Informationssäkerhetspolicy
Denna policy vänder sig till alla som hanterar Office information och beskriver Office styrande principer för Informationssäkerhetsarbetet.
På Office tar vi informationssäkerhet på största allvar. Vår policy är utformad för att skydda den information som är viktigast för oss och våra kunder.
Vår informationssäkerhetspolicy är utformad för att skydda våra mest värdefulla tillgångar och säkerställa att rätt information är tillgänglig för rätt person vid rätt tidpunkt. Genom att följa ISO-standarder och upprätthålla och ha en stark säkerhetskultur, arbetar vi för att minimera risker och bygga förtroende.
Lär mer om våra principer och riktlinjer som gör vår informationshantering pålitlig, konfidentiell och alltid tillgänglig när det behövs.
Allmänt
Policyn vänder sig till alla som hanterar Office information och beskriver Office styrande principer för Informationssäkerhetsarbetet.
Office policy för Informationssäkerhet beslutas av ledningen och omprövas en gång per år.
Policyn omfattar hela Office verksamhet och all information utan undantag oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller den miljö den förekommer i.
Informationssäkerhet
Information är en av Office värdefullaste tillgångar och hantering av information utgör en betydande del av arbetet. Tillgången till tillförlitlig information är en förutsättning för att Office ska kunna fortsätta vara framgångsrika och ha förtroende hos våra kunder och driva och utveckla vår verksamhet på ett innovativt sätt.
En förutsättning för att företagets information ska vara skyddad är att en god säkerhetskultur genomsyrar hela verksamheten. Med det avses att alla som hanterar Office information har god kunskap om vilka regler som gäller vid informationshantering, att medvetet och uppmärksamt värdera situationer och i enlighet med gällande rutiner rapportera händelser som kan påverka säkerheten.
Ett systematiskt och långsiktigt Informationssäkerhetsarbete syftar till att säkerställa informationens konfidentialitet, riktighet och tillgänglighet.
Konfidentialitet
Med konfidentialitet menas att information inte tillgängliggörs eller avslöjas till obehöriga individer, enheter, eller processer eller på annat sätt röjs medvetet eller omedvetet till annan än behörig.
Riktighet
Med riktighet menas att information är felfri, tillförlitlig, korrekt och fullständig.
Tillgänglighet
Med tillgänglighet menas att informationen kan användas efter behov i förväntad utsträckning, inom önskad tid och på rätt plats.
Ansvar
Office ska upprätta en organisation med roller, ansvar och befogenheter som krävs för att säkerställa ett gott informationssäkerhetsarbete.
Mål för informationssäkerhetsarbetet
Office mål för Informationssäkerhet är att rätt information ska tillgängliggöras för rätt person vid rätt tillfälle. Skyddet av Informationstillgångar ska vara utformat så att verksamhetens krav på säkerhet uppfylls. Detta gäller även när Office information eller informationssystem hanteras av extern part.
Arbetet med Informationssäkerhet ska vara systematiskt och långsiktigt.
Att säkerställa en god nivå av systematiskt Informationssäkerhetsarbete möjliggör:
-
Att lagstiftning och Informationssäkerhetskrav följs.
-
Att kritisk verksamhet upprätthålls.
-
Att informationsläckor minimeras.
-
Förutsättningar för effektivisering och innovation.
-
Att kostnader för kvalitetsbrister kan begränsas.
-
Att bidra till att förtroendet för Office bibehålls och varumärket stärks.
Arbetet med informationssäkerhet utgår från standarderna ISO27001 och ISO27002 och tillhörande SOA.
Office ställer säkerhetskrav i upphandlingar och vid utveckling, användning och avveckling av IT-system följer upp ställda krav.
I Office VLS finns processer och rutiner som styr och vägleder arbetet med Informationssäkerhet.
Principer
-
Att kunskap finns och att den fortlöpande utvecklas beträffande hur informationssäkerhet säkerställs, upprätthålls och är under ständig förbättring.
-
Att hot mot informationstillgångar och tjänster fortlöpande bedöms och hanteras enligt fastställd process för riskhantering.
-
Att krishanteringsförmågan fortlöpande analyseras och upprätthålls.
-
Att oväntade och oönskade händelser som leder till negativa konsekvenser förebyggs.
-
Att arbete med informationssäkerhet är en naturlig och integrerad del i verksamheten.
-
Att informationssäkerhetsarbetet och tillhörande säkerhetsåtgärder återkommande revideras för att uppnå ständig förbättring.