P01 Informationssäkerhetspolicy

P01 Informationssäkerhetspolicy fastställer en organisations grundläggande åtagande att skydda konfidentialitet, riktighet och tillgänglighet för sina informationstillgångar. Genom att kräva införandet av ett formellt ledningssystem för informationssäkerhet (ISMS) anger policyn den strategiska inriktning som är nödvändig för att upprätthålla ett företagsövergripande riskläge som är riskbaserat, mätbart och föremål för ständig förbättring. Policyns ISMS-omfattning är heltäckande och bindande för all personal, uppdragstagare, tredjepartstjänsteleverantörer samt alla fysiska och digitala miljöer som deltar i behandling av företagsdata. Den omfattar hela informationslivscykeln, med strikta krav på att eventuella undantag från denna omfattning ska vara fullt dokumenterade och godkända av högsta ledningen. Denna bindande tillämpning säkerställer enhetlighet i skyddsnivåer i hela verksamheten, oavsett tillgångarnas placering eller funktion. Målen syftar inte bara till att uppfylla regelefterlevnad med internationella standarder såsom ISO/IEC 27001:2022, NIST SP 800-53 och COBIT 2019, utan också till att främja en kultur där säkerhet är inbyggd i dagliga aktiviteter, partnerskap och affärsapplikationer. För detta ändamål klargör tilldelade roller och ansvar förväntningar för högsta ledningen, säkerhetsansvariga, tillgångsägare, IT- och teknisk driftpersonal samt all personal. Detta säkerställer att alla, från högsta ledningen till externa uppdragstagare, förstår sina skyldigheter i att upprätthålla organisatorisk säkerhet och stödja incidentrespons, utbildning och revisionsaktiviteter. Styrning inom ISMS är en kritisk pelare i policyn och kräver formaliserade strukturer, såsom styrgrupper och en roll- och ansvarsmatris, för att övervaka kontinuerlig bedömning av ISMS-prestanda och möjliggöra ledningens genomgång av ISMS i rätt tid. Policyn beskriver krav på tvärfunktionell samordning och säkerställer att informationssäkerhet inte är isolerad utan integreras i projektledning, upphandling, HR och juridik. Förfaranden för översyn och uppdatering är strikt reglerade, med versionshantering och uttryckligt godkännande från högsta ledningen, vilket ytterligare stödjer ansvarsskyldighet och regulatorisk försvarbarhet. För att möta regulatoriska, kund- och revisionskrav kräver policyn att alla kontroller och stödjande dokumentation ska vara både revisionsbara och verifierbara. Tydliga vägar för riskbaserat urval av kontroller, undantagshantering och acceptans av resterisk beskrivs. Tillsyn och efterlevnad stöds av konkreta konsekvenser vid bristande efterlevnad, skydd för visselblåsarfunktion samt obligatorisk utbildning. Kopplingar till andra centrala organisatoriska policyer, inklusive roll- och ansvarsregister, policy för godtagbar användning, åtkomstkontrollpolicy, riskhanteringsprocess och internrevision, säkerställer full anpassning inom ISMS för enhetlig risk- och regelefterlevnadshantering.