Du kan lita på oss

Smartvatten är certifierat enligt ISO/IEC 27001:2022, den ledande internationella standarden för ledningssystem för informationssäkerhet. Denna certifiering visar att våra säkerhetskontroller är riskbaserade, granskade och föremål för ständiga förbättringar.

• Informationssäkerheten hanteras systematiskt och strukturerat, snarare än genom tillfälliga punktinsatser.

• Risker identifieras, bedöms och åtgärdas enligt en tydlig och fastställd metodik.

• Alla säkerhetskontroller granskas regelbundet av en oberoende extern revisor.

• Säkerhet är en naturlig del av den dagliga verksamheten och finns med som en grundpelare i alla beslutsprocesser.

Informationssystem som används för design, tillverkning och försäljning av vattenmätarsystem, i enlighet med gällande tillämplighetsförklaring (Statement of Applicability, SOA) version 2.0, daterad 2025-09-17.

Omfattningen inkluderar Smartvattens verksamhetsplatser i Finland samt dess europeiska dotterbolag. Certifieringens omfattning och platser granskas och underhålls som en central del av vårt ledningssystem.

ISO 27001-certifiering är inte en engångsinsats. Vi upprätthåller och utvecklar den genom:

• Interna revisioner

• Ledningsgenomgångar

• Korrigerande åtgärder och ständiga förbättringar

• Regelbundna externa uppföljningsbesök och omcertifieringsrevisioner

Tillämplighetsförklaringen (Statement of Applicability, SoA) är ett centralt dokument inom ISO 27001 som redogör för vilka säkerhetsåtgärder vi tillämpar och varför.

Vår tillämplighetsförklaring (SoA):

• Listar säkerhetsåtgärderna i ISO 27001 bilaga A (Annex A).

• Definierar vilka åtgärder som är tillämpliga för Smartvatten.

• Förklarar varför specifika åtgärder har inkluderats eller exkluderats.

• Dokumenterar implementeringsstatus för alla tillämpliga åtgärder.

I praktiken fungerar dokumentet som en länk mellan vår riskbedömning och de faktiska säkerhetsåtgärder vi implementerar.

• Uppvisar ett riskbaserat arbetssätt, inte bara en checklista för efterlevnad

• Ger revisorer och intressenter transparens i valet av säkerhetsåtgärder

• Säkerställer att åtgärderna förblir anpassade efter verksamhetens behov och lagkrav

Av säkerhetsskäl hanteras den fullständiga tillämplighetsförklaringen (SoA) som kontrolldokumentation. Vi kan dock tillhandahålla relevant information som bekräftar regelefterlevnad till kunder och partners som en del av en due diligence eller säkerhetsutvärdering.

• VD

  • Fastställer policyn för informationssäkerhet

  • Har det övergripande ansvaret för informationssäkerheten

• Informationssäkerhetsansvarig

  • Utvecklar, underhåller och övervakar ledningssystemet för informationssäkerhet (LIS)

  • Övervakar riskhantering och kontrollernas effektivitet

• Informationssäkerhetskommitté

  • Bidrar med tvärfunktionell tillsyn

  • Samordnar säkerhetsaktiviteter med verksamhetsmålen

Mål, risker och resultat för informationssäkerhet granskas regelbundet som en del av ledningsprocesserna, vilket säkerställer att säkerheten förblir anpassad till Smartvattens strategi och verksamhet.

• Affärskontinuitet (Business continuity)

Säkerställa tillgänglighet för väsentliga tjänster vid avbrott.

• Säker affärsutveckling

Möjliggöra tillväxt, innovation och samarbeten på ett säkert sätt.

• Riskhantering och medvetenhet

Identifiera, bedöma och minska informationssäkerhetsrisker över tid.

• Regelefterlevnad (Compliance management)

Uppfylla krav på säkerhet från kunder, i avtal och enligt lagstiftning.

• Säkerhetskultur

Bygga medvetenhet och delat ansvar genom hela organisationen.

