2024-09-15
Informationssäkerhetspolicy
1. Introduktion
Denna policy beskriver de åtgärder som Tagd AB har infört för att skydda säkerheten och konfidentialiteten för avtalsinformation, inklusive finansiella villkor, företagsinformation och personuppgifter, som lagras i vårt avtalshanteringssystem. Denna policy gäller för alla anställda, entreprenörer och tredje parter som har tillgång till systemet. Det är varje individs ansvar att följa denna policy och vidta lämpliga åtgärder för att skydda avtalsinformationen.
2. Informationsklassificering
All information i avtalshanteringssystemet klassificeras i kategorier: Offentlig, Intern och All kunds data är klassificerad som Konfidentiell. Denna klassificering avgör hanterings-, åtkomst- och distributionskrav. Endast behörig personal med ett legitimt affärsbehov får tillgång till Konfidentiell information, och den ska inte delas med obehöriga individer. All konfidentiell information måste märkas i enlighet med detta.
3. Åtkomstkontroller
Åtkomst beviljas enligt behovsprincipen, och behörigheter granskas kvartalsvis för att säkerställa relevans. Varje individ är ansvarig för att upprätthålla konfidentialiteten för sina unika inloggningsuppgifter. Om åtkomst inte längre behövs kommer den att återkallas omedelbart efter en åtkomstgranskning eller rolländring.
4. Datakryptering
All data som överförs till och från avtalshanteringssystemet är krypterad.
Säker nyckelhantering, inklusive regelbunden nyckelrotation och säker lagring, implementeras för att upprätthålla dataintegritet och konfidentialitet.
5. Fysisk säkerhet
Avtalshanteringssystemet använder ett säkert datacenter som skyddas av övervakning dygnet runt, avancerade åtkomstkontroller och brandskyddssystem. Endast behörig personal har tillgång till datacentret, och all åtkomst loggas och övervakas. Fjärrarbetsplatser måste följa motsvarande säkerhetsåtgärder, inklusive säker lagring av enheter och begränsad åtkomst till fysiska dokument.
6. Disaster Recover Plan
En Disaster Recover Plan vid katastrof finns på plats för att säkerställa kontinuitet, med återställningstid (RTO) och återställningspunktsmål (RPO) för all kritisk data. Databackup sker dagligen.
7. Incidenthantering
Vid en säkerhetsincident aktiveras incidenthanteringsplanen. Alla anställda, entreprenörer och tredje parter måste omedelbart rapportera incidenter till Tagds huvudkontor. Åtgärdsstegen inkluderar begränsning, eliminering, återställning och en efterhandsgranskning av incidenten. Korrigerande åtgärder dokumenteras för att förhindra framtida händelser.
8. Utbildning och medvetenhet
All personal med tillgång till avtalshanteringssystemet måste genomgå årlig säkerhetsutbildning. Utbildningen omfattar lösenordshantering, datahantering, incidenthanteringsprocedurer och simulerade nätfiskeövningar för att förstärka medvetenheten. Ytterligare utbildning kan krävas efter policyuppdateringar eller identifierade säkerhetsincidenter.
9. Compliance
Vi följer EU:s allmänna dataskyddsförordning (GDPR) och relevanta informationssäkerhetslagar. Regelbundna interna revisioner genomförs för att verifiera efterlevnad, och eventuella identifierade brister åtgärdas omedelbart. Tredje parter med tillgång till avtalshanteringssystemet måste följa dessa informationssäkerhetslagar.
10. Granskning och uppdateringar
Denna policy kommer att granskas årligen och uppdateras vid behov för att säkerställa dess effektivitet i att skydda avtalsinformationen. Alla förändringar kommer att dokumenteras, versionskontrolleras och kommuniceras till alla relevanta parter.