For information in English - click here!
A.5 Informationssäkerhetspolicy
A.6 Organisation av informationssäkerhetsarbetet
A.7 Personalsäkerhet
A.8 Hantering av tillgångar
A.9 Styrning av åtkomst
A.10 Kryptering
A.11 Fysisk och miljörelaterad säkerhet
A.12 Driftsäkerhet
A.13 Kommunikationssäkerhet
A.14 Anskaffning, utveckling och underhåll av system
A.15 Leverantörsrelationer
A.16 Hantering av informationssäkerhetsincidenter
A.17 Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet
A.18 Efterlevnad
A.5.1 Ledningens inriktning för informationssäkerhet
Mål: Att delge ledningens inriktning och stöd för informationssäkerhet i enlighet med verksamhetens krav och relevanta författningar.
Aspia arbetar enligt ISO 27001 och har en Informationssäkerhetspolicy som är fastställd av ledningen. Den ingår i den obligatoriska informationssäkerhetsutbildningen för all personal.
Referens: Informationssäkerhetspolicy
A.6.1 Intern organisation
Mål: Att upprätta ett organisatoriskt ramverk för att initiera och styra införandet och driften av informationssäkerhetsarbetet inom organisationen.
Aspia arbetar enligt en intern process, Information Security Governance Risk and Compliance (IS GRC) där informationssäkerhetsarbetet är riskbaserat och strukturerat, tydliga roller och ansvar finns fördelade i verksamheten, processen omfattar allt informationssäkerhetsarbete inom Aspia.
Informationssäkerhetsarbetet leds av Aspias CISO och rapportera till ledningen med regelbundna intervall.
Referens: Information Security Governance, Risk and Compliance routine, Information Security Role Definition policy
A.6.2 Mobila enheter och distansarbete
Mål: Att säkerställa säkerheten vid distansarbete och vid användning av mobila enheter.
Distansarbete är reglerat i Aspias IT Usage instruction, alla Aspias enheter är centralt managerade och ”Bring your own device” är i regel inte tillåtet. All kommunikation utanför Aspias nätverk är krypterad och all access in till nätverket går via VPN.
Referens: IT Usage instruction, Communication Instruction
A.7.1 Före anställning
Mål: Att säkerställa att anställda och leverantörer förstår sitt ansvar och är lämpliga för de roller som de är tilltänkta för.
Aspia genomför relevanta bakgrundskontroller där så är lämpligt
Referens: Information Security Policy, HR Instruction, Access Instruction
A.7.2 Under anställning
Mål: Att säkerställa att anställda och leverantörer är medvetna om och uppfyller sitt ansvar för informationssäkerhet.
Kontinuerlig informationssäkerhetsutbildning genomförs årligen och simulerade nätfiske attacker eller motsvarande genomförs. Aspia säkerhet informerar kontinuerligt om rådande säkerhetsläge genom interna kommunikationskanaler.
A.7.3 Avslut eller ändring av anställning
Mål: Att skydda organisationens intressen som en del av processen för att ändra eller avsluta en anställning.
Aspia har en central behörighetsstyrning som regleras via vårt personalsystem, där förändringar i arbetsuppgifter automatiskt korrigerar eller uppdaterar behörigheter eller access till stödsystem. Där det inte finns automatik finns det etablerade processer som säkerställer att personal har behörighet i förhållande till deras arbetsuppgifter.
Mål: Att identifiera organisationens tillgångar och fastställa lämpligt ansvar för att skydda dem.
Aspias informationstillgångar identifieras i IS GRC-processen och systemägaransvar och övriga relevanta roller finns definierade. Tekniska tillgångar som hårdvara mm finns dokumenterade i Aspias Asset Management Data Base, informationstillgångar avseende personuppgifter enligt GDPR finns dokumenterade i registerförteckningar.
Mål: Att säkerställa att information får en lämplig skyddsnivå i överensstämmelse med dess betydelse för organisationen.
Samtliga IT-system klassificeras enligt Confidentiality (konfidentialitet), Integrity (riktighet), Availability (tillgänglighet).
Mål: Att förhindra obehörigt röjande, modifiering, avlägsnande eller destruktion av information som lagras på media.
Datorer på Aspia är blockerade att skriva till USB som standard.
Datorer är krypterade med Microsoft BitLocker som standard.
Lagringsmedia som har behandlat informationstillgångar avvecklas enligt en central rutin och säkerställer en säker livscykelhantering.
A.9.1 Verksamhetskrav för styrning av åtkomst
Mål: Att begränsa åtkomst till information och informationsbehandlingsresurser.
All styrning av åtkomst och behörigheter är baserat på beställningsmodeller i centrala system där åtkomst kan motiveras med arbetsuppgifter och attesteras av närmaste chef eller informationsägare. Aspia tillämpar en central identitetshantering (Identity and Access Management) och ett antal fördefinierade kriterier som reglerar hur och var man är behörig att ansluta till.
