Efterlevnad

För att uppnå strukturerade och strategiska metoder för informationssäkerhet drivs internt säkerhetsprogram i enlighet med flera välkända branschstandarder.  H A N G A R värdesätter dess betydelse, då de ger försäkran om tilllit. Ledningssystem för Informationssäkerhet (LIS) följer ISO/IEC 27000-serien, andra standarder och ramverk. Tillika organisatoriska & tekniska säkerhetsåtgärderna för att uppfylla relevanta lagkrav och motståndskraft för cyberattacker mm.
                              

Informationssäkerhet

Styrning av informationssäkerhet är en självklar och integrerad del av den egna verksamheten där välfungerande styrningsmodeller är avgörande, för att skapa en hållbar säkerhetsstrategi. Något som blir alltmer vedertaget i branschen. Med tydliga och effektiva styrningsramverk bidrar H A N G A R både till den interna säkerheten och de experterbjudanden som hjälper dig som kund att bygga robusta modeller för informationssäkerhet.

Informationsklassificering
Klassificering av information, system och tjänster utförs enligt CIA-modellen (Konfidentialitet, Integritet och Tillgänglighet).

Riskhantering för informationssäkerhet
Informationssäkerhetsriskhantering är en kontinuerlig process där regelbundna riskbedömningar genomför för att ständigt utvärdera eventuella risker vid levereras av våra tjänster. Vår riskhanteringsstrategi innefattar:

• Riskhanteringsprocessen kontrollerar förändringar som påverkar informationssäkerheten och är en självklar del i utvecklingen av tjänsteerbjudanden förknippade med befintliga eller nya tjänster, system och leverantörer.
• När behandling av personuppgifter sannolikt innebär hög risk för individers rättigheter och friheter, genomförs en så kallad DPIA (Data Protection Impact Assessment) för att säkerställa ett adekvat skydd av personuppgifter.

Informationssäkerhetsrevisioner
Som en del av LIS genomförs internrevisioner, självskattningar och bedömningar av informationssäkerhet & kontinuitet att säkerställa efterlevnad av säkerhetsstandarder, branschstandarder samt tillämpliga lagstiftningar.

Informationssäkerhets- & integritetsincidenter
Alla säkerhets- och dataskyddsincidenter hanteras enligt detektering, bedömning, behandling, kommunikation, utvärdering och rapportering.

Leverantörsbedömningar
För att säkerställa efterlevnad av informationssäkerhetspolicyer och dataskyddslagstiftning i leveranskedjan bedöms system och leverantörer vid inköp. Detta innefattar granskning av säkerhets- och dataskyddsfrågeformulär, certifieringar, standardiserade frågeformulär, tekniska rapporter och juridisk efterlevnad.

Styrande dokument & policyhantering
Styrdokument såsom policyer mm är strukturerade att täcka områden i vedertagna standarder och ramverk, samt visar engagemang för att uppfylla regulatoriska skyldigheter, ständiga förbättringar.

Informationssäkerhetsmedvetenhet
Med anledning av vikten av kontinuerlig medvetenhetsutbildning (som är en färskvara), utförs löpande tester i informationssäkerhet & dataskydd.

Bakgrundskontroll
Eventuella underkonsulter omfattas av informationssäkerhets- och sekretessavtal, vilket innebär att det vid behov genomförs bakgrundskontroller, anställningsverifiering, referenstagning. För vissa tjänster, kan även även utdrag ur belastningsregistret begäras.

Interna system & verksamhet

I de fall det krävs, säkerställs hög nivå av säkerhet på de system som används.

Åtkomstkontroll
Åtkomstkontroll är begränsad till behov.

Multifaktorsautentisering (MFA)
Multifaktorsautentisering är alltid en självklarhet och skyddas t ex via Microsoft Authenticator.

Lösenordspolicy
Starka lösenord & kontroller tillämpas mha lösenordshanterare samt utför löpande kontroller mot en databas för svaga eller läckta lösenord.

Kryptering 
Kommunikation mellan kunder krypteras enligt branschstandard.

Separering av kunddata
Varje kunds data är vid behov logiskt separerad för att säkerställa konfidentialitet och integritet.

Hantering av känsliga data
Känslig information hanteras aldrig i system, inte eller kommunikation utanför kunds egen domän.

Loggning
I de fall det är nödvändigt loggas aktiviteter (t ex fakturering, avtal mm) för att skydda mot manipulation.

Artificiell Intelligens (AI)
H A N G A R utvecklar eller underhåller inte egna AI-modeller utan använder endast AI-lösningar från tredjepartsleverantörer för eget syfte. Notera att kundinformation aldrig används i samband med AI-användning. 

Säkerhetspatchning
Sårbarheter samt patch av interna system utförs löpasnde.

Kris & kontinuitetsplan
Kris & kontinuitetsplan testas för att verifiera förmågan att kunna leverera även vid en kris eller katastrof.

Endpoint-skydd
Enligt god säkerhetshygien är datorer, mobiltelefoner mm skyddade med så kallat endpointskydd.

Integritetspolicy
Dataskydd enligt dataskyddsförordningen (GDPR) är en självklar och central del, både för intern verksamhet och för de tjänster som erbjuds. I integritetspolicyn kan du läsa mer om hur personuppgifter behandlas i det relaterade tilltjänsteutövandet.

För att säkerställa krav har följande åtgärder implementerats

GDPR
EU dataskyddsförordning (GDPR) syftar till att stärka individers rättigheter genom att förbättra hanteringen av personuppgifter. H A N G A R har etablerat processer för att uppfylla krav och arbetar kontinuerligt med att förbättra policyer och processer för dataskydd.

Lagring
Alla personuppgifter behandlas inom EU.

Personuppgiftshantering och lagringstid
För att säkerställa att hanteringen av personuppgifter är begränsad till vad som är nödvändigt, har H A N G A R en policy som syftar till att uppfylla GDPR krav på dataskydd, samt principerna om dataminimering och begränsad lagringstid (Rätten till radering för aktiva kunder, vid uppsägning av avtal och begränsning av behandling).

Dessa åtgärder säkerställer att H A N G A R hanterar personuppgifter på ett säkert och ansvarsfullt sätt, i enlighet med dataskyddsförordningens krav och våra kunders förväntningar.