Chat with us, powered by LiveChat
Mynd af starfsfólki

Upplýsingaöryggisstefna SORPU

Tilgangur

Upplýsingaöryggisstefna þessi, lýsir áherslu stjórnar og stjórnenda SORPU á upplýsingavernd og öryggi í allri upplýsingavinnslu. Stjórnun upplýsingaöryggis er mikilvæg til að tryggja áframhaldandi rekstur og lágmarka tjón, ef skaði verður, með því að koma í veg fyrir eða lágmarka áhrif atvika sem geta truflað rekstur og þjónustu SORPU. Innleiðing og framkvæmd stefnunnar er mikilvæg til að fullvissa starfsmenn, viðskiptavini og eigendur um heilindi og rétt vinnubrögð í rekstri SORPU.

Upplýsingaöryggisstefnan tekur til allrar starfsemi og starfsstöðva SORPU, þar með talið starfsfólks og verktaka/birgja/vinnsluaðila sem starfa með SORPU. Stefnan tekur einnig til skráningar, vinnslu, samskipta, dreifingar og geymslu upplýsinga innan SORPU, óháð því hvort þær séu á skriflegu eða rafrænu formi.

Upplýsingaöryggisstefnan tekur jafnframt til húsnæðis og búnaðar þar sem upplýsingaeignir SORPU eru meðhöndlaðar eða vistaðar sem og starfsfólks þeirra verktaka/birgja eða annarra aðila sem kunna að hafa aðgang að gögnum og upplýsingum SORPU í lögmætum og samningsbundnum tilgangi.

Markmið stefnunnar

  1. Trúnaður gagna – tryggja að aðeins aðilum sem er heimilt hafi aðgang að upplýsingum.
  2. Réttleiki gagna – tryggja áreiðanleika og gæði upplýsinga.
  3. Tiltækileiki gagna – tryggja að upplýsingar og kerfi séu tiltæk þegar þörf er á.
  4. Samræmi við lög og staðla – tryggja að starfsemi SORPU sé í samræmi við viðeigandi lög, reglur og staðla, þar á meðal ISO 27001, kröfur NIS2-tilskipunarinnar og gildandi persónuverndarlög.
  5. Áhættustýring og öryggisráðstafanir – byggja upplýsingaöryggisstjórnun á skipulögðu áhættumati með viðeigandi skipulagslegum og tæknilegum öryggisráðstöfunumn, þ.m.t. viðbragðsáætlunum.
  6. Frávikastjórnun og umbætur – tryggja að markvissa meðhöndlun öryggisfrávika og stöðugar umbætur í upplýsingaöryggi.

Áherslur

Trúnaður gagna

  • Upplýsingaeignir SORPU séu varðveittar á tryggilegan hátt og haldinn viðeigandi trúnaður og leynd um þær.
  • Eingöngu aðilar, sem til þess hafa heimild, hafi aðgang að upplýsingaeignum SORPU. Aðgangur að upplýsingaeignum SORPU skal vera byggður á hlutverkum og þörf fyrir aðgang, þannig að aðeins þeir sem þurfa aðgang vegna starfa sinna hafi hann.
  • Við útvistun upplýsingatækniþjónustu skal tryggja að þjónustuaðilar og vinnsluaðilar uppfylli kröfur SORPU um upplýsingaöryggi, netöryggi og persónuvernd áður en gengið er til samninga. Þar sem við á skal gerð krafa um að þjónustuaðilar og vinnsluaðilar viðhaldi vottuðu stjórnunarkerfi upplýsingaöryggis samkvæmt ISO 27001 eða sýni fram á sambærilegt öryggisstig, og skulu kröfur SORPU um meðhöndlun, verndun og varðveislu upplýsingaeigna koma skýrt fram í samningum.
  • Farið sé að kröfum SORPU og lögum um persónuvernd varðandi aðgang, meðhöndlun, varðveislu og dreifingu persónugreinanlegra upplýsinga. Til staðar skulu vera á hverjum tíma vinnslusamningar við þjónustuaðila sem meðhöndla persónugreinanleg gögn fyrir hönd SORPU.
  • Ganga skal frá formlegum frá verk- eða þjónustusamningum við verktaka og birgja og gera vinnslusamninga við vinnsluaðila þegar við á, í samræmi við lög og kröfur SORPU um upplýsingaöryggi og persónuvernd. Jafnframt skal tryggt að allir aðilar sem fá aðgang að upplýsingaeignum SORPU séu bundnir skriflegri og samningsbundinni trúnaðarskyldu, ásamt viðeigandi viðurlögum við brotum á trúnaði eða upplýsingaöryggi.
  • Starfsfólk SORPU skal bundið af trúnaði um upplýsingar sem það fær vitneskju um í starfi sínu, bæði á meðan ráðningarsambandi stendur og eftir að því lýkur.
  • Starfsfólki og öðrum sem þurfa að hafa aðgang að upplýsingaeignum SORPU, svo sem verktökum/birgjum/vinnsluaðilum, skal veitt viðeigandi fræðsla og þjálfun varðandi kröfur til öryggis upplýsingaeigna.

