torsdag, februari 25th, 2016

Informationssäkerhetspolicy


Inledning

Nordic Medtest är en central aktör i den svenska hälso-, sjuk- och omsorgsvården och har uppdraget att kvalitetssäkra IT-lösningar för god och säker vård. En förutsättning för affärsmässig framgång är att kunderna känner förtroende för och tillit till vår förmåga att ta ansvar för testaffären och garantera rätt kvalitet och säkerhet i varje leverans.

Nordic Medtest kan i sina uppdrag hantera information som är av känslig art ur såväl individ- och vårdgivarperspektiv som kunders affärsperspektiv, därför är informationssäkerhet en central del av vårt arbetssätt. Information, processer, system, nätverk och personal är lika värdefulla för en organisations verksamhet som andra tillgångar. Informationstillgångarna är utsatta för både avsiktliga och oavsiktliga hot medan relaterade processer, system, nätverk och människor har inneboende svagheter och informationssäkerhetsrisker är alltid närvarande.

Informationssäkerhet omfattar skydd av muntlig, pappersbunden och digital information och skyddet ska säkerställa

  • Konfidentialitet:Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas.
  • Riktighet:Information får inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel.
  • Tillgänglighet:Information ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats.
  • Spårbarhet:Händelser i informationshantering ska dokumenteras och kunna utgöra underlag för analys och uppföljningar.

 
Informationssäkerhetsmål

Det övergripande målet med informationssäkerheten inom Nordic Medtest är att säkerställa att affärsverksamheten, d.v.s. våra kunder känner förtroende för vårt arbetssätt och att våra levererade tjänster håller en sådan säkerhetsnivå att de uppfyller ställda krav.

Nordic Medtest ska även uppfylla övriga relevanta intressenters krav på informationssäkerhet så som medarbetare, leverantörer, ägare och myndigheter.

Omfattning och inriktning

Denna policy gäller all verksamhet, all informationshantering och alla medarbetare inom Nordic Medtest inklusive våra leverantörer. Policyn ska således tillämpas i såväl kundprojekt som intern förvaltning.

Ledningssystemet för informationssäkerhet inkluderar denna policy och tillhörande regelverk med processer, riktlinjer, anvisningar och organisatoriska strukturer. Det inkluderar även funktioner i program och hårdvara inom ramen för ett sammanhållet ledningssystem med inriktningen att följa standarden SS-ISO/IEC 27001:2014.

Informationssäkerhet uppnås genom att införa, övervaka, granska och ständigt förbättra ledningssystemet och de tillämpbara säkerhetsåtgärderna.

Informationssäkerheten ska sättas in i ett verksamhetsmässigt perspektiv så att kostnaderna för informationssäkerheten är rimliga i förhållande till de negativa konsekvenser som ska förhindras.

Ansvar och roller

VD för Nordic Medtest fastställer denna policy och riktlinjer samt utser en informationssäkerhetsansvarig. Informationssäkerhetsansvarig ansvarar för att samordna informationssäkerhetsarbetet och förvalta ledningssystemet för informationssäkerhet. Varje medarbetare har ett ansvar att följa de regler som finns gällande informationssäkerhet.

Centrala roller i kravställning respektive utförande är systemägare, systemansvarig och informationsägare. För varje system ska finnas en systemägare och en systemansvarig. För varje informationsmängd ska finnas en informationsägare. Om det rör personuppgifter följer personuppgiftsansvaret ägarskapet.

Uppföljning

Uppföljning av informationssäkerhetsarbetet ska ske på ett regelbundet och strukturerat sätt och ska minst årligen rapporteras till VD.

Giltighet

Informationssäkerhetsansvarig ansvarar för att vid behov föreslå förändringar i denna policy för nytt beslut av VD.

Denna policy är uppdaterad och fastställd av VD: 2017-01-05