Sikkerhetsretningslinjer

Ord og uttrykk som ikke er definert på annen måte i dette dokumentet skal ha samme betydning som i ”Avtalen” (se definisjonen i punkt 1 i Leverandørens (dvs. Catacloud Services) brukervilkår), med mindre sammenhengen krever noe annet.

1. Omfang

Retningslinjene for informasjonssikkerhet gjelder all informasjonsbehandling som foregår internt hos Leverandøren og all informasjon som Leverandøren er ansvarlig for eksternt. Dette inkluderer, men er ikke begrenset til, situasjonen der Leverandørens tjeneste er inkludert i en større IKT-operasjon, i samsvar med punkt 5 i dette dokumentet. Dette inkluderer også all behandling, lagring og kommunikasjon av informasjon både muntlig, på papir og digitalt. All bruk av IKT-verktøy er også inkludert.

Disse sikkerhetsretningslinjene vil bli gjennomgått årlig.

2. Viktige Lover og Forskrifter

Informasjonssikkerhet angående Leverandørens tjeneste er regulert av en rekke lover og regler. Dette er noen av de viktigste:

• Personopplysningsloven / GDPR
• Sikkerhetsloven
• Forskrift om sikkerhetsloven

3. Sikkerhetsmål

Leverandørens informasjonsbehandling vil være i samsvar med regulatoriske, interne og kontraktsrettslige krav for informasjonssikkerhet. Personlig og annen beskyttet informasjon vil bli sikret gjennom fysiske, tekniske og organisatoriske tiltak.

 3.1 Konfidensialitet

Personlig informasjon og annen sensitiv informasjon behandlet av Leverandøren vil bli beskyttet mot uautorisert tilgang. Personopplysninger holdes konfidensielle og kan bare deles med Leverandørens andre ansatte i den grad det er nødvendig i forhold til tjenesten som tilbys.

Alle Leverandørens medarbeidere har signert en konfidensialitetsavtale og vil overholde denne konfidensialitetsavtalen i samsvar med relevante handlinger, ansettelsesavtale og lignende.

Når et ansettelsesforhold opphører, skal all maskinvare som leveres av Leverandøren til den ansatte i samsvar med ansettelsen, leveres tilbake til Leverandøren. Leverandøren vil da fjerne all informasjon fra nevnte maskinvare.

3.2 Integritet
Informasjon som Leverandøren er ansvarlig for, blir bare tilgjengelig, håndtert og modifisert av ansatte, eller av eksterne myndigheter som er autorisert til å gjøre det.

Leverandøren skal fatte rimelige tiltak med sikte på å forhindre utilsiktet endring av sensitiv informasjon.

3.3 Tilgjengelighet
Informasjonssystemet er tilgjengelig for autoriserte brukere når det er nødvendig.

3.4 Robusthet

Når uønskede fysiske eller tekniske hendelser oppstår, vil nødhjelpstiltak iverksettes for å bidra til å begrense skaden og hjelpe Leverandøren raskt å komme tilbake til normal drift. Dette inkluderer å gjenopprette tilgjengelighet og gi tilgang til personlig informasjon i tide.

4 Generelle Krav – Prosedyre

Leverandøren har sine egne dokumenterte prosedyrer for viktige sikkerhetsrelaterte prosesser. Prosedyrene nevnt i dette punktet skal være gjenstand for årlig gjennomgang og oppdatering.

4.1 Regulatoriske Krav

Leverandøren må til enhver tid dokumentere og overholde gjeldende regulatoriske krav i samsvar med punkt 2 i dette vedlegget.

4.2 Risikovurdering og Styring

Leverandørens krav til informasjonssikkerhet vedrørende IKT-systemer og prosessene for linjestyring og prosjekter er basert på en risikovurdering. Risikovurderingen inkluderer vurdering av risiko knyttet til egne ansatte og personer som er berørt av selskapets aktiviteter.

Tjenesteyter klassifiserer – eller kvantifiserer – uønskede hendelser basert på to elementer gitt en numerisk verdi: sannsynlighet og konsekvens. Produktet av disse to elementene definerer risikoen for hendelsen.

Både sannsynligheten og konsekvensen av en hendelse er gitt et tall i området 1 til 5 basert på definisjoner relatert til hendelsen. Høyere antall representerer mer sannsynlige og alvorlige hendelser.

Identifiserte uønskede hendelser skal vurderes og kvantifiseres av et panel bestående av minst to personer med tilstrekkelig kunnskap om sannsynligheten og konsekvensen av hendelsen. Årsaker til valg av sannsynlighet og konsekvensnivå må dokumenteres. Risiko som er vanskelig å evaluere kan indikere at hendelsen ikke er spesifikk nok og bør deles i flere separate hendelser eller omskrives.

Målet er ikke å eliminere all risiko – da dette er umulig – men heller holde Leverandørens nåværende profil på et akseptabelt nivå. Forhandleren og sluttkunder aksepterer herved risikoprofilen og det faktum at Leverandøren kun er ansvarlig for risiko direkte som følge av Leverandørens egne tjenester.

