Retningslinjer for IT-sikkerhet

Generelt om hvordan informasjon og data behandles

Disse rettningslinjene for IT-sikkerhet gjelder for Zmarta Group (heretter «Zmarta/Centum») og de selskapene som inngår i gruppen.

Rettningslinjene beskriver Zmartas grunnleggende tilnærming og intensjoner samt overordnede mål for informasjonssikkerhetsarbeid.

Definisjoner

Informasjonssikkerhet handler om å gi Zmarta/Centums informasjonstilgang riktig beskyttelse over tid og omfatter sikkerhetsaspektene:

  • Tilgjengelighet – at informasjon er tilgjengelig i forventet utstrekning og til ønsket tid.
  • Korrekthet – at informasjon beskyttes mot uønsket og ulovlig forandring eller ødeleggelse.
  • Personvern – at data eller annen informasjon ikke gjøres tilgjengelig eller formidles uautorisert.
  • Konfidensialitet – at informasjonen overholder gjeldende lover og forskrifter samt interne retningslinjer og at den ikke gjøres tilgjengelig eller deles uten tillatelse.
  • Sporbarhet – at vi kan spore viktige endringer i systemet, slik at vi i etterkant tydelig kan se spesifikke aktiviteter eller hendelser til et identifisert objekt eller bruker (hvem, hva, når).

Bakgrunn

God informasjonssikkerhet er svært viktig for å beskytte Zmarta/Centums virksomhet mot interne og eksterne IT-relaterte trusler. Informasjonssikkerhetsarbeidet har også som mål å beskytte ansatte og kunder som vi bistår i egenskap av å formidle boliglån, forbrukslån og forsikringer samt beskytte våre leverandører og samarbeidspartnere.

Informasjonssikkerhetsarbeidet skal håndtere informasjonsrisikoer på en strukturert og konsistent måte. Arbeidet er ikke statisk, men må utvikles kontinuerlig i takt med vår virksomhet og verden rundt oss.

Utgangspunktet i vårt arbeid med informasjonssikkerhet er virksomhetens og interessenters behov for sikkerhet mot uønskede hendelser.

Retningslinjer

Tilnærming

Det er av avgjørende betydning at informasjonen og den underliggende infrastrukturen er beskyttet mot identifiserbare trusler som manipulasjon, ødeleggelse, korrupsjon, ulovlige aktiviteter, gjennomføring av bedragerske transaksjoner, rene feil uansett om disse er utilsiktede eller tilsiktede samt brudd på retningslinjer for personvern mellom Zmarta Groups og deres kunder eller partnere.

De sikkerhetstiltak som beskrives i disse retningslinjene beskriver hvordan informasjon og informasjonssystemer (både interne og eksterne) skal benyttes på en trygg måte. Retningslinjene for informasjonssikkerhet har som formål å sikre at all håndtering av Zmarta/Centums informasjonstilgang skjer i overensstemmelse med gjeldende lover, forskrifter og allmenne regler samt Zmarta/Centums interne retningslinjer og rutiner.

Zmarta/Centum informasjonssikkerhetsarbeid kjennetegnes av:

  • at vi har kunnskap om hvordan vi kan sikre informasjonssikkerheten,
  • at vi kontinuerlig analyserer og vedlikeholder krisestyringskapasiteten,
  • at informasjonstilgang klassifiseres etter den modellen som brukes,
  • at trusselbildet mot informasjonstilgang analyseres kontinuerlig,
  • at hendelser som kan føre til negative konsekvenser forebygges, og
  • at arbeid med informasjonssikkerhet er en naturlig del av virksomheten.

Viktige prinsipper

Følgende prinsipper gjelder for informasjonssikkerheten innen Zmarta Group:

Investering i sikkerhetstiltak skal gjøres på bakgrunn av de krav som forretningsvirksomheten stiller, gjennomførte risikovurderinger og effektivitetskrav.

Implementering av informasjonssikkerhet skal være gjennomførbar og praktisk, og det skal finnes en balanse mellom beskyttelsesnivå og effektivitet.

Informasjonssikkerhet er en kontinuerlig prosess som skal være integrert i forretningsvirksomheten.

Ansatte, konsulenter, forretningspartnere og leverandører skal vite og være trygge på Zmarta Groups holdning til hvor viktig informasjonssikkerhet er for Zmarta Group.

Det er utformet en struktur for informasjonssikkerhet. Den effektiviserer og sikrer at retningslinjene overholdes med ulike informasjonssikkerhetskrav som er utformet av Zmarta/Centum.

Sikker identifisering og autentisering skal benyttes for tilgang til alle systemer. Ingen uvedkommende skal få tilgang til Zmarta/Centums informasjonstilgang. Informasjonssikkerheten skal sikre at kun personer med rettmessig tilgang skal få tilgang til den informasjonen som trengs for de skal kunne utføre sine arbeidsoppgaver.

