Sikkerhedspolitik
Vision:
Hos Hjaltelin Stahl, skaber vi konstant værdi for vores kunder igennem sikker adfærd, adgang til og behandling af egne og kunders data, så data er sikre og således at gældende lovgivning, herunder EU’s persondataforordning overholdes på kunders såvel som egne vegne.
Virksomheden og hver enkelt medarbejder har ansvar for at leve op til denne vision ved hjælp af sund fornuft, og grundlæggende forståelse for og efterlevelse af delpolitikker beskrevet i denne IT Sikkerhedspolitik.
IT Sikkerhedspolitikken kommunikeres, forklares og uddybes ved hver ny ansættelse eller ny samarbejdspartner aftale, og eventuelle løbende opdateringer kommunikeres skriftligt og uddybes ved førstkommende fælles medarbejdermøde eller samarbejdspartnermøde.
Acceptabel brug politik:
Hos Hjaltelin Stahl har hver enkelt medarbejder ansvar for at forvalte tildelte adgange til IT Systemer som personlige og fortrolige, og enhver tildelt adgang må ikke videregives til andre, uden skriftligt samtykke fra Hjaltelins Stahls ledelse. Hver medarbejder er ligeledes ansvarlig for at orientere sig om og forstå eventuelle særlige sikkerhedsprocedurer i forhold til kundesystemer, samt efterleve disse inden arbejde udføres.
Politikker som særligt fremhæves er:
- Medarbejdere må kun tilgå Hjaltelin Stahl systemer eller kundesystemer med enheder som er inspiceret og godkendt af Hjaltelin Stahl.
- Medarbejdere og samarbejdspartnere har pligt til at rapportere hændelser hvor der kan være mistænke om brud på sikkerhedsregler, -praksis eller tegn på uvedkommende og utilsigtet adgang til eller indtrængen i IT systemer.
- Brugernavne/passwords er personlige og fortrolige og må IKKE deles med andre eller opbevares i klartekst eller i systemer som ikke et godkendt af Hjaltelin Stahl.
- Systemkonti/passwords er og skal håndteres som personlige og fortrolige og må ikke opbevares i klartekst.
- Systemkonti/passwords må ikke deles med andre uden godkendelse fra Hjaltelin CTO.
- Ved tilladt deling af brugernavne/passwords sendes disse altid via separate kommunikationskanaler.
- Adgang til kundesystemer må kun etableres med Hjaltelin Stahl udstyr og gennem krypterede forbindelser (typisk VPN), medmindre andet er skriftligt godkendt af kunden.
Persondata og fortrolige data:
Persondata (kunders såvel som medarbejderes), og fortrolige data behandles med speciel omsorg og forsigtighed. Nedenfor er listet væsentligste definitioner på Person og fortrolige data
Person data:
Persondata er et bredt begreb og omfatter alle data som vil kunne henføre til og identificere en bestemt person. Persondata inddeles i grund persondata og sensitive data – også kaldet specialkategori data. Eksempler på begge dele er givet nedenfor:
Persondata (Grund)
- Telefon Nr
- Fornavn, efternavn
- Adresse
Persondata (Sensitive) – Specialkategori data
- Politisk tilhørsforhold
- Sundhedsinformation
- Seksuel orientering
- Religiøs orientering
- Biometriske data
For Hjaltelin Stahl opfattes endvidere følgende som fortrolige informationer af hensyn til Hjaltelin Stahls kunders forretning og konkurrenceevne.
Fortrolige data:
- Kundeforhold og aftaler
- Sensitive Persondata
- Forretningsstrategier og regler
- Marketing strategier og praksis
- Salgs- og marketing mål og benchmarks
- Systemarkitektur og systemkonfigurations information
Persondata og fortrolige data skal altid udveksles i krypteret form, og eventuelle passwords til krypterede data skal leveres ad alternativ kanal i forhold dataleveringskanal.
Email Politik:
Kun Hjaltelin Stahl medarbejdere og godkendte samarbejdspartnere har adgang til Hjaltelin Stahls email system.
Email er personlig og authentificeres igennem Hjaltelin Stahls centrale brugeradministrations- og login system, som følger Hjaltelin Stahls password politik.
Email er et væsentligt dagligt kommunikationsmiddel, men må ikke benyttes som middel til overførsel af fortrolige data.
Opstår der nødstilfælde hvor det, på baggrund af specifikation og godkendelse fra kunde, bliver nødvendigt at overføre fortrolige data, skal data altid være i krypteret form, og brugernavn/password til data skal sendes separat og ad forskellige kanaler.
Al email kommunikation virusscannes med Hjaltelin Stahls standard anti-virus løsning.
Mobil enheds politik:
Adgang til Hjaltelin Stahls, eller Hjaltelin Stahls kunders netværk eller systemer må kun foretages med Hjaltelin Stahl udleverede og godkendte enheder og værktøjer.
Egne enheder eller værktøjer må IKKE benyttes, medmindre disse er specielt inspiceret og skriftligt godkendte af Hjaltelins Stahls ledelse.
Alle enheder skal have password eller PIN kode aktiveret. Enheds/skærm lås skal være aktiveret, således at låsning aktiveres senest 15 minutter efter inaktivitet.
Sikkerhedshændelses politik:
Alle sikkerhedshændelser eller mistanke om sikkerhedshændelser logges og dokumenteres på sikker vis til dokumentation, kommunikation og efterfølgende læring.
Ved mistanke om brud på IT Sikkerhedspolitik, eller konkret sikkerheds hændelse i form af hacking forsøg, virus, malware, mistet mobiltelefon/laptop, etc. er det hver medarbejders ansvar omgående at anmelde dette til håndtering vha. Hjaltelin Stahls sikkerhedshændelses proces.
