Informationssäkerhetspolicy (teknisk säkerhet)

En informationssäkerhetspolicy upprättas av en arbetsgivare och gäller som ett internt regelverk på arbetsplatsen gällande teknisk säkerhet. Informationssäkerhet är viktigt på både individnivå, i näringslivet och i offentlig verksamhet. Innebörden är att information skyddas från obehöriga. Teknisk säkerhet kan t.ex. innebära skydd för skadliga angrepp i datorer, mobila enheter, nätverk och liknande. Åtgärder som kan skydda för detta är t.ex. kryptering och brandväggar. Informationssäkerhet kan vidare även omfatta skydd mot att information som fysiskt finns på arbetsplatsen sprids, sådant skydd kan t.ex. omfatta kodlås och liknande till personalrum eller kassaskåp.

En informationssäkerhetspolicy är ett relativt kort dokument där generella mål med säkerhetsarbetet tas upp tillsammans med ansvarsfördelningen på arbetsplatsen samt hur utvecklingen ska rapporteras. Policyn bör kompletteras med riktlinjer för IT-användare, vilka då utformas på ett mer konkret och genomförbart sätt.

Gällande ansvarsfördelningen bör det t.ex. klargöras hur arbetstagarna får använda tekniken på arbetsplatsen och finns begränsningar i hur t.ex. internet och e-post får användas ska det framgå. Det kan även vara en god idé att inkludera regler kring lösenordsanvändning. Det kan t.ex. anges att lösenord inte får delas med andra och om de skrivs ned ska de förvaras på ett ställe otillgängligt för övriga medarbetare.

Mängden information som bearbetas, lagras och kommuniceras växer ständigt, vilket medför ökade risker. För att skapa en trygg arbetsplats är det därför viktigt att god informationssäkerhet finns.

Teknisk säkerhet

Teknisk säkerhet delas upp i IT-säkerhet och fysisk säkerhet. Denna policy tar sikte på båda delarna. IT-säkerhet tar sikte på säkerhet kring datorer, servrar, nätvärk, mobila enheter och elektroniska system. Exempel på säkerhetsfunktioner är VPN-förbindelser, brandväggar, antivirus, säkerhetskopiering och kryptering.

Genom att använda sig av olika säkerhetsfunktioner kan dataintrång, bedrägerier, spridning av skadlig kod och vidare undvikas eller i vart fall försvåras.

Fysisk säkerhet tar i stället sikte på säkerhet i företagets lokaler, vilket kan upprätthållas genom t.ex. larm till lokalerna eller kodlås till kassaskåp, kontorsrum och personalrum. Genom att använda sig av denna typ av säkerhetsfunktioner kan det undvikas att konfidentiell information hamnar i obehörigas händer och liknande.

Hur fungerar det?

En arbetsgivare upprättar ensidigt samtliga policys som ska gälla på arbetsplatsen. Det faller under arbetsgivarens arbetsledningsrätt och arbetstagarna är därför skyldiga att följa vad som framgår. Policyn ska betona företagets värden och det ska vidare framgå vad den omfattar och vidare vilket ansvar och vilka skyldigheter som läggs på arbetsgivaren respektive arbetstagarna i arbetet mot en god informationssäkerhet. Olika ansvar och skyldigheter läggs på olika parter. Arbetsgivaren kommer t.ex. bära ett betydligt större ansvar och bl.a. ha hand om att uppdatera policyn och kanske hålla utbildningar för sina anställda. För arbetstagarna kan ansvaret t.ex. bestå i att följa vad som framgår i policyn och alltså utföra sitt arbete i linje med detta.

Hur tydlig en informationssäkerhetspolicy bör vara beror på verksamheten i sig. Är arbetstagarna på arbetsplatsen kunniga inom IT räcker en mer generell förklaring medan en betydligt mer omfattande policy behövs för en verksamhet där IT är mer eller mindre främmande för arbetstagarna.

