Gå till huvudinnehåll

Policy för IT och informationssäkerhet

Information är en av Systembolagets värdefullaste tillgångar och hanteringen av information är en viktig del i arbetet. Betydelsen av korrekt information kommer fortsätta öka i takt med att en allt större del av verksamheten är beroende av ett tillförlitligt IT-stöd. Modern informationsteknik innebär hög tillgänglighet till information vilket också ger Systembolaget förutsättningar att effektivisera och förbättra servicen till både kunder och medarbetare.

Med IT- och informationstillgångar avses all information utan undantag oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller den miljö den förekommer i. IT- och informationstillgångar som hanteras väl kan leda till möjligheter och skapa mervärde medan IT- och informationstillgångar som inte hanteras korrekt kan leda till både materiella och immateriella skador och förluster för Systembolaget. Därför sker arbetet med IT- och informationssäkerhet strukturerat utifrån det ansvar som beskrivs nedan.

En förutsättning för arbetet med IT- och informationssäkerhet är att en god säkerhetskultur genomsyrar hela verksamheten. Med det avses inte bara att medarbetare har god kunskap om vilka säkerhetsregler som gäller, utan också att de kritiskt ifrågasätter och i enlighet med interna regler och arbetsrutiner rapporterar händelser som kan påverka säkerheten.

Policyn beskriver Systembolagets mål och inriktning för IT- och informationssäkerhetsarbetet och vänder sig till Systembolagets samtliga anställda och även extern personal som kommer i kontakt med Systembolagets informationstillgångar.

Övergripande målsättning

Systembolagets avsikt med IT- och informationssäkerhet är att säkerställa en effektiv informationsförsörjning och att undvika fel som påverkar möjligheterna att bedriva en ändamålsenlig verksamhet. Arbetet med IT- och informationssäkerhet ska vara systematiskt och långsiktigt.

  • Riktighet – Att information inte kan förändras av obehöriga, av misstag eller på grund av störningar i IT-system eller verksamhet. Informationen ska vara tillförlitlig, korrekt och fullständig.
  • Sekretess – Att information i dokument och IT-system alltid följer gällande lagstiftning, regulatoriska krav och interna regler och inte görs tillgänglig eller avslöjas för obehörig.
  • Spårbarhet – Händelser i informationsbehandlingen ska kunna spåras. Det ska vara möjligt att härleda specifika aktiviteter eller händelser till ett identifierat objekt, t.ex. dokument, användare, komponent, fysisk plats eller IT-system. Det ska gå att se vilka förändringar som skett eller gjorts och av vem dessa har utförts.
  • Tillgänglighet – Informationen ska kunna användas efter behov i förväntad utsträckning, inom önskad tid och på rätt plats.

Systembolagets mål för IT- och informationssäkerhet är att rätt information ska tillgängliggöras för rätt person vid rätt tillfälle.

Att säkerställa en god nivå av systematiskt IT- och informationssäkerhetsarbete möjliggör att lagstiftning och regulatoriska krav följs, att kritisk verksamhet upprätthålls, att informationsläckor minimeras, att kostnader för kvalitetsbrister kan begränsas samt bidrar till att förtroendet för Systembolagets uppdrag och varumärke skyddas. Skyddet av IT- och informationstillgångar ska vara utformat så att verksamhetens krav på säkerhetsaspekter uppfylls. Detta gäller även när Systembolagets information eller informationssystem hanteras av extern part.

Ansvar

Systembolagets policy för IT- och informationssäkerhet beslutas av Systembolagets styrelse. För införandet av policyn ansvarar IT-avdelningen. Policyn omfattar hela Systembolagets verksamhet och all information utan undantag oavsett om den hanteras på internet, i datorer eller mobila enheter, i ett telefonsamtal, i butiksmiljön eller i dokument.

De som använder Systembolagets IT- och informationstillgångar på ett sätt som strider mot denna policy kan bli föremål för påföljder.

Det betyder att

Regler och rutiner

Systembolaget följer god sed inom IT- och informationssäkerhet och regulatoriska krav, såsom Personuppgiftslagen (PUL), Nya Dataskyddsförordningen (GDPR), säkerhetsstandarden för kortbetalningar (PCI-DSS) och ackreditering SWEDAC (för laboratorieverksamheten).

  • Systembolaget och IQ har ett gemensamt Dataskyddsombud och har därtill, när det är lämpligt, gemensamma rutiner, biträdesavtal och informationstexter.
  • Systembolaget baserar arbetet med informationssäkerhet på den vägledning och det metodstöd som MSB (Myndigheten för Samhällsskydd och Beredskap) tillhandahåller för att upprätthålla ett LIS (Ledningssystem för Informationssäkerhet).
  • Systembolaget har övergripande rutiner, regler och anvisningar som är kostnadseffektiva och står i proportion till värdet av informationen och de negativa konsekvenser som otillräcklig säkerhet kan medföra.
  • Systembolaget klassificerar, värderar och prioriterar Systembolagets IT- och informationstillgångar genom förvaltningsorganisationerna utifrån verksamhetens krav på riktighet, sekretess, spårbarhet och tillgänglighet.
  • Systembolaget arbetar med kontinuitetsplanering och har beredskap för avbrott. Kritiska verksamheter ska kunna upprätthållas på överenskommen nivå vid olika typer av störningar, avbrott eller krissituationer.
  • Systembolaget ställer säkerhetskrav i upphandlingar och vid utveckling, användning och avveckling av IT-system och följer upp ställda krav. Systembolaget ska uppmärksamma och rapportera händelser som kan misstänkas påverka informationssäkerheten.
  • Systembolaget säkerställer att interna och externa revisorer kontinuerligt genomför uppföljningar av efterlevnaden av regulatoriska krav.

Systembolagets medarbetare

  • Systembolagets medarbetare ska känna till vad det egna ansvaret omfattar och ha god kunskap om vilka säkerhetsregler som gäller. Det gäller för både fast och tillfälligt anställda och även när externa konsulter anlitas.
  • Medarbetare som berörs ska regelbundet få den utbildning som krävs för att IT- och informationssäkerheten ska kunna upprätthållas.

IT- och informationsägare

  • Alla IT-system ska ha en ägare som inom ramen för Systembolagets förvaltningsmodell ansvarar för att säkerhetskraven på IT-systemet uppfylls.
  • All information ska ha en ägare. Informationsägaren ansvarar för att klassificera informationen och ställa de säkerhetskrav som krävs för informationshantering.
  • IT- och informationsägarna ska utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter vidta nödvändiga åtgärder för att säkerställa att Systembolagets informationstillgångar har erforderligt skydd.

Årlig omprövning

Samtliga policyer omprövas årligen av styrelsen.