Denna informationssäkerhetspolicy gäller för alla anställda inom Certezza AB och kontrakterad personal av Certezza AB.

Denna policy beskriver Certezzas vilja och mål för informationssäkerhetsarbetet. Policyn ska ge medarbetare, kontrakterad personal och besökare ett stöd kring informationssäkerhet i det dagliga arbetet.

Denna policy är fastställd av företagsledningen och gäller från och med 2009-09-01 Information är en av våra viktigaste tillgångar och hanteringen av den är en viktig del i arbetet. Utgångspunkter i vårt arbete med informationssäkerhet är:

• Lagar, förordningar och föreskrifter
• Avtal
• Våra egna krav

Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Informationssäkerheten omfattar Certezzas informationstillgångar utan undantag. Med informationssäkerhet avses att:

• rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt
• informationen är och förblir riktig

Informationssäkerheten är en integrerad del av verksamheten. Alla som hanterar informationstillgångar har ett ansvar att upprätthålla informationssäkerheten. Det är också ett ansvar för chefer att aktivt verka för en positiv attityd till säkerhetsarbetet.

Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för våra informationstillgångar. Den som använder företagets informationstillgångar på ett sätt som strider mot denna policy kan bli föremål för disciplinära åtgärder.

• Personalen har kunskap om gällande informationssäkerhetsregler och får regelbundet information samt utbildning i området.
• Ingångna avtal är kända och följs.
• Det finns tillgång till en gemensam, säker och väl definierad infrastruktur datakommunikation.
• Informationsförsörjningen är säker, effektiv och bidrar till ökat skydd och stöd för medarbetare, externa anordnare besökare samt tredje man.
• Alla investeringar både i form av information och teknisk utrustning har skydd i tillräcklig grad.
• Hotbilden för varje enskilt informationssystem som är av vikt för verksamheten analyseras fortlöpande.
• Händelser i informationssystemen som kan leda till negativa konsekvenser förebyggs.
• Förmågan att hantera kriser upprätthålls.

Årliga mål för arbetet beslutas i och framgår av verksamhetsplaneringen. För de årliga målen anges:

• Vad som ska göras under året och hur det skall göras
• Tidplan
• Behov av personella och ekonomiska resurser
• När och hur uppföljning, utvärdering och avrapportering ska ske

Företagsledningen har det övergripande ansvaret för informationssäkerheten. De ansvarar även för samordning av informationssäkerhetsarbetet.

Systemägaren utses av företagsledningen och är den som har ansvaret att tillvarata verksamhetens krav och har det övergripande ansvaret för att IT-systemet stödjer verksamheten och verksamhetens mål. Systemägaren ansvarar även för IT-säkerheten i IT-systemet och ansvarar för kontinuitetsplanen för det aktuella IT-systemet. Även tilldelning och uppföljning av åtkomsträttigheter till IT-systemet ska hanteras av systemägaren.

Medarbetaren ansvarar för att följa det regelverk som finns kring informationssäkerhet. Alla ansvarar för att inhämta sådan information och kunskap att regelverket följs.