IT-säkerhetspolicys
Säkerhetspolicyn definierar ramen för hanteringen av informationssäkerhet i Elmgren Kiropraktik AB/TO Kiropraktik AB. Säkerhetspolicyn gäller alla anställda i Elmgren Kiropraktik AB/TO Kiropraktik AB och hela tillgången till Elmgren Kiropraktik AB/TO Kiropraktik AB:s informationssystem.
1. Lidingö kiropraktik arbetar aktivt med hanteringen av informationssäkerhet i syfte att säkra tillgänglighet, system och data.
2. Lidingö kiropraktik strävar efter att följa ISO 27001: 2013 / ISO27002: 2013.
3. Lidingö kiropraktik använder ett riskbaserat tillvägagångssätt där skyddsnivån och dess kostnad måste baseras på affärsrisken och konsekvensbedömningen som måste utföras årligen som ett minimum. En IT-säkerhetshandbok måste utarbetas och kontinuerligt uppdateras. Denna handbokska innehålla beskrivningar av genomförda åtgärder när det gäller informationssäkerhet och hänvisningar till relevanta policyer, riktlinjer och förfaranden.
4. Lidingö kiropraktik syftar till att följa relevant lagstiftning, inklusive t.ex. GDPR.
5. Lidingö kiropraktik har för avsikt att följa avtal med externa parter, inklusive databehandlingsavtal.
6. Lidingö kiropraktik strävar efter att utarbeta ett årligt uttalande, dvs. ISAE3402, ISAE3000, ISO-certifikat etc. Denna informationssäkerhetspolicy ska ses över årligen. Styrelsen har det yttersta ansvaret för informationssäkerheten i Elmgren Kiropraktik AB/TO Kiropraktik AB. Ledningen ansvarar för ledningsprinciperna och delegerar specifika ansvarsområden för skyddsåtgärder, inklusive ägande av informationssystem, organisering och ansvar. Undantag från Elmgren Kiropraktik AB/TO Kiropraktik AB:s
informationssäkerhetspolicy och riktlinjer godkänns av IT-avdelningen baserat på riktlinjerna från ledningen. Avsiktligt brott och missbruk rapporteras av IT-avdelningen till HR-avdelningen och den närmaste myndigheten med huvudansvar. Överträdelse av informationssäkerhetspolicyn och stödjande riktlinjer kan leda till konsekvenser för arbetsrätten. Äganderätten ställs in för varje kritiskt informationssystem. Ägaren fastställer hur skyddsåtgärder används och hanteras i enlighet med säkerhetspolicyn. IT-avdelningen konsulterar, koordinerar, kontrollerar och rapporterar om säkerhetens status. IT-avdelningen utarbetar riktlinjer och rutiner. Den enskilda medarbetaren är
ansvarig för att följa säkerhetspolicyn och informeras om den i ”IT-användningspolicyn”. IT-avdelningen informerar ledningen om alla relevanta säkerhetsintrång. Undantagsstatus ingår i IT-avdelningens årsredovisning till ledningen Ledningen granskar säkerhetsstatus årligen och rapporterar till styrelsen efteråt