Informationssikkerhedspolitik

1 FORMÅL

Sikkerhedspolitikken skal til enhver tid understøtte Baker Tillys værdigrundlag og vision samt de strategiske mål, der er i IT-strategien.

Hensigten med sikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til Baker Tilly, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer.

Baker Tilly ønsker derfor at opretholde og løbende udbygge et IT-sikkerhedsniveau på højde med de krav, som skitseres i ’Den fællesstatslige standard for informationssikkerhed’ (DS 484 basale krav). Kravene skærpes på veldefinerede områder, hvor der er specielle lovkrav, aftaleretslige forhold eller evt. særlig risiko (afdækket ved en risikovurdering).

Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at Baker Tilly fremstår troværdig både nationalt og internationalt.

For at fastholde Baker Tillys troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner.

IT-systemer betragtes, næst efter medarbejderne, som Baker Tillys mest kritiske ressource. Der lægges derfor vægt på driftssikkerhed, kvalitet, overholdelse af lovgivningskrav og på, at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger.

Der skal skabes et effektivt værn mod IT-sikkerhedsmæssige trusler, således at Baker Tillys image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal være vendt imod såvel naturgivne som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne.

Målene er derfor, at:

  • opnå høj driftssikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab - TILGÆNGELIGHED
  • opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer - INTEGRITET
  • opnå fortrolig behandling, transmission og opbevaring af data - FORTROLIGHED
  • opnå en gensidig sikkerhed omkring de involverede parter - AUTENTICITET
  • opnå en sikkerhed for gensidig og dokumenterbar kontakt - UAFVISELIGHED

Ovenstående mål skal konkretiseres i Service Level Agreements (SLAs) og kontrakter overfor samarbejdspartnere.

Regler og retningslinjer fra informationssikkerhedspolitikken skal løbende indarbejdes i de relevante gældende regler på personalepolitikkens område.

2 OMFANG

Sikkerhedskonceptet omfatter følgende:

  • En informationssikkerhedspolitik, der godkendes af direktionen på baggrund af indstilling fra IT-udvalget.
  • En informationssikkerhedshåndbog, der uddyber informationssikkerhedspolitikken, fastlægges af IT-udvalget.
  • Sikkerhedsinstrukser og –procedurer, som er formuleret af IT-udvalget

GYLDIGHEDSOMRÅDE

Politikken er gældende for alle Baker Tillys informationsrelaterede aktiviteter, uanset om disse udføres af ansatte i Baker Tilly eller af samarbejdspartnere. Dette inkluderer f.eks. alle data om personale, data om finansielle forhold, alle data som bidrager til administrationen af virksomheden, produktionsdata og anlægsdata, samt informationer som er overladt til Baker Tilly af andre. Disse data kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller anden information, som kun er til intern brug.

Informationssikkerhedspolitikken har gyldighed for alle ansatte i Baker Tilly og al anvendelse af Baker Tillys informationsaktiver.

4 ORGANISATION OG ANSVAR

Det delegerede sikkerhedsrelaterede ansvar og den tilhørende myndighed ligger hos de personer, som af partnergruppen er udpeget hertil.

5 BEREDSKABSPLANLÆGNING

Katastrofer søges undgået gennem en veltilrettelagt fysisk sikring og overvågning af bygninger, tekniske installationer og IT-udstyr. Omfanget af disse foranstaltninger besluttes ud fra en afvejning af risici i mod sikringsomkostninger og udmøntes i SLAs.

Baker Tillys beredskabsplan aftales med bluepipe a/s og indarbejdes i dennes overordnede beredskabsplan. Heri skal hhv. Baker Tillys og partnernes ansvar for sikkerhedskopiering og nødplaner entydigt præciseres.

Beredskabsplanerne skal omfatte:
  • Skadebegrænsende tiltag
  • Etablering af temporære nødløsninger
  • Genetablering af permanent løsning

Beredskabsplanerne skal ajourføres og testes løbende – og minimum en gang om året.

6 SANKTIONERING

Medarbejdere, der bryder de gældende informationssikkerhedsbestemmelser i Baker Tilly, kan straffes disciplinært. De nærmere regler om dette fastsættes i overensstemmelse med den gældende personalepolitik.