Referens: Access Instruction
A.9.2 Hantering av användaråtkomst
Mål: Att säkerställa behörig användaråtkomst och att förhindra obehörig åtkomst till system och tjänster
Användaråtkomst ges efter principerna ”lägsta möjliga behörighet och tillgång för att kunna fullgöra arbetsuppgifter”.
Användaråtkomst är spårbart i beställningsflöden och kontroll av behörigheter sker årligen, konton med högre behörigheter granskas minst halvårsvis.
A.9.3 Användaransvar
Mål: Att göra användare ansvariga för att skydda sin autentiseringsinformation.
Användaransvar uppnås genom årlig informationssäkerhetsträning och alla användaruppgifter ska behandlas på ett säkert sätt.
A.9.4 Styrning av åtkomst till system och tillämpningar
Mål: Att förhindra obehörig åtkomst till system och tillämpningar.
A.10.1 Kryptografiska säkerhetsåtgärder
Mål: Att säkerställa korrekt och verkningsfull användning av kryptering för att skydda informationens konfidentialitet och riktighet.
All information är krypterad under transport genom lägst HTTPS eller TLS 1.2 eller senare samt att vi följer leverantörernas kryptografiska rekommendationer.
Enbart godkända kryptografiska funktioner får användas.
Referens: Cryptography instruction
A.11.1 Säkra områden
Mål: Att förhindra otillåten fysisk åtkomst till, skador på och störningar i tillgången till organisationens information och informationsbehandlingsresurser.
Aspias kontor och områden har grundläggande fysiskt skydd tillträdebegränsning och fysiska behörighetskontroller. Datacenter är certifierade enligt etablerade standarder och har avbrottsfri kraft och resursfördelning samt kontinuitetsplaner enligt leverantörens certifiering.
Centrala post och leveransrutiner finns vid huvudkontoret.
Referens: Operation instruction
A.11.2 Utrustning
Mål: Att förhindra förlust, skada, stöld eller påverkan av tillgångar och avbrott i organisationens verksamhet.
Alla medarbetare är informerade om enskilds eget ansvar för informationstillgångar och att det säkerställs att obehöriga inte kan ta del av information, detta omfattar ”clean desk policy”, säker överskrivning av lagringsmedia enligt central rutin, rapportering av säkerhetsincidenter och polisanmälan vid misstanke om brott.
Referens: IT Usage instruction
A.12.1 Driftsrutiner och ansvar
Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsresurser.
Referens: Operation Instruction, Log Audit Instruction
A.12.2 Skydd mot skadlig kod
Mål: Att säkerställa att information och informationsbehandlingsresurser skyddas mot skadlig kod.
Datorer och servrar har modern ”End Point Detection and Response” med automatiskt antivirusskydd som genomsöker filer och länkar efter skadlig kod och automatiskt hindrar potentiella hot.
Aspia genomför säkerhetsövervakning genom ett SIEM (Security Information and Event Management) system av behörig personal. Detta är även sammankopplat till Aspias SOC (Security Operations Center) leverantör.
A.12.3 Säkerhetskopiering
Mål: Att skydda mot förlust av data.
Säkerhetskopiering av data sker i respektive system och/eller process och baserat på verksamhetsbehoven finns det olika nivåer av säkerhetskopiering och arkivering.
A.12.4 Loggning och övervakning
Mål: Att logga händelser och upptäcka avvikelser.
Aktiviteter i IT-system loggas.
Aspia har ett centralt logghanteringeringverktyg (SIEM) där system-, säkerhets- och användarloggar sparas och granskas regelbundet. Loggarna är forensiskt säkrade och all granskning av loggar sker av behörig personal.
A.12.5 Styrning av driftsystem
Mål: Att säkerställa riktigheten hos driftsystem.
Enbart godkända programversioner får installeras efter godkännande i CAB.
A.12.6 Hantering av tekniska sårbarheter
Mål: Att förhindra utnyttjande av tekniska sårbarheter.
Aspia har kontinuerlig sårbarhetsscanning av våra interna och externa resurser och sårbarheter åtgärdas enligt en fastställd rutin i förhållande till sårbarhetens allvarlighetsgrad och möjlig påverkan av informationstillgångarna.
Applikationsutveckling följer OWASP ramverket.
A.12.7 Överväganden gällande revision av informationssystem
Mål: Att minimera revisionsverksamhetens påverkan på driftsystem.
Granskning av system och processer planeras centralt för att minimera påverkan. Tekniska kontroller genomförs på tidpunkter då kundpåverkan är bedömd som minst.
