Säkerhet i fokus Säkerhet i fokus

Download Report

Transcript Säkerhet i fokus Säkerhet i fokus 

Säkerhet i fokus
Säkerhet är en av våra viktigaste frågor. Våra hyresgäster b
­ edriver
en daglig verksamhet i allt från kriminalvårds­anstalter och
­domstolsbyggnader till speciella vårdhem och försvarsfastig­heter,
vilket ställer höga krav på s­ äkerhet och sekretess. Det är därför vi har
valt att ­certifiera oss e
­ nligt ISO/IEC 27001:2005.
Våra kunder ska alltid ­känna sig trygga med oss – en säker värd.
2
3
Säkerhet är ett sätt att tänka
Specialfastigheter har hyresgäster med höga
Information och sekretessavtal
krav. De bedriver krävande verksamheter
Information är en av företagets viktigaste
med unika förutsättningar och behov. Därför
tillgångar. Därför är informationssäkerheten
ställer vårt uppdrag höga krav på ansvar och
centralt i säkerhetsarbetet. Samtliga anställda,
kompetens. Säkerheten är alltid i fokus. Våra
men även samarbetspartners och ­leverantörer
uppdragsgivare och hyresgäster ska känna
som har tillgång till konfidentiell information,
sig trygga med oss i alla led, från projektering
får skriva på ett sekretessavtal som tydliggör
och byggnation till förvaltning och utveckling.
regler och ansvar för hantering av information.
Vi är en s­ äker värd – idag och i framtiden.
Detta ansvar gäller även efter avslutad anställning eller vid uppdragets slut.
Specialfastigheters säkerhets­arbete är
beskrivet i vårt ledningssystem Kompassen,
Gemensam utbildning
samt i riktlinjer och i­nstruktioner. De berör
Vid introduktionen på Specialfastigheter får
alla personella resurser, såväl anställda som
samt­liga medarbetare en grundutbildning i
konsulter, på Special­fastigheter. D
­ ärför måste
säkerhet. ­Utbildningen tydliggör att säkerhet
samt­liga känna till vad som gäller och följa
är allas ansvar och omfattar bland annat regler
våra riktlinjer. ­Det som beskrivs här är våra
för korrekt hantering av information, säker
interna säkerhetsföreskrifter, men de kan även
hantering av IT-resurser, säker hantering av
förmedlas till andra.
utomstående besökare, allmänt säkerhetsmedvetande och säkert beteende. I utbildningen
betonas även vikten av att alltid följa interna
SPECIAL
FASTIGHETER
+
SÄKERHET I FOKUS
=
ISO-CERTIFIERING
regler samt externa lagar och krav.
4
5
Information och konfidentialitet
Informationssäkerhet
informationstyp får ­beror dels på konsekven-
Hemlig handling för SUA-uppdrag
Viktiga regler:
Specialfastigheter har ett certifierat lednings-
serna av felaktig spridning av i­nformationen,
Kundkrav som innefattar säkerhets­skyddad
n
system för informationssäkerhet enligt ISO/IEC
dels på kundkrav.
­upphandling med säkerhetsskyddsavtal (SUA)
­inne­bär att den berörda informationen klassas
27001:2005. Ledningssystemet är integrerat i
det övergripande ­ledningssystemet och syftar
Specialfastigheter har fyra konfidentialitets-
till att driva, övervaka, granska, underhålla och
klasser; öppen, intern, internt begränsad och
förbättra informations­säkerheten.
strikt begränsad. Våra instruktioner för hante-
Specialfastigheter har ett specifikt regelverk
ring av information anger detaljerade regler
för SUA-uppdrag som tydliggör framtagning
Hantering och märkning av information
för hur informationen får spridas och lagras,
och hantering av sekretessbelagda uppgifter
Den som hanterar information, såväl intern
baserat på vilken konfidentialitetsklass den
inom ramen för SUA-uppdrag.
som e
­ xtern, ska känna till informationens
har. Märkning med konfidentialitetsklass utförs
konfiden­ti­alitetsklass och följa de hanterings-
normalt endast då det finns specifika kundkrav,
regler som därmed gäller. Informationsägaren,
exempelvis när informationen är sekretessbe-
som är ansvarig för en ­informationstyp, anger i
lagd eller vid andra särskilda behov.
