Swietelsky AG
  • SWIE Seite Ueber Uns Header 3400 Auf 2240X1040 Rgb

Informasjonssikkerhet

Sertifikat

expand

ISO/IEC 27001:2013_English

ISO/IEC 27001

1. Innledning

I kraft av å være et av de ledende selskapene i den østerrikske byggebransjen er SWIETELSKY forpliktet overfor sine ansatte, kunder og kontraktpartnere til å implementere de høyeste standarder på alle områder.

Grunnet lovkrav og kommersielle hensyn er man derfor svært opptatt av informasjonssikkerhet i selskapet.

SWIETELSKY definerer informasjonssikkerhet som beskyttelse av fysisk og elektronisk informasjon inkludert nødvendige systemer for å kunne behandle informasjon med hensyn til konfidensialitet, integritet og tilgjengelighet.

2. Bruksområde

De foreliggende sikkerhetsretningslinjene dekker Swietelsky-konsernet og dets datterselskaper inkludert alle medarbeidere, lokasjoner og tjenester.

3. Prinsipper

3.1 Ledelsesbestemt

Styret i SWIETELSKY innfører herved de foreliggende retningslinjene for informasjonssikkerhet som en integrert del av sin selskapsstrategi.
Styret støtter målene med og prinsippene for informasjonssikkerhet i samsvar med virksomhetsstrategien og -målene.

Ved å etablere et system for håndtering av informasjonssikkerhet og stille til rådighet de nødvendige ressursene legger styret grunnlaget for å oppnå målene til dette systemet. Styret er øverste myndighet for systemet, og bidrar aktivt til dets suksess.

3.2 Betydningen av informasjonssikkerhet

SWIETELSKYs virksomhetsoperasjoner avhenger i stor grad av tilgjengeligheten på informasjon og i stadig større grad også av at informasjonssystemene fungerer som de skal. Informasjonsbehandling og digitalisering blir stadig viktigere i byggebransjen. Nettverk internt i selskapet og hos kunder, leverandører og fellesforetak gir god støtte for leveringen av tjenester. Svikt i kjernesystemer kan raskt skade virksomheten og SWIETELSKYs rykte.

Informasjonssikkerhet skaper den nødvendige tilliten, både internt og i forhold til kunder og partnere med tanke på fortsatt digitalisering og overvåking av tilknyttede risikoer. Derfor tilstreber styret (eller en koordinator utpekt av styret) aktivt informasjonssikkerhet i juridiske, teknologiske og organisasjonsrelaterte henseender.

4. Organisasjonskontekst

I 1936 grunnla Dipl. Ing. Hellmuth Swietelsky byggefirmaet. I dag er SWIETELSKY AG et av de viktigste selskapene i den østerrikske byggebransjen, med over 10 000 medarbeidere i gjennomsnitt.

Med filialer i fire kjerneland (Østerrike, Tyskland, Den tsjekkiske republikk, Ungarn) og 15 andre land er SWIETELSKY et 100 % privateid selskap. SWIETELSKY har virksomhet innen alle grener av byggebransjen. Konsernet kan tilby prosjekter i enhver dimensjon med topp kvalitet, fleksibilitet og leveringspålitelighet.

«Desentralisering av profittsentre, delegert ansvar og profittdeltakelse har gitt våre motiverte og kompetente medarbeidere en entreprenørånd» – SWIETELSKY-filosofien

4.1 Intern kontekst

SWIETELSKY er et desentralisert selskap med diverse selvstendige avdelinger i Europa og Australia. Tradisjonelle tjenester som f.eks. personale, finans eller IT administreres sentralt.

For å kunne oppfylle kundenes ønsker og anbudskrav samt kontrollere tiltak har SWIETELSKY også andre systemer. Disse systemene administreres uavhengig av den respektive koordinatoren, og tilpasses jevnlig til hverandre.

4.2 Ekstern kontekst

SWIETELSKYS virksomhet dekker alle grener av byggebransjen. For å kunne utføre oppgavene samarbeider selskapet nært med ulike leverandører, oppdragsgivere, underselskaper og andre konkurrenter i form av fellesforetak.

5. Interesserte parter

Diverse interesserte parter ønsker seg et system for håndtering av informasjonssikkerhet fra SWIETELSKY.

5.1 Kontraktparter (kunder, leverandører, fellesforetak)

Kontraktpartene forventer at deres data behandles konfidensielt, og fremfor alt at virksomheten går knirkefritt slik at tjenestene alltid er tilgjengelige.

5.2 Interne parter (virksomhetsområder, medarbeidere

Interne parter forventer at tjenestene alltid fungerer og er tilgjengelige. Nedetiden skal holdes på et minimum og aldri inntreffe utilsiktet. Sikkerhetsoppgaver skal utføres i bakgrunnen og helst ikke påvirke eller vanskeliggjøre arbeidet. Enkelte ganger stilles det også høye krav til konfidensialitet.