A.13.1 Hantering av nätverkssäkerhet
Mål: Att säkerställa skyddet av information i nätverk och dess stödjande informationsbehandlingsresurser
Aspia tillämpar principen Zero-Trust-network och alla enheter är centralt managerade. Alla företagsnätverk har en grundläggande separation av gäst-, kontors-, och servernätverk.
Referens: Communication instruction, Document Labeling instruction
A.13.2 Informationsöverföring
Mål: Att upprätthålla säkerheten hos information som överförs inom en organisation eller till en extern enhet.
Instruktioner för internt och extern informationsöverföring finns etablerade. All intern kommunikation är krypterad som standard. Funktionalitet med säkra datarum finns (Konfident) för extern delning finns samt att delning av information finns i avtal mellan Aspia och externa parter.
Sekretessförbindelser är upprättade mellan Aspia och berörda parter.
Referens: Document Labeling instruction, Communication Instruction, Personuppgiftsbiträdesavtal (DPA)
A.14.1 Säkerhetskrav på informationssystem
Mål: Att säkerställa att informationssäkerhet är en integrerad del av informationssystem över hela livscykeln. Detta inkluderar krav på informationssystem som tillhandahåller tjänster via publika nätverk.
Aspia har en strukturerad upphandlingsprocess där informationssäkerhet här en del i kravställningen på system och processer. Systemanskaffningar kravställs i IS GRC processen.
A.14.2 Säkerhet i utvecklings- och supportprocesser
Mål: Att säkerställa att informationssäkerhet designas och införs inom utvecklingscykeln av informationssystem.
Aspia följer OWASP ramverket för applikationsutveckling. Automatisk kodgranskning sker kontinuerligt och utvecklingen sker enligt DevOps ramverket. Utveckling och produktionssättning av kod sker enligt ett fastställt flöde och loggar finns.
A.14.3 Testdata
Mål: Att säkerställa skyddet av data som använts för tester.
Aspia arbetar efter en etablerad teststrategi där system som behöver data för testning har möjlighet att erhålla sådan. Rutiner för livscykelhantering av testdata finns.
A.15.1 Informationssäkerhet i leverantörsrelationer
Mål: Att säkerställa skydd av de av organisationens tillgångar som leverantörer har åtkomst till.
Kraven på leverantörer och underleverantörer är samma som på Aspia. Detta regleras i leverantörsavtal och granskning av dessa sker regelbundet.
Referens: Riktlinjer för informationssäkerhet avseende Aspia leverantörer
A.15.2 Hantering av leverantörers tjänsteleverans
Mål: Att upprätthålla en överenskommen nivå av informationssäkerhet och tjänsteleverans i linje med leverantörsavtal.
Tjänsteleveranserna följs upp av system- och tjänsteansvariga och kravställning och uppföljning på säkerhetsarbetet finns även i avtal.
A.16.1 Hantering av informationssäkerhetsincidenter och förbättringar
Mål: Att säkerställa ett konsekvent och effektivt tillvägagångssätt för hantering av informationssäkerhetsincidenter inklusive kommunikation kring säkerhetshändelser och svagheter.
Informationssäkerhetsincidenter och kommunikation sker enligt incidentprocessen. Detta omfattar både informations- och personuppgiftsincidenter. Incidenter och sårbarheter övervakas och hanteras enligt prioritet baserat på information-, affärs och riskpåverkan.
Referens: Incident management instruction
A.17.1 Kontinuitet för informationssäkerhet
Mål: Kontinuiteten för informationssäkerhet ska vara integrerad i organisationens ledningssystem för kontinuitetshantering.
Aspia följer ISO22301 inom kontinuitetsarbete och har en fastställd kontinuitetspolicy (BCP), fastställda kontinuitetsplaner för system och processer samt återställningsplaner (DR). Krisplaner och krisgrupper finns etablerade och övning sker regelbundet.
Referens: Business Continuity Policy, Business Continuity Plan
A.17.2 Redundans
Mål: Att säkerställa tillgänglighet till informationsbehandlingsresurser.
Redundans uppnås genom tydligt dokumenterade processer och rutiner samt en hög grad av automation och minskning av personberoenden.
Kritiska processer eller system identifieras och alternativa roller tilldelas vid behov.
A.18.1 Efterlevnad av juridiska och avtalsmässiga krav
Mål: Att undvika överträdelser av författningsenliga eller avtalsmässiga skyldigheter relaterade till informationssäkerhet och eventuella säkerhetskrav.
Referens: FAR Allmänna villkor , MyBusiness Allmänna villkor, Aspias riktlinjer för informationssäkerhet för leverantörer och underleverantörer
A.18.2 Granskningar av informationssäkerhet
Mål: Att säkerställa att informationssäkerhet införs och drivs i enlighet med organisationens regler och rutiner.
Aspia genomför regelbundet oberoende extern kontroll av informationssäkerheten. Detta inkluderar även leverantörer och underleverantörer om behov uppstår.