Velkommen til Intric Support Center
Sikkerhet og overholdelse
DPIA
Tekniske og organisatoriske tiltak

Tekniske og organisatoriske tiltak

For å gjøre det enklere for våre kunder å gjennomføre en konsekvensvurdering (DPIA), tilbyr Intric omfattende materiale basert på vårt ISO 27001-sertifiserte informasjonssikkerhetsledelsessystem (ISMS). Intric AB er sertifisert til ISO 27001:2022, en internasjonalt anerkjent standard for informasjonssikkerhetsledelsessystemer.

Materialet nedenfor inkluderer:

  • Utdrag fra Intrics interne tekniske og organisatoriske tiltak.
  • En liste over sikkerhetsfunksjonene som finnes i plattformen (f.eks. tilgangskontroll, logging, kryptering) som du kan bruke for å beskytte dataene dine.

Du kan bruke dette materialet som grunnlag for din egen risikovurdering (DPIA). Merk at de konkrete tiltakene du må iverksette avhenger av sensitiviteten til informasjonen og personopplysningene du skal behandle i plattformen.

Informasjonssikkerhet og sikkerheitstiltak

Intric tilbyr en AI-plattform for kunnskapshåndtering og automatisering der informasjonssikkerhet og compliance er sentrale. Plattformen kan kjøres i en dedikert skyinstans med europeiske operatører, eller via on-prem-installasjon. Plattformen støtter både globale AI-modeller og europeiske og svensk-hostede språkmodeller. For on-prem-installasjoner kan språkmodeller også kjøres lokalt.

Informasjonssikkerhetsledelsessystem (ISO 27001-sertifisert)

Intric ABs informasjonssikkerhetsledelsessystem (ISMS) er ISO 27001-sertifisert og sikrer at plattformen vår oppfyller de strenge kravene til konfidensialitet, integritet og tilgjengelighet som våre kunder i offentlig sektor krever.

Nedenfor er en oversikt over retningslinjene og veiledningene som utgjør del av Intrics ISMS.

  • Informasjonssikkerhetsretningslinje – Overordnet rammeverk som sikrer konfidensialitet, integritet og tilgjengelighet for alle systemer og data. Dekker tilgangskontroll, databeskyttelse, hendelseshåndtering og kontinuerlig overvåking.
  • Tilgangskontroll- og avslutningsretningslinje – Minst mulig privilegium anvendes konsekvent. All tilgang dokumenteres, gjennomgås kvartalsvis og tilbakekalles innen én virkedag når arbeidsforholdet avsluttes.
  • Akseptabel bruksretningslinje – Tydelige retningslinjer for bruk av IT-ressurser, med krav om flerfaktorautentisering (MFA) for alle produksjons- og kritiske systemer.
  • Dataklassifiseringsretningslinje – Systematisk klassifisering av informasjon i fire nivåer (Offentlig, Intern, Konfidensiell, Begrenset) med konkrete håndteringskrav for hvert nivå.
  • Datahåndteringsprosedyre – Detaljerte krav til sikker håndtering av data gjennom hele livssyklusen, fra innsamling til sletting, med kryptering av sensitive data i ro og under overføring.
  • Oppbevarings- og slettingsretningslinje – Sikker lagring og sletting av informasjon i tråd med juridiske krav og virksomhetsbehov, med verifiserte slettingsmetoder.
  • Hendelsesresponsretningslinje – Strukturert prosess for rapportering, håndtering og kommunikasjon av sikkerhetshendelser, med definerte responstider basert på alvorlighetsgrad.
  • Baseline-hardening-retningslinje – Konfigurasjonsstandarder for alle systemer inkluderer nettverkshardening, patchstyring, logging, MFA og kryptering.
  • Endringsstyringsretningslinje – Alle produksjonsendringer krever godkjenning, testing og dokumentasjon. Kildekodeendringer logges og krever godkjenning før produksjonsutrulling.
  • Risikovurderings- og behandlingsretningslinje – Årlig risikovurdering identifiserer trusler og sårbarheter. Kritiske risikoer adresseres umiddelbart med dokumenterte behandlingsplaner.
  • Virksomhetskontinuitet og katastrofeberedskap – Testet gjenopprettingsplan sikrer fortsatt drift under hendelser. Regelmessig sikkerhetskopi med verifisert gjenopprettingsevne.
  • Retningslinje for virksomhetspåvirkningsanalyse (BIA) – Systematisk analyse av kritiske prosesser med definerte gjenopprettingstidsmål (RTO) og gjenopprettingspunktmål (RPO).
  • Personalsikkerhetsretningslinje – Bakgrunnssjekker, konfidensialitetsavtaler og årlig sikkerhetsopplæring for all personale. Tydelige roller og ansvar for sikkerhetsarbeid.
  • Styrevedtekter og tilsynskomitévedtekter – Tydelig styring og ansvarlighet på ledelsesnivå for informasjonssikkerhet, risikostyring og teknologitilsyn.
  • Leverandørstyringsretningslinje – Sikkerhetsvurdering av alle kritiske leverandører før onboarding og årlig oppfølging. Krav til konfidensialitetsavtaler og sikkerhetsforpliktelser.
  • Fysisk sikkerhetsretningslinje – Kontrollert fysisk tilgang til lokaler og utstyr basert på minst-privilegium-prinsippet, med dokumentert tilgangsstyring.
  • Nettverkssikkerhetsretningslinje – Segmentert nettverksarkitektur med brannmurer, kryptert kommunikasjon (TLS 1.2+) og regelmessig overvåking av nettverkstrafikk.