Lösenord och PIN-koder hålls
alltid privata.
Nycklar, kort och personliga
n som ”strikt b
­ egränsad”.
tillhörigheter förvaras på en
säker plats.
n
Principen ”rent skrivbord och
tom bildskärm” tillämpas.
sin informationsklassning kraven på konfidentialitet, tillgänglighet och integritet.
Vid kundspecifika uppdrag finns ofta mer
detaljerade krav. Den som ansvarar för in-
För den som hanterar information är det främst
formationssäkerhet i respektive kundprojekt
­aspekten konfidentialitet som är viktig att
ansvarar också för att samtliga krav som ställs
känna till och ta hänsyn till. Konfidentialitets-
från beställaren tillgodoses.
klassen bestämmer hur information får spridas
och lagras. Vilken k­ onfidentialitetsklass en
6
7
Användning av IT-resurser
ning. Brott mot Specialfastigheters regelverk
De lösenord som hanteras för att komma in i
Specialfastigheters informationsbehand-
kan leda till disciplinära åtgärder för medar-
de o
­ lika systemen är att betrakta som känslig
lingsresurser, såsom datorer, nätverk,
betare och lagbrott polisanmäls.
information och ska skyddas därefter.
avsedda för verksamheten och regler finns
Åtkomst till IT-system
Säkerhetsloggning
för hur de ska användas. Vid användning
Åtkomsten till olika IT-system begränsas
Specialfastigheter loggar såväl fysisk inpas-
av S
­ pecialfastigheters IT-utrustning gäller
genom ­behörigheter och roller. Det är vår
sering med passerkort som användning av
generellt att:
IT-avdelning som beviljar behörigheter till
IT-utrustning och dess system. Detta görs för
mobiltelefoner och liknande är främst
olika system, a
­ pplikationer, mappar och
att kunna spåra vem som har gjort vad vid
lagar och förordningar ska följas
liknande. Grundprincipen är att alla använda-
eventuella incidenter.
n
god etik och affärsmässighet råder
re ska komma åt relevant information för att
n
lösenord ska skyddas
kunna utföra sitt arbete.
Inom Specialfastigheter hanterar vi infor-
Om en medarbetare har anledning att tro
Viktiga regler:
mation på ett medvetet sätt och i enlighet
att han ­eller hon har åtkomst till för lite
n
med regelverket för i­nformationssäkerhet. Vi
information, kontaktas chefen och situatio-
lämnas aldrig utan uppsikt,
hanterar inte material och information som
nen ­korrigeras. Även tillgång till för mycket
till exempel på tåg, i bilar, på
kan uppfattas som stötande.
information kan vara en incident som ska
n
Besökare i Specialfastigheters
n
lokaler ska vara föranmälda och
ledsagas.
rapporteras, så att organisationen kan dra
Information eller utrustning
hotellrum eller på restauranger.
Känslig information diskuteras
n
Specialfastigheter har förbehållit sig rätten
lärdom av händelsen (läs mer under ”Inciden-
aldrig på offentliga platser, till
att vid b
­ ehov granska innehållet i sin utrust-
trapportering”).
exempel i telefonsamtal.
n
Känslig information lämnas
n
aldrig obevakad på arbetsplats
eller skrivbord.
Alla har ansvar för att känna till
n utrymningsvägar och larm­
anordningar.
Information ska skickas med
eftertanke. Ett e-postmeddelande är inte säkert.
8
9
Rutiner för trygga lokaler
Säkerhet i Specialfastigheters lokaler
Vid besök i våra lokaler gäller följande:
Specialfastigheters medarbetare är skyldiga att
n
Innan besökaren får tillträde till våra lokaler ska
Incidentrapportering
Det är viktigt att upptäcka och åtgärda
En incident är en oönskad händelse eller före-
incidenter så tidigt som möjligt, helst innan
känna till och följa de säkerhetsregler som finns i
han eller hon tas emot av anställd eller godkänd
teelse som kan ha, eller har negativ inverkan på
en skada har skett. Alla medarbetare och
Specialfastig­heters lokaler.
besöksmottagare.
