Informationssäkerhetspolicyn fastställs av företagsledningen och anger Indoor Golf grundläggande synsätt och viljeinriktning på en övergripande nivå gällande arbete med informationssäkerhet.
De informationstillgångar som Indoor Golf hanterar – både åt sig själva och åt sina kunder – är av grundläggande betydelse för Indoor Golf verksamhet. Att dessa hanteras korrekt har betydelse för förtroendet hos medarbetare, kunder och samarbetspartners. Med informationstillgångar förstås all information som är av värde för Indoor Golf och deras kunder, oavsett om den behandlas analogt eller digitalt, automatiskt eller manuellt, och oberoende av dess form eller miljön den förekommer i. Syftet med denna informationssäkerhetspolicy är att påvisa ledningens vilja att dessa tillgångar behandlas i enlighet med uppsatta mål och principer.
Informationssäkerhet kan sammanfattas i enlighet med följande kravområden:
Tillgänglighet – att information är tillgänglig i förväntad utsträckning, för behöriga användare och inom önskad tid.
Riktighet – att information skyddas mot oönskad förändring eller borttag, oavsett om den är avsiktlig eller oavsiktlig.
Konfidentialitet – att information i strid med lagkrav, regler, riktlinjer eller avtal inte tillgängliggörs eller delges obehörig.
I och med fastställandet av denna policy så åtar sig Indoor Golf att uppfylla tillämpliga krav relaterade till informationssäkerhet. Policyn omfattar hela Indoor Golf och innehåller följande mål och principer:
att kunskap finns, och fortlöpande utvecklas, om hur informationssäkerhet säkerställs, upprätthålls och är under ständig förbättring.
att alla informationstillgångar klassificeras i enlighet med fastställd metodik,
att hot mot informationstillgångar och tjänster fortlöpande bedöms och hanteras enligt fastställd process för riskhantering,
att krishanteringsförmågan fortlöpande analyseras och upprätthålls,
att oväntade och oönskade händelser som leder till negativa konsekvenser förebyggs,
att arbete med informationssäkerhet är en naturlig och integrerad del i verksamheten, och
att ledningssystemet och tillhörande säkerhetsåtgärder återkommande revideras för att uppnå ständig förbättring.
Ansvaret för Indoor Golf informationssäkerhetsarbete ska följa det normala delegerade verksamhetsansvaret på alla nivåer.
Ägarna uttrycker mål och principer genom att fastställa Indoor Golf informationssäkerhetspolicy.
Företagsledningen har det yttersta ansvaret för Indoor Golf informationssäkerhetsarbete samt godkänner och fastställer vidhängande regelverk för informationssäkerhet. Företagsledningen äger och ansvarar för Indoor Golf infrastruktur, tjänster, system och applikationer samt tillsätter informations- och systemägare för dessa.
Informationssäkerhetsansvarig - CISO (Chief Information Security Officer) arbetar på uppdrag av företagsledningen. CISO har det övergripande och strategiska ansvaret att leda, utveckla, samordna och revidera informationssäkerhetsarbetet. CISO ansvarar även för strategiskt och operativt arbete med riskhantering.
Respektive avdelning äger och ansvarar för egen verksamhetsspecifik infrastruktur, tjänster, system och applikationer och tillsätter ägare för dessa.
Alla medarbetare har ett ansvar för att informationssäkerheten upprätthålls.
I de fall avvikelser eller undantag sker ifrån denna policy, eller vidhängande regelverk, ska dessa rapporteras till närmaste chef. Incidenter och händelser vilka kan få negativa konsekvenser för Indoor Golf måste skyndsamt rapporteras till företagsledningen för att skada ska kunna minimeras och liknande incidenter förebyggas.
Informationssäkerhetspolicyn, och vidhängande regelverk för informationssäkerhet ska granskas och uppdateras minst vart tredje år, eller om betydande förändringar i organisation eller omvärld sker. Detta för att säkerställa policyns fortsatta lämplighet, riktighet och verkan. Granskningen ska inkludera en bedömning av Indoor Golf möjligheter till förbättring av sitt regelverk och organisationens förhållningssätt till informationssäkerhet utifrån förändringar i Indoor Golf omvärld, verksamhetsförutsättningar, legala krav och tekniska miljö.
Informationssäkerhetspolicyn beskriver Indoor Golf mål avseende informationssäkerhet. För att tillse behovet hos verksamheten finns ytterligare, och mer specificerade regler och riktlinjer avseende vad som ska genomföras samt på vilket sätt för att policyn ska kunna efterlevas.
Informationssäkerhetspolicyn fastställdes av Indoor Golf företagsledning den 2020-12-28 och gäller till och med 2023-12-31.