1. Generelle krav

Selectamark har tredjepartssertifisering i henhold til BS EN ISO 9001:2015 (Kvalitetsstyringssystemer: Krav) og er registrert hos Information Commissioner’s Office i samsvar med kravene i Data Protection Act 2018. 

2. Styringssystem for informasjonssikkerhet

Selectamark har etablert og vedlikeholder et dokumentert styringssystem for informasjonssikkerhet.

Risikovurderinger

Selectamark har identifisert en hensiktsmessig metodikk for risikovurdering og utviklet kriterier for vurdering og identifisering av akseptable risikonivåer samt tiltak for å kontrollere risiko.

Dokumentasjon for styringssystemet for informasjonssikkerhet

Selectamark har etablert og vedlikeholder dokumentasjon som støtter forvaltningen av Secure Asset Register i samsvar med LPS 1224: Issue 3 og BS EN ISO 9001:2015.

Dokumentstyring

Selectamark kontrollerer dokumenter som kreves av styringssystemet for informasjonssikkerhet i henhold til et definert sett med prosedyrer som oppfyller kravene i punkt 4.2.3 i BS EN ISO 9001:2015.

Vedlikehold av registre

Selectamark vedlikeholder registre i samsvar med prosedyrer som oppfyller kravene i punkt 4.2.4 i BS EN ISO 9001:2015.

Ledelsens ansvar

Selectamarks ledelse er forpliktet til å drive et effektivt styringssystem for informasjonssikkerhet, som blant annet omfatter å definere roller og ansvar, stille tilstrekkelige ressurser til rådighet, sikre at regelmessige interne revisjoner gjennomføres, og å gjennomføre gjennomganger av systemet minst én gang per år.

Ressursstyring

Selectamark skal sikre at det finnes tilstrekkelige ressurser til a) å drifte Secure Asset Register i samsvar med kravene i LPS 1224: Issue 3 og b) å opprettholde de tjenestenivåene som er angitt i samsvar med punkt 3.2.16 

Hendelseslogger

Selectamark logger operasjoner og hendelser for å støtte avdekking av potensielle brudd på informasjonssikkerheten. 

Hendelseshåndtering

Selectamark har etablert og vedlikeholder et system for å identifisere, rapportere, undersøke og håndtere a) uautorisert aktivitet, b) sikkerhetshendelser og c) feil. 

Interne revisjoner

Selectamark har definert og implementert prosedyrer for gjennomføring av interne revisjoner, registrering av revisjonsresultater og vedlikehold av revisjonsregistre.

Korrigerende og forebyggende tiltak

Selectamark har definert og implementert dokumenterte prosedyrer for å iverksette korrigerende tiltak for å eliminere årsaken til eksisterende eller tidligere avvik.

Vedlikehold

Selectamark tar regelmessige og hyppige sikkerhetskopier av all informasjon, og disse er kryptert for å hindre uautorisert bruk. Sikkerhetskopier lagres på flere sikre lokasjoner og testes regelmessig. 

Kontinuitet i virksomheten

Selectamark har implementert en prosedyre for kontinuitet i virksomheten for å sikre at a) selskapet kan drifte Secure Asset Register innen 24 timer etter en større hendelse/incident som påvirker leveransen av tjenesten for sikker registrering av eiendeler, og b) at mindre hendelser/avvik ikke undergraver samsvar med tjenestenivået definert i samsvar med punkt 3.2.16.1. Kontinuitetsplanen testes og gjennomgås regelmessig. 

Tjenestenivå

Selectamarks tjenestenivå er angitt her. 

3. Ressurser

Personell

Personell gjøres kjent med relevansen og viktigheten av aktiviteter knyttet til informasjonssikkerhet. Før de gis tilgang til Secure Asset Register, blir alle ansatte underlagt sikkerhetsklarering i samsvar med BS 7858:2019 Sikkerhetsscreening av personer ansatt i et sikkerhetsmiljø – Retningslinjer. Kun autorisert personell har tilgang til informasjon som er lagret i Secure Asset Register. 

Konfidensialitetsavtale

Alle ansatte og kontraktører som har tilgang til sikker informasjon har signert konfidensialitetsavtaler.

Utkontrakterte tjenester

Utkontrakterte tjenester forvaltes i samsvar med kravene i denne standarden og ISO 9001:2015 

Beskyttelse av elektronisk informasjon

Tilgang til sikker informasjon lagret elektronisk er begrenset til personell med passende tilgangsrettigheter, i samsvar med punkt 3.4.7.6. 

4. Tilgang til sikker informasjon

Policy for informasjonsutveksling

Selectamark har implementert en policy for utveksling av sikker informasjon. Denne omfatter tredjeparter som: 

• registrerer eiendeler i Secure Asset Register
• søker etter eiendeler i Secure Asset Register
• rapporterer eiendeler som tapt eller stjålet
• rapporterer eiendeler som funnet
• overfører eierskap eller på annen måte oppdaterer eierskapsinformasjon

For ytterligere detaljer, klikk her.