4.3 Klassifisering av Systemer og Informasjon

Avhengig av det aktuelle systemet og informasjonen som behandles, vil de forskjellige aspektene ved sikkerhet (konfidensialitet, integritet, tilgjengelighet og robusthet) ha forskjellige betydninger. Følgende kategorisering brukes til beskyttelsesbehov:

• Høy – bare gitt system og informasjon med oppdragskritiske beskyttelsesbehov
• Moderat – system og informasjon med beskyttelsesbehov
• Lav (lave sikkerhetskrav) – kan gjelde alle systemer og informasjon med lite eller ingen beskyttelsesbehov.

Ulike delsystemer kan ha forskjellige beskyttelsesbehov.

4.4 Adgangskontroll

Tilgang til Leverandørens tjenester og systemer er basert på roller og privilegier. Tilgangskontroll – minimum kvartalsvis gjennomgang av brukere og ansattes rettigheter i lister over systemer, og rettigheter som ikke lenger er behov for blir tilbakekalt. Leverandøren har implementert operasjonell tilgang til applikasjonsdata begrenset til et overvåket delsett av Leverandørens ansatte, med flerfaktorautentisering aktivert.

4.5 Tekniske Sikkerhetstiltak

Leverandøren har implementert følgende tekniske sikkerhetstiltak:

• Tiltak som hindrer ansatte i å uaktsomt eller forsettlig skade informasjonssystemet eller informasjonen som er lagret.
• Tiltak for å forhindre at skadelig programvare kommer inn i bedriftsinformasjonssystemet.
• Operasjonell tilgang til applikasjonsdata begrenset til et overvåket delsett av Leverandørens ansatte, med flerfaktorautentisering.
• All kommunikasjon med applikasjoner gjennom eksterne endepunkter logges.
• Minimum daglig backup av alle applikasjonsdata, med rutiner på plass for gjenoppretting.

4.6 Organisatoriske Tiltak

Leverandøren har implementert følgende organisatoriske tiltak:

• Prosedyrer for håndtering av tilgang til Leverandørens informasjonssystem. Dette inkluderer kontroll av passord, rettigheter og applikasjoner.
• Prosedyrer med hensyn til ansattes håndtering av bærbare lagringsmedier, som bærbare datamaskiner, for å forhindre at informasjon kommer på avveie.
• Rutiner for låsing av lokalene, håndtering av gjester og bruk av alarmer utenfor arbeidstid.
• Prosedyrer for plassering og sikring av komponenter, lagringsenheter, dokumenter eller andre komponenter som er viktige for Leverandørens tjeneste.

4.7 Fysiske Tiltak

Leverandørens lokaler er beskyttet mot blant annet innbrudd, brann, vannskader osv. Videre vil Leverandøren forhindre at uvedkommende får tilgang til lokaler der informasjon som er verneverdig er lagret. Maskiner, lagringsmedier og sentrale nettverkskomponenter er fysisk sikret slik at uvedkommende ikke kan bringe disse ut av Leverandørens lokaler. Bærbare enheter som skal bringes utenfor Leverandørens lokaler, må sikres med kryptering.

4.8 Risikohåndtering

For både betydelige og uakseptable risikoer, må risikoreduserende oppgaver identifiseres og plasseres i backloggen. For uakseptable risikoer må avbøtende oppgaver ha en frist.

Risikoreduserende oppgaver får en poengsum basert på hvor mange risikopoeng det reduserer berørte risikoer, og oppgaver prioriteres slik at oppgavene som tar bort flest risikopunkter blir utført først. For avbøtende oppgaver som påvirker flere risikoer, blir de reduserte risikopunktene samlet.

Når risikoreduserende oppgaver er fullført, skal de berørte risikoene oppdateres for å gjenspeile deres nye sannsynlighet og konsekvenspoeng, og ytterligere reduserende tiltak evaluert.

4.9 Leverandøren Rolle som Databehandler og Bruk av Underleverandører

Leverandørens rolle som databehandler og Leverandørens bruk av underleverandører er regulert av databehandleravtalen i samsvar med personopplysningsloven. Databehandleravtalen inneholder også bestemmelser om informasjonssikkerhet med henvisning til disse sikkerhetsretningslinjene.

5 Leverandørens Tjeneste som en del av en større IKT-drift

Ansvaret for informasjonssikkerhet ligger hos eieren av IKT-operasjonen.

Leverandøren er kun ansvarlig for den delen av informasjonssikkerhet som følger av tjenesten som tilbys av Leverandøren. Leverandøren er ikke ansvarlig for risiko i forbindelse med informasjonssikkerhet som overskrider Leverandørens tjeneste og disse sikkerhetsretningslinjene eller annen avtale mellom avtalepartene, så langt gjeldende lover tillater dette.