5.3 Aksjonærer (ledelse, eiere)

Aksjonærene forventer å være beskyttet mot virksomhetsrisikoer, juridiske risikoer og ryktepåvirkning. Systemet for håndtering av informasjonssikkerhet er ment å bruke ressurser mer effektivt samt generere konkurransefortrinn via sertifisering.

5.4 Offentlig forvaltning (myndigheter, lovgivere)

Offentlig forvaltning forventer at alle lover følges. All overført informasjon må være den aktuelle offentlige myndigheten i hende til riktig tidspunkt, og informasjonen må være korrekt og fullstendig.

6. Organisasjon

Følgende nøkkelroller og ansvarsområder er definert for systemet for håndtering av informasjonssikkerhet:

7. Mål

Målene til systemet for håndtering av informasjonssikkerhet er utledet fra prinsippene for SWIETELSKYs atferdskodeks.

De strategiske målene beskrevet her tilordnes virksomhetsmålene og evalueres årlig ved hjelp av indikatorer for nøkkelytelse.

7.1 Vi beskytter selskapets aktiva

7.1.1 Unngå utilsiktet nedetid for sentrale IT-tjenester

Svikt i sentrale tjenester kan raskt få konsekvenser for virksomheten og medføre økonomisk tap.

7.1.2 Unngå økonomisk tap som følge av cyberkriminalitet

Kriminelle aktiviteter via elektroniske medier kan medføre omfattende økonomisk tap.

7.2 Vi behandler forretningsdokumenter og informasjon konfidensielt

7.2.1 Sikre at informasjon holdes konfidensiell

Dersom informasjon blir avslørt eller publisert utilsiktet, kan dette skade SWIETELSKYs rykte samt få juridiske og kontraktrelaterte følger.

7.3 Vi overholder standarder for IT-sikkerhet og datavern

7.3.1 Etablere et toppmoderne IT-sikkerhetsnivå

Ved å etablere et system for håndtering av informasjonssikkerhet og tilpasse sikkerhetstiltakene til ISO/IEC 27001 samt gjennomføre en ekstern sertifisering beviser vi overfor tredjeparter at vi har et toppmoderne sikkerhetsnivå.

7.4 Vi fortsetter å utvikle oss

7.4.1 Øke bevisstheten blant medarbeiderne

Kontinuerlig opplæring gir grunnlag for å øke medarbeidernes bevissthet ytterligere.

7.4.2 Kontinuerlig forbedring av systemet for håndtering av informasjonssikkerhet samt sikkerhetstiltakene

Etableringen av en kontinuerlig forbedringsprosess i tilknytning til systemet for håndtering av informasjonssikkerhet sikrer at eksisterende tiltak evalueres og videreutvikles konstant, samt at nye, risikobaserte tiltak identifiseres.

8. Implementering

For å kunne implementere de foreliggende sikkerhetsretningslinjene er følgende kjernekomponenter og prosesser etablert i systemet for håndtering av informasjonssikkerhet:

9. Gyldighetsområde ISO/IEC

Selv om de foreliggende sikkerhetsretningslinjene og systemet for håndtering av informasjonssikkerhet dekker hele organisasjonen, er ekstern ISO/IEC 27001-sertifisering begrenset til følgende:

Systemet for håndtering av informasjonssikkerhet inkluderer levering og drift av sentrale IT-tjenester og nødvendig infrastruktur i Østerrike for hele konsernet.

Tjenester
De sentrale IT-tjenestene og driften av IT-infrastrukturen er relevante for gyldighetsområdet.

Prosesser
IT-driftprosessen regnes som det primære aspektet som må vurderes i forhold til oppgavene innenfor gyldighetsområdet.

Avdelinger
Avdelingen IT og prosesser inkludert IT-brukerservice, IT-infrastruktur, ERP og prosesser samt cybersikkerhet er ansvarlig for gyldighetsområdet.

Lokasjoner
Gyldighetsområdet inkluderer sentrale IT-kontorer, serverrom og rom for sikkerhetskopiering samt lokaliteter for IT-relatert sikkerhetskopiering i Østerrike.

Grensesnitt
Diverse grensesnitt samarbeider nært i gyldighetsområdet. Det dreier seg f.eks. om personale, kvalitetsstyring, digitalisering, bygningsforvaltning, rettsvitenskap samt tjenesteytere og partnere for tjenesteutsetting.

IT-systemer og applikasjoner
Gyldighetsområdet inkluderer mobilt og stasjonært IT-utstyr, oppbevaringsløsninger og relaterte sikkerhetskopier, adgangskontroller og brukeradministrering samt programvare for byggebransjen og personale.

Juridiske enheter
Alle prosesser, personer, avdelinger og lokasjoner som er relevante for gyldighetsområdet, er en del av SWIETELSKY.

Informasjon
Gyldighetsområdet inkluderer all informasjon som er relevant for levering av tjenester.