Play-Icon

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Antura anser att informationssäkerhet är viktigt för bolagets trovärdighet och kunders tillit till hur vi hanterar deras information. Bristande informationssäkerhet kan leda till störningar i vår och våra kunders verksamhet eller medföra bristande skydd för den personliga integriteten.

Anturas ledning har beslutat att införa ett systematiskt arbetssätt avseende hur vi jobbar med frågor och uppgifter som handlar om informationssäkerhet, ett ledningssystem för informationssäkerhet. Detta ledningssystem ska baseras på standarden ISO27001:2013 samt ett urval av de artiklar i Europaparlamentets och rådets förordning (EU) 2016/679, dvs GDPR, som berör informationssäkerhet.

Anturas ledningssystem för informationssäkerhet ska ha en hierarkisk dokumentstruktur i tre nivåer:

  • Denna text utgör den översta nivån i styrningsdokumentationen. Policyn uttrycker Anturas ambitionsnivå, viljeinriktning samt grundläggande mål för arbetet med informationssäkerhet.

  • Instruktioner är underställda policyn och definierar de obligatoriska kraven i fråga om informations- och IT-säkerhet på en taktisk och operativ nivå i verksamheten. Efterlevnad av Anturas instruktioner är obligatoriskt. Instruktioner definierar och beskriver vad som behöver utföras med avseende på informationssäkerhet.

  • Rutiner är underordnade instruktioner. Rutiner kan vara manuella eller automatiserade, och dess syfte är att tydligt beskriva handgrepp, moment eller tillvägagångssätt för hur en instruktion skall kunna uppfyllas.

Anturas informationssäkerhetspolicy, instruktioner och rutiner ska gälla för alla anställda, konsulter, samarbetspartners och andra underleverantörer som på något sätt är involverade i leverans, utveckling, drift, underhåll och support av Anturas produkter och tjänster. Överträdelser eller otillåtna avvikelser från denna policy och dess underordnade instruktioner och rutiner bedöms i enlighet med de instruktioner som upprättats för ändamålet och kan leda till disciplinära åtgärder och eventuellt uppsägning.

Antura ska implementera tekniska och organisatoriska åtgärder för åtminstone följande syften:

  • Identifiera och tilldela ansvar för kritiska informationstillgångar samt vidta relevanta och balanserade skyddsåtgärder för kritiska informationstillgångar.

  • Genomföra regelbundna riskanalyser och vidta åtgärder i syfte att minimera eller helt undvika att identifierade risker inträffar.

  • Hantera informationstillgångar i enlighet med lagstiftning, policyer, riktlinjer samt våra kunders krav.

  • Utbilda och informera medarbetare och externa intressenter i informationssäkerhet så att en god utbildningsnivå erhålls och bibehålls samt att informationssäkerheten tillämpas.

  • Utforma informationssäkerhetsrelaterade rutiner och verktyg så att de är enkla att använda och harmoniserar med övriga arbetsmetoder.

  • Upprätta och tillämpa incidenthantering för informationssäkerhetsrelaterade incidenter.

  • Stödja kunders eller medarbetares tillgång till information, dvs. rätt information vid rätt tidpunkt och på rätt plats till en behörig användare.

  • Tillgodose kraven på en säker informationshantering som är tillgänglig, konfidentiell, riktig och spårbar.

Anturas VD ansvarar för ytterst för bolagets ledningssystem för informationssäkerhet, medan det operativa ansvaret är tilldelat CISO (Chief Information Security Officer). CISO ska deltaga i ledningsgruppsarbetet på Antura och därigenom hålla verkställande ledningen informerad om statusen för bolagets ledningssystem för informationssäkerhet.

Anturas informationssäkerhetsmål är att:

  • Leverera Antura Projects som en SaaS-tjänst med avtalade SLA:er och tillgänglighetsnivåer.

  • Eftersträva nollvision avseende antal informationssäkerhetsincidenter per år.

  • Eftersträva nollvision avseende antal personuppgiftsincidenter per år.

  • Etablera och bibehålla en hög medvetandenivå kring informationssäkerhet hos Anturas ledning och underställd personal.

  • Införa säkerhetskontroller i verksamheten som eftersträvar noll risker klassade som allvarliga eller kritiska enligt ledningssystemets klassificeringsmodell för informationssäkerhetsrisker.

  • Etablera och bibehålla en effektiv funktion för internrevision och hantering av åtgärder vid upptäckta avvikelser.

  • Uppfylla tillämpliga lagar och förordningar inom informationssäkerhet.

  • Löpande bibehålla en ISO27001-certifiering.

Ladda ned Anturas Informationssäkerhetspolicy

”Informationssäkerhet är en högt prioriterad fråga för Antura och våra kunder. Vi måste kunna lita på att all information som vi hanterar internt och för våra kunders räkning alltid är tillgänglig, korrekt och skyddad från obehörig åtkomst.”

Mattias Andersson, VD, Antura