SÄKER EPOST FINLAND AB:S INFORMATIONSSÄKERHETSPOLICY

I Säker Epost Finland Ab:s informationssäkerhetspolicy beskriver företagets mål, ansvar och genomförandemetoder för informationssäkerhet.

Målet med informationssäkerheten

Genom att sköta informationssäkerheten vill vi

  • se till att företagets viktiga datasystem fungerar utan avbrott,
  • trygga att tjänsterna som produceras för kunder är kontinuerligt tillgängliga,
  • förhindra olovlig användning av data (företagets egna och kundernas) och datasystem, samt
  • förhindra att data blir förvrängda och förstörda,
  • upprätthålla företagets rykte.

Ansvar för informationssäkerheten

För verkställandet av informationssäkerheten och efterlevnaden av ledningssystem för informationssäkerhet ansvarar bolagets VD. Verkställande direktören definierar ansvar och befogenheter för viktiga roller inom informationssäkerhet baserat på förslag från informationssäkerhetansvarige, och utser personer till dessa roller, inklusive en person som rapporterar om prestanda för ledningssystem för informationssäkerhet till VD.

Företagets informationssäkerhetsgrupp presenterar och VD bekräftar den gällande informationssäkerhetspolicyn. Den grundar sig på den av styrelsen bekräftade riskhanteringspolicyn.

För driften och utvecklingen av företagets ledningssystem för informationssäkerhet ansvarar den informationssäkerhetsansvarige. Informationssäkerhetsansvarige presenterar uppdateringar av informationssäkerhetssystemet för granskning av informationssäkerhetsgruppen, och vidare för bekräftelse av verkställande direktören.

Företaget har förbundit sig att följa de interna och externa informationssäkerhetskraven samt att kontinuerligt förbättra informationssäkerheten.

Samtliga medarbetare och underleverantörer ska följa företagets informationssäkerhetspolicy. Kunderna förväntas följa det informationssäkra sättet att använda Turvaposti som ingår i tjänsteavtalet.

Åtgärder för informationssäkerheten

Informationssäkerhetspolicyn verkställs genom att

  • företaget har ett ledningsssystem för informationssäkerhet som grundar sig på standarden ISO/IEC 27001 och Katakri-kriterierna, och som iakttas,
  • företagets personal och underleverantörer samt i förekommande fall kunder informeras om företagets informationssäkerhetspolicy samt en säker användning av datasystem och data, med kontroll över efterlevnaden,
  • företagets personal och underleverantörer samt i förekommande fall kunder informeras om ändringar på informationssäkerhetspolicyn och den säkra användningen, och
  • man ingriper direkt i problem och hot relaterade till informationssäkerheten.

Tillsyn och övervakning

Att upprätthålla och förbättra informationssäkerhetsnivån kräver kontinuerlig övervakning av verksamheten, vars innehåll och rapportering beskrivs i företagets ledningssystem för informationssäkerhet.

Behandling av informationssäkerhet händelser

Företaget har de rutiner som beskrivs i ledningssystemet för informationssäkerhet för att upptäcka och bearbeta informationssäkerhetsavvikelser och störningar. Att agera mot informationssäkerhetspolicyn och riktlinjerna räknas som en datasäkerhets kränkning. Rutiner har definierats för att hantera kränkningssituationer.