Informationssäkerhet

A.5 Informationssäkerhetspolicy

A.5.1 Ledningens inriktning för informationssäkerhet

Mål: Att delge ledningens inriktning och stöd för informationssäkerhet i enlighet med verksamhetens krav och relevanta författningar.

Aspia arbetar enligt ISO 27001 och har en Informationssäkerhetspolicy som är fastställd av ledningen. Den ingår i den obligatoriska informationssäkerhetsutbildningen för all personal.

Referens: Informationssäkerhetspolicy

A.6 Organisation av informationssäkerhetsarbetet

A.6.1 Intern organisation

Mål: Att upprätta ett organisatoriskt ramverk för att initiera och styra införandet och driften av informationssäkerhetsarbetet inom organisationen.

Aspia arbetar enligt en intern process, Information Security Governance Risk and Compliance (IS GRC) där informationssäkerhetsarbetet är riskbaserat och strukturerat, tydliga roller och ansvar finns fördelade i verksamheten, processen omfattar allt informationssäkerhetsarbete inom Aspia.

Informationssäkerhetsarbetet leds av Aspias CISO och rapportera till ledningen med regelbundna intervall.

Referens: Information Security Governance, Risk and Compliance routine, Information Security Role Definition policy

A.6.2 Mobila enheter och distansarbete

Mål: Att säkerställa säkerheten vid distansarbete och vid användning av mobila enheter.

Distansarbete är reglerat i Aspias IT Usage instruction, alla Aspias enheter är centralt managerade och ”Bring your own device” är i regel inte tillåtet. All kommunikation utanför Aspias nätverk är krypterad och all access in till nätverket går via VPN.

Referens: IT Usage instruction, Communication Instruction

A.7 Personalsäkerhet

A.7.1 Före anställning

Mål: Att säkerställa att anställda och leverantörer förstår sitt ansvar och är lämpliga för de roller som de är tilltänkta för.

Aspia genomför relevanta bakgrundskontroller där så är lämpligt

Referens: Information Security Policy, HR Instruction, Access Instruction

A.7.2 Under anställning

Mål: Att säkerställa att anställda och leverantörer är medvetna om och uppfyller sitt ansvar för informationssäkerhet.

Kontinuerlig informationssäkerhetsutbildning genomförs årligen och simulerade nätfiske attacker eller motsvarande genomförs. Aspia säkerhet informerar kontinuerligt om rådande säkerhetsläge genom interna kommunikationskanaler.

A.7.3 Avslut eller ändring av anställning

Mål: Att skydda organisationens intressen som en del av processen för att ändra eller avsluta en anställning.

Aspia har en central behörighetsstyrning som regleras via vårt personalsystem, där förändringar i arbetsuppgifter automatiskt korrigerar eller uppdaterar behörigheter eller access till stödsystem. Där det inte finns automatik finns det etablerade processer som säkerställer att personal har behörighet i förhållande till deras arbetsuppgifter.

A.8 Hantering av tillgångar

A.8.1 Ansvar för tillgångar

Mål: Att identifiera organisationens tillgångar och fastställa lämpligt ansvar för att skydda dem.

Aspias informationstillgångar identifieras i IS GRC-processen och systemägaransvar och övriga relevanta roller finns definierade. Tekniska tillgångar som hårdvara mm finns dokumenterade i Aspias Asset Management Data Base, informationstillgångar avseende personuppgifter enligt GDPR finns dokumenterade i registerförteckningar. 

A.8.2 Informationsklassning 

Mål: Att säkerställa att information får en lämplig skyddsnivå i överensstämmelse med dess betydelse för organisationen.

Samtliga IT-system klassificeras enligt Confidentiality (konfidentialitet), Integrity (riktighet), Availability (tillgänglighet). 

A.8.3 Hantering av lagringsmedia 

Mål: Att förhindra obehörigt röjande, modifiering, avlägsnande eller destruktion av information som lagras på media.

Datorer på Aspia är blockerade att skriva till USB som standard. 
Datorer är krypterade med Microsoft BitLocker som standard.
Lagringsmedia som har behandlat informationstillgångar avvecklas enligt en central rutin och säkerställer en säker livscykelhantering. 

