Ring oss idag +46 (0)8 623 18 80

Informationssäkerhets policy

Detta dokument   är en del av Marval Nordics ledningssystem. Dokumentet  beskriver mål, system, processer, organisation och roller för informationssäkerhetsarbetet inom Marval Nordic.

Informationssäkerhet

Informationssäkerhet är den del i företagets ledningssystem som avser hantering av verksamhetens information. Informationssäkerhetspolicyn, processen och särskilda informationssäkerhetsinstruktioner styr företagets informationssäkerhetsarbete

 

1        Policyns roll i informationssäkerhetsarbetet

Informationssäkerhetspolicyn redovisar ledningens viljeinriktning och mål för informationssäkerhetsarbetet. Policyn konkretiseras i informationssäkerhetsinstruktioner.

2        Allmänt om informationssäkerhet

Information är en av våra viktigaste tillgångar och hanteringen av den är en viktig del i arbetet med företagets risk- och sårbarhetsanalys och för att skydda våra kunder och intressenter.

Utgångspunkter i vårt arbete med informationssäkerhet är:

  • Lagar, förordningar och föreskrifter.
  • Våra egna krav.
  • Avtal och kundkrav, samt intressenters krav.

Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Informationssäkerheten omfattar företagets informationstillgångar utan undantag. Med informationssäkerhet avses:

  • Att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt.
  • Att informationen är och förblir riktig.

Informationssäkerheten är en integrerad del av vår verksamhet. Alla som hanterar informationstillgångar har ett ansvar att upprätthålla informationssäkerheten. Det är också ett ansvar för chefer/ansvariga på alla nivåer att aktivt verka för en positiv attityd till säkerhetsarbetet. Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för våra informationstillgångar. Alla delar inom företaget är bundna av informationssäkerhetspolicyn vilket medför att det inte finns utrymme att besluta om lokala/egna regler som avviker från denna. Den som använder våra informationstillgångar på ett sätt som strider mot denna policy kan bli föremål för disciplinära åtgärder.

3        Mål

För vårt informationssäkerhetsarbete ska gälla att:

  • All personal har kunskap om gällande informationssäkerhetsregler.
  • Att informationsförsörjningen är säker, effektiv och bidrar till ökat skydd och stöd för kunder, medarbetare, leverantörer och övriga intressenter.
  • Ingångna avtal är kända och följs.
  • Krishanteringsförmågan upprätthålls.
  • Alla investeringar både i form av information och teknik har skydd i tillräcklig grad.
  • Det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation.
  • Hotbilden för informationssystemet som är av vikt för vår verksamhet analyseras fortlöpande.
  • Händelser i informationssystemet som kan leda till negativa konsekvenser förebyggs.
  • Årliga mål för informationsarbetet beslutas i och framgår av de ledningen fastställda övergripande målen och verksamhetsplaner. För de årliga målen finns handlingsplaner som anger:
    • vad som ska göras under året och hur,
    • tidplan,
    • behov av personella och ekonomiska resurser,
    • när och hur uppföljning, utvärdering och avrapportering ska ske, samt
    • när och hur våra medarbetare ska informeras och utbildas.

4        Roller och ansvar

Verkställande direktör (Vd) har det övergripande ansvaret för informationssäkerheten och utser systemägare för informationssystemet. Informationssäkerhetssamordnaren utses av och är direkt underställd Vd samt har det operativa ansvaret för samordning av informationssäkerhetsarbetet. Systemägaren är den som har ansvaret för den verksamhet som informationssystemet stödjer. Systemförvaltare utses av systemägare och ansvarar för den dagliga användningen av informationssystemet. IT-ansvarig ansvarar för att uppfylla företagets kontinuitetsplan (se Infosäk D) för IT-stödet.

Beskrivning av roller och ansvar framgår av det här dokumentet och av respektive Informationssäkerhetsinstruktion Ledning/Drift och förvaltning/Medarbetare (Infosäk L/D/M).

5         Generella krav

5.1       Marval Nordics informationssäkerhetssystem (ISMS)

Företagets informationssäkerhetssystem är identifierat och dokumenterat. Av beskrivningen framgår vem som är systemägare. Informationssäkerhetssystemet ska minst klara den basnivå för informationssäkerhet som myndigheten för samhällsskydd och beredskap rekommenderar (se BITS – Basnivå för informationssäkerhet), eller den nivå som enskild kund efterfrågar för ett särskilt projekt eller särskild installation (leverans av tjänst).

Informationssäkerhetssystemet är en förutsättning för att kunna bedriva vår verksamhet. För systemet upprättas en riskanalys med stöd av företagets instruktion och mall (enligt ISO/IEC 31000) för analys av informationssäkerhet. Analysen uppdateras årligen och ska utgöra underlag för driftgodkännande av förändringar i systemet.

5.2       Informationssäkerhetsutbildning

All personal (inklusive inhyrda konsulter som deltar i projekt som omfattar mer än 40 timmars leverans) ska regelbundet få den utbildning som behövs för att informationssäkerheten ska upprätthållas. Se separat utbildningsplan för företagets medarbetare.

5.3       Informationsklassning

Information som hanteras inom företaget eller åt kunder, leverantörer eller andra intressenter, ska klassificeras med avseende på sekretess, riktighet och tillgänglighet enligt företagets klassningsmodell. Modellen är baserad på MSB:s klassificeringsmodell.

5.4       Distansarbete

För att personalen ska kunna arbeta effektivt ska möjlighet finnas att arbeta mobilt eller stationärt på distans. Förutsättningar och restriktioner för detta ska dokumenteras.

5.5       Användning av Internet

Vid användning av Internet, molntjänster eller liknande exponeras företagets namn. Bland annat av detta skäl är det därför av vikt att lägga restriktioner på vilka hemsidor som får besökas. Hemsidor med exempelvis rasistiskt, våldsinriktat eller sexuellt innehåll får inte besökas.

5.6       Elektronisk post

Sekretessbelagd information måste skickas via krypterad e-post.

5.7       Kontinuitetsplanering

Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på informationssystemets samlade krav och vara integrerad med Marval Nordics gemensamma kontinuitetsplan.

5.8       Hantering av informationssäkerhetsincidenter

5.8.1       Rapportering av säkerhetshändelser och svagheter

Vid misstanke om intrång eller andra incidenter ska medarbetaren agera enligt dokumentet Informationssäkerhetsinstruktion Medarbetare (Infosäk M). Detta innebär att användaren skall:

  • Omedelbart anmäla förhållandet närmaste chef och till Servicedesk.
  • Dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på informationen har påverkats.

5.8.2       Hantering av informationssäkerhetsincidenter och förbättringar

Informationssäkerhetssamordnaren sammanställer en incidentrapport en gång var sjätte månad som rapporteras till ledningsgruppen och till berörda funktionsansvariga. Rapporten skall omfatta:

  • Intrång och försök till intrång.
  • Brott mot lagstiftning och internt regelverk.
  • Incidenter som orsakar eller skulle kunna orsaka betydande avbrott och störningar.
  • Konsekvenser och förslag till åtgärder efter intrång eller funktionsfel.

5.8.3       Hantering vid misstanke om brott

Vid misstanke om brott ska händelsen omedelbart rapporteras till närmaste chef som i sin tur omgående ska informera Informationssäkerhetssamordnaren och Vd.

6        Personuppgifter och den europeiska dataskyddsförordningen

Den 25 maj 2018 träder dataskyddsförordningen General Data Protection Regulation (GDPR) i kraft och ersätter samtidigt den svenska personuppgiftslagen. För Marval Nordic innebär det följande:

  • Fram till 25 maj 2018, tillämpar och följer Marval Nordic den svenska lagstiftningen inom informationssäkerhetsområdet och då specifikt personuppgiftslagen (PUL), som innebär följande för säkerhetsarbetet inom Marval Nordic:
    • Att personuppgifter hanteras med hög säkerhet, och att alla instruktioner och rutiner följs av alla medarbetare, konsulter, leverantörer, etc.
    • Att god riskhantering tillämpas, dvs. att instruktioner, mallar och rutiner följs för att riskbedöma och riskhantera aktiviteter och förändringar inom bolaget i kontakter med kunder, leverantörer och intressenter.
    • Att en fullständig känslighetsanalys görs för att bedöma och kategorisera personuppgifter som hanteras av Marval Nordic.
  • Marval Nordic ställer samma krav på sina leverantörer och partners, och dessa måste verifiera att de följer och tillämpar regler, lagar och förordningar vad gäller personuppgifts- och datauppgiftsskydd.
  • Under perioden fram till 25 maj 2018 kommer Marval Nordic att kontinuerligt anpassa sina system, processer och organisation enligt den nya förordningen, samt säkerställa att övriga intressenter också gör det.

6.1       Andra kund- och branschspecifika krav

I och med att Marval Nordics kunder verkar inom allehanda branscher (medicin, vård, omsorg, skola, informationsteknologi, radio- och tv, myndighetsutövning, rättsvård) måste bolaget också tillämpa och följa dessa branschers standarder, regelverk och krav. Bl.a. innebär det att Marval Nordic tillämpar och eller efterlever följande standarder och regelverk:

  • ITIL version 3 (senaste edition)
  • ISO/IEC 20000
  • EBU:s (European Broadcasting Union) rekommendationer “Cybersecurity Governance for Media Companies” och nivå 3, dvs. att det finns ett ledningssystem för informationssäkerhet som är infört och etablerat (processer, organisation, roller, etc.) och att detta ledningssystem kontinuerligt förbättras.
  • ISO/IEC 9001:2015, ledningssystem för kvalitet
  • ISO/IEC 14001:2015, ledningssystem för miljö
  • ISO 27001:2013, ledningssystem för informationssäkerhet (detta dokument)
  • ISO 31000:2009, ledningssystem för riskhantering

Det är ledningens ansvar att säkerställa att efterlevnaden av ovanstående standarder och regelverk kontinuerligt förbättras och utvecklas, samtidigt bidrar samtliga medarbetare med sitt engagemang och arbete för att hantera avvikelser och införa förbättringsförslag för att höja kvaliteten på Marval Nordics produkter och tjänster.

7        Anskaffning, utveckling och underhåll av informationssäkerhet

7.1       Inför anskaffning

Inför nyanskaffning och införande av ett nytt eller förändrat informationssystem ska Informationssäkerhetssamordnaren tillsammans med systemägaren utforma en projektplan för införandet. Denna plan ska minst omfatta:

  • Verksamhetens beskrivning av behov och mål med anskaffningen.
  • Systemsäkerhetsanalys. Analysen syftar till att klarlägga säkerhetskraven på det system som planeras införas och den utökas därefter med en kravspecifikation som minst omfattar:
    • integrationskrav med andra system,
    • krav på test,
    • tidplan,
    • personella och ekonomiska resurser, och
    • klarlägga behov av användarutbildning.

7.2       Överlämning till driftorganisation

Informationssäkerhetssamordnaren och systemägaren förbereder överlämnandet från test och utveckling till drift och förvaltning tillsammans med den tilltänkte systemförvaltaren. Beslut om tidpunkt från vilken systemet övergår från projekt till förvaltning fattas av systemägaren. I och med detta övergår ansvaret till systemägaren som då också övertar all dokumentation och upprättar en systemsäkerhetsanalys.

7.3       Driftgodkännande

Driftgodkännande avser den process som syftar till att fastställa om ett informationssystem uppfyller ställda säkerhetskrav. Denna process omfattar följande steg:

  • Systemägaren driftgodkänner informationssystemet efter genomförd systemsäkerhetsanalys.
  • Systemägaren koordinerar sina krav med informationssäkerhetssamordnaren och systemförvaltaren.
  • Systemägaren gör underlag för beslut av ledning/Vd om införande av informationssystemet.

7.4       Säkerhetsanalys

Säkerhetsanalysen består av två delar, riskanalys och riskutvärdering. Riskanalysen innebär att identifiera risker och därefter analysera riskerna som ligger till grund för hur risker skall hanteras. Resultatet av riskutvärderingen visar på vilka risker som man sedan anser sig behöva hantera. Åtgärden kan vara att minska risken eller att helt eliminera den. Vilket val man gör är beroende på uppskattad risknivå. Marval Nordic tillämpar ISO/IEC 31000 (Riskhantering) och har en instruktion och mall för att genomföra riskanalys och riskutvärdering.

7.5       Kontroll av tjänsteleverantör

Används externa leverantörer bör de risker som det kan innebära analyseras. Utfallet av en sådan analys bör ingå som en del i underlaget vid förhandlingar med leverantören. Detta är några områden som särskilt skall beaktas:

  • Riktlinjer för säkerhet och metoder för kontroll av efterlevnad.
  • Avbrottsplan.
  • Incidenthantering.
  • Säkerhetsorganisation.
  • Acceptans av systemägare.

Beställare av leverantörers tjänster ska följa upp och granska att säkerhetsöverenskommelser tillämpas och följs.

