expand
Informasjonssikkerhet
Sertifikat
expand
ISO/IEC 27001 EN
1. Innledning
I kraft av å være et av de ledende selskapene i den østerrikske byggebransjen er SWIETELSKY forpliktet overfor sine ansatte, kunder og kontraktpartnere til å implementere de høyeste standarder på alle områder.
Grunnet lovkrav og kommersielle hensyn er man derfor svært opptatt av informasjonssikkerhet i selskapet.
SWIETELSKY definerer informasjonssikkerhet som beskyttelse av fysisk og elektronisk informasjon inkludert nødvendige systemer for å kunne behandle informasjon med hensyn til konfidensialitet, integritet og tilgjengelighet.
2. Bruksområde
De foreliggende sikkerhetsretningslinjene dekker Swietelsky-konsernet og dets datterselskaper inkludert alle medarbeidere, lokasjoner og tjenester.
3. Prinsipper
3.1 Ledelsesbestemt
Styret i SWIETELSKY innfører herved de foreliggende retningslinjene for informasjonssikkerhet som en integrert del av sin selskapsstrategi.
Styret støtter målene med og prinsippene for informasjonssikkerhet i samsvar med virksomhetsstrategien og -målene.
Ved å etablere et system for håndtering av informasjonssikkerhet og stille til rådighet de nødvendige ressursene legger styret grunnlaget for å oppnå målene til dette systemet. Styret er øverste myndighet for systemet, og bidrar aktivt til dets suksess.
3.2 Betydningen av informasjonssikkerhet
SWIETELSKYs virksomhetsoperasjoner avhenger i stor grad av tilgjengeligheten på informasjon og i stadig større grad også av at informasjonssystemene fungerer som de skal. Informasjonsbehandling og digitalisering blir stadig viktigere i byggebransjen. Nettverk internt i selskapet og hos kunder, leverandører og fellesforetak gir god støtte for leveringen av tjenester. Svikt i kjernesystemer kan raskt skade virksomheten og SWIETELSKYs rykte.
Informasjonssikkerhet skaper den nødvendige tilliten, både internt og i forhold til kunder og partnere med tanke på fortsatt digitalisering og overvåking av tilknyttede risikoer. Derfor tilstreber styret (eller en koordinator utpekt av styret) aktivt informasjonssikkerhet i juridiske, teknologiske og organisasjonsrelaterte henseender.
4. Organisasjonskontekst
I 1936 grunnla Dipl. Ing. Hellmuth Swietelsky byggefirmaet. I dag er SWIETELSKY AG et av de viktigste selskapene i den østerrikske byggebransjen, med over 10 000 medarbeidere i gjennomsnitt.
Med filialer i fire kjerneland (Østerrike, Tyskland, Den tsjekkiske republikk, Ungarn) og 15 andre land er SWIETELSKY et 100 % privateid selskap. SWIETELSKY har virksomhet innen alle grener av byggebransjen. Konsernet kan tilby prosjekter i enhver dimensjon med topp kvalitet, fleksibilitet og leveringspålitelighet.
«Desentralisering av profittsentre, delegert ansvar og profittdeltakelse har gitt våre motiverte og kompetente medarbeidere en entreprenørånd» – SWIETELSKY-filosofien
4.1 Intern kontekst
SWIETELSKY er et desentralisert selskap med diverse selvstendige avdelinger i Europa og Australia. Tradisjonelle tjenester som f.eks. personale, finans eller IT administreres sentralt.
For å kunne oppfylle kundenes ønsker og anbudskrav samt kontrollere tiltak har SWIETELSKY også andre systemer. Disse systemene administreres uavhengig av den respektive koordinatoren, og tilpasses jevnlig til hverandre.
4.2 Ekstern kontekst
SWIETELSKYS virksomhet dekker alle grener av byggebransjen. For å kunne utføre oppgavene samarbeider selskapet nært med ulike leverandører, oppdragsgivere, underselskaper og andre konkurrenter i form av fellesforetak.
5. Interesserte parter
Diverse interesserte parter ønsker seg et system for håndtering av informasjonssikkerhet fra SWIETELSKY.
5.1 Kontraktparter (kunder, leverandører, fellesforetak)
Kontraktpartene forventer at deres data behandles konfidensielt, og fremfor alt at virksomheten går knirkefritt slik at tjenestene alltid er tilgjengelige.
5.2 Interne parter (virksomhetsområder, medarbeidere
Interne parter forventer at tjenestene alltid fungerer og er tilgjengelige. Nedetiden skal holdes på et minimum og aldri inntreffe utilsiktet. Sikkerhetsoppgaver skal utføres i bakgrunnen og helst ikke påvirke eller vanskeliggjøre arbeidet. Enkelte ganger stilles det også høye krav til konfidensialitet.
5.3 Aksjonærer (ledelse, eiere)
Aksjonærene forventer å være beskyttet mot virksomhetsrisikoer, juridiske risikoer og ryktepåvirkning. Systemet for håndtering av informasjonssikkerhet er ment å bruke ressurser mer effektivt samt generere konkurransefortrinn via sertifisering.
5.4 Offentlig forvaltning (myndigheter, lovgivere)
Offentlig forvaltning forventer at alle lover følges. All overført informasjon må være den aktuelle offentlige myndigheten i hende til riktig tidspunkt, og informasjonen må være korrekt og fullstendig.
6. Organisasjon
Følgende nøkkelroller og ansvarsområder er definert for systemet for håndtering av informasjonssikkerhet:
7. Mål
Målene til systemet for håndtering av informasjonssikkerhet er utledet fra prinsippene for SWIETELSKYs atferdskodeks.
De strategiske målene beskrevet her tilordnes virksomhetsmålene og evalueres årlig ved hjelp av indikatorer for nøkkelytelse.
7.1 Vi beskytter selskapets aktiva
7.1.1 Unngå utilsiktet nedetid for sentrale IT-tjenester
Svikt i sentrale tjenester kan raskt få konsekvenser for virksomheten og medføre økonomisk tap.
7.1.2 Unngå økonomisk tap som følge av cyberkriminalitet
Kriminelle aktiviteter via elektroniske medier kan medføre omfattende økonomisk tap.
7.2 Vi behandler forretningsdokumenter og informasjon konfidensielt
7.2.1 Sikre at informasjon holdes konfidensiell
Dersom informasjon blir avslørt eller publisert utilsiktet, kan dette skade SWIETELSKYs rykte samt få juridiske og kontraktrelaterte følger.
7.3 Vi overholder standarder for IT-sikkerhet og datavern
7.3.1 Etablere et toppmoderne IT-sikkerhetsnivå
Ved å etablere et system for håndtering av informasjonssikkerhet og tilpasse sikkerhetstiltakene til ISO/IEC 27001 samt gjennomføre en ekstern sertifisering beviser vi overfor tredjeparter at vi har et toppmoderne sikkerhetsnivå.
7.4 Vi fortsetter å utvikle oss
7.4.1 Øke bevisstheten blant medarbeiderne
Kontinuerlig opplæring gir grunnlag for å øke medarbeidernes bevissthet ytterligere.
7.4.2 Kontinuerlig forbedring av systemet for håndtering av informasjonssikkerhet samt sikkerhetstiltakene
Etableringen av en kontinuerlig forbedringsprosess i tilknytning til systemet for håndtering av informasjonssikkerhet sikrer at eksisterende tiltak evalueres og videreutvikles konstant, samt at nye, risikobaserte tiltak identifiseres.
8. Implementering
For å kunne implementere de foreliggende sikkerhetsretningslinjene er følgende kjernekomponenter og prosesser etablert i systemet for håndtering av informasjonssikkerhet:
9. Gyldighetsområde ISO/IEC
Selv om de foreliggende sikkerhetsretningslinjene og systemet for håndtering av informasjonssikkerhet dekker hele organisasjonen, er ekstern ISO/IEC 27001-sertifisering begrenset til følgende:
Systemet for håndtering av informasjonssikkerhet inkluderer levering og drift av sentrale IT-tjenester og nødvendig infrastruktur i Østerrike for hele konsernet.
Tjenester
De sentrale IT-tjenestene og driften av IT-infrastrukturen er relevante for gyldighetsområdet.
Prosesser
IT-driftprosessen regnes som det primære aspektet som må vurderes i forhold til oppgavene innenfor gyldighetsområdet.
Avdelinger
Avdelingen IT og prosesser inkludert IT-brukerservice, IT-infrastruktur, ERP og prosesser samt cybersikkerhet er ansvarlig for gyldighetsområdet.
Lokasjoner
Gyldighetsområdet inkluderer sentrale IT-kontorer, serverrom og rom for sikkerhetskopiering samt lokaliteter for IT-relatert sikkerhetskopiering i Østerrike.
Grensesnitt
Diverse grensesnitt samarbeider nært i gyldighetsområdet. Det dreier seg f.eks. om personale, kvalitetsstyring, digitalisering, bygningsforvaltning, rettsvitenskap samt tjenesteytere og partnere for tjenesteutsetting.
IT-systemer og applikasjoner
Gyldighetsområdet inkluderer mobilt og stasjonært IT-utstyr, oppbevaringsløsninger og relaterte sikkerhetskopier, adgangskontroller og brukeradministrering samt programvare for byggebransjen og personale.
Juridiske enheter
Alle prosesser, personer, avdelinger og lokasjoner som er relevante for gyldighetsområdet, er en del av SWIETELSKY.
Informasjon
Gyldighetsområdet inkluderer all informasjon som er relevant for levering av tjenester.