A.9 Styrning av åtkomst

A.9.1 Verksamhetskrav för styrning av åtkomst 

Mål: Att begränsa åtkomst till information och informationsbehandlingsresurser.

All styrning av åtkomst och behörigheter är baserat på beställningsmodeller i centrala system där åtkomst kan motiveras med arbetsuppgifter och attesteras av närmaste chef eller informationsägare. Aspia tillämpar en central identitetshantering (Identity and Access Management) och ett antal fördefinierade kriterier som reglerar hur och var man är behörig att ansluta till. 

Referens: Access Instruction

A.9.2 Hantering av användaråtkomst

Mål: Att säkerställa behörig användaråtkomst och att förhindra obehörig åtkomst till system och tjänster

Användaråtkomst ges efter principerna ”lägsta möjliga behörighet och tillgång för att kunna fullgöra arbetsuppgifter”. 
Användaråtkomst är spårbart i beställningsflöden och kontroll av behörigheter sker årligen, konton med högre behörigheter granskas minst halvårsvis.

A.9.3 Användaransvar 

Mål: Att göra användare ansvariga för att skydda sin autentiseringsinformation.

Användaransvar uppnås genom årlig informationssäkerhetsträning och alla användaruppgifter ska behandlas på ett säkert sätt.

A.9.4 Styrning av åtkomst till system och tillämpningar 

Mål: Att förhindra obehörig åtkomst till system och tillämpningar.

• Styrning och åtkomst till system baserat på hantering av användaråtkomst och moderna kontrollmekanismer som beteenden, geografisk position, mönsteranalys mm. 
• Systemåtkomst har Single Sign On (SSO) som grundinställning samt multifaktorautentisering aktiverat där det är möjligt. 
• Det finns en central lösenordspolicy som definierar vilka kriterier som ska uppfyllas för användarkonton respektive systemkonton. 
• En central lösenordshantering finns för användare med hög systemåtkomst. 
• Behörighet till källkod är starkt begränsad och behandlas i övervakade miljöer. 

A.10 Kryptering

A.10.1 Kryptografiska säkerhetsåtgärder 

Mål: Att säkerställa korrekt och verkningsfull användning av kryptering för att skydda informationens konfidentialitet och riktighet.

All information är krypterad under transport genom lägst HTTPS eller TLS 1.2 eller senare samt att vi följer leverantörernas kryptografiska rekommendationer. 

Enbart godkända kryptografiska funktioner får användas.

Referens: Cryptography instruction

A.11 Fysisk och miljörelaterad säkerhet

A.11.1 Säkra områden 

Mål: Att förhindra otillåten fysisk åtkomst till, skador på och störningar i tillgången till organisationens information och informationsbehandlingsresurser.

Aspias kontor och områden har grundläggande fysiskt skydd tillträdebegränsning och fysiska behörighetskontroller. Datacenter är certifierade enligt etablerade standarder och har avbrottsfri kraft och resursfördelning samt kontinuitetsplaner enligt leverantörens certifiering.

Centrala post och leveransrutiner finns vid huvudkontoret. 

Referens: Operation instruction

A.11.2 Utrustning 

Mål: Att förhindra förlust, skada, stöld eller påverkan av tillgångar och avbrott i organisationens verksamhet.

Alla medarbetare är informerade om enskilds eget ansvar för informationstillgångar och att det säkerställs att obehöriga inte kan ta del av information, detta omfattar ”clean desk policy”, säker överskrivning av lagringsmedia enligt central rutin, rapportering av säkerhetsincidenter och polisanmälan vid misstanke om brott.

Referens: IT Usage instruction

A.12 Driftsäkerhet

A.12.1 Driftsrutiner och ansvar 

Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsresurser.

• Alla system har användarinstruktioner och systemansvariga.
• Alla IT-systemförändringar eller verksamhetsförändringar som kan påverka IT-miljön föredras veckovis i ett centralt Change Advisory Board (CAB) innan godkännande av ändringen.  
• Separation mellan utvecklings, test och produktionssystem finns etablerad samt regelbunden testning i respektive systemnivå.

