Informationssäkerhetspolicy
LifeComp Sweden AB (LifeComp) har upprättat denna Informationsäkerhetspolicy för att informera sina kunder om hur LifeComp vidtar lämpliga tekniska och organisatoriska åtgärder. LifeComp samarbetar kring säkerhet och informationssäkerhet med det ledande bolaget Weop AB för att säkerställa en hög säkerhetsnivå.
1. Bakgrund
En god informationssäkerhet är en investering och en försäkring för verksamhetens fortlevnad. Genom att utgå från verksamhetens behov av skyddsnivå kan informationssäkerhetsarbetet ständigt förbättras. Utgångspunkten för LifeComps informationssäkerhetsarbete är att verksamhetens behov av säkerhetsskydd för troliga och oönskade framtida händelser. LifeComps informationssäkerhet utgör på så sätt en del av LifeComps totala riskhantering.
2. Syfte
Syftet med informationssäkerhet är att skydda LifeComps informationstillgångar från alla typer av hot, såväl externa som interna. Informationssäkerhet är grundläggande för att hantera informationsrisker på ett strukturerat och konsistent sätt. Denna policy anger inriktning och övergripande mål för informationssäkerhetsarbetet på LifeComp.
Grundläggande för LifeComps hantering av informationssäkerheten är:
Sekretess – att ingen obehörig får tillgång till Bolagets information;
Riktighet – att våra kunder alltid får rätt information;
Tillgänglighet – att våra kunder har tillgång till den information som är kopplad till sin affärsrelation med oss.
3. Riktlinjer – mål och metoder för styrning samt struktur för riskbedömning
Information, data och informationssystem i alla sina former utgör några av de mest värdefulla tillgångarna i LifeComp. Samtliga medarbetare har ett ansvar att skydda dessa mot alla former av hot, såväl interna som externa, såväl avsiktliga som oavsiktliga.
Samtliga verksamhetsansvariga har ett ansvar för informationssäkerheten inom sitt ansvarsområde. Riskanalyser ska normalt genomföras årligen inom de affärskritiska processerna.
LifeComp ska efterleva gällande lagstiftning. Säkerheten ska vara en integrerad del av LifeComps verksamhet och stödja verksamheten i att uppnå de uppsatta målen för kvalitet och effektivitet.
4. Organisation av Informationssäkerheten
Inom LifeComp har informationssäkerhetsarbetet indelats i fyra säkerhetsområden. Dessa omfattar fysisk säkerhet, administrativ säkerhet, datasäkerhet/IT-säkerhet, samt kommunikationssäkerhet.
Med fysisk säkerhet menas skydd av lokaler och medarbetare genom larm, brandvarnare och genom utbildning av samtliga medarbetare i säkerhetsfrågor.
Med administrativ säkerhet menas det övergripande informationssäkerhetsarbetet genom policy, kontinuitetsplaner, incidentdatabas, övergripande anvisningar och regelverk.
Med datasäkerhet/IT-säkerhet menas skydd av de servrar och lagringsmedia där all information lagras samt skydd av data och kommunikation genom e-post, på LifeComps intranät med mera.
Med kommunikationssäkerhet menas skydd av de medier som används för att kommunicera med omvärlden, exempelvis telefoni och e-post.
5. Rapportering och Uppföljning
Ledning och styrelse har det övergripande ansvaret för informationssäkerhetsarbetet.
Uppföljning av informationssäkerhetsarbetet sker genom att samtliga säkerhetsincidenter registreras. Uppföljning av skyddsåtgärder, gjorda med utgångspunkt från genomförda riskanalyser, ska ske kontinuerligt. Ledningen ska följa upp genomförda riskanalyser.
6. Ansvar
Policyn fastställs av LifeComps styrelse.
Samtliga medarbetare har ett ansvar att följa LifeComps säkerhetsregelverk.
Avsiktliga eller oavsiktliga avsteg från denna policy kommer att utredas. En sådan utredning kan medföra att användarnas privata information kan komma att omfattas av en utredning om detta krävs av lagstiftning eller av andra myndigheter.