Det skal etableres overvåking, slik at alle eventuelle hendelser oppdages og rapporteres, samtidig som det iverksettes relevante tiltak for å eliminere og redusere risikoen for at noe lignende skal kunne skje i fremtiden.

Sikkerhetsorganisasjon

Zmarta/Centum har delt arbeidet med informasjonssikkerhet inn i flere sikkerhetsområder. Disse omfatter fysisk sikkerhet, administrativ sikkerhet, datasikkerhet/IT-sikkerhet, personsikkerhet samt kommunikasjonssikkerhet.

For hvert sikkerhetsområde er det utpekt en ansvarlig. Informasjonssikkerhetsansvarlig har et overgripende ansvar for den strategiske sikkerheten på samtlige av disse områdene. Informasjonssikkerhetsarbeidet ledes av CTO.

Klassifisering

Klassifisering av Zmarta/Centums informasjonssystem skal gjennomføres med hensyn til vår definisjon av informasjonssikkerhet, det vil si krav til personvern, korrekthet, tilgjengelighet og sporbarhet. Klassifisering er en formell måte å fastsette egnet beskyttelsesnivå for et IT-system på. Informasjonen er i fokus for klassifiseringen.

Sletting og rensing

Når det gjelder Zmarta/Centums rutiner for sletting av personopplysninger og rensing av annen informasjon, fremgår dette av Zmarta Groups registre og styringsdokumenter.

Bruk

Personopplysninger skal oppbevares og håndteres i henhold til EUs personvernforordning (GDPR) og den svenske datavernloven samt andre relevante lover og forskrifter. Ved usikkerhet i forhold til dette, kan det stilles spørsmål til informasjonssikkerhetsansvarlig eller DPO.

Systemutvikling

Informasjonssikkerheten skal vurderes under utvikling, implementering og endringsfaser i hele programvarens levetid. Zmartas systemutviklingsprosess skal dokumenteres, og prosessene for endringshåndtering og testing skal styres.

Privacy by Design & Privacy by Default i henhold til EUs personvernforordning

I Zmarta Groups systemutvikling skal både personlig integritet og informasjonssikkerhet være ledestjerner.

Vi skal derfor arbeide med innebygd integritetsbeskyttelse (Privacy by Design). Dette er et begrep som brukes for å beskrive systemer og løsninger der personvernet også er en integrert del som er tatt med som et basiskrav ved utviklingen av systemet eller løsningen og som går som en rød tråd gjennom hele systemets levetid. Et eksempel er innføring av informasjonssikkerhetstiltak allerede på planleggingsstadiet for å hindre at følsomme opplysninger komme i hendene til ikke-autoriserte personer.

Bestemmelsen om Privacy by Design kompletteres av regelen om Privacy by Default, som innebærer å iverksette passende tekniske og organisatoriske tiltak for å sikre at kun personopplysninger som er nødvendige et spesifikt formål behandles. Det samme gjelder for mengden av personopplysninger som samles inn, omfanget av behandlingen, tidspunktet for lagring og tilgjengelighet.

Data Protection Impact Assessments – konsekvensvurderinger

Vi foretar konsekvensvurderinger i henhold til personvernforordningen ved å granske og revidere retningslinjer og veiledninger som for eksempel risikohåndtering og endringsarbeid (IT-anskaffelser, utkontraktering, tjenesteutvikling) og sørger for at de inneholder krav til innebygget databeskyttelse og databeskyttelse som standard.

Virusbeskyttelse

Alle systemer skal holdes oppdaterte med de siste sikkerhetsoppdateringene. Ingen innebygde sikkerhetsmekanismer bør skrus av.

Tilgang til nettverk

Tilgang til nettverk fra hjemmekontor skal kun tillates dersom brukeren er autorisert via tilgangskontroller og verifiseringsprosedyrer på den måten som Zmarta Group har bestemt, evt. via VPN.

All følsom og internt eller eksternt kommunisert datakommunikasjon skal beskyttes via kryptering eller annet adekvat sikkerhetssystem.

Egne hjemmesider og kryptert overføring av informasjon

Det skal iverksettes ekstra sikkerhetskrav i forhold til hjemmesider der det samles inn personopplysninger. Datasikkerhetsansvarlig skal løpende kontrollere at sikkerhetsnivået er tilfredsstillende.

Zmarta Groups vil at alle brukere skal føle seg trygge når de gir oss personopplysninger. For å beskytte dine personopplysninger, bruker vi https (dvs. (SSL-kryptering) når du besøker våre nettsider. Dette gjør vi for at all informasjon (f.eks. dine personopplysninger) alltid er kryptert ved overføring til oss. Vi bruker også «Symantec Norton Secured – Powered by VeriSign SSL-certifikat» med Extended Validation som aktiverer det grønne adressefeltet for å vise at vi er kontrollert og godkjent av VeriSign (dvs. Symantec).