Anmeldelser foretages ad en af følgende mulige kanaler
- Afsendelselse af email til support@hjaltelinstahl.com med beskrivelse af hændelse
- Afsendelse af sms til +45 2330 4842 med beskrivelse af hændelse
Herved påbegyndes Hjaltelin Stahls sikkerhedshændelses proces illustreret nedenfor
Netværks sikkerhedspolitik:
Kun Hjaltelin Stahl medarbejdere og godkendte medarbejdere hos godkendte Hjaltelin Stahl samarbejdspartnere har adgang til Hjaltelin Stahls interne netværk.
Al adgang for samarbejdspartnere og disses medarbejdere gives via dedikerede og authentificerede og krypterede netværks adgange – VPN er fortrukket, og der føres løbende log over samarbejdspartneres og disses medarbejderes adgange.
Hjaltelin Stahl samarbejdspartnere som grundet kundearbejdsopgaver har behov for adgang til Hjaltelin Stahl kunders netværk SKAL benytte Hjaltelin Stahls godkendte kundeadgange.
Password Politik:
Hjaltelin Stahl har etableret central bruger- og password managementløsning for alle medarbejdere (AD) for interne systemer samt for alle adgange til kundesystemer (1password).
Password for interne systemer skal fornyes hver 6 måned og overholde password standard som stiller krav om: Komplekst password med minimum 8 karakterer. Brugerkonto låses efter 10 forkerte login forsøg.
Brugernavne og passwords for kunders systemer, som Hjaltelin Stahl tildeles adgang til af kunder, opbevares, deles og administreres af Hjaltelin Stahls CTO gennem den centrale passwords administrationstjeneste 1Password, således at Hjaltelin Stahl til enhver tid kan tilbagetrække og tildele kundeadgang for Hjaltelin Stahl medarbejdere centralt. Passwords for kunders systemer følger de enkelte kunders password politik.
Der benyttes central password management løsning, der administreres af CTO, og som opbevarer og transporterer passwords krypteret og udelukkende lagrer brugernavne og passwords i EU datacentre (1Password).
- Brugernavne/passwords er personlige og fortrolige og må IKKE deles med andre eller opbevares i klartekst eller i systemer som ikke et godkendt af Hjaltelin Stahl.
- Systemkonti/passwords er og skal håndteres som personlige og fortrolige og må ikke opbevares i klartekst.
- Systemkonti/passwords må ikke deles med andre uden godkendelse fra Hjaltelin CTO.
- Ved tilladt deling af brugernavne/passwords sendes disse altid via separate kommunikationskanaler.
Adgang til kundesystemer må kun etableres med Hjaltelin Stahl godkendte enheder og gennem krypterede forbindelser (VPN er foretrukket)
Fysisk Sikkerhed:
Al adgang til Hjaltelin Stahls fysiske lokaliteter er beskyttet af bemandet reception i dagtimer og ad fysiske adgangssystem med PIN.
PIN skiftes hver 3. måned, og skal opfattes som personlig, og må kun overleveres til medarbejdere eller eventuel 3. part af Hjaltelins ledelse.
Der føres løbende log over hvilke personer, som udover medarbejdere har fået udleveret PIN til fysisk adgang til Hjaltelin Stahls lokaliteter.
Fysisk adgang til Hjaltelin Stahls interne IT Systemer administreres af Hjaltelin Stahls CTO og IT Driftschef, der som udgangspunkt er eneste medarbejdere som har fysisk adgang til Hjaltelin Stahls Serverinstallationer.
Midlertidig fysisk adgang til Hjaltelin Stahls interne server installationer kan gives i forbindelse med vedligehold og reparation, men adgange tildeles, logges og monitoreres af enten Hjaltelin Stahls CTO eller IT Driftschef, og tilbagetrækkes så snart nødvendigt arbejde er udført.
Trådløs netværk og Gæste netværks politik:
Kun Hjaltelin Stahl medarbejdere, eller særligt godkendte medarbejdere hos samarbejdspartner har adgang til Hjaltelin Stahls interne trådløse medarbejder netværk.
Adgang for medarbejdere hos samarbejdspartnere SKAL gives af Hjaltelin Stahls ledelse og samarbejdspartner og medarbejder skal underskrive samarbejds- og fortrolighedsaftale. Adgangsinformation er personlig og må under ingen omstændigheder udleveres til andre.
Alle øvrige samarbejdspartnere eller gæster skal benytte Hjaltelin Stahls trådløse Gæstenetværk, som er separeret fra Hjaltelins interne netværk.
Systemadgange, systemintegration og lognings politik:
Al adgang til systemer og integrationer imellem systemer skal authentificeres og foregå via krypteret forbindelse, såfremt det er teknisk muligt. Er det ikke teknisk muligt, skal undtagelse og metode beskrives, risikovurderes og godkendes af såvel Hjaltelin Stahl kunde og Hjaltelin Stahl ledelse før implementering.
Der etableres som udgangspunkt logning på al adgang til systemer, såfremt det er teknisk muligt. Dette både for Hjaltelin Stahls interne systemer, såvel som kundesystemer som Hjaltelin Stahl administrerer/forvalter.
For kunders systemer rådgiver Hjaltelin Stahl omkring standard logningsmuligheder og anbefalet logningsomfang i forhold til løsning, og implementerer efterfølgende aftalt logning i kundens system, dersom Hjaltelin også står som administrativ forvalter af kundens system.
Er kunden selv forvalter af kundens system, implementerer kunden selv aftalte logning i kundens system.