Utdrag av interne tekniske sikkerheitstiltak

Nedenfor er eksempler på de interne tekniske sikkerheitstiltakene som er fastsatt i retningslinjene, prosedyrene og guideline som Intric AB har i sitt ISO 27001-sertifiserte informasjonssikkerhetsledelsessystem.

Kryptering og databeskyttelse

  • Kryptering i ro: Alle sensitive data krypteres i lagring med bransjestandardalgoritmer
  • Kryptering under overføring: TLS 1.2+ kreves for all dataoverføring over offentlige nettverk
  • Nøkkelstyring: Sentralisert styring av krypteringsnøkler via skyleverandørens nøkkelstyringstjeneste

Tilgangskontroll

  • Flerfaktorautentisering (MFA): Obligatorisk for alle privilegerte kontoer og tilgang til produksjon, e-post, versjonskontroll og skyinfrastruktur
  • Unike brukeridentiteter: Alle brukere tildeles unike legitimasjoner som kan spores
  • Passordkrav: Minimum 8 tegn med kompleksitetskrav, unikt per system
  • Rollebasert tilgang (RBAC): Minst mulig privilegium basert på jobbrolle
  • Passordadministratorer: Godkjente passordadministratorer kreves for lagring av legitimasjon

Nettverkssikkerhet

  • Segmentering: Produksjon, utvikling/test og bedriftsnettverk holdes adskilt
  • Brannmurer: Konfigurert til å tillate kun nødvendige porter og protokoller

Sårbarhetsstyring

  • Automatisk sårbarhetsskanning: Månedlige skanninger av infrastruktur og applikasjoner
  • Patchstyring: Kritiske sikkerhetsoppdateringer påføres i tråd med en definert tidslinje
  • Penetrasjonstesting: Regelmessig testing av sikkerhetskontroller
  • Sårbarhetsprioritering: Kritiske sårbarheter adresseres umiddelbart

Logging og overvåking

  • Logging: All systemaktivitet, administrative handlinger og sikkerhetshendelser logges
  • Tidsynkronisering: NTP brukes for nøyaktige tidsstempler
  • Loggbeskyttelse: Logger beskyttes mot uautorisert tilgang og endring
  • Loggoppbevaring: Logger oppbevares i tråd med kontrakt/kundeinstruksjoner

Sikkerhetskopi og gjenoppretting

  • Automatiske sikkerhetskopier: Minst ukentlig sikkerhetskopi av brukerdata
  • Geografisk redundans: Sikkerhetskopi replikeres til ulike tilgjengelighetssoner
  • Gjenopprettingstesting: Periodisk verifisering av sikkerhetskopiintegritet
  • Versjonskontroll: Kildekode er versjonskontrollert med sporbarhet

