Informationssäkerhetspolicy

Beslutad 2017-05-29, uppdaterad 2018-02-06 och gäller tillsvidare.

Inledning

Profitbyte erbjuder konsulttjänster, internet- och driftstjänster till företag. Eftersom att vi ofta förvarar information och uppgifter på uppdrag av våra kunder arbetar vi aktivt för att skapa och upprätthålla ett gott informationssäkerhetsskydd.

Informationssäkerhet

Informationssäkerhet innebär i vår verksamhet att vi:

  • Tillser att information och tjänster är tillgängliga i förväntad utsträckning och önskad tid (Tillgänglighet)
  • Har riktlinjer för driften av våra tjänster vad gäller backup, patchning och övervakning (Tillgänglighet)
  • Utarbetar funktioner för användarbehörigheter för att tillse att informationen enbart är tillgänglig för de med behörighet samt skyddar information från oönskad och/eller obehörig förändring eller förstörelse (Riktighet och Konfidentialitet)
  • Aktivt följer upp att information inte i strid med lagkrav eller lokala överenskommelser/riktlinjer tillgängliggörs eller delges obehörig (Konfidentialitet)
  • Implementerar påminnelsefunktioner i våra system så att uppgifter hålls aktuella och korrekta (Riktighet)
  • Erbjuder spårbarhet på användarnivå så att det i efterhand entydigt går att härleda specifika aktiviteter eller händelser till ett identifierat objekt eller användare enligt principen vem, vad, när i den utsträckning så är möjligt (Spårbarhet)

Målsättningar

  • Att vår verksamhet följer och efterlever de lagkrav som finns inom informationssäkerhetsområdet, inklusive GDPR för personuppgiftsbehandling
  • Att verksamheten efterlever de krav som ställs genom avtal
  • Att vi tillhandahåller tillgängliga, pålitliga och korrekta tjänster till våra kunder
  • Att information endast delges behöriga personer och kan levereras vid rätt tidpunkt
  • Att informationen ses som en tillgång och skyddas i paritet med dess värde
  • Att all personal ges kunskap om gällande informationssäkerhetsregler

    • Ansvar och roller

    VD har det övergripande ansvaret för att informationssäkerhetsarbetet sker på ett strukturerat och ordnat sätt. Uppföljning ska ske minst en gång per år.

    VD har även ansvaret för att det tas fram instruktioner och anvisningar för hur informationssäkerhetspolicyn ska bedrivas i praktiken utifrån policy och riktlinjer.

    Projektledare, utvecklare och tekniker ska aktivt arbeta för att införa sådana system och funktioner som tas upp i denna policy.

    Alla medarbetare ska aktivt arbeta för att informationssäkerhetspolicyn efterlevs och lämna förslag på åtgärder för att förbättra arbetet.

    Hantering av avvikelser

    För vår verksamhet är informationssäkerhet en naturlig och viktig del för att tillhandahålla våra tjänster och bibehålla våra kunders förtroende. Utgångspunkten för vårt informationssäkerhetsarbete är därför att på ett strukturerat sätt proaktivt förebygga att informationssäkerhetsincidenter inträffar. Om incidenter ändå inträffar ska skadorna minimeras så långt som möjligt genom tydliga riktlinjer och incidenthanteringsplaner.

    Samtliga avvikelser ska dokumenteras och följas upp för att kontinuerligt förbättra vårt säkerhetsarbete.

    Avvikelser som innebär avbrott eller allvarliga informationssäkerhetsincidenter i de tjänster vi tillhandahåller ska snarast kommuniceras till berörda parter.

    Informationssäkerhetsincidenter där anmälningsskyldighet finns enligt lag eller förordning ska anmälas till ansvarig myndighet.