Epinions Informationssikkerhedspolitik

1.  Introduktion

Kernen i Epinions forretning er databehandling og analyse. Korrekt håndtering af information og data i overensstemmelse med national og international lovgivning er derfor afgørende for vores “license to operate”. Manglende evne til at overholde dette vil ikke bare skade vores nuværende forretning men også vores brand og fremtidige forretningsmuligheder. Derfor betragter vi informationssikkerhed som et område af stor betydning. Vi er afhængige af vores kunders tillid til, at vi håndterer data korrekt.

Dette dokument udgør Epinions Informationssikkerhedspolitik samt det overordnede informationssikkerhedsstyringssystem og dets mål. Det beskriver Epinions forpligtelse til informationssikkerhed, herunder beskyttelse af de data, vi behandler og analyserer. Evnen til at beskytte personoplysninger fra respondenter, medarbejdere, partnere og kunder er af afgørende betydning, og derfor er informationssikkerhed strategisk vigtigt og tæt knyttet til Epinions vedvarende succes.

1.1  Formål

Nærværende Informationssikkerhedspolitik har til formål at definere korrekt og sikker brug af Epinions IT-systemer. Målet er at beskytte Epinion og brugere i størst muligt omfang mod sikkerhedstrusler, der kan kompromittere fortrolighed, integritet, tilgængelighed, privatliv, omdømme og forretningsresultater.

1.2  Struktur

For at understøtte implementeringen af en sikkerhedsbevidst organisation suppleres denne politik af en sikkerhedshåndbog, som mere detaljeret definerer de specifikke informationssikkerhedskontroller. Disse kontroller understøttes yderligere af operationelle procedurer, der muliggør en ensartet daglig implementering af kontrollerne i Epinion.

1.3  Omfang

Denne Informationssikkerhedspolitik, håndbogen og procedurerne (“Informationssikkerhedsrammen”) gælder for alle brugere i Epinion, herunder midlertidige brugere, besøgende med midlertidig adgang samt partnere og kunder med begrænset eller ubegrænset adgang. Overholdelse af retningslinjerne i dette dokument er obligatorisk.

2.  Forretnings- og sikkerhedsmål

Epinions kerneforretning er baseret på at arbejde med og analysere både følsomme og ikke-følsomme data.

For at opretholde høj troværdighed blandt kunder, respondenter, partnere og medarbejdere forpligter Epinion sig til at skabe og vedligeholde et højt niveau af informationssikkerhed.

Niveauet bygger på en grundig forståelse af muligheder og risici ved at arbejde med store datamængder samt implementeringen af en sikkerhedsramme, der balancerer risici med passende foranstaltninger og fortsat muliggør værdifulde dataanalyser for vores kunder.

Nøglemål for Epinions Informationssikkerhedsramme:

  • Udvikle og vedligeholde en risikomodel, der skaber forståelse for risici i relation til Epinions forretning
  • Udvikle og vedligeholde en effektiv Informationssikkerhedsramme baseret på ISO 27001/2, der balancerer risici og mulige tiltag, og således understøtter Epinions overordnede forretningsstrategi og og -model
  • Etablere en organisationskultur, hvor informationssikkerhed er integreret i:
    • Aktiviteter og forretningsprocesser, dvs. ikke som en eftertanke eller add-on
    • Overholdelse af lovgivning, herunder GDPR og den danske databeskyttelseslov

    3.  Ansvar og formel organisering

For at sikre organisatorisk forankring af informationssikkerhed er Epinions General Management Team (GMT = CEO og managing directors for hver forretningsenhed) ansvarlige for risikoforståelse og for løbende at sikre et tilstrækkeligt niveau af informationssikkerhed.

Den enkelte manager/teamleder er ansvarlig for at øge bevidstheden om informationssikkerhed og sikre overholdelse af Informationssikkerhedsrammen inden for eget team.

IT-chefen er ansvarlig for at opretholde en IT-infrastruktur, der beskytter Epinions data og understøtter driften.

IT-teamet har en fælles forpligtelse til at fastholde høje sikkerhedsstandarder. Qua deres uddannelse og erfaring er det forventet, at de leder vejen for resten af Epinion på alle områder af informationssikkerhed.

Ejere af IT-systemer er ansvarlige for overholdelse af sikkerhed i deres systemer, herunder forståelse og overholdelse af relevant lovgivning.

Den enkelte medarbejder er ansvarlig for at arbejde inden for Informationssikkerhedsrammen og beskytte Epinions data bedst muligt.

4.  Risikostyring

GMT har det overordnede ansvar for risikostyring og skal sikre, at Informationssikkerhedsrammen altid afspejler aktuelle risici.

Risikovurderinger skal foretages mindst én gang årligt eller ved større forandringer i Epinions forretning, data eller IT-platform.

Vurderingen baseres på:

  • En forståelse af Epinions overordnede forretningsprocesser, systemer og data
  • Dataflows mellem kunder, Epinion og tredjeparter

4.1  Outsourcing og leverandørstyring

Risici ved deling af data og/eller adgang til systemer til tredjeparter (herunder outsourcede forretningsfunktioner) skal revurderes mindst én gang årligt. Tredjepartsleverandører skal vurderes i forhold til deres sikkerhedspolitikker, procedurer og adgangsniveau til Epinions data og systemer.

5.  Håndtering af hændelser

Alle GDPR-relaterede hændelser skal rapporteres via en sikkerhedshændelsesproces og håndteres i henhold til Epinions GDPR-beredskabsplan. Planen skal dække tekniske, juridiske og administrative aspekter, herunder myndighedskrav (f.eks. retningslinjer for anmeldelse af brud på datasikkerheden) og overholdelseskrav.

Ved større hændelser skal hændelsen eskaleres til GMT.

Driftsdirektøren er ansvarlig for at sikre udviklingen og løbende revurdering af procedurerne for håndtering af sådanne hændelser samt af en ”Business Continuity Plan”, når dette er nødvendigt.

6.  Undtagelser

Undtagelser til Informationssikkerhedsrammen må kun godkendes af CEO.

GMT skal orienteres kvartalsvist om status på udestående undtagelser.

7.  Sanktioner

Manglende overholdelse af Informationssikkerhedsrammen kan skade Epinions forretning, omdømme og relationer til kunder, myndigheder og partnere.

Adfærd i strid med Informationssikkerhedsrammen, som kan skade sikkerheden eller omdømmet, kan medføre øjeblikkelig afskedigelse og erstatningskrav.

Ulovlig adfærd vil blive rapporteret til ledelsen og relevante myndigheder.

8. Godkendelse

For Epinion

Date:

 

________________________________

Berit Didriksen, CEO

 

9. Versionshistorik

Version 1 (1. april 2018)
Første udkast

Version 1.1 (20. maj 2018)
Publiceret version

Version 1.2 (10. august 2019)
Mindre interne procesopdateringer

Version 1.3 (1. februar 2021)
Mindre ændringer i afsnittet om hændelseshåndtering