Informationssäkerhetspolicy

Syfte och bakgrund

Fastum AB är leverantör av förvaltningstjänster till bostadsrättsföreningar och tillhandahåller både egna och externa teknikplattformar för att kunna leverera sina tjänster. För att skydda Fastums och våra kunders information har Fastum beslutat att upprätta, genomföra och underhålla en dokumenterad informationssäkerhetspolicy. Policyn omfattar administrativa och tekniska skyddsåtgärder för att säkerställa konfidentialitet, riktighet och tillgänglighet i information och IT-miljöer.

Hotbild

Cyberhot bedöms som särskilt allvarliga och utgör en central del av Fastums riskarbete. Exempel på hot som Fastum arbetar för att förebygga är bland annat förlust av kritisk information, oavsiktligt eller avsiktligt dataläckage, social manipulation riktad mot medarbetare samt riktade nätfiskeattacker. Policyn omfattar även skydd mot mer avancerade angrepp där system kan komprometteras och information avlyssnas eller manipuleras.

Styrning, lagkrav och leverantörer

Fastum ska ha skriftliga och uppdaterade informationssäkerhetsplaner, processer och styrdokument samt en tydlig plan för efterlevnad av GDPR. För leverantörer som hanterar information eller personuppgifter på Fastums uppdrag ska det alltid finnas ett huvudavtal och, när personuppgifter behandlas, ett personuppgiftsbiträdesavtal.

Eventuella säkerhetsincidenter eller intrång som blivit offentligt kända eller på annat sätt kommunicerade ska analyseras och vid behov leda till förbättrade säkerhetsåtgärder. Fastum ska även ha kontroll över var data lagras, i vilket land, vilken typ av lagringsmiljö som används och vem som ansvarar för driften.

Roller och ansvar

Fastum har utsett en IT-säkerhetsansvarig som ansvarar för att övervaka, utveckla och följa upp informationssäkerhetsarbetet. Detta innefattar såväl policyns efterlevnad som hantering av incidenter och utbildningsinsatser.

Alla anställda inom Fastum hanterar information i sitt dagliga arbete och ansvarar för att följa denna policy. Informationssäkerheten är beroende av varje enskild medarbetare, och misstänkta eller faktiska säkerhetsincidenter ska omedelbart rapporteras till IT-säkerhetsansvarig.

Åtkomst, autentisering och lösenord

Åtkomst till Fastums system sker genom personliga användarkonton. Varje användare tilldelas ett unikt användar-ID och ansvarar för att skydda sina inloggningsuppgifter. Konton låses efter upprepade misslyckade inloggningsförsök och lösenord måste uppfylla fastställda krav på styrka och regelbunden förändring. För system som hanterar känsliga personuppgifter används tvåfaktorsautentisering.

Kommunikation, fildelning och lagring

Fastum använder interna och externa verktyg för kommunikation, fildelning och lagring. Dessa tillhandahålls genom avtal som inkluderar krav på informationssäkerhet och, vid behandling av personuppgifter, personuppgiftsbiträdesavtal. Känslig eller personlig information ska i första hand delas via ärendehanteringssystem. Om sådan information skickas via e-post ska den krypteras och lösenord kommuniceras separat.

Flyttbara medier och utrustning

Användning av flyttbara medier är begränsad. Endast USB-enheter som tillhandahålls av Fastum får användas, och externa USB-enheter är inte tillåtna. Vid avveckling eller återlämning av elektronisk utrustning ska lagrad information raderas eller göras oläslig på ett säkert sätt, vilket hanteras av IT-säkerhetsansvarig.

Uppföljning och incidenthantering

Fastum genomför regelbundna granskningar av systemaktivitet, åtkomsträttigheter och loggar för att upptäcka och förebygga säkerhetsincidenter. Alla anställda är skyldiga att rapportera säkerhetshändelser så snart de upptäcks. Incidenter dokumenteras, analyseras och följs upp med nödvändiga åtgärder och utbildningsinsatser. Vid misstanke om brott kontaktas behöriga myndigheter.