Informationssikkerhed
Nobina er Nordens største og mest erfarne operatør i den kollektive trafik. Hver dag sikrer Nobina, at mennesker kommer frem til deres job, skole og aktiviteter i den kollektive trafik på vegne af offentlige udbydere i Sverige, Norge, Finland og Danmark. Koncernen er førende i branchen, hvad angår rentabilitet, udvikling og initiativer, der har til formål at gøre branchen sundere.
Nobina er med til at levere samfundsbærende tjenester og bestræber sig i den forbindelse altid på at arbejde aktivt for og beskytte vores rejsendes samt udbyderes integritet og information
Hvordan beskytter vi vores information
Nobina har etableret processer, rutiner og tekniske foranstaltninger, som forbedrer sikkerhedsniveauet både proaktivt og reaktivt. Det gør vi, for at vores information kan blive håndteret på en sikker måde og uden adgang for uvedkommende.
Nobinas informationssikkerhedsarbejde inkluderer både tekniske og organisatoriske beskyttelsesforanstaltninger og udføres i overensstemmelse med god sikkerhedspraksis baseret på sikkerhedskravene i ISO 27001/27002.
Arbejdet er koordineret og styret centralt i koncernens informationssikkerhedsenhed, hvor informationssikkerhedschefen og IT-sikkerhedschefen sammen med databeskyttelsesorganisationen fastlægger politikker og retningslinjer i nærmere beskrevne procedurer og sikkerhedsforanstaltninger.
Politikker, regler og sikkerhedsforanstaltninger er baseret på informationssikkerhedsrisici og suppleres med lovkrav som bl.a. forordningen om databeskyttelse (GDPR) og andre eventuelle krav fra kunderne – f.eks. fra vores trafikudbydere.
Etablerede beskyttelsesforanstaltninger
Alle selskaber i koncernen udfører sammen med sine operative afdelinger kontinuerlig egenkontrol suppleret med periodiske kontroller udført i centralt regi.
Nedenfor følger et udvalg af Nobinas beskyttelsesforanstaltninger i forbindelse med informationssikkerhed og behandling af personoplysninger.
Nobina:
- Sikrer et passende beskyttelsesniveau for alle Nobina-koncernens informationsaktiver, for så vidt angår fortrolighed, korrekthed og tilgængelighed;
- Arbejder aktivt på at gøre informationssikkerhed til en integreret del af hele livscyklussen for de applikationer eller tjenester, inklusive opkøb, udvikling, forandringer, vedligeholdelse og distribution, som direkte eller indirekte vedrører tjenester i Nobina-koncernen;
- Sikrer, at informationssikkerhed er en integreret del af alle Nobinas processer;
- Sikrer, at væsentlige IT-processer som f.eks. håndtering af beføjelser, driftssikkerhed og forandringer er dokumenteret, kontrolleret og sporbar;
- Sikrer, at adgangen til Nobina-koncernens information er begrænset til beføjede og autoriserede medarbejdere, og at adgangen løbende revurderes;
- Sikrer, at Nobina-koncernens informationsaktiver er beskyttet mod uautoriseret fysisk adgang eller skader som f.eks. brand eller strømafbrydelser;
- Sikrer, at der findes katastrofe- og genopretningsplaner for informationssystemer og infrastruktur, som direkte, eller indirekte, berører tjenester i Nobina-koncernen;
- Har etableret rutiner og metoder til risikovurdering og risikohåndtering;
- Har etableret regler for sikker systemudvikling og retningslinjer for generering af sikre koder;
- Har etableret informationssikkerhedsregler for leverandørrelationer og sikkerhedshåndtering inden for rammerne af leverandøraftaler;
- Har etableret regler for håndtering af informationssikkerhedsrelaterede hændelser og yderligere forbedringer;
- Uddanner medarbejderne i sikkerhed; og
- Har etableret regler og rutiner for kontrol og overholdelse