Informationssäkerhetspolicy

Informationssäkerhetspolicyn lägger grunden för att skydda information och underlättar beslut inom säkerhetshantering. Den vägleder också de mål som etablerar, främjar och säkerställer bästa praxis för informationssäkerhet. Policyn omfattar all information och alla informationssystem, inklusive de som används, hanteras eller drivs av företaget på denna webbplats. Syftet med informationssäkerhetspolicyn är att skydda användarnas sekretess, integritet och tillgänglighet av data. Genom polycyn kan vi klassificera och hantera information samt hantera överträdelser av den.

Policyn innehåller en integrerad uppsättning skyddsåtgärder som måste tillämpas enhetligt över hela webbplatsen för att säkerställa en säker driftmiljö.

SYFTE

Hantering av informationssäkerhet innebär ett välgrundat urval och en effektiv implementering av lämpliga åtgärder vars syfte är att skydda organisationens kritiska informationsresurser. Säkerhetsåtgärder och ledningsprocesser, tillsammans med kontinuerlig övervakning av deras lämplighet och effektivitet, utgör de två huvuddelarna av informationssäkerhetsprogrammet. Informationssäkerhet har tre huvudsakliga mål:

• Sekretess: Skydda känslig information från att avslöjas för obehöriga individer eller system.
• Integritet: Säkerställa att informationen är korrekt, fullständig och aktuell.
• Tillgänglighet: säkerställa att information och viktiga tjänster är åtkomliga för behöriga användare när det behövs.

OMFATTNING

Denna policy gäller för alla anställda, entreprenörer, partners samt praktikanter/trainees som arbetar inom vårt företag. Tredjepartsleverantörer som tillhandahåller hostingtjänster eller hanterar data utanför företagets lokaler måste också följa denna policy.

Informationssäkerhetspolicyn omfattar all information som lagras, kommuniceras och behandlas inom vårt företag samt företagets data på externa platser dit verksamheten är outsourcad.

MÅLSÄTTNING

Syftet med informationssäkerhetspolicyn är att ge vårt företag en strategi för att hantera informationsrisker. Den ska även ge riktlinjer för skydd av informationstillgångar inom alla enheter och för dem som är kontrakterade att tillhandahålla tjänster.

KLASSIFICERING AV INFORMATIONSTILLGÅNGAR

Företagets informationstillgångar är indelade i fyra kategorier: Offentlig, Intern, Konfidentiell och Begränsad. Alla viktiga informationstillgångar måste ha en tilldelad ägare som ansvarar för att fastställa autentisering och procedurer för auktorisation som är i linje med dessa kategorier. Notera att:

1. Offentlig information i allmänhet kan göras tillgänglig eller distribueras till allmänheten. Detta är information som inte kräver skydd. När den används som avsett, skulle den ha liten eller ingen negativ påverkan på företagets verksamhet, tillgångar eller rykte i relation till företagets åtaganden om informationsintegritet.
2. Konfidentiell information är endast för internt bruk. Den får bara vara åtkomlig för personer som behöver den för att utföra sina arbetsuppgifter. Konfidentiell information omfattar även information som skyddas av statliga lagar eller affärsmässiga avtalsförpliktelser och som kräver skydd för sekretess och säkerhet.
3. Begränsad information ska hållas strikt konfidentiell och tillgång ges endast på "behöver veta"-basis. Exempel på sådan information kan vara uppgifter som påverkar nationella intressen och/eller nationell säkerhet.

Alla anställda bör vara medvetna om sina juridiska och interna skyldigheter när det gäller olämplig användning, delning eller utlämning av information till tredje part. Eventuell tredje part som tar emot konfidentiell eller begränsad information måste vara auktoriserad att göra det och denna person eller deras organisation måste ha implementerat åtgärder för informationssäkerhet som garanterar sekretess och integritet för informationen i fråga.

Konfidentiell information ska skyddas för att förhindra obehörig åtkomst eller exponering.

Begränsad information har den högsta skyddsnivån. Om sådan information kommer i orätta händer utgör det en hög risk för företaget, staten och individer. Företagets anställda som hanterar begränsad information eller som använder system som lagrar, överför eller manipulerar begränsad information är skyldiga att upprätthålla konfidentialiteten, integriteten och tillgängligheten för sådan information/data.

STYRNING AV INFORMATIONSSÄKERHET

Informationssäkerhetsstyrning är ett arbete som handlar om ledarskap, organisatoriska strukturer och processer som skyddar information och minimerar de växande hoten mot informationssäkerheten.

Kritiska resultat av informationssäkerhetsstyrning inkluderar:

• Justering av informationssäkerheten med affärsstrategin för att stödja organisatoriska mål.
• Hantering och minimering av risker samt minskning av potentiella påverkan på informationsresurser till en acceptabel nivå.
• Hantering av prestationsmått för informationssäkerhet genom att mäta, övervaka och rapportera säkerindikatorer för att säkerställa att de organisatoriska målen uppnås
• Optimering av investeringar i informationssäkerhet för att stödja organisatoriska mål. Det är viktigt att beakta den organisatoriska nödvändigheten och fördelarna med informationssäkerhetsstyrning.

ANSVAR 

Marknadsavdelningen ansvarar för webbplatsens innehåll och säkerställer att material uppfyller juridiska och policyrelaterade krav.

IT-avdelningen ansvarar för webbplatsens säkerhet, funktionalitet och infrastruktur. Systemadministratörerna ansvarar för att övervaka webbplatsens svarstider och lösa eventuella problem som uppstår.

MEDVETENHET OCH KOMMUNIKATION 

Det är viktigt att alla aspekter av informationssäkerhet, såsom sekretess, integritet och åtkomstprocedurer, ingår i de formella introduktionsrutinerna för ny personal. Dessa aspekter bör också regelbundet kommuniceras till befintlig personal.

I samband med en anställning ska nya medarbetare informeras om att de inte får avslöja någon information som de kan få tillgång till i samband med sitt arbete. Personal ska även informeras om att de inte ska söka åtkomst till data som inte är nödvändig för deras ordinarie arbetsuppgifter.