Utviklingssikkerhet

  • Separert utviklingsmiljø: Utvikling og test er adskilt fra produksjon
  • Kodegjennomgang: Alle endringer i produksjon krever godkjenning
  • Sikker kildekodestyring: Tilgang til repositorier er begrenset med MFA
  • Inndatavalidering: Data valideres for å forhindre angrep

Enhetsstyring

  • Mobile Device Management (MDM): Sentralisert styring av endepunkter
  • Diskkryptering: Kryptering kreves for arbeidsstasjoner og bærbare datamaskiner
  • Automatiske oppdateringer: OS og applikasjoner holdes oppdatert
  • Skjermlås: Automatisk skjermlås etter inaktivitet

Utdrag av organisatoriske sikkerheitstiltak

Nedenfor er eksempler på de interne organisatoriske sikkerheitstiltakene som er fastsatt i retningslinjene, prosedyrene og guideline som Intric AB har i sitt ISO 27001-sertifiserte informasjonssikkerhetsledelsessystem.

Retningslinjestyring og compliance

  • Årlig retningslinjegjennomgang: Alle retningslinjer gjennomgås og oppdateres minst årlig
  • ISO 27001:2022-sertifisering: Uavhengig sertifisering av informasjonssikkerhetsledelsessystemet
  • Statement of Applicability (SoA): Dokumentert kontrollvalg med begrunnelse
  • Compliance-overvåking: Regelmessig overvåking av retningslinjefølgelse

Risikostyring

  • Årlig risikovurdering: Systematisk identifikasjon og vurdering av risiko
  • Risikoregister: Dokumenterte risikoer med eiere og behandlingsplaner
  • Risikoaksept: Formell prosess for godkjenning av gjenværende risiko
  • Kontinuerlig overvåking: Løpende oppfølging av identifiserte risikoer

Personale og kompetanse

  • Bakgrunnssjekker: Gjennomføres før ansettelse i tråd med lokal lov
  • Konfidensialitetsavtaler (NDA): Obligatorisk for all personale før tilgang
  • Sikkerhetsopplæring: Årlig obligatorisk opplæring for all personale
  • Rollespesifikk opplæring: Tilleggsopplæring for sikkerhetskritiske roller
  • Ytelsesgjennomgang: Årlig gjennomgang inkluderer sikkerhetsansvar

Tilgangsstyring – prosesser

  • Onboarding-prosess: Strukturert prosess for å gi tilgang når noen blir ansatt
  • Kvartalsvis tilgangsgjennomgang: Regelmessig gjennomgang av tillatelser for kritiske systemer
  • Offboarding-sjekkliste: Sikrer at all tilgang tilbakekalles innen én virkedag
  • Rolleendringsprosess: Dokumentert prosess når jobboppgaver endres

Hendelsesstyring og drift

  • 24/7-overvåking og rapportering: Tydelige kanaler for rapportering av drifts- og sikkerhetshendelser via status.intric.ai
  • Definerte responstider: Kritiske hendelser håndteres innen 48 timer
  • Dokumentert prosess: Alle hendelser spores i et saksbehandlingssystem
  • Post-mortem-analyse: Erfaringer dokumenteres og kommuniseres
  • Kundekommunikasjon: Strukturert kommunikasjonsplan for hendelser

Endringsstyring

  • Formell endringsprosess: Alle produksjonsendringer krever testing og godkjenning
  • Tilbakerullingsplaner: Dokumenterte gjenopprettingsplaner hvis noe går galt
  • Nødendringer: Separate prosedyrer for hastende endringer med ettergodkjenning
  • Kundekommunikasjon: Informasjon om planlagte endringer

Leverandør- og partnerstyring

  • Leverandørrisikovurdering: Sikkerhetsvurdering før onboarding
  • Årlig leverandørgjennomgang: Gjennomgang av kritiske leverandørers sikkerhet (SOC 2-rapporter)
  • Kontraktlige krav: Tydelige sikkerhetsforpliktelser i avtaler
  • Underleverandørkontroll: Gjennomgang av leverandørers underleverandører
  • Avslutningsstyring: Strukturert prosess ved oppsigelse, inkludert datahåndtering

