Företaget grundades 2002 och sedan 2010 har Flex produkterna utvecklats och marknadförts för användning inom Energibesparing och Ökad komfort i fastigheter.

INFORMATIONSSÄKERHETSPOLICY

Denna dag, 2025-01-31, har följande policy upprättats för SmartBalancing Instrument SBI AB.

Bakgrund

God informationssäkerhet är en investering och en billig försäkring för alla företag, oavsett storlek och verksamhet. Genom att utgå från verksamhetens behov av skyddsnivå kan informationssäkerhetsarbetet ständigt förbättras.

Utgångspunkten för allt informationssäkerhetsarbete ska vara verksamhetens behov av säkerhetsskydd för troliga och oönskade framtida händelser. Informationssäkerhet utgör på så sätt en del av företagets totala riskhantering och är en framgångsfaktor för varje företag.

Syfte

Syftet med informationssäkerhet är att skydda företagets informationstillgångar från alla typer av hot, såväl externa som interna. Informationssäkerhet är grundläggande för att hantera informationsrisker på ett strukturerat och konsistent sätt. Denna policy anger inriktning och övergripande mål för informationssäkerhetsarbetet på företaget.

Grundläggande för företagets hantering av informationssäkerheten är:

• Sekretess – att ingen obehörig får tillgång till företagets information,
• Riktighet – att våra kunder alltid får rätt information,
• Tillgänglighet – att våra kunder har tillgång till den information som är kopplad till sin affärsrelation med oss.
  

  Riktlinjer

  Strategisk inriktning

  Information, data och informationssystem i alla sina former utgör de mest värdefulla tillgångarna i vårt företag. Sunda affärsbeslut och den operationella kompetensen kräver att informationen är säker, riktig, pålitlig samt tillgänglig. Informationen ska även vara spårbar. Med detta menas att samtliga transaktioner ska kunna rekonstrueras.

  Företaget deltar i den lokala och globala affärsvärlden genom att optimera de affärsmöjligheter som kan uppnås genom att utveckla den digitala världen. Ledningen inser samtidigt att detta åtagande medför olika typer av risker.

  Det är därför viktigt att företagets information och den underliggande infrastrukturen är säker från alla hot, exempelvis manipulation, förstörelse, korruption, icke tillåtna aktiviteter, genomförande av bedrägliga transaktioner, brytande av sekretess mellan företaget och dess kunder, eller brytande av sekretess som rör affärshemligheter eller annan konfidentiell information eller rena misstag oavsett dessa är oavsiktliga eller avsiktliga.

  De säkerhetsåtgärder som finns beskrivna i denna policy utgör riktlinjer för hur informationen och informationssystemen, såväl interna som externa, ska användas säkert. Informationssäkerhetspolicyns syfte är att försäkra sig om att all hantering av företagets informationstillgångar är i överensstämmelse med lagar och föreskrifter samt företagets interna riktlinjer och policy.

  Ledningens engagemang

  Information, data, informationssystem samt information om medarbetare, klienter och produkter utgör företagets mest värdefulla tillgångar.

  Informationssäkerhetspolicyn visar hur företaget arbetar med informationssäkerhet för att skydda samtliga dessa tillgångar och skapa trygghet och säkerhet för företagets samtliga intressenter.

  Samtliga medarbetare har ett ansvar att skydda dessa mot alla former av hot, såväl interna som externa, såväl avsiktliga som oavsiktliga. Samtliga verksamhetsansvariga har ett ansvar för informationssäkerheten inom sitt ansvarsområde. Ledningen ansvarar för inriktning, organisation samt målsättning och uppföljning av informationssäkerhetsarbetet.

  Målsättning och viktiga principer

  Säkerställande av samtliga informationssystem och företagets samlade kunskap som bland annat återfinns hos dess mest värdefulla resurs, medarbetarna, är av strategisk vikt för företagets överlevnad. Följande principer gäller för informationssäkerheten inom företaget.

  • Investering i säkerhetsåtgärder ska genomföras på grund av de krav som affärsverksamheten ställer, genomförda riskbedömningar samt effektivitetskrav.
  • Implementering av informationssäkerheten ska vara genomförbar och praktisk och det ska finnas en balans mellan skyddsnivå och effektivitet.
  • Informationssäkerhet utgör en fortlöpande process som ska vara integrerad i affärsverksamheten.
  • Medarbetare, konsulter, affärspartners och leverantörer ska ta del av denna policy och förstå och vara medvetna om företagets inställning till hur viktig informationssäkerheten är för företaget.
  • En struktur för informationssäkerheten är utformad. Den effektiviserar och säkerställer regelefterlevnad med olika informationssäkerhetskrav som utformats på företaget.
  • Klassificering av information, system och tillgångar ingår i denna struktur.
  • Identifiering och autentisering ska användas för tillgång till samtliga system.
  • Inga obehöriga ska få tillgång till företagets informationstillgångar. Informationssäkerheten ska säkerställa att endast behöriga har tillgång till den information som de behöver för att utföra sina arbetsuppgifter.
  • Informationens riktighet ska säkerställas.
  • Användaransvar för samtliga de åtgärder som genomförs med informationen ska säkerställas.
  • Fysisk och logisk access till samtliga informationssystem säkerställs genom klassificering.
  • Alla medarbetare ska genomföra fortlöpande säkerhetsutbildning så att ett för företaget lämplig nivå på varje medarbetares säkerhetsmedvetande säkerställs.
  • Ansvar och roller ska vara definierade och kommunicerade.
  • Samtliga medarbetare och användare ska känna till regelverket så att compliance med detta säkerställs.
  • Övervakning ska etableras så att incidenter kan upptäckas, rapporteras och relevanta åtgärder kan vidtas för att eliminera eller reducera risken för att dessa kan inträffa i framtiden.

