delges obehörig.

Mål och principer

I och med fastställandet av denna policy så åtar sig Certezza att uppfylla tillämpliga krav relaterade till informationssäkerhet. Policyn omfattar hela Certezza och innehåller följande mål och principer:

  • att kunskap finns, och fortlöpande utvecklas, om hur informationssäkerhet säkerställs, upprätthålls och är under ständig förbättring.
  • att alla informationstillgångar klassificeras i enlighet med fastställd metodik,
  • att hot mot informationstillgångar och tjänster fortlöpande bedöms och hanteras enligt fastställd process för riskhantering,
  • att krishanteringsförmågan fortlöpande analyseras och upprätthålls,
  • att oväntade och oönskade händelser som leder till negativa konsekvenser förebyggs,
  • att arbete med informationssäkerhet är en naturlig och integrerad del i verksamheten, och
  • att ledningssystemet och tillhörande säkerhetsåtgärder återkommande revideras för att uppnå ständig förbättring.

 

Ansvarsförhållanden

Ansvaret för Certezzas informationssäkerhetsarbete ska följa det normala delegerade verksamhetsansvaret på alla nivåer.

Ägarna uttrycker mål och principer genom att fastställa Certezzas informationssäkerhetspolicy.
Ledningsgruppen har det yttersta ansvaret för Certezzas informationssäkerhetsarbete samt godkänner och fastställer vidhängande regelverk för informationssäkerhet. Ledningsgruppen äger och ansvarar för Certezzas infrastruktur, tjänster, system och applikationer samt tillsätter informations- och systemägare för dessa.
Informationssäkerhetsamordnaren arbetar på uppdrag av ledningsgruppen. Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla, samordna och revidera informationssäkerhetsarbetet.
Säkerhetsrådet arbetar strategiskt och operativt med riskhantering.
Risk- och incidentmanager arbetar operativt med att driva risk- och incidentprocesser framåt.
Respektive avdelning äger och ansvarar för egen verksamhetsspecifik infrastruktur, tjänster, system och applikationer och tillsätter ägare för dessa.
Alla medarbetare har ett ansvar för att informationssäkerheten upprätthålls.
Internrevisor arbetar på uppdrag av ägarna och rapporterar till ledningsgruppen.

Avvikelser och undantag

I de fall avvikelser eller undantag sker ifrån denna policy, eller vidhängande regelverk, ska dessa rapporteras till närmaste chef. Incidenter och händelser vilka kan få negativa konsekvenser för Certezza måste skyndsamt rapporteras till ledningsgruppen för att skada ska kunna minimeras och liknande incidenter förebyggas.

Granskning och uppföljning

Informationssäkerhetspolicyn, och vidhängande regelverk för informationssäkerhet ska granskas och uppdateras minst vart tredje år, eller om betydande förändringar i organisation eller omvärld sker. Detta för att säkerställa policyns fortsatta lämplighet, riktighet och verkan. Granskningen ska inkludera en bedömning av Certezzas möjligheter till förbättring av sitt regelverk och organisationens förhållningssätt till informationssäkerhet utifrån förändringar i Certezzas omvärld, verksamhetsförutsättningar, legala krav och tekniska miljö.

Relaterade dokument

Informationssäkerhetspolicyn beskriver Certezzas mål avseende informationssäkerhet. För att tillse behovet hos verksamheten finns ytterligare, och mer specificerade regler och riktlinjer avseende vad som ska genomföras samt på vilket sätt för att policyn ska kunna efterlevas.

Informationssäkerhetspolicyn giltighetstid

Informationssäkerhetspolicyn fastställdes av Certezzas ägare den 2019-03-27 och gäller till och med 2021-03-30.