Chat with us, powered by LiveChat
Åpne håndflate med lås som svinger i luften

Sikkerhetstiltak

itslearning har implementert sikkerhetstiltakene som er fastsatt i dette tillegget, både organisatoriske og tekniske sådanne, i samsvar med standardene for bransjen. itslearning kan oppdatere eller justere disse sikkerhetstiltakene fra tid til annen, forutsatt at slike oppdateringer eller justeringer ikke resulterer i dårligere generell sikkerhet for tjenestene. Den mest oppdaterte versjonen er alltid tilgjengelig her.

Organisatoriske tiltak

Ledelsen hos itslearning har vært aktivt involvert i å utvikle en kultur for informasjonssikkerhet i virksomheten gjennom et løpende program for bevisstgjøring. I tillegg er det etablert en styringsstruktur for å administrere implementeringen av informasjonssikkerhet i virksomhetens tjenester, med tydelige roller og ansvarsoppgaver i organisasjonen.

Driftsadministrasjon

Det er etablert en rekke prosesser og retningslinjer basert på bransjens beste praksis, som skal sikre høyest mulig grad av konfidensialitet, tilgjengelighet og integritet i plattformen. Disse retningslinjene har strenge krav knyttet til en rekke områder, blant annet:

  • Informasjonssikkerhet
  • Sikkerheten til vertsmiljøet
  • Tredjepartstilgang
  • Kapasitetskontroll
  • Endringsstyring
  • Sikkerhetskopiering og gjenoppretting
  • Tilgangsstyring
  • Dokumentasjon
  • Logger og overvåking
  • Beredskap
  • Release management

Sikkerhetsteam

itslearning har et team med sikkerhetseksperter som har ansvar for den generelle informasjonssikkerheten i organisasjonen. Rollen innebærer ansvar for:

  • koordinering av sikkerhetsrelaterte oppgaver
  • sikring av bedriftsmiljøet, nettverk og enheter
  • programvaresikkerhet (in-house inntrengningstester og kontroll og tilsyn av programmer)
  • overvåkning og logging
  • administrasjon av prosesser og retningslinjer (krisegjenoppretting, banestyring)
  • opplæring og utdanning av ansatte med hensyn til informasjonssikkerhet
  • koordinering av sikkerhetstilsyn fra tredjeparter samt oppfølging av eventuelle funn
  • gjennomgang av kode for å avdekke potensielle sikkerhetsproblemer

Roller og ansvar
Alle ansatte har tydelige roller i selskapet, og gis kun tilgang til informasjon som kreves for deres spesifikke rolle. Et begrenset antall ansatte har administrativ tilgang til produksjonsmiljøet vårt, og rettighetene deres er strengt regulert og gjennomgås med faste, jevnlige mellomrom. Alle større endringer i programmet, miljøet eller maskinvaren for produksjonsmiljøet verifiseres alltid av minimum to personer.

Personellsikkerhet
Alt personell tilknyttet itslearning er pålagt å inngå en streng avtale om taushetsplikt. Alle medarbeidere er pålagt å følge selskapets retningslinjer for konfidensialitet, forretningsetikk og profesjonelle standarder. Personell som er involvert i sikring, håndtering og behandling av personopplysninger, er pålagt å fullføre opplæring i tråd med vedkommendes rolle.

Tilgangsstyring
Det er etablert strenge krav for alle ansatte, innleide konsulenter eller tredjeparter som ber om tilgang til informasjonssystemene i itslearning. Tilgangskontrollen utføres av et autentiseringssystem. Brukeren plikter å:

  • ha administrativ godkjenning for den forespurte tilgangen
  • ha sterke passord som er i overensstemmelse med bedriftens retningslinjer for passord
  • endre passord med jevne mellomrom
  • kunne dokumentere at tilgangen som forespørres, er nødvendig for den aktuelle oppgaven
    eller rollen
  • sikre at enheten (PC, nettbrett, mobil) som brukes, er tilstrekkelig sikret, og låses når
    brukeren ikke er til stede

itslearning aktiverer automatisk midlertidig sperring av enheten når den ikke er i bruk.