Specialfastig­heters personal, verksamhet eller
anlitade personella resurser har skyldighet att
säkerhet. En incident kan variera i allvarlighet och
så snart som möjligt rapportera b
­ efarade eller
att besökaren enbart vistas i områden där det är
behöver inte ha medfört en faktiskt negativ inver-
inträffade incidenter, oberoende av art, via
tillåtet och i övrigt följer våra säkerhetsregler.
kan. Orsaken till en incident kan till exempel vara
­Specialfastigheters system för rapportering av
avsiktlig handling, misstag, systemfel, naturfeno-
­incidenter som finns på intranätet.
Besöksmottagaren är personligen ansvarig för
n
För respektive kontor finns en lokalt säkerhets­
ansvarig som ansvarar för att informera medarbetare om vilka instruktioner som gäller för den loka-
Besökare som inte är kontrollerade får inte
n
la ­säkerheten. Det omfattar bland annat hantering
lämnas utan uppsikt i våra lokaler utan ska alltid
av olika larm kopplade till kontoret, exempelvis
följas av Specialfastigheters personal. Tillstånd
brandlarm, inbrottslarm och överfallslarm.
för att fritt röra sig i vissa lokaler kan ges i särskil-
men eller olycka.
da fall efter säkerhetsgodkännande.
Specialfastigheters lokaler ska alltid vara tillträdesskyddade. Träffar vi på bristande säkerhetsanord-
Brandsäkerhet
ningar, ska säkerhetsfunktionen kontaktas. Även
Specialfastigheter arbetar aktivt för att förebygga
­detta är en incident som ska rapporteras.
bränder genom att bedriva ett systematiskt brandskyddsarbete (SBA) i samtliga våra fastigheter och
Fotoförbud råder i utrymmen där det hanteras
kontorslokaler.
”Strikt begränsad information”.
10
11
Viktiga regler:
Incidenter och tillbud ska alltid rapporteras. Även om ingen s­ kada skett kan rapporteringen medföra att framtida incidenter
förhindras. Rapporterna bör innehålla
Vid allvarliga incidenter, till exempel när en
Hantering av hot
person är skadad, eller då fara i dröjsmål
Även om riskerna minimeras, kan det ändå
råder, ska incidenter i första hand rappor-
uppstå hotfulla situationer i eller utanför
n
teras muntligt till närmaste chef och/eller
tjänsten.
n
säkerhetsfunktionen. När incidenten är u
­ nder
information om:
VAD hände?
NÄR hände det?
HUR hände det?
n
VAR hände det?
kontroll ska en incidentrapport upprättas i
Oavsett hur hotet uppstår, ska en utsatt
n
­incidentrapporteringssystemet.
­person:
n
VEM är inblandad?
VARFÖR hände det?
n
Incidenter kan vara alla typer av händelser där
n
­personer eller verksamheten kan eller skulle
n
Behålla lugnet och vara vänlig.
kunna ha blivit hotad, exempelvis:
n
Inte avbryta den som framför hotet.
Lyssna noga.
Försöka notera så mycket fakta som möjligt
n
Obehöriga har fått tillträde till våra lokaler
n
Obehöriga har kommit åt vår information
n
Dokument, till exempel ritning, har ändrats
n
­felaktigt eller utan behörighet
om ­personen som framför hotet och vad
Svagheter i olika typer av skydd ska
som sägs.
rapporteras, ­exempelvis larm som inte
Kontakta närmaste chef och/eller säkerhets­
n
ansvarig snarast efter hotet.
fungerar, öppna fönster efter kontorstid
och liknande.
Virus har spridits på våra datorer
n
Information som borde ha varit arkiverad går
n
inte att hitta.
Våra informationsbehandlingsresurser
n
12
En incident ska rapporteras så snart som
möjligt för att underlätta eventuell insamling av bevis och för att minimera skadan.
­miss­brukas av medarbetare eller externa
Vid insamling av bevis sköts samordning av
personer
säkerhetsfunktionen.
13
Vi är en ­säker
värd – idag och
i framtiden.
14
15
Kontakta oss gärna!
­Kontakta oss gärna om du har
frågor kring Special­fastigheters
­säkerhets­arbete.
Specialfastigheter Sverige AB (Publ)
Borggården, Box 632, 581 07 Linköping
Telefon 013-24 92 00
​E-post [email protected]
specialfastigheter.se