7.6       Säkerhet i utvecklings- och underhållsprocesser

Förslag om önskemål på förändringar i systemet lämnas till systemförvaltaren. Arbetet med förändring i system bedrivs enligt företags metod och process för systemförvaltning och förändringsledning (Change Managment).

8        Revidering och uppföljning

Uppföljning är en viktig del av informationssäkerhetsarbetet för att bevaka att:

  • beslutade åtgärder är genomförda,
  • årliga mål är uppfyllda,
  • regler följs, och
  • att policy, säkerhetsinstruktioner och riskanalyser vid behov revideras.

2        Versionshistorik

Version 1.0, fastställt av Stefan Ersbring, 2016-11-30
Version 1.1, fastställt av Stefan Ersbring, 2017-01-17
Version 1.2, fastställt av Stefan Ersbring, 2017-02-03
Version 2.0, fastställt av Jon Kennedy, 2018-02-26

1        Informationssäkerhetsprocessen

Beskrivning och processmål

Informationssäkerhetsprocessen syftar till att säkerställa sekretessen, integriteten och tillgängligheten hos organisationens information-, data- och tjänstetillgångar. Informationssäkerhetsprocessen är en del av en företagets strategi för säkerhetshantering och omfattar mer än enbart leveransen av IT-tjänster, dvs. omfattar även Facility Management-tjänster såsom passerkorts- och tillträdeshantering och annan fysisk säkerhet.

Processägare

Informationssäkerhetsansvarig (ISM), som är medlem av IT-ledningen.

1.1       Processkarta - informationssäkerhetsprocessen

Bild 1. Processkartan beskriver hur Service Design-processer är insatser till informationssäkerhetsprocessen som i sin tur tillhandahåller utfall till delvis samma processer.

1.2       Roller och organisation

1.2.1       Informationssäkerhetsansvarig (ISM) – Processägare

Informationssäkerhetsansvarig (ISM) är ansvarig för att säkerställa att beslutad sekretess, integritet och tillgänglighet uppnås för organisationens informationstillgångar (information, data och IT-tjänster). ISM är medlem av IT-ledningen och ansvarig för organisationens strategi för informationssäkerhetshantering men även för säkerhetsfrågor som inkluderar hantering av papper, tillträde till lokaler, telefoni, etc. (FM-tjänster) för hela organisationen.

Tabell 1. Roll- och ansvarsmatrisen ovan är baserad på HUKI-modellen: H – huvudansvarig, U – utförare, K- konsulteras, I – informeras.

1.2.2       Utformning av säkerhetskontroller – delprocess

Processmål

Utforma lämpliga tekniska och organisatoriska åtgärder för att säkerställa sekretess, integritet, säkerhet och tillgänglighet för organisationens informations-, data- och tjänstetillgångar.

1.2.3       Säkerhetstestning – delprocess

Processmål

Säkerställa att alla säkerhetsmekanismer är föremål för regelbunden testning.

1.2.4       Hantering av säkerhetsincidenter – delprocess

Processmål

Upptäcka och bekämpa attacker och intrång och minimera den skada som förorsakats av säkerhetsöverträdelser.

1.2.5       Säkerhetsgranskning – delprocess

Processmål

Granska om säkerhetsåtgärder kontinuerligt är i linje med verksamhetens riskbedömning, och kontrollera om dessa åtgärder och förfaranden regelbundet underhålls och testas.

2        Versionshistorik

Version 1.0, fastställt av Stefan Ersbring, 2016-11-30
Version 1.1, fastställt av Stefan Ersbring, 2017-01-17
Version 1.2, fastställt av Stefan Ersbring, 2017-02-03
Version 2.0, fastställt av Jon Kennedy, 2018-02-26

Oändliga möjligheter med Marval...

Oavsett dina önskemål har vi tekniken, kompetensen och arbetskraften för att uppnå dem.

Vi vet att du kan ha några frågor...

  • Beställ en
    Demonstration

    Upptäck fördelarna med att använda MSM, ett ärendehanteringssystem som är designat för att förbättra IT-tjänsternas kvalitet, öka kundnöjdheten och som sänker dina kostnader

  • Ladda
    Ner

    Här hittar du spännande och användbar information om ITSM

  • Marval Nordics
    Kundfallsstudier

    Ta del av hur andra använder Marval MSM för att lösa sina utmaningar inom IT Service Management

  • Kontakta
    Marval

    Kontakta oss för att diskutera dina servicebehov