Informationssäkerhetspolicy
Humana anger riktlinjer för medarbetarnas användning av IT och data. Detta för att skydda all data kopplat till våra kunder och klienter som vi arbetar med.
Mål
Det är nödvändigt att vi alla skyddar Humanas information på ett bra sätt så ingen obehörig kommer åt känslig information, för att vi ska uppnå våra verksamhetsmål och för att kunder, uppdragsgivare, samarbetspartners, allmänhet och anställda ska känna förtroende för oss.
Därför arbetar vi aktivt med datasäkerhet så att all vår information:
- är skyddad mot obehöriga (konfidentialitet)
- går att lita på (riktighet)
- är tillgänglig när den behövs (tillgänglighet)
- och går att säkerställa vem som har haft tillgång till eller gjort en förändring av informationen (spårbarhet).
Mått
Dessa mått används av Humana för att löpande följa upp och säkerställa datasäkerhet.
- Interna revisioner av datasäkerhet och efterlevnad kopplat till gällande lagstiftning genom att Humana genomför stickprov i de system som innehåller denna typ av information.
- Avvikelser hanteras enligt gällande riktlinjer och målet är att avvikelser alltid skall vara få och Humana skall arbeta aktivt på att dessa ej är återkommande.
Roller och ansvar
Alla har ett ansvar för att säkerheten fungerar. Den som upptäcker brister i datasäkerheten måste uppmärksamma sin chef eller CIO på det. Alla medarbetare måste också rapportera händelser som kan göra att våra informationstillgångar utsätts för risker.
Verksamhetsansvariga/informationsägare ska planera, genomföra och återrapportera informationssäkerhetsarbetet. Chefer på alla nivåer har ett ansvar att informera sina medarbetare om policyn för datasäkerhet och dess tillämpningar.
Följande roller är centrala för det strategiska och operativa informationssäkerhetsarbetet på Humana:
Koncernledning och verkställande direktör
Ytterst ansvarig för Humanas information och dess säkerhet och riktighet. Har till uppgift att följa upp efterlevnad i verksamheten, och eventuella incidenter med CIO.
CIO
Ansvarar strategiskt och operativt för informationssäkerhetsarbetet, och utvecklar och samordnar informationssäkerhetsarbetet. Varje år ska CIO se över och eventuellt revidera informationssäkerhetspolicyn.
Informationsanvändare
Informationsanvändare är alla som hanterar information, oavsett i vilken form den finns, inom Humana, vilket inkluderar anställda så väl som icke anställda. Ansvarar för att ha kunskap om och följa policy, riktlinjer och rutiner för informationssäkerhet inom Humana. Ansvarar också även för att information som hen själv skapar skyddas på det sätt som informationsägaren bestämt.
Informationsägare
All information ska ha en utsedd informationsägare. Om rollen inte har delegerats är det budget- och personalansvarig chef för den enhet som ansvarar för informationen som också är informationsägare. Ansvarar för att värdera informationen och därigenom ställa krav på dess skydd.
IT-enheten
IT ansvarar för drift och utveckling av Humanas IT-system och IT-funktioner, och för att IT-säkerheten motsvarar Humanas behov. IT-enheten ansvarar för förvaltning av Humanas gemensamma infrastrukturella IT-plattform, samt för stöd till verksamhetens ansvariga avseende IT-säkerhet.