ELASTX Information Säkerhetspolicy

Elastx AB är ett ISO 27001 certifierat bolag. Vi är fast beslutna att kontinuerligt förbättra vårt säkerhetssystem för information och sträva efter en bättre säkerhetspolicy. Målen ligger i linje med organisationens affärsmål, strategi och affärsplaner.

Version datum: 2018-11-12

1. Syfte, omfattning och användare

Syftet med denna top-level policy är att definiera syftet, riktningen, principerna och grundläggande reglerna för informationssäkerhetshantering. Denna policy ingår i ELASTX hela säkerhetssystemet för information (Information Security Management System, ISMS).

Detta dokument är den offentliga versionen av ELASTX informationssäkerhetspolicy och kan delas med externa parter.

2. Grundläggande information säkerhet Terminologi

Sekretess – Kännetecknande information som endast är tillgänglig för auktoriserade personer eller system.

Integritet – Kännetecknande information vilken endast kan ändras av behöriga personer eller system på ett tillåtet sätt.

Tillgänglighet – Kännetecknande information som endast kan nås av behöriga personer när det behövs.

Informationssäkerhet – Bevarande av sekretess, integritet och tillgång till information.

Information Security Management System (ISMS) – En del av de övergripande hanteringsprocesserna som tar hand om planering, genomförande, underhåll, granskning och förbättring av informationssäkerheten. 

3. Hantering av informationssäkerheten

3.1 Mål och mätning

Allmänna mål för ISMS är följande; skapa en bättre marknadsbild och minska skador som orsakas av potentiella incidenter. ELASTX har åtagit sig att kontinuerligt förbättra sitt ISMS och sträva efter en bättre säkerhetspolicy. Målen ligger i linje med organisationens affärsmål, strategi och affärsplaner. Bolagets COO ansvarar för att granska dessa allmänna ISMS-mål och sätta nya.

Mål för individuella säkerhetskontroller eller grupper av kontroller föreslås av CloudOps ingenjörer (med behörighet) och godkänns av COO eller CTO i tillämpningsförklaringen.

Alla mål måste ses över minst en gång per år.

ELASTX kommer att mätta uppfyllandet av målen genom:

- Riskanalyser varje kvartal och rapporter om riskhantering.

- Ge alla berörda kunder en incidentrapport vid plattformshändelser, dessa ska innehålla; beskrivning av incident, orsak (känd eller möjlig orsak), vidtagna åtgärder (kort- och långsikt).

- Vid händelser där det förekommer identifierade säkerhetsproblem/svagheter hanteras detta via korrigerande åtgärder (Corrective Action Policy).

Bolagets COO ansvarar för fastställandet av mätningsmetoden för att uppnå målen. COO ska analysera och utvärdera mätresultaten och rapportera dem till toppledningen som inmatningsmaterial för granskning av ledningen.

3.2 Informationssäkerhetskrav

Denna policy och hela ISMS måste överensstämma med lagar och lagkrav som är relevanta för organisationen inom informationssäkerheten, liksom med avtalsförpliktelser.

En detaljerad förteckning över alla kontraktsliga krav, rättsliga krav och berörda parter finns i förteckningen över juridiska, föreskrivna och avtalsenliga skyldigheter (List of Legal, Regulatory and Contractual Obligations).

3.3 Informationskontroll

Processen för val av kontroller (skyddsåtgärder) definieras i riskbedömnings- och riskbehandlingsmetoden (intern användning).

De valda kontrollerna och deras genomförandestatus anges i tillämpningsförklaringen (intern användning).

3.4 Affärs kontinuitet

Företagets kontinuitetshantering är föreskriven i Elastx Business Continuity Management Policy (BCMS) (intern användning).

4. Stöd för ISMS-genomförande

Toppledningen vill att ISMS-genomförandet och ständig förbättring ska stödjas med tillräckliga resurser för att uppnå alla mål som anges i denna policy samt att uppfylla alla identifierade krav.


Ladda ner ELASTX Management System Certificate (ISO/IEC 27001) - Svenska 

Ladda ner ELASTX Management System Certificate (ISO/IEC 27001) - Engelska

En fullständig revisionsrapport finns också tillgänglig på begäran.