Informationssäkerhetspolicy

Syfte och omfattning

Vi på We are Pears AB tar informationssäkerhet på största allvar. Denna policy beskriver våra åtaganden och riktlinjer för att skydda informationstillgångar och säkerställa konfidentialitet, integritet och tillgänglighet av information. Policyn omfattar alla medarbetare, system, processer och externa parter som hanterar information för eller med We are Pears AB.

Vi vet att informationssäkerhet inte är ett engångsprojekt — det är en kontinuerlig process. Vi tillämpar samma rigor på vår egen miljö som vi förväntar oss av våra kunder.

Ledningens åtagande

Ledningen åtar sig att:

• Implementera och upprätthålla ett informationssäkerhetssystem (ISMS) i enlighet med ISO/IEC 27001:2022
• Tilldela nödvändiga resurser för att uppnå informationssäkerhetsmål
• Genomföra regelbundna översyn och förbättringar av informationssäkerheten
• Säkerställa att alla medarbetare är medvetna om sina informationssäkerhetansvar
• Dokumentera och dela lärdomar från säkerhetshändelser för att förhindra framtida incidenter

Säkerhetskontroller och rutiner

Åtkomsthantering

För att säkerställa att endast behöriga personer har tillgång till information:

• Användare tilldelas åtkomst baserat på deras arbetsuppgifter och behov (principen om minsta privilegium)
• Alla åtkomsträttigheter dokumenteras och granskas regelbundet
• Användare autentiseras med starka autentiseringsmetoder (multi-faktor autentisering där tillämpligt)
• Rättigheter återkallas omedelbar vid anställningens slut eller vid förändringar i arbetsuppgifter

IT-utrustning och system

För att skydda information på IT-utrustning:

• Alla enheter är skyddade med lämpliga säkerhetsstandarder, inklusive brandväggar och antivirusprogram
• Utrustning är fysiskt skyddad för att förhindra obehörig åtkomst eller stöld
• Alla enheter konfigureras korrekt och uppdateras regelbundet med de senaste säkerhetspatcharna
• Vid avyttring eller återanvändning av utrustning raderas all information säkert enligt standardiserade rutiner

Hantering av säkerhetshändelser

För att effektivt hantera och svara på säkerhetshändelser:

• Vi har en etablerad incidenthanteringsplan som inkluderar identifiering, bedömning, svar och återställning
• Alla incidenter dokumenteras och analyseras för att identifiera rotorsaker
• Lärdomar från incidenter används för att förbättra säkerhetsmåtgärder och förebygga framtida händelser
• Incidentrapporter arkiveras för revision och compliance-kontroller

Uppfoljning och internrevisioner

För att säkerställa att informationssäkerhetsmåtgärder är effektiva:

• Regelbunden övervakning och granskning av säkerhetskontroller genomförs
• Interna revisioner utförss årligen för att bedöma efterlevnad och identifiera förbättringsområden
• Korrigerande åtgärder vidtas vid identifierade brister eller avvikelser
• Ledningen genomför regelbundna översyner av informationssäkerhetspolicyn för att säkerställa dess fortsatta lämplighet

Dokumentation och spårbarhet

För att säkerställa spårbarhet och compliance:

• Alla rutiner, processer och åtgärder dokumenteras och hålls uppdaterade
• Dokumentationen är tillgänglig för relevanta intressenter och revisorer
• Bevis på genomförda åtgärder och uppföljningar bevaras för att stödja efterlevnad och förbättringsarbete

Medarbetarutbildning och medvetenhet

Informationssäkerhet är en gemensam ansvar. Alla Pears-medarbetare får regelbunden utbildning i säkerhetsbehövande och bästa praxis, inklusive:

• Phishing och sociala ingenörsattacker
• Lösenordshantering och autentisering
• Dataskydd och konfidentialitet
• Incidentrapportering och svar

Kontakt

För frågor om denna informationssäkerhetspolicy eller säkerhetshändelser, kontakta: