Vores ambition kræver, at vi sikrer os mod eventuel it- og cyberkriminalitet, som er en reel trussel mod vores forretning og mod kundernes personfølsomme data – en trussel, som er stigende. Derfor har vi etableret en politik og et ledelsessystem for informationssikkerhed. 

Politikken følger relevante områder fra ISO 27001, og der er etableret et Information Security Management System (ISMS), der ligeledes følger standarden. 
 

Vores målsætning er at minimere risikoen for, at kunder, samarbejdspartnere og koncernen:

• Lider tab som følge af uautoriseret adgang til og omgang med Topdanmarks informationsaktiver
• Lider tab som følge af længerevarende afbrydelser i driften med manglende tilgængelighed til følge
• Lider tab som følge af, at data mistes, ødelægges, ændres eller gøres utilgængelige
• Lider tab af konkurrencemæssige fordele som følge af afsløring af forretningshemmeligheder
• Taber troværdighed og tillid gennem manglende beskyttelse af følsomme, kunderelaterede data

Topdanmarks informationssikkerhedspolitik er en del af vores overordnede risikostyringssystem, og den gælder både for vores egne medarbejdere og alle eksterne samarbejdspartnere. 

Bestyrelsen godkender hvert år vores informationssikkerhedspolitik og it-beredskabsstrategi på baggrund af en opdateret it-risikovurdering, der også indeholder cyberrisiko. Bestyrelsen orienteres gennem et revisions- og risikoudvalg årligt specifikt om cyberrisiko og de planlagte tiltag for at reducere risikoen. 

Det daglige ansvar for politikken ligger hos vores CISO (Chief Information Security Officer), der refererer til vores CIO (Chief Information Officer). 
 

Risikovurderingen af væsentlige eller kritiske operationelle it-risici inklusive cyberrisiko foretages regelmæssigt, og resultaterne af vurderingen rapporteres til bestyrelsen, direktionen, risikokomitéen og Topdanmarks complianceafdeling. 

Blandt forskellige risikoscenarier oplever Topdanmark generelt en stigende trussel fra cyberkriminalitet. Dette håndteres af en it-sikkerhedskomité (Cyber Security Board), som regelmæssigt vurderer truslen og de nødvendige foranstaltninger til at sikre det krævede sikkerhedsniveau. Risikoen styres og reduceres blandt andet gennem et eksternt samarbejde med specialister på området. 

For at modvirke afbrydelser i Topdanmarks forretningsaktiviteter forårsaget af it- eller cyberkriminalitet er der udarbejdet en omfattende beredskabsplan, som skal sikre, at forretningen kan reetableres hurtigst muligt. 

Vi benytter os af flere lag af sikkerhedssystemer, så der er sikkerhed i dybden. Desuden har vi blandt andet investeret i den seneste teknologi inden for security incident and event management for tidlig advarsel ved cyberangreb. 

Vi gennemfører løbende sårbarhedsscanninger, og nye systemer testes for sårbarheder, inden de sættes i produktion. 

Topdanmarks it-systemer bliver gennemgået af eksterne it-revisorer i forbindelse med revision af den finansielle årsrapport. På den måde sikrer vi, at vores it-systemer leverer valide data til årsregnskabet, og at Topdanmark lever op til Finanstilsynets krav til it-sikkerhed.
 

Alle nye medarbejdere introduceres til vores informationssikkerhedspolitik. Desuden afholdes klasserumstræning ad-hoc for it-udviklere. Et separat e-learningkursus om informationssikkerhed blev implementeret i 2018. Alle medarbejdere og eksterne konsulenter er forpligtet til at gennemføre og bestå kurset årligt. 

Medarbejderes overtrædelse af Topdanmarks informationssikkerhedspolitik kan få ansættelsesmæssige følger – i værste fald bortvisning eller fyring.
 

Topdanmarks erhvervskunder er også i høj grad udsat for risiko for cyberkriminalitet. Derfor har vi udviklet en cyberforsikring, som hjælper kunderne tilbage til normal drift efter hacker- og virusangreb, for eksempel med genskabelse af data. Vores beredskab står klar med hjælp døgnet rundt, og omkostningerne til genoprettelse af normal drift er dækket. 

I 2019 blev vi tilmeldt Paris Call. Det er et internationalt netværk for virksomheder, organisationer m.m., som sætter fokus på sikkert internet og bekæmpelse af cyberkriminalitet. 

Virksomheder, der er tilmeldt Paris Call, er forpligtet til at arbejde sammen om at:

• Øge forebyggelsen og modstandsdygtigheden over for ondsindet online aktivitet
• Beskytte internettets tilgængelighed og integritet
• Samarbejde for at forhindre/forebygge indblanding i valgprocesser
• Arbejde sammen om at bekæmpe brud på IP-rettigheder via internettet
• Forhindre/forebygge den hastige vækst i ondsindede onlineprogrammer og -teknikker
• Forbedre sikkerheden ved digitale produkter og services samt sikre generel bedre “cyberhygiejne” 
• Bekæmpe cyberkriminelles aktiviteter og offensive handlinger fra ikke-statslige aktører 
• Arbejde sammen om at styrke de relevante internationale standarder

Vi er enige i de mål, som beskrives i Paris Call, og vi ønsker som virksomhed at støtte op om dem. Gennem Paris Call ønsker vi både at få inspiration og viden om, hvordan vi løbende kan forbedre de interne it-systemer, og hvordan vi kan forbedre rådgivningen af vores kunder. 
 
Topdanmark bidrager til den nationale strategi for cyber- og informationssikkerhed gennem deltagelse i arbejdsgruppe under brancheorganisationen Forsikring & Pension.