Informationssäkerhetspolicy

Rapportering sker till IT-säkerhetsansvarig.
Incidentformulär på intranät

Vid akut incident ring

Syfte och bakgrund

Fastum AB är leverantör av förvaltningstjänster till bostadsrättsföreningar och tillhandahåller både egna och externa teknikplattformar för att kunna leverera sina tjänster. För att skydda Fastums och våra kunders information har Fastum beslutat att upprätta, genomföra och underhålla en dokumenterad informationssäkerhetspolicy. Policyn omfattar administrativa och tekniska skyddsåtgärder för att säkerställa konfidentialitet, riktighet och tillgänglighet i information och IT-miljöer.

Hotbild

Cyberhot bedöms som särskilt allvarliga och utgör en central del av Fastums riskarbete. Exempel på hot som Fastum arbetar för att förebygga är bland annat förlust av kritisk information, oavsiktligt eller avsiktligt dataläckage, social manipulation riktad mot medarbetare samt riktade nätfiskeattacker. Policyn omfattar även skydd mot mer avancerade angrepp där system kan komprometteras och information avlyssnas eller manipuleras.

Omfattning

Informationssäkerhetspolicyn omfattar:

  • tekniska och organisatoriska risker
  • samtliga arbetsställen
  • arbete som utförs utanför Fastums ordinarie lokaler
  • system, data och infrastruktur som Fastum själv eller via leverantör tillhandahåller

Styrning, lagkrav och leverantörer

Fastum ska ha skriftliga och uppdaterade informationssäkerhetsplaner, processer och styrdokument samt en tydlig plan för efterlevnad av GDPR. För leverantörer som hanterar information eller personuppgifter på Fastums uppdrag ska det alltid finnas ett huvudavtal och, när personuppgifter behandlas, ett personuppgiftsbiträdesavtal.

Eventuella säkerhetsincidenter eller intrång som blivit offentligt kända eller på annat sätt kommunicerade ska analyseras och vid behov leda till förbättrade säkerhetsåtgärder. Fastum ska även ha kontroll över var data lagras, i vilket land, vilken typ av lagringsmiljö som används och vem som ansvarar för driften.

Roller och ansvar

Fastum har utsett en IT-säkerhetsansvarig som ansvarar för att övervaka, utveckla och följa upp informationssäkerhetsarbetet. Detta innefattar såväl policyns efterlevnad som hantering av incidenter och utbildningsinsatser.

Alla anställda inom Fastum hanterar information i sitt dagliga arbete och ansvarar för att följa denna policy. Informationssäkerheten är beroende av varje enskild medarbetare, och misstänkta eller faktiska säkerhetsincidenter ska omedelbart rapporteras till IT-säkerhetsansvarig.

Åtkomst, autentisering och lösenord

Åtkomst till Fastums system sker genom personliga användarkonton. Varje användare tilldelas ett unikt användar-ID och ansvarar för att skydda sina inloggningsuppgifter. Konton låses efter upprepade misslyckade inloggningsförsök och lösenord måste uppfylla fastställda krav på styrka och regelbunden förändring. För system som hanterar känsliga personuppgifter används tvåfaktorsautentisering.

Kommunikation, fildelning och lagring

Fastum använder interna och externa verktyg för kommunikation, fildelning och lagring. Dessa tillhandahålls genom avtal som inkluderar krav på informationssäkerhet och, vid behandling av personuppgifter, personuppgiftsbiträdesavtal. Känslig eller personlig information ska i första hand delas via ärendehanteringssystem. Om sådan information skickas via e-post ska den krypteras och lösenord kommuniceras separat.

Flyttbara medier och utrustning

Användning av flyttbara medier är begränsad. Endast USB-enheter som tillhandahålls av Fastum får användas, och externa USB-enheter är inte tillåtna. Vid avveckling eller återlämning av elektronisk utrustning ska lagrad information raderas eller göras oläslig på ett säkert sätt, vilket hanteras av IT-säkerhetsansvarig.

Uppföljning och incidenthantering

Fastum genomför regelbundna granskningar av systemaktivitet, åtkomsträttigheter och loggar för att upptäcka och förebygga säkerhetsincidenter. Alla anställda är skyldiga att rapportera säkerhetshändelser så snart de upptäcks. Incidenter dokumenteras, analyseras och följs upp med nödvändiga åtgärder och utbildningsinsatser. Vid misstanke om brott kontaktas behöriga myndigheter.

Utbildning och medvetenhet

Fastum arbetar kontinuerligt med att stärka säkerhetsmedvetenheten hos sina medarbetare. Alla nyanställda får utbildning i informationssäkerhet och gällande policyer, och samtliga medarbetare genomgår återkommande utbildning minst en gång per år.

Leverantörsgranskning

Leverantörer som får tillgång till Fastums information eller informationssystem ska granskas regelbundet. Granskningen genomförs av IT-säkerhetsansvarig och syftar till att säkerställa att leverantörer uppfyller Fastums krav på informations- och datasäkerhet.

Antagen av Fastum AB:s styrelse den 31 maj 2018

Itsäkerhet

Uppföljning och incidenthantering

Fastum genomför regelbundna granskningar av systemaktivitet, åtkomsträttigheter och loggar för att upptäcka och förebygga säkerhetsincidenter.

Alla anställda är skyldiga att rapportera säkerhetshändelser så snart de upptäcks. Incidenter dokumenteras, analyseras och följs upp med nödvändiga åtgärder och utbildningsinsatser. Vid misstanke om brott kontaktas behöriga myndigheter.

Fastum tel 90220

Rapporteringsvägar

Rapportering sker till IT-säkerhetsansvarig.
Incidentformulär på intranät
Vid akut incident ring: +46 76 536 44 01

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Fastum AB, orgnr. 556730-0883 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Markera för att samtycka till användning av Nödvändiga cookies
Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Cookies för statistik

Markera för att samtycka till användning av Cookies för statistik
För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

Markera för att samtycka till användning av Cookies för annonsmätning
För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

Markera för att samtycka till användning av Cookies för personlig annonsmätning
För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

Markera för att samtycka till användning av Cookies för anpassade annonser
För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata