Informationssäkerhetspolicy teknisk säkerhet Fyll i mallen

Hur fungerar det?

1. Välj den här mallen

Börja genom att klicka på "Fyll i mallen"

1 / Välj den här mallen

2. Fyll i dokumentet

Besvara några få frågor, så skapas dokumentet automatiskt.

2 / Fyll i dokumentet

3. Spara - Skriv ut

Dokumentet är klart. Du kommer att få det i Word- och PDF-format. Du kan ändra det.

3 / Spara - Skriv ut

Informationssäkerhetspolicy (teknisk säkerhet)

Senast ändrat Senast ändrat För 7 dagar sedan
Format FormatWord och PDF
Storlek Storlek3 till 4 sidor
Fyll i mallen

Senast ändratSenast ändrat: För 7 dagar sedan

FormatTillgängliga format: Word och PDF

StorlekStorlek: 3 till 4 sidor

Fyll i mallen

Vad är en informationssäkerhetspolicy?

En informationssäkerhetspolicy upprättas av en arbetsgivare och fungerar som ett internt ramverk för de riktlinjer och principer som ska gälla kring teknisk säkerhet på arbetsplatsen. Mängden information som bearbetas, lagras och kommuniceras växer ständigt, vilket medför ökade risker. För att skapa en trygg arbetsplats är det därför viktigt att god informationssäkerhet finns.

En informationssäkerhetspolicy är ett relativt kort dokument där generella mål med säkerhetsarbetet tas upp tillsammans med ansvarsfördelningen på arbetsplatsen samt hur utvecklingen ska rapporteras. Syftet med en informationssäkerhetspolicy är bl.a. att förebygga dataintrång, obehörig spridning av uppgifter och förlust av känsliga uppgifter.

 

Vad är skillnaden på en informationssäkerhetspolicy och en personuppgiftspolicy?

En informationssäkerhetspolicy upprättas för att skydda all information (t.ex. företagshemligheter, lösenord, finansiell information och systemdata) medan en personuppgiftspolicy endast syftar till att skydda de anställdas och eventuella kunders personuppgifter.

Med personuppgifter förstås samtlig information som antingen direkt eller indirekt kan identifiera en levande person. T.ex. på personuppgifter är namn, personnummer, adress och bilder.


Måste en informationssäkerhetspolicy upprättas?

Nej, det ställs inte upp något krav i lag på att en informationssäkerhetspolicy upprättas men det är rekommenderat.


Vad är informationssäkerhet och teknisk säkerhet?

Informationssäkerhet är viktigt på både individnivå, i näringslivet och i offentlig verksamhet. Innebörden är att information skyddas från obehöriga. Teknisk säkerhet delas upp i IT-säkerhet och fysisk säkerhet och denna policy tar sikte på båda delarna. Genom att använda sig av olika säkerhetsfunktioner kan det undvikas att konfidentiell information hamnar i obehörigas händer och liknande.

IT-säkerhet tar sikte på säkerhet kring datorer, servrar, nätvärk, mobila enheter och elektroniska system. Åtgärder som kan skydda från att teknisk information sprids till obehöriga är t.ex. VPN-förbindelser, brandväggar, antivirus, säkerhetskopiering och kryptering.

Fysisk säkerhet tar sikte på säkerhet i företagets lokaler, vilket kan upprätthållas genom t.ex. larm till lokalerna eller kodlås till kassaskåp, kontorsrum och personalrum.


Vad ska inte inkluderas i en informationssäkerhetspolicy?

En informationssäkerhetspolicy bör inte inkludera för detaljerade tekniska instuktioner som t.ex. vilka antivirusprogram som används på arbetsplatsen eller hur långa lösenord som krävs vid upprättandet av nya användare. Sådan information bör i stället inkluderas i rutiner och andra tekniska dokument.


Vem kan upprätta en policy?

En policy upprättas ensidigt av en arbetsgivare. Det faller under arbetsgivarens arbetsledningsrätt och arbetstagarna är därför skyldiga att följa vad som framgår.


Vem kan inte upprätta en policy?

En policy kan inte upprättas av annan än arbetsgivaren.


Hur lång period kan en policy vara gällande?

En policy är giltig tills den antingen ändras, uppdateras eller återtas av arbetsgivaren.


Vad ska göras efter en informationssäkerhetspolicy upprättats?

När policyn är upprättad ska den finnas lättillgänglig på arbetsplatsen och samtliga som omfattas av den bör informeras om att en ny policy införts. Hur sådan information ska tilldelas arbetstagarna bör framgå av policyn, det kan t.ex. ske via e-post eller via en notis på arbetsplatsens intranät. Upprättandet av policyer faller inom arbetsgivarens arbetsledningsrätt och samtliga arbetstagare är skyldiga att följa vad som framgår av innehållet.

En policy blir gällande direkt i samband med upprättandet och det ställs inget krav på signering. Efter en policy implementerats bör den uppdateras med jämna mellanrum för att hålla sig relevant, det bör framgå i policyn med vilken regelbundenhet detta ska ske.

Vid upprättande av nya anställningsavtal bör det vidare nämnas att gällande policys på arbetsplatsen utgör en del av anställningsavtalet.

Policyn bör slutligen kompletteras med riktlinjer för IT-användning där det på detaljnivå fastställs hur policyns mål ska nås i praktiken.


Är det nödvändigt med notarisering av en informationssäkerhetspolicy för att den ska anses giltig?

Nej, det ställs inget krav på notarisering av en policy.


Ska en informationssäkerhetspolicy registreras någonstans?

Nej, en policy ska inte registreras någonstans. Den ska dock finnas lättillgänglig på arbetsplatsen så att samtliga arbetstagare kan ta del av den.


Ska ett stämmoprotokoll bevittnas?

Nej, det ställs inget krav på att en policy bevittnas.


Vad ska en informationssäkerhetspolicy innehålla?

Det finns inga direkta regler för vad som ska framgå av en policy eller hur den ska upprättas men det är viktigt att den är tydlig, relevant och begriplig. Följande information bör oavsett framgå:

  • Syftet/målen med policyn, d.v.s. varför den upprättas.
  • Parternas skyldigheter och ansvar, t.ex. arbetsgivarens ansvar att hålla eventuella utbildningar eller klargörelse för hur arbetstagarna får använda tekniken på arbetsplatsen.
  • Eventuell kontrollfunktion, d.v.s. vilka åtgärder som vidtas för att konstatera att lagar och regler följs på området. Det kan t.ex. vara genom installation av programvara eller att regelbundna granskningar ska genomföras av en kontrollant.
  • Med vilken regelbundenhet policyn ska uppdateras.


Vilken lag tillämplig vid upprättandet av en informationssäkerhetspolicy?

För företag som är verksamma inom samhällsviktiga tjänster och digitala tjänster finns regler om informationssäkerhet i lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Lagen gäller för samhällsviktiga tjänster inom sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.

För företag som är verksamma inom andra områden finns ingen specifik lag som reglerar informationssäkerhet men det bör vara inom samtliga verksamheters intresse att hålla en hög säkerhetsnivå för att trygga arbetsplatsen.


Ändra mallen?

Du fyller i ett formulär. Dokumentet utarbetas direkt efter hand som du besvarar frågorna.

Till sist får du det i Word- och PDF-format. Du kan ändra och återanvända det.

Fyll i mallen