Informationssäkerhetspolicy

Syftet med denna policy är att Mätarkontroll i Stockholm AB inom branschen ska ses som ettföredöme och en långsiktigt trygg professionell samarbetspartner. Genom att skydda våraaffärshemligheter och kunders intressen får företaget ett gott anseende i branschen och enhållbar långsiktig utveckling.

Att ha kontroll över all information i ett företag är både komplext och krävande. I kravbildenför Mätarkontroll ingår de krav på dokumentstyrning och sekretess som följer av våraackrediteringar. I övrigt måste varje seriöst företag veta hur information ska hanteras ochklara av detta i praktiken. Här sätter vi själva ribban, både utifrån yttre förväntningar i ettsnabbt växande informationssamhälle och utifrån ledningens ambitioner och planer, som enintegrerad del av koncernens strategi och affärsplanering.

Komplexiteten blir stor i dagens informationsflöden när ökad effektivitet driver upp taktenoch informationsmängden. Detta sker parallellt med större krav på sammankoppling av olikasorters information. Samtidigt intensifieras hotbilden när datorer och nätverk blir vårt främstahjälpmedel för att klara detta. Olagliga intrång och dataförlust kan få katastrofala följder– att sådant inte inträffar måste säkerställas.

Strukturering av information – informationsmatris

För att hantera komplexiteten har Mätarkontroll definerat en ”informationsmatris” som gertydlig struktur åt olika typer av information och motsvarande krav som måste ställas för att viska upprätthålla de krav man kan förvänta sig av ett modernt företag i infomationsåldern. Föratt hantera hotbilderna definieras också en delpolicy för datasystemdriften i företaget (selängst ned i detta dokument).

Vi delar först in informationen i fyra slag av information:

1. Information om företagets samlade kompetensresurs (personal och organisationskompetens). Mycket information här utgör själva kompetensresursen.

2. Information relaterad till kunder och deras provningsobjekt/utrustning. Även objekten i sig själva är att betrakta som informationsbärare.

3. Information relaterad till företagets affärer – såväl affärshemligheter som marknadsförings- och försäljningsinformation.

4. Information om företagets hårda resurser – provningsutrustning, hjälpmedel och lokaler.

Som andra steg delar vi in informationens hantering och egenskaper i fyra nyckelfaktorer som är allmänt etablerade nyckelfaktorer för informationssäkerhet:

1. Riktighet – all information som Mätarkontroll producerar ska vara riktig. Övrig information ska granskas så långt det är rimligt för att riktighetskravet ska vara uppfyllt.

2. Tillgänglighet – när informationen behövs, ska den som är behörig lätt hitta den, där den behövs. Denna åtkomst måste garanteras – informationsförlust kan ej accepteras. I denna punkt ingår hänsyn till att IT-system i vilka information lagras antingen kan återställa utrangerade programvaror som krävs för att information ska kunna läsas eller att informationen i sig uppdateras formatmässigt för läsning i nyare system. Detta gäller under specifika tidsintervall definierade för olika dokumenttyper.

3. Sekretess – endast de som har legitim anledning att erhålla en viss sorts information ska få tillgång till den. För övriga ska informationen vara skyddad. Behörighet för individer bestäms av ledningen som en del av det löpande organiserandet av arbetet och ingår som övervägande i planering och genomförande av kompetensutveckling. Knutet till sekretessbegreppet är konfidentialitet – en kund som samtalar med en medarbetare ska kunna lita på att informationen inte förs vidare.

4. Spårbarhet – både när det gäller affärer/avtal och när det gäller den ackrediterade verksamheten ställs krav på spårbarhet. Det ska i efterhand gå att se hur informationen kommit till, vem som ansvarat för detta och vilka avgränsningar som gäller/vilken situation den relaterar till. Här ingår tydliga referenser till andra imformationskällor.

När ett dokument har ändrats ska det gå att spåra dessa ändringar tillbaka i varje steg. För varje slag av information (enligt första listan ovan) ska de fyra nyckelfaktorerna (enligtandra listan) uppfyllas på olika sätt beroende på vilken funktion informationen har. Vi får följande matris (som har utvidgats något – se kommentarer):