ISMS-politikk

Last ned ISMS-politikk

1. Utgangssituasjon og gyldighetsområde

Wyssen Seilbahnen AG er sertifisert i henhold til ISO/IEC-standard 27001:2022 og forplikter seg til å oppfylle disse kravene. Sertifiseringens gyldighetsområde omfatter:

  • Omfanget av ISO/IEC-sertifiseringen 27001:2022 gjelder for Wyssen Seilbahnen AG, Wyssen Avalanche Control AG, Wyssen Austria GmbH, Wyssen Norge AS, Wyssen Canada Inc., Wyssen USA Inc. og Wyssen Chile SpA (Wyssen-konsernet).
  • Alle ansatte
  • Alle prosesser

2. Mål for informasjonssikkerhet

Wyssen-gruppen har satt seg følgende mål:

  • IT har en tilgjengelighet på 99,9 %.
  • Sikre backup-strategien for dataene til Wyssen-konsernet og dets kunder (WAC.3®)
  • Vellykket innføring og kontinuerlig forbedring av ISO/IEC-standard 27001:2022 som et daglig verktøy for informasjonssikkerhet.

3. ISMS i Wyssen-konsernet

I Wyssen-konsernets informasjonssikkerhetsstyringssystem er alle prosedyrer og regler dokumentert for å sikre Wyssen-konsernets informasjonssikkerhet overfor sine interessenter. ISMS kommuniseres løpende og opplæres på riktig nivå. Anvendelsen av disse reglene er obligatorisk og bindende. ISMS-politikken suppleres med spesifikke retningslinjer som sikrer gjennomføringen av enkeltemner i organisasjonen.

4. Kontinuerlig forbedring

ISMS i Wyssen-konsernet blir kontinuerlig gjennomgått og tilpasset gjeldende forhold. I tråd med kontinuerlig forbedring blir kompetansen til alle involverte avdelinger kontinuerlig videreutviklet.

5. Unntak

Dersom det er nødvendig med unntak fra eller fritak fra gjeldende regler, skal disse registreres på en transparent måte og ledsages av risikoreduserende tiltak, godkjennes for en begrenset periode og deres nødvendighet skal regelmessig vurderes.

6. Organisering og ansvarsfordeling

6.1 Ledelse

Ledelsen er det øverste operative beslutningsorganet i selskapet og delegerer oppgaver, ansvar og kompetanse innen informasjonssikkerhet til CISO.

6.2 Interne medarbeidere / Generelt

Alle ansatte i Wyssen-konsernet som utfører oppgaver innenfor ISMS-systemets virkeområde, er ansvarlige for informasjonssikkerheten i sitt fagområde. Ledere på alle nivå i hierarkiet er forpliktet til å stille nødvendige ressurser og kompetanse til disposisjon. De er forpliktet til å gjennomføre alle nødvendige sikkerhetstiltak innenfor sitt ansvarsområde på en bærekraftig måte. De veileder sine medarbeidere og gir dem opplæring etter behov.

6.3 CISO

CISO er ansvarlig for utarbeidelse og definisjon, overvåking, styring og drift samt kontinuerlig forbedring av ISMS. CISO rapporterer til ledelsen.

6.4 Eieren av eiendelen

Eieren av eiendelen fastsetter regler for tillatt bruk av informasjon og verdier som er tildelt dem, dokumenterer disse og anvender dem.

6.5 Risikoansvarlig

Risikoeiere gjennomfører prosessen for vurdering og håndtering av informasjonssikkerhetsrisiko for de risikoene de er tildelt. De analyserer og vurderer risikoene og fastsetter passende tiltak.

6.6 Eksterne medarbeidere / medarbeidere fra tredjeparter

Wyssen-konsernets regler for informasjonssikkerhet gjelder også for personer som utfører oppgaver som eksterne eller ansatte hos tredjeparter innenfor ISMS-systemets virkeområde, og disse må overholdes.

6.7 Kontroller

Wyssen Seilbahnen AG kontrollerer informasjonssikkerheten ved planlagte og regelmessige intervaller med interne og eksterne revisjoner. Resultatene av disse kontrollene inngår i den kontinuerlige forbedringsprosessen.

6.8 Sanksjoner

Wyssen-konsernet avtaler med tredjeparter sanskjoner som kan kreves ved gjentatte eller enkeltstående alvorlige brudd på sikkerhetsforskrifter og -instrukser. For interne medarbeidere gjelder arbeidsrettslige sanksjoner i slike tilfeller.

7. Begrepsdefinisjoner

7.1 Informasjonssikkerhet

Informasjonssikkerhet omfatter alle tiltak som iverksettes, gjennomføres, kontrolleres og kontinuerlig forbedres for å opprettholde konfidensialitet, integritet og tilgjengelighet av informasjon. Disse tiltakene kan blant annet være av organisatorisk, teknisk eller strukturell art.

  • Konfidensialitet: Sikre at kun autoriserte personer har tilgang til informasjon.
  • Integritet: Sikre at informasjon og behandlingsmetoder er intakte og fullstendige.
  • Tilgjengelighet: Sikre behovsbasert tilgang til informasjon og tilhørende verdier for autoriserte brukere.

7.2 Informasjonssikkerhetsstyring (ISMS)

Med ISMS menes:

  • Alle regler, prosedyrer og prosesser innenfor anvendelsesområdet som definerer, styrer, gjennomfører, kontrollerer, opprettholder og kontinuerlig forbedrer informasjonssikkerheten.
  • Dokumentasjonen skjer ved hjelp av ISMS Framework, SOA-kontrollene (erklæring om anvendbarhet) og med tilhørende retningslinjer, prosessoversikter og andre dokumenter.
  • ISMS er integrert i SynoTeams’ styringssystem.

7.3 CISO (sikkerhetssjef)

CISO er ansvarlig for informasjonssikkerheten innenfor sitt tildelte ansvarsområde.