INFORMATIONSSÄKERHETSPOLICY
Denna dag, 2018-05-21, har följande policy upprättats för Kalmar Pistolklubb.
Bakgrund
God informationssäkerhet är en förtroende förutsättning för alla föreningar, oavsett storlek och verksamhet. Genom att utgå från verksamhetens behov av skyddsnivå kan informationssäkerhetsarbetet ständigt förbättras.
Utgångspunkten för allt informationssäkerhetsarbete ska vara verksamhetens behov av säkerhetsskydd för troliga och oönskade framtida händelser. Informationssäkerhet utgör på så sätt en del av föreningens totala riskhantering och utgör en framgångsfaktor.
Syfte
Syftet med informationssäkerhet är att skydda föreningens och medlemmarnas informationstillgångar från alla typer av hot, såväl externa som interna. Informationssäkerhet är grundläggande för att hantera informationsrisker på ett strukturerat och konsistent sätt. Denna policy anger inriktning och övergripande mål för informationssäkerhetsarbetet i Kalmar Pistolklubb.
Grundläggande för föreningens hantering av informationssäkerheten är:
•Sekretess - att ingen obehörig får tillgång till KPKs information.
•Riktighet - att våra medlemmar alltid får rätt information.
•Tillgänglighet - att våra medlemmar har tillgång till den information som är kopplad till sitt medlemskap.
Riktlinjer
Mål och metoder för styrning samt struktur för riskbedömning
Information, data och informationssystem i alla sina former utgör de mest värdefulla tillgångarna i föreningen. Samtliga medarbetare har ett ansvar att skydda dessa mot alla former av hot, såväl interna som externa, såväl avsiktliga som oavsiktliga. Samtliga verksamhetsansvariga har ett ansvar för informationssäkerheten inom sitt ansvarsområde. Riskanalyser ska genomföras årligen inom de kritiska processerna. Dessa ska genomföras med den metod och de mallar som har framtagits för detta ändamål. Resultatet av de genomförda riskanalyserna på aggregerad nivå, ska presenteras för styrelsen. Denna rapportering genomförs årligen under våren av informationssäkerhetsansvarig.
Säkerhetsarbetet ska bedrivas i enlighet med de internationella riktlinjerna för styrning av informationssäkerhet. Föreningen ska efterleva gällande lagstiftning. Säkerheten ska vara en integrerad del av föreningens verksamhet och stödja verksamheten i att uppnå de uppsatta målen för kvalitet och effektivitet.
Organisation av informationssäkerheten
Inom Kalmar Pistolklubb har informationssäkerhetsarbetet indelats i säkerhetsområden. Dessa omfattar, fysisk säkerhet, administrativ säkerhet, datasäkerhet/IT-säkerhet, personsäkerhet samt kommunikationssäkerhet.
Med fysisk säkerhet menas skydd av lokaler och medarbetare genom larm, brandvarnare och genom utbildning av samtliga medarbetare i säkerhetsfrågor.
Med administrativ säkerhet menas det övergripande informationssäkerhetsarbetet genom policy, kontinuitetsplaner, incidentdatabas, övergripande anvisningar och regelverk.
Med datasäkerhet/IT säkerhet menas skydd av de servrar och lagringsmedia där all information lagras samt skydd av data samt kommunikation genom e-post och på företagets intranät med mera.
Med kommunikationssäkerhet menas skydd av de medier som används för att kommunicera med omvärlden, exempelvis fax, telefoni och e-post.
Med personsäkerhet menas skydd av ledning, styrelse och medarbetare från alla typer av incidenter och angrepp som kan ske genom rån, hot eller inträffade incidenter genom brand.
Rapportering och uppföljning
Styrelsen har det övergripande ansvaret för informationssäkerhetsarbetet. Informationssäkerhetsansvarig har av styrelsen fått ansvar för att vidta nödvändiga åtgärder så att säkerhetsarbetet har en acceptabel nivå med hänsyn till kostnaderna för att implementera dessa och de konsekvenser som en inträffad incident kan orsaka föreningen.
Uppföljning av informationssäkerhetsarbetet sker genom att samtliga säkerhetsincidenter registreras och kostnadssätts i avsett system. Uppföljning av skyddsåtgärder, gjorda med utgångspunkt från genomförda riskanalyser, ska ske kontinuerligt.
Medarbetare har möjlighet att anonymt kunna rapportera misstänkta felaktigheter eller oegentligheter till informationssäkerhetschefen.
Kontinuitetsplanen antas årligen av styrelsen. Den reglerar och definierar de kritiska verksamhetsprocesser som ska fungera vid allvarliga incidenter.
Ledningen ska årligen följa upp genomförda riskanalyser. Rapportering görs av informationssäkerhetschefen till ledningen.
Tillhörande dokument
Till stöd för informationssäkerhetsarbetet finns rutiner för hantering av säkerhetssystem, säkerhetsregler för säker arbetsplats och inpasseringsrutiner. Samtliga dokument som hör till denna policy återfinns i styrelsens arbetshandlingar.
Ansvar
Policyn fastställs av föreningens styrelse. Informationssäkerhetsansvarig ansvarar för att säkerhetspolicyn och tillhörande dokument uppdateras och sedan kommuniceras till samtliga medarbetare.
Informationssäkerhetsansvarig övervakar även policyns efterlevnad och att samtliga medarbetare får lämplig utbildning så att en ökad medvetenhet om informationssäkerhetsfrågornas relevans etableras i vårt företag. Samtliga medarbetare har ett ansvar att följa företagets säkerhetsregelverk. Avsiktliga eller oavsiktliga avsteg från denna policy kommer att utredas. En sådan utredning kan medföra att användarnas privata information kan komma att omfattas av en utredning om detta krävs av lagstiftning eller av andra myndigheter.
För Kalmar Pistolklubb
Jack Nyman ordförande