Då informationssäkerhet är en viktig faktor i en verksamhet kan det vara bra att ha någon typ av kontrollfunktion som ser till att lagen följs, det kan t.ex. vara att någon på arbetsplatsen utses för att kontrollera detta. Det kan vidare installeras program som kontrollerar arbetstagarnas användning av Internet t.ex. för att försäkra att de håller sig inom ramarna. Installeras någon sådan typ av programvara ska arbetstagarna meddelas om detta och det ska även inkluderas i policyn.

När policyn är upprättad ska den finnas lättillgänglig på arbetsplatsen och samtliga som omfattas av den bör informeras om att en ny policy införts. Policyn blir gällande direkt och i samband med detta skyldigheten att följa den. Policyn bör med jämna mellanrum uppdateras och det bör i policyn framgå med vilken regelbundenhet detta ska ske.

Andra policyer som bör upprättas på en arbetsplats

Förutom en informationssäkerhetspolicy finns det flertalet andra policyer som bör upprättas på en arbetsplats. Till att börja med ska en personuppgiftspolicy upprättas för att fastställa och klargöra för arbetstagarna hur deras personuppgifter kommer hanteras på arbetsplatsen. En separat personuppgiftspolicy ska även upprättas för eventuell webbplats. En sådan reglerar hur personuppgifter till webbplatsens besökare lagras och hanteras på webbplatsen. En sådan policy bör vidare kompletteras med en cookiepolicy som reglerar hur små textfiler som räknas som personuppgifter ska hanteras och lagras på webbplatsen.

En god idé är vidare att upprätta en jämställdhetspolicy och en diskrimineringspolicy. En jämställdhetspolicy tar sikte på likabehandling mellan kvinnor, män och icke-binära. En diskrimineringspolicy tar sikte på att ingen på arbetsplatsen får diskrimineras p.g.a. kön, könsöverskridande identitet, etnisk tillhörighet, sexuell läggning, religion, funktionsnedsättning eller ålder. Genom att upprätta interna regler kring dessa ämnen kan personlig säkerhet bland de anställda garanteras och risken för att negativt särbehandlas minskas.

Även en policy om alkohol- och droganvändning bör upprättas. I en sådan kan arbetsplatsens inställning till alkohol och droger fastställas samt riktlinjer upprättas kring hur ett missbruk hos en anställd ska hanteras.

För att säkerställa att sociala medier inte används på ett olämpligt sätt både på arbetsplatsen och utanför är det även en god idé att upprätta en policy för användning av sociala medier.

Slutligen kan även en krishanteringspolicy samt en policy för hantering av intressekonflikter upprättas. En krishanteringspolicy ska ställa upp riktlinjer för hur en uppstådd kris på arbetsplatsen ska hanteras. En kris innebär en allvarlig och svårhanterlig situation, det kan t.ex. vara en olycka, ett dödsfall ett rån eller liknande. Genom att upprätta en policy kan en sådan situation hanteras på ett kontrollerat och i förväg utarbetat sätt. Risk finns annars att sådana situationer hanteras i chock eller på ett ineffektivt sätt. En policy för hantering av intressekonflikter reglerar hur konflikter där olika intressen går emot varandra ska hanteras. Det kan t.ex. vara att en arbetstagares privata intresse strider mot företagets, d.v.s. arbetsgivarens, intresse. Upprättas ingen policy är risken större att någon med personliga intressen i en fråga inte tar hänsyn till företagets intressen vilket kan skada företaget.

Tillämplig lag

För företag som är verksamma inom samhällsviktiga tjänster och digitala tjänster finns regler om informationssäkerhet i lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Lagen gäller för samhällsviktiga tjänster inom sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.

För företag som är verksamma inom andra områden finns ingen specifik lag som reglerar informationssäkerhet men det bör vara inom samtliga verksamheters intresse att hålla en hög säkerhetsnivå för att trygga arbetsplatsen.

Ändra mallen?

Du fyller i ett formulär. Dokumentet utarbetas direkt efter hand som du besvarar frågorna.

Till sist får du det i Word- och PDF-format. Du kan ändra och återanvända det.