  Säkerhetsorganisation

  Inom företaget har informationssäkerhetsarbetet indelats i säkerhetsområden. Dessa omfattar, fysisk säkerhet, administrativ säkerhet, datasäkerhet/IT-säkerhet, personsäkerhet samt kommunikationssäkerhet.

  Med fysisk säkerhet menas; skydd av lokaler och medarbetare genom larm, brandvarnare och genom utbildning av samtliga medarbetare i säkerhetsfrågor.

  Med administrativ säkerhet menas det övergripande informationssäkerhetsarbetet genom policy, kontinuitetsplaner, incidentdatabas, övergripande anvisningar och regelverk.

  Med datasäkerhet/IT-säkerhet menas skydd av de servrar och lagringsmedia där all information lagras samt skydd av data samt kommunikation genom e-post och på företagets intranät med mera.

  Med kommunikationssäkerhet menas skydd av de medier som används för att kommunicera med omvärlden, exempelvis fax, telefoni och e-post.

  Med personsäkerhet menas skydd av ledning, styrelse och medarbetare från alla typer av incidenter och angrepp som kan ske genom rån, hot eller inträffade incidenter genom brand.

  För varje säkerhetsområde finns en utsedd ansvarig. Informationssäkerhetschefen är övergripande ansvarig för den strategiska säkerheten inom samtliga dessa områden.

  Klassificering, användning samt rensning av information i företagets informationssystem

  Klassificering av företagets informationssystem ska genomföras med hänsyn till vår definition av informationssäkerhet, det vill säga krav på sekretess, riktighet och tillgänglighet.

  Varje informationstillgång ska förses med ansvarig som hanterar ändringar, kontroll och hanterar avbrott eller störningar.

  All data, information och andra informationstillgångar ska klassificeras beroende på hur väsentlig och känslig informationen kan utgöra för företaget.

  Klassificeringen görs enligt principen öppen, intern och konfidentiell. Öppen information kan förmedlas till samtliga företagets intressenter. Intern information får inte meddelas andra än de inom företaget som måste ha tillgång till den för att utföra sina arbetsuppgifter. Konfidentiell information ska krypteras och är avsedd endast för den som arbetar med den. Konfidentiell information kan exempelvis utgöra affärshemligheter, diskussioner som förs med andra företag om samgående med mera.

  Risker med samtliga informationssystem ska analyseras genom den riskanalysmetod som används inom företaget.

  Access till system ska ges endast till de funktioner som har behov av dessa för att kunna genomföra sina arbetsuppgifter.

  Behörighet till system ges av närmaste chef.

  När någon avslutar sin anställning eller får andra uppdrag inom företaget ska behörigheter till system tas bort samtidigt som anställningen upphör eller gås igenom så att access endast ges till de system som behövs för att genomföra egna arbetsuppgifter.

  Samtliga behörigheter ska gås igenom av ansvarig minst en gång per år.

  All information ska bevaras i avsedda system på det sätt som föreskrivs av denna policy.

  Personuppgifter ska behandlas och lagras på det sätt som dataskyddsförordningen (GDPR) och andra relaterade lagar föreskriver.

  Användare ska se till att dokument och andra filer som inte används ska tas bort från sin lagringsplats.

  Elektronisk utrustning som inte längre kan användas ska förstörs på så sätt att all information som kan finnas lagrad på den förstörs.

  En arkivrutin ska upprättas för samtliga dokument. Rensning av dokument ska ske enligt denna rutin. Det ska finnas utsedd ansvarig som årligen uppdaterar arkivrutinen.

  Samtliga mjukvaruprogram ska vara godkända.

  Det ska finnas licenser som avser samtliga användare.

  Senaste uppdateringar och patchar ska installeras snarast efter det att tester har slutförts och säkrats.

  Systemutveckling

  Informationssäkerheten ska bedömas under utveckling, implementering och förändringsfaser under en mjukvaras livstid.

  Alla applikationer, oavsett varifrån de kommer ska vara i överensstämmelse med företagets informationssäkerhetspolicy.

  Samtliga mjukvaru- och hårdvaruapplikationer ska dokumenteras innan de releasas.