Interne prosesser og retningslinjer for datatilgang er utformet for å forhindre uautoriserte personer og/eller systemer fra å få tilgang til systemer som brukes til behandling av personopplysninger. Endringer i dataene logges med tanke på sporbarhet og etterrettelighet.

Tekniske tiltak

Systemtilgjengelighet
itslearning har implementert tiltak i henhold til gjeldende bransjestandarder for å sørge for at personopplysninger sikres fra utilsiktet tap eller ødeleggelse, herunder:

  • infrastrukturredundans (inkludert full redundans knyttet til nettverk, strømforsyning,
    databaser, tjenere og oppbevaring)
  • sikkerhetskopier lagres på et annet sted, og er tilgjengelig for gjenoppretting hvis det skulle oppstå svikt i det primære systemet
  • hensiktsmessige beskyttelsesmekanismer for tjenestenekt
  • personell på vakt døgnet rundt, hele året for å overvåke og feilsøke

Databeskyttelse
itslearning har implementert en rekke tiltak i henhold til gjeldende bransjestandarder for å forhindre at personopplysningene blir lest, kopiert, endret eller slettet av uautoriserte vedkommende ved transport eller oppbevaring. Slike tiltak omfatter:

  • bruk av lagdelte brannmurer, VPN-tjenester og krypteringsteknologier som beskytter gatewayer og overføringskanaler
  • HTTPS-kryptering (også kjent som SSL- eller TLF-forbindelser) med sikre kryptonøkler
  • ekstern tilgang til datasentre er beskyttet med en rekke lag med nettverkssikkerhetsløsninger
  • særlig sensitive kundeopplysninger som er lagret, beskyttes ved kryptering og/eller hashing (pseudonymisering)
  • samtlige utrangerte lagringsmedier gjennomgår fastsatte prosesser for utvisking av informasjon i tråd med retningslinjene våre for utvisking av informasjon fra disker, og loggføres med serienummer
  • regelmessige sikkerhetsettersyn utføres av tredjepart minst en gang i året, inkludert inntrengningstesting. Resultatene gjøres tilgjengelig for kunder

Datasentre
itslearning bruker kun datasentre med dagens høyeste teknologiske standard, med kontinuerlig overvåkning og sikkerhetspersonell på stedet 24 timer i døgnet, hele året. Datasentrene er plassert i moderne brannsikre fasiliteter som krever elektronisk nøkkelkort for tilgang, med alarmer knyttet til sikkerhetsoperasjoner på stedet. Kun autoriserte ansatte og autorisert innleid personell har tillatelse til å søke om nøkkelkort for tilgang til disse fasilitetene.

Systemutvikling
itslearning-plattformen er basert på bransjestandard-teknologier fra anerkjente leverandører, herunder Microsoft, Linux, Dell, Fujitsu, Amazon, Cloudflare, F5 og Cisco. Systemene oppdateres jevnlig til nyeste versjon for å sikre at de nyeste sikkerhetsforbedringene implementeres. Plattformen oppdateres generelt flere ganger i kvartalet, og feilrettinger sendes ut etter kort tid basert på prioritet, etter strenge kvalitetskontroller.

itslearning har implementert tiltak for å minimere risikoen for å introdusere kode i plattformen som kan redusere sikkerheten eller integriteten til kundetjenestene og personopplysningene som behandles. Tiltakene omfatter:

  • Regelmessig opplæring av ansatte
  • Gjennomgang av kode – utført av sikkerhetsarkitekter
  • Prosesser for kvalitetssikring og kvalitetssjekk av endringer før de distribueres

Sikkerhet knyttet til underbehandlere/sekundærbehandlere
Når nye sekundærbehandlere/underbehandlere skal brukes, utfører itslearning en revisjon av sikkerhets- og personvernpraksiser hos disse for å sikre at de har et sikkerhets- og personvernnivå i tråd med tilgangen deres til informasjon og omfanget av tjenestene de skal tilby. itslearning utfører regelmessige sikkerhetstilsyn av praksiser og leveranser fra eksisterende sekundærbehandlere.