Referens: Operation Instruction, Log Audit Instruction

A.12.2 Skydd mot skadlig kod 

Mål: Att säkerställa att information och informationsbehandlingsresurser skyddas mot skadlig kod.

Datorer och servrar har modern ”End Point Detection and Response” med automatiskt antivirusskydd som genomsöker filer och länkar efter skadlig kod och automatiskt hindrar potentiella hot. 

Aspia genomför säkerhetsövervakning genom ett SIEM (Security Information and Event Management) system av behörig personal. Detta är även sammankopplat till Aspias SOC (Security Operations Center) leverantör.

A.12.3 Säkerhetskopiering 

Mål: Att skydda mot förlust av data.

Säkerhetskopiering av data sker i respektive system och/eller process och baserat på verksamhetsbehoven finns det olika nivåer av säkerhetskopiering och arkivering. 

A.12.4 Loggning och övervakning 

Mål: Att logga händelser och upptäcka avvikelser.

Aktiviteter i IT-system loggas. 
Aspia har ett centralt logghanteringeringverktyg (SIEM) där system-, säkerhets- och användarloggar sparas och granskas regelbundet. Loggarna är forensiskt säkrade och all granskning av loggar sker av behörig personal.  

A.12.5 Styrning av driftsystem 

Mål: Att säkerställa riktigheten hos driftsystem.

Enbart godkända programversioner får installeras efter godkännande i CAB. 

A.12.6 Hantering av tekniska sårbarheter 

Mål: Att förhindra utnyttjande av tekniska sårbarheter.

Aspia har kontinuerlig sårbarhetsscanning av våra interna och externa resurser och sårbarheter åtgärdas enligt en fastställd rutin i förhållande till sårbarhetens allvarlighetsgrad och möjlig påverkan av informationstillgångarna. 

Applikationsutveckling följer OWASP ramverket.

A.12.7 Överväganden gällande revision av informationssystem 

Mål: Att minimera revisionsverksamhetens påverkan på driftsystem.

Granskning av system och processer planeras centralt för att minimera påverkan. Tekniska kontroller genomförs på tidpunkter då kundpåverkan är bedömd som minst. 

A.13 Kommunikationssäkerhet

A.13.1 Hantering av nätverkssäkerhet 

Mål: Att säkerställa skyddet av information i nätverk och dess stödjande informationsbehandlingsresurser

Aspia tillämpar principen Zero-Trust-network och alla enheter är centralt managerade. Alla företagsnätverk har en grundläggande separation av gäst-, kontors-, och servernätverk. 

Referens: Communication instruction, Document Labeling instruction

A.13.2 Informationsöverföring 

Mål: Att upprätthålla säkerheten hos information som överförs inom en organisation eller till en extern enhet.

Instruktioner för internt och extern informationsöverföring finns etablerade. All intern kommunikation är krypterad som standard. Funktionalitet med säkra datarum finns (Konfident) för extern delning finns samt att delning av information finns i avtal mellan Aspia och externa parter. 

Sekretessförbindelser är upprättade mellan Aspia och berörda parter. 

Referens: Document Labeling instruction, Communication Instruction, Personuppgiftsbiträdesavtal (DPA)

A.14 Anskaffning, utveckling och underhåll av system

A.14.1 Säkerhetskrav på informationssystem 

Mål: Att säkerställa att informationssäkerhet är en integrerad del av informationssystem över hela livscykeln. Detta inkluderar krav på informationssystem som tillhandahåller tjänster via publika nätverk.

Aspia har en strukturerad upphandlingsprocess där informationssäkerhet här en del i kravställningen på system och processer. Systemanskaffningar kravställs i IS GRC processen. 

A.14.2 Säkerhet i utvecklings- och supportprocesser 

Mål: Att säkerställa att informationssäkerhet designas och införs inom utvecklingscykeln av informationssystem.

Aspia följer OWASP ramverket för applikationsutveckling. Automatisk kodgranskning sker kontinuerligt och utvecklingen sker enligt DevOps ramverket. Utveckling och produktionssättning av kod sker enligt ett fastställt flöde och loggar finns. 

A.14.3 Testdata 

Mål: Att säkerställa skyddet av data som använts för tester.

Aspia arbetar efter en etablerad teststrategi där system som behöver data för testning har möjlighet att erhålla sådan. Rutiner för livscykelhantering av testdata finns. 

A.15 Leverantörsrelationer

A.15.1 Informationssäkerhet i leverantörsrelationer 

Mål: Att säkerställa skydd av de av organisationens tillgångar som leverantörer har åtkomst till.

Kraven på leverantörer och underleverantörer är samma som på Aspia. Detta regleras i leverantörsavtal och granskning av dessa sker regelbundet. 

Referens: Riktlinjer för informationssäkerhet avseende Aspia leverantörer

A.15.2 Hantering av leverantörers tjänsteleverans 

Mål: Att upprätthålla en överenskommen nivå av informationssäkerhet och tjänsteleverans i linje med leverantörsavtal.

Tjänsteleveranserna följs upp av system- och tjänsteansvariga och kravställning och uppföljning på säkerhetsarbetet finns även i avtal.

A.16 Hantering av informationssäkerhetsincidenter

A.16.1 Hantering av informationssäkerhetsincidenter och förbättringar 

Mål: Att säkerställa ett konsekvent och effektivt tillvägagångssätt för hantering av informationssäkerhetsincidenter inklusive kommunikation kring säkerhetshändelser och svagheter.

Informationssäkerhetsincidenter och kommunikation sker enligt incidentprocessen. Detta omfattar både informations- och personuppgiftsincidenter. Incidenter och sårbarheter övervakas och hanteras enligt prioritet baserat på information-, affärs och riskpåverkan. 

Referens: Incident management instruction

A.17 Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet

A.17.1 Kontinuitet för informationssäkerhet 

Mål: Kontinuiteten för informationssäkerhet ska vara integrerad i organisationens ledningssystem för kontinuitetshantering.

Aspia följer ISO22301 inom kontinuitetsarbete och har en fastställd kontinuitetspolicy (BCP), fastställda kontinuitetsplaner för system och processer samt återställningsplaner (DR). Krisplaner och krisgrupper finns etablerade och övning sker regelbundet. 

Referens: Business Continuity Policy, Business Continuity Plan

A.17.2 Redundans 

Mål: Att säkerställa tillgänglighet till informationsbehandlingsresurser.

Redundans uppnås genom tydligt dokumenterade processer och rutiner samt en hög grad av automation och minskning av personberoenden. 
Kritiska processer eller system identifieras och alternativa roller tilldelas vid behov. 

A.18 Efterlevnad

A.18.1 Efterlevnad av juridiska och avtalsmässiga krav 

Mål: Att undvika överträdelser av författningsenliga eller avtalsmässiga skyldigheter relaterade till informationssäkerhet och eventuella säkerhetskrav.

• Aspia följer tillämpliga lagar i Sverige och dessa finns inkluderade i IS GRC processen. Detta omfattar även skyddet av personuppgifter enligt GDPR. 
• Aspia reglerar ansvar och efterlevnad i leverantörsavtal, uppdragsavtal, personuppgiftsavtal samt tillämpar FAR allmänna villkor samt Aspias riktlinjer för informationssäkerhet. 
• Anställda och konsulter förbinder sig till sekretessbestämmelser enligt anställningsavtal eller uppdragsavtal. 

Referens: FAR Allmänna villkor , MyBusiness Allmänna villkor, Aspias riktlinjer för informationssäkerhet för leverantörer och underleverantörer

A.18.2 Granskningar av informationssäkerhet 

Mål: Att säkerställa att informationssäkerhet införs och drivs i enlighet med organisationens regler och rutiner.

Aspia genomför regelbundet oberoende extern kontroll av informationssäkerheten. Detta inkluderar även leverantörer och underleverantörer om behov uppstår.