Introduktion
Denne politik beskriver IT Minds A/S (“vi”, “os”, “vores”) overordnede tilgang til informationssikkerhed og cybersikkerhed. Den har til formål at beskytte virksomhedens og kundernes information, sikre efterlevelse af GDPR og støtte en styring, der lever op til ISO 27001-principper. Politikken gælder for alle medarbejdere, samarbejdspartnere, leverandører og eksterne parter, der håndterer IT Minds’ information eller systemer.
Anvendelsesområde
Politikken omfatter alle IT-aktiver, applikationer, netværk, data og driftsmiljøer, herunder cloud-services, eksterne leverandører og kundemiljøer. Den gælder for både interne processer og for eksterne aktiviteter, der påvirker IT Minds’ informationssikkerhed.
Formål og principper
Vi beskytter konfidencialitet, integritet og tilgængelighed i alle digitale løsninger. Vi sikrer, at ansvar og roller er defineret klart, og at beslutninger om sikkerhed kan spores og dokumenteres. Vi arbejder systematisk med risikostyring og følger gældende love, herunder GDPR, samt relevante standarder og branchens bedste praksis.
Roller og ansvar
Ledelsen har det overordnede ansvar for informationssikkerhed og godkender politikker samt sikkerhedsinitiativer. IT- og sikkerhedsfunktionen fører tilsyn med implementering, incident response og kontinuerlig forbedring. DPO’en sikrer, at databeskyttelse indgår i processer og kontroller. Medarbejdere, konsulenter og leverandører er ansvarlige for at efterleve politikken og rapportere sikkerhedshændelser.
Informationsklassifikation og aktiver
Information klassificeres efter fortrolighed, integritet og tilgængelighed. Ejerskab, adgangskrav og opbevaringsregler dokumenteres for kritiske aktiver. Data håndteres i overensstemmelse med klassifikationen, og adgang begrænses til de personer, der har behov for det.
Sikkerhedsarkitektur og systemkontrol
Netværk og systemer designes med segmentering og princippet om “least privilege”. Adgang til kritiske systemer kræver multifaktorgodkendelse (MFA), og adgangsrettigheder tildeles efter behov. Alle løsninger skal være beskyttet mod malware, uautoriseret adgang og andre kendte trusler. Regelmæssig patching, sårbarhedsskanning og sikker konfiguration er obligatorisk for alle systemer. Dokumentation af sikkerhedskonfigurationer og ændringer føres i overensstemmelse med ISO 27001-krav.
Fysisk sikkerhed og adgang
Fysisk adgang til IT Minds’ lokationer og driftsmiljøer kontrolleres og overvåges. Gæster og eksterne leverandører får kun adgang til relevante områder efter godkendelse. Arbejdsenheder skal være beskyttet og sikres mod uautoriseret adgang ved transport eller opbevaring.
Overvågning, logging og hændelseshåndtering
Kritiske systemer overvåges for uregelmæssig aktivitet og mistænkelig adfærd. Logs gemmes sikkert og i overensstemmelse med gældende databeskyttelsesregler. Adgang til logdata er begrænset til autoriseret personale, og logfiler må ikke ændres uden godkendt proces.
Sårbarheder identificeret gennem scanning, test eller rapportering vurderes og prioriteres hurtigst muligt. Der er en formaliseret proces for hændelsesrapportering og beredskab, der understøtter hurtig opdagelse, respons og genopretning.
Databeskyttelse og GDPR
Persondata håndteres kun, når der er et klart formål og et juridisk grundlag. Vi indretter processer, der sikrer rettigheder, opbevaringsbegrænsning og minimal adgang til persondata. Kunder, medarbejdere og samarbejdspartnere kan forvente, at IT Minds beskytter følsomme oplysninger i overensstemmelse med GDPR.
Leverandørvurdering og tredjepartsrisiko
Alle leverandører, der leverer tjenester, hoster data eller får adgang til IT Minds-systemer, vurderes grundigt før samarbejde. Vurderingen omfatter sikkerhedspraksis, compliance med GDPR og ISO 27001, incident response-processer og databehandlingsaftaler. Kritiske leverandører gennemgår dokumenterede revisioner og sikkerhedstjek med faste opfølgningsintervaller. Samarbejde med leverandører må ikke igangsættes, før risici er identificeret, håndteret og godkendt af ansvarlig sikkerhedsfunktion.
Compliance og audit
Vi gennemfører regelmæssige audits og vurderinger for at sikre efterlevelse af denne politik og relevante standarder. Resultater og forbedringspunkter dokumenteres og følges op som en del af vores styringssystem.
Revision
Denne politik er IT Minds’ centrale styringsdokument for informationssikkerhed. Den ajourføres mindst én gang årligt og tidligere ved ændringer i lovgivning, kundekrav, teknologier eller trusselsbillede. Alle medarbejdere og relevante eksterne partnere forventes at kende og efterleve politikken.