Policy for informasjonssikkerhet og personvern i Sbanken ASA

Transkript

1 Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer (CRO) Spesialist, kontaktperson Rettslig hjemmel Relaterte dokumenter: Informasjonssikkerhetsansvarlig IKT-forskriften Personopplysningsloven og GDPR Retningslinjer for informasjonssikkerhet Retningslinjer for personvern Årshjul for informasjonssikkerhet og personvern Policy for operasjonell risiko Overordnet beredskapsplan

2 Åpen 2/ 5 Endringslogg Dato Endring Godkjenning (navn og tittel) Nytt dokument. Styremøte Endring av navn fra «Skandiabanken» til «Sbanken». Ingen materielle endringer Oppdatering i forhold til ny personopplysningslov og GDPR. Reklassifisering til «Åpen». Styremøte Hensikt og omfang Dette dokumentet er gjeldende for Sbanken ASA ( Morbanken ) og Sbanken Boligkredittforetak AS ( Boligkredittforetaket ), samlet omtalt som Banken. Informasjon er en forretningskritisk ressurs for Banken. Denne policy definerer forankringspunktet og målbildet for arbeid med informasjonssikkerhet og personvern i Banken. Denne policy gjelder for alle som jobber i og for Banken. Policyen omfatter all forretningsinformasjon og personopplysninger i muntlig, skriftlig og elektronisk form. 2. Definisjoner Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemidler som skal brukes. Forretningsinformasjon: Informasjon om eller fra Bankens prosesser. Informasjonssikkerhet: Det Banken gjør for at informasjon beskyttes, ivaretas og tilgjengeliggjøres etter behov. Integritet: De egenskaper som gjør at vi kan stole på informasjonens kvalitet. Det kan for eksempel bety fullstendighet, korrekthet eller gyldighet. Konfidensialitet: De egenskaper som gjør at informasjonen kun er tilgjengelig for autoriserte brukere, det vil si dem som informasjonens eier har bestemt skal ha tilgang. Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger. Personopplysning: En opplysning eller vurdering som kan knyttes til en enkeltperson. Regulatorisk krav: Krav gitt i lov eller forskrift, i våre konsesjoner eller i avtaler. Sporbarhet: De egenskaper som gjør at vi vet hvem som har lest, kopiert, endret eller slettet informasjon.

3 Åpen 3/ 5 Sikkerhetshendelse: Uønsket hendelse som setter informasjonssikkerheten i fare. Sikkerhetsorganisasjon: Ikke en formell organisasjon, men samlingen av roller som hver på sin måte har et spesifikt ansvar for informasjonssikkerhet og/eller personvern Tilgjengelighet: De egenskaper som gjør at informasjonen er tilgjengelig til rett tid, og for dem den skal være tilgjengelig for. 3. Mål og prinsipper Arbeid med informasjonssikkerhet og personvern skal være i harmoni med følgende målbilde: 4. Strategi Bankens kunder, ansatte, innleide og nære partnere skal føle seg trygge på at personopplysninger og finansiell informasjon blir trygt behandlet. Banken skal jobbe målrettet med informasjonssikkerhet og personvern for å opprettholde høy grad av tillit på disse områdene. Profesjonell og respektfull behandling av personopplysninger og forretningsinformasjon skal bidra til å styrke Bankens attraktivitet blant potensielle kunder og investorer. Informasjon skal klassifiseres i henhold til konfidensialitet, integritet og tilgjengelighet. Tilgang til informasjon og informasjonssystemer gis alltid i henhold til tjenstlig behov. Dersom sikkerhetshendelser eller personvernavvik inntreffer skal de håndteres av en kompetent og forberedt gruppe. Kunder og/eller andre berørte skal holdes orientert om tilstand og løsningstid etter behov. Arbeid med informasjonssikkerhet og personvern i verdikjeder, prosesser og funksjoner skal være integrert i Bankens daglige drift. For å sikre riktig prioritering og regulatorisk etterlevelse legges blant annet risiko- og konsekvensvurderinger til grunn for beslutninger. Bankens krav til informasjonssikkerhet og personvern skal legges til grunn ved utkontraktering og ovenfor leverandører. Sikkerhets- og personvernarbeid skal underlegges prinsippet om kontinuerlig forbedring, og følges opp av interne revisjoner. Banken skal oppfylle relevante regulatoriske krav. Det skal finnes et oppdatert rammeverk for informasjonssikkerhet og personvern som understøtter det målrettede arbeidet. Hensikten er å synliggjøre krav, veilede, samt stille til rådighet verktøy. Rammeverket skal forankres på samme måte som andre, tilsvarende rammeverk i Banken. Det skal være dokumentert og tilgjengeliggjort, og benyttes i intern opplæring i Banken.

4 Åpen 4/ 5 STYRET LEDELSEN EIERE Deler av Bankens styrende dokumenter og prinsipper rundt informasjonssikkerhet og personvern skal tilgjengeliggjøres som åpen informasjon. Banken skal være godt forberedt på å håndtere sikkerhetshendelser og personvernavvik. En gruppe medarbeidere 1 med spesiell kompetanse rundt sikkerhet og personvern skal dokumentere planer, håndtere hendelser og identifisere forbedringer. Ulike roller i sikkerhets- og personvernorganisasjonen har ansvar for å koordinere arbeid med informasjonssikkerhet og personvern gjennom alle avdelinger og verdikjeder i Banken. Banken skal følge opp utkontrakteringspartnere og leverandører på forståelse av og etterlevelse etter Bankens krav til informasjonssikkerhet og personvern. Banken skal ha fokus på å kjenne styrker og svakheter i arbeidet, kontinuerlig forbedre, samt kvalitetssikre arbeidet gjennom internrevisjonen. Dette skal sikre at arbeid med informasjonssikkerhet og personvern er effektivt over tid. Ledelsen og styret skal gjennom regelmessig rapportering holdes oppdatert på status og utfordringer. Banken skal kjenne alle relevante regulatoriske krav, og kunne dokumentere etterlevelse. 1 Ref Retningslinjer for personvern og Overordnet beredskapsplan

5 Åpen 5/ 5 5. Roller og ansvar Styret eier policy for informasjonssikkerhet og personvern, og har det overordnede ansvar for at Banken når sine målsettinger og ivaretar sine prinsipper innenfor informasjonssikkerhet og personvern. Daglig leder skal påse at styrets målsetninger rundt informasjonssikkerhet og personvern hensyntas i forretningsplaner og prioriteringer, samt at det utvikles retningslinjer med spesifikke krav. Eiere av prosesser og informasjon har ansvar for at forretningsinformasjon og personopplysninger behandles og sikres i tråd med retningslinjer og regulatoriske krav, samt at det gjennomføres risikovurderinger. Alle ansatte og innleide i Banken har ansvar for å sette seg inn i og etterleve retningslinjer og krav rundt informasjonssikkerhet og personvern, samt melde fra om hendelser eller dersom sikring av personopplysninger og forretningsinformasjon ikke fungerer som tiltenkt Informasjonssikkerhetsansvarlig har ansvar for at Banken har en velfungerende portefølje av retningslinjer og veiledninger, en aktiv prosess for sikkerhetsbevisstgjøring, en effektiv sikkerhetsorganisasjon, samt at effektive, eksterne samhandlingsrelasjoner er etablert Personvernombudet har ansvar for å påse at Banken har oversikt over behandlinger av personopplysninger, rådgi og veilede behandlingsansvarlig, sikre at Banken har etablert et rammeverk for personvern, påpeke brudd på personopplysningsloven og være bindeledd mellom Datatilsynet og Banken.