Informationssäkerhetspolicy

Informationssäkerhetspolicyn fastställs av ledningsgruppen och anger Certezzas grundläggande synsätt och viljeinriktning på en övergripande nivå gällande arbete med informationssäkerhet.

Syfte och definitioner

De informationstillgångar som Certezza hanterar – både åt sig själva och åt sina kunder – är av grundläggande betydelse för Certezzas verksamhet. Att dessa hanteras korrekt har betydelse för förtroendet hos medarbetare, kunder och samarbetspartners. Med informationstillgångar förstås all information som är av värde för Certezza och deras kunder, oavsett om den behandlas analogt eller digitalt, automatiskt eller manuellt, och oberoende av dess form eller miljön den förekommer i. Syftet med denna informationssäkerhetspolicy är att påvisa Certezzas åtagande att dessa tillgångar behandlas i enlighet med de mål och principer som anges nedan.

Informationssäkerhet kan sammanfattas i enlighet med följande kravområden:

Konfidentialitet – att information endast tillgängliggörs för behöriga individer, objekt eller processer.
Riktighet – att information skyddas mot oönskad förändring eller borttag, oavsett om förändringen är avsiktlig eller oavsiktlig.
Tillgänglighet – att information är tillgänglig i förväntad utsträckning, för behöriga användare och inom önskad tid.

Mål och principer

Certezza åtar sig att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete och att i det arbetet uppfylla alla tillämpliga krav för att uppnå en hög nivå av informationssäkerhet. Policyn omfattar hela Certezza och innehåller följande mål och principer:

  • att kunskap finns, och fortlöpande utvecklas om hur informationssäkerhet säkerställs, upprätthålls och ständigt förbättras.
  • att alla informationstillgångar klassas i termer av rättsliga krav, värde, verksamhetsbetydelse och känslighet för obehörigt röjande eller modifiering,
  • att hot mot informationstillgångar och tjänster fortlöpande bedöms och hanteras enligt fastställd process för riskhantering,
  • att krishanteringsförmågan fortlöpande analyseras och upprätthålls,
  • att oväntade och oönskade händelser som kan leda till negativa konsekvenser för kunder, samarbetspartner, medarbetare och Certezza förebyggs,
  • att arbete med informationssäkerhet är en naturlig och integrerad del av Certezzas verksamhet, och
  • att ledningssystemet och tillhörande säkerhetsåtgärder revideras vid behov och minst årligen för att uppnå ständiga förbättringar av det systematiska säkerhetsarbetet.

Ansvarsförhållanden

Ansvaret för Certezzas informationssäkerhetsarbete ska följa det normala delegerade verksamhetsansvaret på alla nivåer.

Ägarna beslutar mål och principer genom Certezzas informationssäkerhetspolicy.
Ledningsgruppen har ansvaret för Certezzas informationssäkerhetsarbete samt godkänner och beslutar Certezzas interna regelverk för informationssäkerhet. Ledningsgruppen äger och ansvarar för Certezzas infrastruktur, tjänster, system och applikationer samt tillsätter informations- och systemägare för dessa.
Informationssäkerhetssamordnare  har ett övergripande samordningsansvar för det systematiska informationssäkerhetsarbetet, att verksamheten följer lagar och regler gällande konfidentialitet, riktighet och tillgänglighet. Rapporterar direkt till ledningsgruppen.
Säkerhetsrådet arbetar strategiskt och operativt med riskhantering.
Säkerhetsskyddschef  ansvarar för Certezzas säkerhetsskyddsavtal och utövar kontroll över säkerhetsskyddet
Risk- och incidentmanager arbetar operativt med att driva risk- och incidentprocesser framåt.
Respektive avdelning äger och ansvarar för egen verksamhetsspecifik infrastruktur, tjänster, system och applikationer och tillsätter ägare för dessa.
Alla medarbetare har i uppgift att upprätthålla en hög nivå av informationssäkerhet inom ramen för sitt arbete.
Internrevisor arbetar på uppdrag av ägarna och rapporterar till ledningsgruppen.
Dataskyddsombud har till uppgift att informera och ge råd till den högsta ledningen kring vilka skyldigheter som gäller enligt dataskyddsförordningen.

Avvikelser och undantag

Enstaka undantag eller avvikelser från denna policy får i förväg godkännas av ägarna. Incidenter och händelser vilka kan få negativa konsekvenser för Certezza måste skyndsamt rapporteras till risk- och incidentmanager för att skada ska kunna minimeras och liknande incidenter förebyggas.

Granskning och uppföljning

Informationssäkerhetspolicyn, och Certezzas interna regelverk för informationssäkerhet ska granskas vid behov och uppdateras minst vart tredje år, eller om betydande förändringar i organisation eller omvärld sker. Granskningen ska inkludera en bedömning av Certezzas möjligheter till förbättring av sitt interna regelverk och organisationens förhållningssätt till informationssäkerhet utifrån förändringar i Certezzas omvärld, verksamhetsförutsättningar, legala krav och tekniska miljö.

Relaterade dokument

Informationssäkerhetspolicyn beskriver Certezzas mål avseende informationssäkerhet. För att tillse behovet hos verksamheten finns ytterligare, och mer specificerade riktlinjer och instruktioner avseende vad som ska genomföras samt på vilket sätt för att policyn ska kunna efterlevas.

Informationssäkerhetspolicyn giltighetstid

Informationssäkerhetspolicyn fastställdes av Certezzas ägare den 2021-03-29 och gäller till och med 2024-03-30.