Virksomhetskontinuitet

  • Virksomhetspåvirkningsanalyse (BIA): Identifikasjon av kritiske prosesser
  • Dokumenterte gjenopprettingsmål: RTO og RPO definert for kritiske systemer
  • Katastrofeberedskapsplan: Testet plan for gjenoppretting fra store hendelser
  • Årlig testing: BCP/DRP-planer testes minst årlig
  • Dokumentert redundans: Systemer fordelt på ulike soner

Plattformfunksjoner for tekniske sikkerheitstiltak

Intric-plattformen tilbyr omfattende og fleksibel funksjonalitet slik at våre kunder har full kontroll til å implementere tekniske sikkerheitstiltak, tilpasset organisasjonens konkrete krav til informasjonsklassifisering og et passende sikkerhetsnivå.

Nedenfor er en beskrivelse av funksjonaliteten som er bygget inn i plattformen for å heve sikkerhetsnivået og støtte compliance.

Tilgangskontroll og tillatelsesstyring

  • Rollebasert tilgang (RBAC): Du kan definere detaljerte brukerroller og begrense tilgang til spesifikke funksjoner, dokumenter og AI-modeller
  • Single Sign-On (SSO): Integrasjon med din eksisterende identitetsstyring (Azure AD, Google Workspace osv.) for sentralisert tilgangskontroll
  • Flerfaktorautentisering (MFA): Mulighet til å kreve MFA for alle brukere via SSO-integrasjon

Modellvalg og dataminimering

  • Valg av AI-modell: Du velger mellom globale, europeiske, svenske eller on-prem språkmodeller basert på sikkerhetskrav
  • On-prem-modeller: Mulighet til å kjøre AI-modeller helt innenfor din infrastruktur uten ekstern dataoverføring
  • Dataminimering: Du konfigurerer hvilke data som skal behandles og kan begrense omfanget

Kryptering og databeskyttelse

  • Ende-til-ende-kryptering: Alle data krypteres både under overføring og i ro
  • Kundestyrt nøkler: For on-prem-installasjoner har du full kontroll over krypteringsnøkler
  • Kryptert lagring: All dokumentasjon og samtalehistorikk lagres kryptert
  • Sikre API-kall: All kommunikasjon mellom systemer skjer over krypterte kanaler (TLS 1.2+)

Logging og sporbarhet

  • Revisjonslogger: Du kan spore all brukeraktivitet, tilgang til dokumenter og systemendringer
  • Loggeksport: Mulighet til å eksportere logger for integrasjon med ditt SIEM-system
  • Datatilgangslogg: Full logging av hvem som har tilgang til hvilken informasjon
  • Brukeransvar: Synlighet på hvilken bruker som er ansvarlig for både verktøy/assistenter og lastet opp informasjon

Datahåndtering, sletting og sikkerhetskopi

  • Datacierskap: Du beholder full eierskap til alle data i systemet
  • Selektiv sletting: Mulighet til å slette spesifikke dokumenter, samtaler eller brukere
  • Massesletting: Funksjonalitet for å slette alle data når tjenesten avsluttes
  • Eksportfunksjon: Du kan eksportere alle dataene dine i strukturerte formater
  • Automatisk sletting: Konfigurerbare oppbevaringsregler for automatisk sletting etter en bestemt periode
  • Automatiske sikkerhetskopier: Regelmessige sikkerhetskopier av dataene dine (for skyinstallasjon)
  • Gjenopprettingsfunksjon: Du kan gjenopprette slettede data innen en definert periode (14 dager)
  • Sikkerhetskopifrekvens: Daglig
  • Egne sikkerhetskopier: For on-prem er du ansvarlig for sikkerhetskopi i tråd med egen retningslinje

Nettverkssikkerhet

  • Nettverksisolasjon: For on-prem kan systemet være fullstendig isolert fra internett

Avansert sikkerhetskonfigurasjon

  • Øktidsavbrudd: Daglig inaktivitetstid for automatisk utlogging
  • Passordretningslinje: Du kan konfigurere kompleksitetskrav og rotasjonsregler for passord