Vårt ISMS följer en cykel för ständiga förbättringar som omfattar:

• regelbundna riskbedömningar

• interna och externa revisioner

• verifiering av säkerhetsåtgärder

• utbildning och medvetandehöjande insatser

• incidentsimuleringar och utvärderingar

Policyn gäller för:

• Smartvattens anställda

• uppdragstagare och partners

• underleverantörer och andra relevanta tredje parter

• skydd av informationens konfidentialitet, riktighet och tillgänglighet

• förebyggande och begränsning av säkerhetsincidenter

• efterlevnad av tillämpliga lagar, förordningar och standarder

Smartvatten har fastställda rutiner för att:

• upptäcka informationssäkerhetsincidenter

• reagera på och hantera incidenter

• eskalera och rapportera incidenter enligt definierade riktlinjer

• säker kommunikation via krypterade anslutningar

• åtkomstkontroll och behörighetskontroller

• autentiseringsmekanismer för att verifiera identitet och åtkomsträttigheter

• skydd på nätverksnivå för system och enheter

Vi bedömer och hanterar säkerhetsrisker relaterade till:

• molntjänstleverantörer

• teknikleverantörer

• tredjepartsleverantörer

Detta inkluderar granskning av relevanta certifieringar, revisionsrapporter och avtalsenliga säkerhetskrav.

Informationssäkerhet är en integrerad del i alla stadier av produkt- och programvaruutveckling. Smartvatten integrerar säkerhetsåtgärder genom hela livscykeln för system- och programvaruskapande, med början vid design och vidare genom driftsättning och löpande underhåll. Våra metoder för säker utveckling är en del av vårt ledningssystem för informationssäkerhet (ISMS) och efterlever standarden ISO/IEC 27001.

Vår metod för säker utveckling baseras på följande principer:

• Inbyggd säkerhet och säkerhet som standard (Security by design and by default)

• Riskbaserat val av säkerhetsåtgärder

• Minsta möjliga behörighet och åtkomstkontroll

• Separering av miljöer

• Ständiga förbättringar och lärande

• Informationssäkerhetsrisker relaterade till programvara, system och ändringar identifieras och bedöms som en del av riskhanteringsprocessen i vårt ISMS.

• Säkerhetsrisker beaktas vid införandet av ny funktionalitet, teknik eller integrationer.

• Beslut om riskhantering dokumenteras och kopplas till tillämpliga säkerhetsåtgärder.

• Säkerhetskrav beaktas vid design av system och lösningar.

• Arkitekturbeslut syftar till att minska attackytan och begränsa skadeverkan vid eventuella incidenter (blast radius).

• Autentisering, auktorisering och säker kommunikation hanteras som grundläggande krav.

• Ändringar i system och programvara är kontrollerade och spårbara.

• Åtkomst till utvecklings-, test- och produktionsmiljöer är begränsad och rollbaserad.

• Arbetsuppgifter separeras där det är lämpligt för att minska risken för obehöriga eller ogranskade ändringar.

• Säkerhetsrelevanta kontroller verifieras som en del av utvecklings- och lanseringsaktiviteter.

• Identifierade sårbarheter och brister spåras och åtgärdas utifrån risknivå.

• Lärdomar från incidenter, revisioner eller tester används för att förbättra utvecklingsarbetet.

• Användning av tredjepartskomponenter, bibliotek och tjänster bedöms utifrån ett säkerhetsriskperspektiv.

• Säkerhetskrav för leverantörer och molntjänster är anpassade efter Smartvattens informationssäkerhetspolicyer.

• Relevanta certifieringar, revisionsrapporter och avtalsenliga kontroller granskas där det är tillämpligt.

• Säkra konfigurationer tillämpas när system driftsätts.

• Loggning, övervakning och åtkomstkontroller stöder en säker drift.

• Säkerhetsuppdateringar och förbättringar är en del av det löpande underhållet och livscykelhanteringen.

Våra SDLC-metoder stödjer efterlevnad av:

• ISO/IEC 27001 bilaga A-kontroller, inklusive säker systemutveckling och ändringshantering.

• NIS2-krav på riskhantering, särskilt gällande systemsäkerhet, förebyggande av incidenter och motståndskraft.

• säkerhetskrav från kunder och partners.