INFORMATIONSSÄKERHETSPOLICY (Tillhörande Sociala Media policy och IT-policy) Denna dag, 2018-04-01, har följande policy upprättats för Miljöcenter AB, nedan kallat “företaget”. Policy är fastställd av styrelsen och giltig från 2018-05-01.
Bakgrund
God informationssäkerhet är en investering och en billig försäkring för alla företag, oavsett storlek och verksamhet. Genom att utgå från verksamhetens behov av skyddsnivå kan informationssäkerhetsarbetet ständigt förbättras.
Utgångspunkten för allt informationssäkerhetsarbete ska vara verksamhetens behov av säkerhetsskydd för troliga och oönskade framtida händelser. Informationssäkerhet utgör på så sätt en del av företagets totala riskhantering och är en framgångsfaktor för varje företag.
Syfte
Syftet med informationssäkerhet är att skydda företagets informationstillgångar från alla typer av hot, såväl externa som interna. Informationssäkerhet är grundläggande för att hantera informationsrisker på ett strukturerat och konsistent sätt. Denna policy anger inriktning och övergripande mål för informationssäkerhetsarbetet på företaget.
Företagets hantering av informationssäkerheten grundar sig i lagefterlevnad (PUL eller ersättande dataskyddsförordning GDPR) samt i ett strukturerat kvalitetsarbete, vilket översiktligt kan beskrivas med:
• Sekretess – att ingen obehörig får tillgång till företagets information
• Riktighet – att våra kunder alltid får rätt information
• Tillgänglighet – att våra kunder har tillgång till den information som är kopplad till sin affärsrelation med oss
Riktlinjer
Mål och metoder för styrning samt struktur för riskbedömning
Information, data och informationssystem i alla sina former utgör de mest värdefulla materiella tillgångarna i företaget. Samtliga medarbetare har ett ansvar att skydda dessa mot alla former av hot, såväl interna som externa, såväl avsiktliga som oavsiktliga. Samtliga verksamhetsansvariga har ett ansvar för informationssäkerheten inom sitt ansvarsområde.
Riskanalyser ska genomföras årligen inom de affärskritiska processerna. Dessa ska genomföras med den metod och de mallar som har framtagits för detta ändamål. Resultatet av de genomförda riskanalyserna ska presenteras styrelsen. Denna rapportering genomförs årligen i ett Business Review av VD.
Ett riskbaserat tänkande är en integrerad del i alla verksamhetsprocesserna. Ett effektivt och levande ledningssystem säkerställer regelbundna revisioner och uppföljningar av dessa processer och därmed också återkommande riskanalyser.
Organisation av informationssäkerheten
Inom företaget har informationssäkerhetsarbetet indelats i säkerhetsområden. Dessa omfattar:
• Fysisk säkerhet – skydd av lokaler och medarbetare genom larm, brandvarnare och genom utbildning av samtliga medarbetare i säkerhetsfrågor
• Administrativ säkerhet – övergripande informationssäkerhetsarbete genom policys, kontinuitetsplaner, processbeskrivningar, anvisningar och regelverk samt incident- och annan ärendehantering
Ovan nämnda områden hanteras inom ledningssystem och det systematiska arbetsmiljö- och brandskyddsarbetet.
• Datasäkerhet – skydd av de servrar och lagringsmedia där all information lagras. Samt skydd av data och kommunikation genom e-post och kommunikation på företagets intranät mm.
• Kommunikationssäkerhet – skydd av de medier som används för att kommunicera med omvärlden, främst dator- och telekommunikation.
Ovan nämnda områden hanteras genom back-upp-system, behörighetskontroll, tillförlitliga och kvalitativa brandväggar, virusskydd, och mejltvättar. Samt lås och larm för själva utrustningen.
Rapportering och uppföljning
VD tillsammans med LG har det övergripande ansvaret för informationssäkerhetsarbetet och har ansvar för att vidta nödvändiga åtgärder så att säkerhetsarbetet har en acceptabel nivå med hänsyn till kostnaderna för att implementera dessa och de konsekvenser som en inträffad incident kan orsaka företaget.
Uppföljning av informationssäkerhetsarbetet sker genom att samtliga säkerhetsincidenter registreras och kostnadssätts. Uppföljning av skyddsåtgärder, gjorda med utgångspunkt från genomförda riskanalyser, ska ske kontinuerligt av VD tillsammans med LG.
Medarbetare har möjlighet att anonymt kunna rapportera misstänkta felaktigheter eller oegentligheter till VD eller LG.
Kontinuitets- och nödlägesplanens aktualitet kontrolleras årligen av VD tillsammans med LG. Den reglerar och definierar de kritiska verksamhetsprocesser som ska fungera vid allvarliga incidenter.
Tillhörande dokument
Till stöd för informationssäkerhetsarbetet finns även IT-policy, Social Media policy, Kontinuitets- och nödlägesplan, dokumenterat ledningssystem med rutiner kring exempelvis behörighetskontroll, medarbetarintroduktioner och det systematiska arbetsmiljö- och brandskyddsarbetet. Samtliga dokument som hör till denna policy återfinns via företagets intranät.
Ansvar
Policyn fastställs av styrelsen. VD ansvarar för att säkerhetspolicyn och tillhörande dokument uppdateras och sedan kommuniceras till samtliga medarbetare. VD övervakar även policyns efterlevnad och att samtliga medarbetare får lämplig utbildning så att en ökad medvetenhet om informationssäkerhetsfrågornas relevans etableras i företaget.
Samtliga medarbetare har ett ansvar att följa företagets säkerhetsregelverk. Avsiktliga eller oavsiktliga avsteg från denna policy kommer att utredas. En sådan utredning kan medföra att användarnas privata information kan komma att omfattas av en utredning om detta krävs av lagstiftning eller av andra myndigheter.