Sikkerhetspolicy for Data Equipment

    Vi gjør Norge sikrere!

    Data Equipment sikrer data og systemer mot skadelige hendelser. Fordi suksessfulle hendelser skjer i tillatt trafikk, må vi hele tiden forbedre hvordan vi jobber med informasjonssikkerhet.

    Policyen omfatter alle Data Equipments ansatte, tjenester og forretningsprosesser.


    De ansatte i Data Equipment er vår viktigste ressurs

    • Vi skal kontinuerlig bedre våre ansattes kompetanse og bevissthet relatert til informasjonssikkerhet
    • Ansatte skal skape troverdighet hos våre kunder ved å være kompetente og entusiastiske
    • Ansatte skal registrere avvik og involveres aktivt i forbedring av informasjonssikkerheten
    • Ansatte skal identifisere, vurdere og håndtere risiko forbundet med aktiviteter og oppgaver

     

    Data Equipment bidrar til å sikre kundenes data og systemer

    • Vi skal bevisstgjøre våre kunder på deres verdier og risikoer
    • Vi skal bidra med kompetanseheving hos våre kunder slik at de har nødvendig kunnskap til å sikre sine verdier på best mulig måte
    • Vi skal sikre kundedata i vår varetekt mot tap, tyveri, korrupsjon og utilgjengelighet
    • Vi skal ivareta alle våre kontraktuelle og regulatoriske sikkerhets- og personvernforpliktelser

     

    Strategi

    God sikkerhet i tråd med NSMs Grunnprinsipper for IKT-sikkerhet skal være en forretningsfordel for Data Equipment.

    Sikkerhetsarbeidet skal være risikobasert og forbedres kontinuerlig. For å få til dette må vi håndtere sårbarheter.

    De fleste sårbarheter skyldes tillit. For å adressere dette skal Zero Trust benyttes.

    • Med Zero Trust skal det verifiseres hvem som skal ha tilgang til hva, hvorfor, fra hvor, hvordan, og når.
    • Når det oppstår hendelser, skal vi redusere skadene og lære hvordan vi kan forebygge en tilsvarende hendelse.

    Risikobasert tilnærming

    Risikovurdering er grunnlag for sikring av våre systemer og hvordan vi arbeider med våre kunder.

    Ledelsen har beskrevet risikobaserte regler for ansatte i virksomhetens sikkerhetsinstruks.

    1. Vi skal innføre, teste og forbedre tiltak i tråd med våre risikovurderinger
    2. Våre risikobaserte kriseplaner skal regelmessig revideres, testes og trenes på
    3. Ledelsen skal kontinuerlig forbedre våre regler, prosesser og beskrivelser av risiko
    4. Tilgang til soner, systemer og data skal kun gis etter eksplisitt verifikasjon av behov
    5. Ledelsen skal etablere en sikkerhetsorganisasjon og definere eierskap for viktige verdier
    6. Vi skal bruke relevante kontrolltiltak fra ISO-27001 Annex A og Center for Internet Security
    7. Informasjon og systemer skal merkes og håndteres i tråd med vår sikkerhetsklassifisering
    8. Ansatte skal kunne sikkerhetsklareres, og må følge reglene beskrevet i sikkerhetsinstruksen
    9. Ledelsen skal stille krav til leverandører og partnere for å håndtere sikkerhetsrisiko i verdikjeden

    Data Equipment har innført et ledelsessystem for informasjonssikkerhet i tråd med ISO-27001.

    Sikre din bedrift

    Dataangrep er blant de største truslene mot norske bedrifter. Vi hjelper deg å bygge IT-sikkerhet inn i alle ledd av bedriften din.

     

    Ta kontakt