Policy för informationssäkerhet

Policy för informationssäkerhet

Regent tar skyddet av din information på största allvar.

Information är i dagens samhälle en av de viktigaste tillgångarna. Förutom den information som Regent äger själva, hanterar vi också information som ägs av våra intressenter såsom kunder, leverantörer och andra samarbetspartners. Vi försäkrar oss om att all information, oavsett vem som äger den, hanteras på ett kontrollerat och strukturerat sätt. Vi anser att det är en kritisk framgångsfaktor för att vi ska uppnå våra verksamhetsmål.

Med informationssäkerhet avser vi skydd av information oavsett vilken form den har, hur den överförs eller lagras. Begreppet innefattar fysisk säkerhet, IT-säkerhet samt administrativ säkerhet.

Informationen skall skyddas mot alla hot oavsett om de är interna, externa, avsiktliga eller oavsiktliga. Vi ser det som en självklarhet att alla delar av säkerhetsarbetet inkluderas i organisationens samtliga uppdrag. Denna policy gäller för alla anställda, samarbetspartners, praktikanter, vikarier och konsulter i vår arbetsmiljö, internt och externt.

Regent arbetar med kontinuerlig förbättring vilket även avser ledningssystemet för informationssäkerhet. Detta säkerställer att Regent kontinuerligt utvecklar och förbättrar processerna inom informationssäkerhet, och minskar risken för eventuella informationssäkerhetsincidenter.

Det är vår policy att säkerställa informationens:

Tillgänglighet

Säkerställande av att informationen är tillgänglig för behöriga aktörer, intressenter och användare när de behöver den.

Integritet

Säkerställande av att informationen och behandlingsmetoder skyddas så att de förblir korrekta och fullständiga.

Konfidentialitet

Säkerställande av att information är tillgänglig endast för dem som är behöriga.

Krav inom organisationen

  • Alla anställda och underkonsulter skall vid onboarding och regelbundet därefter genomgå informationssäkerhetsutbildning.
  • Alla anställda och underkonsulter är skyldiga att uppmärksamma och anmäla identifierade säkerhetsincidenter och säkerhetsobservationer, både internt och externt. Säkerhetsincidenter och säkerhetsobservationer ska rapporteras till närmsta chef, CISO eller genom Regents visselblåsarfunktion.
  • Investeringar i informationssäkerhet ska utgå från verksamhetens behov och krav och därmed utgöra ett stöd för att uppnå uppsatta mål.
  • Alla anställda och underkonsulter som levererar tjänster åt Regents kunder är skyldiga att följa kundens processer, policys och regler kring informationssäkerhet.
  • Arbetet med informationssäkerhet ska följas upp kontinuerligt.

IT-säkerhetspolicy för arbetsutrustning och användare

Du som anställd eller underleverantör till Regent är skyldig att följa Regents IT-säkerhetspolicy för arbetsutrustning och användare.

Mål för informationssäkerhetsarbetet

Regent har följande mål för informationssäkerhet

  • Regent skall överträffa anställdas, kunders och övriga intressenters förväntningar kring vårt informationssäkerhetsarbete. Detta genom att överträffa satta mål på enkäter för ”leverans och informationssäkerhet”, samt resultat för utbildningar inom informationssäkerhet.
  • Antal informationssäkerhetsincidenter skall begränsas så långt som är praktiskt möjligt, med sikte på nollvision att inga informationssäkerhetsincidenter alls inträffar. Samtidigt skall Regent ha en kultur där det uppmuntras att rapportera händelser som antingen är, eller som kan leda till informationssäkerhetsincidenter. Därmed skall antalet rapporterade observationer som kan leda till incidenter alltid överstiga minst en per kvartal.
  • Den totala och genomsnittliga risknivån av samtliga Regents informationssäkerhetsrisker skall kontinuerligt minska.
  • Alla anställda och underkonsulter skall vid onboarding och regelbundet därefter genomgå informationssäkerhetsutbildning.

Informationssäkerhetspolicyns giltighetstid

Regent ska fortlöpande förbättra informationssäkerhetsarbetet och se myndigheternas lagar och förordningar samt övriga krav vi berörs av som en miniminivå. Informationssäkerhetsarbetet ska utgå från standarden ISO/IEC 27001 och myndigheten för samhällsskydd och beredskaps (MSB) metodstöd.

Informationssäkerhetspolicyn fastställdes av Regents ägare samt ledning 2020-01-30. Senaste revideringen och godkännandet av Informationssäkerhetspolicy och Informationssäkerhetsarbete genomfördes 2024-03-13 och gäller till och med 2027-03-13.