Informationssäkerhetspolicy
Antura anser att
informationssäkerhet är viktigt för bolagets trovärdighet och kunders tillit
till hur vi hanterar deras information. Bristande
informationssäkerhet kan leda till störningar i vår och våra kunders verksamhet
eller medföra bristande skydd för den personliga integriteten.
Anturas ledning har beslutat att införa ett systematiskt arbetssätt avseende hur vi jobbar med frågor och uppgifter som handlar om informationssäkerhet, ett ledningssystem för informationssäkerhet. Detta ledningssystem ska baseras på standarden ISO27001:2013 samt ett urval av de artiklar i Europaparlamentets och rådets förordning (EU) 2016/679, dvs GDPR, som berör informationssäkerhet.
Anturas ledningssystem för informationssäkerhet ska ha en hierarkisk dokumentstruktur i tre nivåer:
Denna text utgör den översta nivån i styrningsdokumentationen. Policyn uttrycker Anturas ambitionsnivå, viljeinriktning samt grundläggande mål för arbetet med informationssäkerhet.
Instruktioner är underställda policyn och definierar de obligatoriska kraven i fråga om informations- och IT-säkerhet på en taktisk och operativ nivå i verksamheten. Efterlevnad av Anturas instruktioner är obligatoriskt. Instruktioner definierar och beskriver vad som behöver utföras med avseende på informationssäkerhet.
Rutiner är underordnade instruktioner. Rutiner kan vara manuella eller automatiserade, och dess syfte är att tydligt beskriva handgrepp, moment eller tillvägagångssätt för hur en instruktion skall kunna uppfyllas.
Anturas informationssäkerhetspolicy, instruktioner och rutiner ska gälla för alla anställda, konsulter, samarbetspartners och andra underleverantörer som på något sätt är involverade i leverans, utveckling, drift, underhåll och support av Anturas produkter och tjänster. Överträdelser eller otillåtna avvikelser från denna policy och dess underordnade instruktioner och rutiner bedöms i enlighet med de instruktioner som upprättats för ändamålet och kan leda till disciplinära åtgärder och eventuellt uppsägning.
Antura ska implementera tekniska och organisatoriska åtgärder för åtminstone följande syften:
Identifiera och tilldela ansvar för kritiska informationstillgångar samt vidta relevanta och balanserade skyddsåtgärder för kritiska informationstillgångar.
Genomföra regelbundna riskanalyser och vidta åtgärder i syfte att minimera eller helt undvika att identifierade risker inträffar.
Hantera informationstillgångar i enlighet med lagstiftning, policyer, riktlinjer samt våra kunders krav.
Utbilda och informera medarbetare och externa intressenter i informationssäkerhet så att en god utbildningsnivå erhålls och bibehålls samt att informationssäkerheten tillämpas.
Utforma informationssäkerhetsrelaterade rutiner och verktyg så att de är enkla att använda och harmoniserar med övriga arbetsmetoder.
Upprätta och tillämpa incidenthantering för informationssäkerhetsrelaterade incidenter.
Stödja kunders eller medarbetares tillgång till information, dvs. rätt information vid rätt tidpunkt och på rätt plats till en behörig användare.
Tillgodose kraven på en säker informationshantering som är tillgänglig, konfidentiell, riktig och spårbar.
Anturas VD ansvarar för ytterst för bolagets ledningssystem för informationssäkerhet, medan det operativa ansvaret är tilldelat CISO (Chief Information Security Officer). CISO ska deltaga i ledningsgruppsarbetet på Antura och därigenom hålla verkställande ledningen informerad om statusen för bolagets ledningssystem för informationssäkerhet.
Anturas informationssäkerhetsmål är:
Leverera Antura
Projects som en säker SaaS-tjänst med avtalade SLA:er och
tillgänglighetsnivåer.
Förhindra
allvarliga informationssäkerhetsincidenter och säkerhetsbrister i Anturas
produkter och tjänster.
Etablera och
bibehålla en hög medvetandenivå kring informationssäkerhet hos Anturas ledning
och underställd personal.
Ett väl
etablerat och certifierat ledningssystem i enlighet med ISO27001 skall bidra
till uppfyllnad av ovanstående informationssäkerhetsmål.
Ladda ned Anturas Informationssäkerhetspolicy