Informationssäkerhetspolicy och riktlinjer för Digital Island

§ 1. Inledning och syfte:

Informationssäkerhet är av avgörande betydelse för Digital Island AB och dess verksamhet. Detta dokument syftar till att fastställa och kommunicera Digital Island ABs
åtagande och metoder för att skydda informationstillgångar från alla typer av hot, oavsett om de är avsiktliga eller oavsiktliga.

§ 2. Tillämpningsområde:

Detta dokument omfattar alla delar av Digital Island AB och alla typer av informationstillgångar, inklusive men inte begränsat till elektroniska data, fysiska dokument, kundinformation och affärsstrategier.

§ 3. Referenser:

• ISO/IEC 27001:2021 – Ledningssystem för informationssäkerhet
• GDPR (General Data Protection Regulation)
• Branschspecifika riktlinjer och best practices

§ 4. Terminologi:

Följande termer används i detta dokument och har följande betydelser:

• Informationssäkerhet: En övergripande term som avser skyddet av informationstillgångar från hot som kan hota dess konfidentialitet, integritet och tillgänglighet. Detta inkluderar skydd mot oavsiktlig eller avsiktlig förändring, förlust eller obehörig åtkomst till information och system.
  
• Konfidentialitet: Förmågan att säkerställa att information endast är tillgänglig för auktoriserade användare och inte avslöjas för obehöriga. Konfidentialitet upprätthålls genom användning av åtkomstkontroller, kryptering och säker kommunikation.
• Integritet: Förmågan att säkerställa att informationen är korrekt, oförändrad och pålitlig. Integritet upprätthålls genom användning av åtgärder som digital signering, datakryptering och systemförvaltning.
• Tillgänglighet: Förmågan att säkerställa att information och resurser är tillgängliga för auktoriserade användare när det behövs. Tillgänglighet upprätthålls genom att säkerställa hög tillgänglighet för system och nätverk samt genom att implementera åtgärder för att förebygga och hantera driftavbrott.
• Risk: Potentiell skada eller förlust som kan uppstå till följd av en sårbarhet och ett hot. Riskbedömning och riskhantering är centrala delar av informationssäkerhetsarbetet och syftar till att identifiera, bedöma och hantera risker på ett strukturerat sätt.
• Sårbarhet: En svaghet eller brist i en av organisationens system, processer eller kontroller som kan utnyttjas av obehöriga för att orsaka skada eller förlust av informationstillgångar. Sårbarheter kan vara tekniska, processrelaterade eller mänskliga och måste identifieras och åtgärdas för att minska risken för incidenter

Genom att förstå och använda denna terminologi enhetligt inom organisationen kan vi säkerställa tydlig kommunikation och förståelse för informationssäkerhetsrelaterade
frågor och åtgärder.

§ 5. Ledningens förpliktelse:

Ledningen på Digital Island AB förbinder sig att stödja och främja informationssäkerhetsarbetet genom att tillhandahålla resurser, fastställa policys och mål samt genom att aktivt delta i och stödja implementeringen av informationssäkerhetsåtgärder

§ 6. Policy för informationssäkerhet:

Digital Island ABs policy för informationssäkerhet är att säkerställa att all information hanteras på ett säkert sätt för att skydda dess konfidentialitet, integritet och tillgänglighet.
För att uppnå detta kommer Digital Island AB att implementera och upprätthålla lämpliga kontroller och procedurer i enlighet med ISO/IEC 27001:2021 och andra tillämpliga
standarder och riktlinjer

§ 7. Riskhantering:

Digital Island AB använder en systematisk metod för att identifiera, bedöma och hantera risker relaterade till informationssäkerhet. Detta inkluderar regelbundna riskbedömningar, utveckling av riskhanteringsplaner och övervakning av risknivåer över tiden

§ 8. Fysisk säkerhet:

Digital Island AB har implementerat lämpliga åtgärder för att säkra fysisk tillgång till information och resurser. Detta inkluderar användning av säkra lokaler,
övervakningssystem och åtkomstkontroller för att skydda känslig utrustning och dokumentation

§ 9. Åtkomstkontroll:

Åtkomst till information och system inom Digital Island AB kontrolleras och hanteras noggrant. Detta inkluderar tilldelning av behörigheter baserat på principen om ”minsta
privilegium”, användning av stark autentisering och regelbunden granskning av användares åtkomsträttigheter

§ 10. Kryptering och dataskydd:

Digital Island AB använder krypteringstekniker och andra dataskyddsåtgärder för att skydda känslig information mot obehörig åtkomst och manipulation. Detta inkluderar
kryptering av data i vila och under överföring samt implementering av åtkomstkontroller och integritetskontroller

§ 11. Hantering av incidenter och kontinuitet:

Digital Island AB har en tydlig process för att hantera säkerhetsincidenter och säkerställa kontinuitet i verksamheten vid störningar. Detta inkluderar snabb detektion och åtgärd av incidenter, dokumentation av händelser och utvärdering av åtgärder för att förhindra framtida incidenter

§ 12. Utbildning och medvetenhet:

All personal inom Digital Island AB genomgår regelbunden utbildning och medvetenhetskampanjer för att öka medvetenheten om informationssäkerhet och främja säkert beteende. Detta inkluderar både generell utbildning om informationssäkerhet och specifik utbildning relaterad till olika roller och ansvar.

§ 13. Övervakning och granskning:

Digital Island AB genomför regelbunden övervakning och granskning av sina informationssäkerhetsåtgärder för att säkerställa efterlevnad av policys och identifiera
eventuella brister eller risker.

§ 14. Dokumenthantering och revision:

Dokument relaterade till informationssäkerhet inom Digital Island AB hanteras och arkiveras enligt fastställda procedurer och riktlinjer. Detta inkluderar versionshantering,
godkännandeprocesser och regelbunden revision och uppdatering av dokumentationen.

§ 15. Efterlevnad och förbättring:

Digital Island AB strävar efter att uppfylla alla relevanta lagar, standarder och riktlinjer relaterade till informationssäkerhet och kontinuerligt förbättra sin informationssäkerhet
genom utvärderingar, åtgärdsplanering och genomförande av åtgärder för kontinuerlig förbättring.