1. Syfte, omfattning och användare

Syftet med denna top-level policy är att definiera syftet, riktningen, principerna och grundläggande reglerna för vår informationssäkerhetshantering. Denna policy ingår i ELASTX säkerhetssystem för informationshantering (Information Security Management System, ISMS).

Detta dokument är den publika versionen av ELASTX informationssäkerhetspolicy och kan delas med externa parter.

2. Grundläggande informationssäkerhets-terminologi

Sekretess – Kännetecknande information som endast är tillgänglig för auktoriserade personer eller system.

Integritet – Kännetecknande information vilken endast kan ändras av behöriga personer eller system på ett tillåtet sätt.

Tillgänglighet – Kännetecknande information som endast kan nås av behöriga personer när det behövs.

Informationssäkerhet – Bevarande av sekretess, integritet och tillgång till information.

Information Security Management System (ISMS) – En del av de övergripande hanteringsprocesserna som tar hand om planering, genomförande, underhåll, granskning och förbättring av informationssäkerheten.

3. Hantering av informationssäkerheten

3.1 Mål och mätning

Allmänna mål för ISMS är följande; förebygga och minska skador som orsakas av potentiella incidenter. ELASTX har åtagit sig att kontinuerligt förbättra sitt ISMS och strävar hela tiden efter att förbättra sin säkerhetspolicy. Målen ligger i linje med organisationens affärsmål, strategi och affärsplaner. Bolagets COO ansvarar för att granska dessa allmänna ISMS-mål och sätta nya.

Mål för individuella säkerhetskontroller eller grupper av kontroller föreslås av CloudOps ingenjörer (med behörighet) och godkänns av COO eller CTO i tillämpningsförklaringen.

Alla mål måste ses över minst en gång per år.

ELASTX kommer att mäta uppfyllandet av målen genom:

- Interna riskanalyser samt rapporter om riskhantering minst var 6:e månad.

- Ge alla berörda kunder en incidentrapport vid plattformsincident, dessa ska innehålla; beskrivning av incident, orsak (känd eller möjlig orsak), vidtagna åtgärder (kort- och långsikt).

- Vid händelser där det förekommer identifierade säkerhetsproblem/svagheter hanteras detta via korrigerande åtgärder (Corrective Action Policy).

Bolagets COO ansvarar för fastställandet av mätningsmetoden för att uppnå målen. COO ska analysera och utvärdera mätresultaten och rapportera dem till ledningen som underlag riskhantering.

3.2 Informationssäkerhetskrav

Denna policy och hela ISMS måste överensstämma med lagar och lagkrav som är relevanta för organisationen inom informationssäkerheten, liksom med avtalsförpliktelser.

En detaljerad förteckning över alla kontraktsliga krav, rättsliga krav och berörda parter finns i förteckningen över juridiska, föreskrivna och avtalsenliga skyldigheter (intern användning).

3.3 Informationskontroll

Processen för val av kontroller (skyddsåtgärder) definieras i riskbedömnings- och riskbehandlingsmetoden (intern användning).

De valda kontrollerna och deras genomförandestatus anges i tillämpningsförklaringen (intern användning).

3.4 Affärs kontinuitet

Företagets kontinuitetshantering är föreskriven i ELASTX Business Continuity Management Policy (BCMS) (intern användning).

4. Stöd för ISMS-genomförande

Ledningen på ELASTX eftersträvar ständig förbättring av ISMS och detta ska stödjas med tillräckliga resurser för att uppnå alla mål som anges i denna policy samt att uppfylla alla identifierade krav.

• Ladda ner ELASTX Management System Certificate (ISO/IEC 27001) - Svenska
• Ladda ner ELASTX Management System Certificate (ISO/IEC 27001) - Engelska

En fullständig revisionsrapport finns också tillgänglig på begäran.

• Download ELASTX Certificate of Conformity ISO 27017
• Download ELASTX Certificate of Conformity ISO 27018

Versioner

• Nuvarande version: 2023-02-28