  Virusskydd

  Samtliga system ska skyddas genom viruskontroll. Dessa ska uppdateras regelbundet.

  Samtliga lagringsmedia som är rörliga ska kontrolleras för eventuella virus innan de appliceras och används i företagets nätverk.

  Medarbetare som mottar e-postmeddelanden som kan innehålla virus eller annan skadlig kod ska rapportera detta till informationssäkerhetschefen.

  Åtkomst till nätverk

  Access till nätverk från hemarbetsplatser ska endast tillåtas när användaren har autentiserats genom accesskontroller och verifieringsprocedurer på genom det sätt som företaget har bestämt.

  Behörigheter ska gås igenom minst en gång årligen.

  Det ska finnas skyddsmekanismer i form av brandvägg med mera.

  Internet och Intranätsanvändning

  Intranätet och Internet ska endast användas för att genomföra arbetsuppgifter.

  Internet ska endast användas för att få access till sidor som är säkra. Det finns sidor som är förbjudna, exempelvis, porr, chatt, egen e-post eller andra sidor där det finns risk för att virus kan spridas in i företagets system.

  Företagets namn får inte användas på privata sidor eller förekomma i anslutning till privata fritidsintressen.

  Elektronisk handel

  All elektronisk handel ska vara spårbar.

  Den ska skyddas av brandvägg och andra skyddsmekanismer.

  Penetrationstester med syfte att testa skyddet och hitta förbättringsmöjligheter i den valda skyddsnivån ska genomföras årligen.

  Användarsäkerhet

  Lösenord och användar-ID ska hanteras på ett säkert sätt.

  Lösenord ska ha minst åtta (8) tecken med en stor bokstav, siffror samt tecken i lösenordet. Det är förbjudet att använda egennamn eller namn på barn, bil, hund, båt med mera.

  Lösenord ska inte bevaras skriftligt.

  Lösenord ska ändras regelbundet, helst varannan månad.

  Medvetenhet och utbildning

  Alla medarbetare ska få regelbunden utbildning i informationssäkerhet och frågor som rör säkerheten på företaget så att en medveten säkerhetskultur skapas.

  Rapportering av informationssäkerhetsincidenter

  En process för incidenthantering ska finnas på företaget. Uppföljning av informationssäkerhetsarbetet sker genom att samtliga säkerhetsincidenter registreras i avsett system. Uppföljning av valda eller genomförda skyddsåtgärder ska ske kontinuerligt.

  Medarbetare har möjlighet att anonymt kunna rapportera misstänkta felaktigheter eller oegentligheter till informationssäkerhetschefen.

  Fysisk säkerhet

  Alla informationstillgångar ska registreras. Kritiska informationssystem ska förvaras i särskilda fysiskt avgränsade rum. Säkerheten ska vara en integrerad del av företagets verksamhet och stödja verksamheten så att de kan uppnå uppsatta mål för kvalitet och effektivitet.

  Företagets samtliga lokaler ska vara försedda med lämpliga larmanläggningar. Brandvarnare, sprinkleranläggningar utrymningsplaner samt skyltar för nödutgång och utrymningsväg ska finnas placerade i företagets samtliga lokaler.

  Riskanalyser och incidenthantering

  Riskanalyser ska genomföras årligen inom de affärskritiska processerna. Dessa ska genomföras med den metod och med de mallar som har framtagits för detta ändamål. Resultatet av de genomförda riskanalyserna presenteras årligen för ledning och styrelse.

  Kontinuitetsplanering

  Det ska finnas kontinuitetsplaner som uppdateras årligen och sedan antas av ledningen.

  medarbetare ska få lämplig utbildning inom informationssäkerhet så att de får relevant kunskap och medvetenhet om informationssäkerhet.

  Informationssäkerhetspolicy och andra relaterade dokument

  Informationssäkerhetspolicyn utgör grunden för hur informationssäkerhet ska implementeras inom företaget. Det finns även ett antal andra policyer, instruktioner och anvisningar som ingår i denna struktur. Samtliga återfinns på företagets intranät. Här kan nämnas:

  • Internetpolicy
  • E-post policy
  • Etisk policy
  • Arbetsmiljöpolicy
  • Kontinuitetsplan
    

    Ansvar

    Policyn fastställs av företagets styrelse. Informationssäkerhetschefen ansvarar för att säkerhetspolicyn och tillhörande dokument uppdateras och sedan kommuniceras till samtliga medarbetare.

    Informationssäkerhetschefen övervakar även policyns efterlevnad och att samtliga medarbetare får lämplig utbildning så att en ökad medvetenhet om informationssäkerhetsfrågornas relevans etableras i vårt företag. Samtliga medarbetare har ett ansvar att följa företagets säkerhetsregelverk. Avsiktliga eller oavsiktliga avsteg från denna policy kommer att utredas. En sådan utredning kan medföra att användarnas privata information kan komma att omfattas av en utredning om detta krävs av lagstiftning eller av andra myndigheter.