Brukersikkerhet

Brukernavn og passord skal håndteres på en trygg måte, og alle innlogginger skal gjøres av autoriserte personer. Zmarta/Centum skal sikre at alle ansatte har god kunnskap om Zmarta Groups behandling av personopplysninger og tilhørende informasjonssikkerhet.

Rapportering av hendelser som berører personvern og informasjonssikkerhet

Hendelser som vedrører personvern kan skyldes brann, ikke-autorisert tilgang eller annet. Dette innebærer at det kreves en ansvarlig som skal håndtere uønskede hendelser. Det er viktig å ha gode rutiner slik at man umiddelbart kan håndtere hendelser som omfatter personopplysninger. Meldinger om hendelser rettes til tilsynsmyndighet, dvs. Datainspektionen i Sverige, i løpet av 72 timer.

Zmarta/Centum skal ha en prosess med rutinebeskrivelser for håndtering av hendelser. Oppfølging av informasjonssikkerhetsarbeidet skjer ved at samtlige sikkerhetshendelser registreres i et eget system. Oppfølging av valgte eller gjennomførte beskyttelsestiltak skal skje kontinuerlig.

Dersom hendelsen kan føre til at personer utsettes for alvorlig risiko, som diskriminering, ID-tyveri, svindel eller økonomisk bedrageri, skal Zmarta/Centum også informere de registrerte om hendelsen, slik at de kan iverksette nødvendige tiltak.

Arkivering og lagring

Hvert system har ulike data som har ulike krav med tanke på lagring og langtidsarkivering. Zmarta/Centum skal ha en spesiell rutine for arkivering for å sikre arkivering av data på best mulig måte.

Innkjøp

Zmarta Groups instruks for innkjøp og avtalehåndtering (prosess ved inngåelse av avtale) skal sikre at alle deler av disse retningslinjene følges og implementeres.

Fysisk sikkerhet

All tilgang til informasjon skal registreres. Kritiske informasjonssystemer skal oppbevares i egne, fysisk avgrensede rom. Sikkerheten skal være en integrert del av Zmarta/Centums virksomhet og støtte den slik at man kan nå de oppsatte målene for kvalitet og effektivitet. Servere og lagringsmedia som inneholder følsom eller konfidensiell informasjon skal beskyttes ekstra.

Alle Zmarta/Centums lokaler skal være utstyrt med egnede alarmsystemer. Brannvarslere og rømningsplaner samt skilt til nødutganger og rømningsveier skal plasseres i alle Zmarta/Centums lokaler.

Risikoanalyser

Det skal gjennomføres årlige risikoanalyser for alle forretningskritiske prosesser. Disse skal gjennomføres med den metoden og etter de prosedyrene som er utviklet til dette formålet. Vi skal risiko-klassifisere ut fra lav, middels og høy risiko.

Referanser og lenker

Zmarta/Centum er ikke ansvarlig for noe innhold som er lenket eller referert til fra disse sidene. Hvis skader oppstår igjennom bruk av den presenterte informasjonen, fratas Zmarta alt ansvar.

Videre er Zmarta/Centum ikke ansvarlig for kommentarer eller meldinger publisert av brukere av Zmarta/Centums nettside, i de tilfeller slik publisering er mulig.

Ansvar

Retningslinjene fastsettes av Zmarta/Centums ledelse. Informasjonssikkerhetsansvarlig er ansvarlig for å oppdatere retningslinjene og tilhørende dokumenter og deretter kommunisere dette til alle ansatte.

Informasjonssikkerhetsansvarlig overvåker også at retningslinjene overholdes og at alle ansatte får tilpasset opplæring, slik at bevisstheten rundt dette øker. 

Datainspektionen og Datatilsynet

Zmarta Group har valgt den svenske Datainspektionen som sin tilsynsmyndighet, ettersom Zmarta/Centum Finans eies av et svensk selskap, og konsernet (Zmarta Group) har størstedelen av virksomheten sin i Sverige. Relevant tilsynsmyndighet i Norge er Datatilsynet.

I henhold til loven har du også rett til å klage på behandlingen av personopplysningene dine til Datatilsynet eller Datainspektionen.

Datainspektionen har følgende kontaktinformasjon: telefon: +46 8-657 61 00, 
e-post: datainspektionen@datainspektionen.se eller via post; Box 8114, 104 20 Stockholm. Datatilsynet tar imot klager via post: Datatilsynet, Postboks 8177, 0034 Oslo

Kontakt

Zmarta / Centum Finans AS 
c/o Aker Brygge Business Centre
Postboks 1433 Vika
0115 Oslo
Telefon: 239 67 010 / 239 67 000 
E-post: info@zmarta.no / info@centum.no

Dersom du har spørsmål om våre retningslinjer for informasjonskapsler eller vår behandling av personopplysninger generelt, kan du kontakte vårt personvernombud på dpo@zmartagroup.com eller tlf. +46 (0) 431 47 47 06.

Gyldighet

Disse retningslinjene for IT-sikkerhet gjelder f.o.m. 21.05.2018 og inntil videre.

Last ned innehold som PDF