Réttleiki gagna

  • Tryggt sé að upplýsingar sem skráðar eru hjá SORPU séu skráðar rétt og nákvæmlega á hverjum tíma.
  • Ónákvæmar, villandi, ófullkomnar eða úreltar upplýsingar skulu leiðréttar, uppfærðar eða þeim eytt þegar slíkt uppgötvast, eftir því sem lög nr. 77/2014 um opinber skjalasöfn heimila.
  • Upplýsingaeignir skulu varðar fyrir óheimilum breytingum.

Tiltækileiki gagna

  • Tiltækileiki upplýsinga og upplýsingakerfa skal taka mið af mikilvægi þeirra fyrir starfsemi SORPU og kröfum um rekstraröryggi. Til þess skulu viðeigandi ráðstafanir tryggja að upplýsingar og kerfi séu aðgengileg þeim sem hafa heimild þegar þeirra er þörf.
  • SORPA viðheldur neyðaráætlun og endurheimtarfyrirkomulagi sem gera kleift að endurheimta gögn og kerfi ef truflanir eða skemmdir verða. Afrit skulu geymd á öruggum stað og reglulega prófuð.
  • Tryggt skal að til staðar sé viðbragðsáætlun til að tryggja rekstur upplýsingatæknikerfa (Business Continuity Plan), sem er haldið við og endurskoðað reglulega eða eftir þörfum.
  • Breytingar á upplýsingaöryggiskerfum skulu skipulagðar í samræmi við ferla SORPU um upplýsingatæknistýringu.
  • Öll gögn SORPU sem falla undir lög um opinbera skjalasöf skulu afhent Þjóðskjalasafni.

Samræming við lög og staðla

  • SORPA starfar í samræmi við ISO 27001 og viðheldur stjórnunarkerfi net- og upplýsingaöryggis.
  • SORPA, sem skilgreindur mikilvægur innviður, uppfyllir kröfur NIS2-tilskipunarinnar (Network and Information Security 2).
  • SORPA, starfar í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Áhættustýring og öryggisráðstafanir

  • Stuðla skal að tryggri samvinnu með áhættunefnd SORPU í áhættugreiningum og áhættustjórnun.
  • Upplýsingaöryggi hjá SORPU skal byggjast á reglubundnu og skipulögðu áhættumati í upplýsingatækni sem tekur til upplýsingaöryggis, netöryggis og persónuverndar. Áhættumat skal greina öryggisþarfir og taka meðal annars mið af kröfum laga, reglugerða, samninga og kröfum opinberra eftirlitsaðila, eftir því sem við á. Áhættumat skal framkvæmt með eigin aðkomu SORPU, með eða án aðkomu utanaðkomandi ráðgjafa, og endurskoðað reglulega eða þegar verulegar breytingar verða á starfsemi eða tækniumhverfi.
  • Á grundvelli áhættumats skulu valdar og innleiddar viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda upplýsingaeignir SORPU. Öryggisráðstafanir skulu vera í samræmi við samþykktar stefnur og ferla SORPU og endurskoðaðar reglulega eða eftir þörfum, með það að markmiði að tryggja trúnað, réttleika og tiltækileika upplýsinga og kerfa.

Frávikastjórnun og umbætur

Tilkynna skal um kerfislæg frávik varðandi upplýsingaöryggi í innra ábendingakerfi SORPU. Tilkynningar um frávik skulu skráð, rannsökuð og meðhöndluð með það að markmiði að draga úr áhættu og stuðla að stöðugum umbótum.

Fræðsla og vitund

Starfsfólk fær reglulega fræðslu um öryggisvitund, persónuvernd og ábyrgð sína. Allir starfsmenn, verktakar og birgjar taka virkan þátt í að styrkja öryggismenningu SORPU.

Endurskoðun

Stefnan er endurskoðuð árlega af upplýsingatæknistjóra í samráði við upplýsingatækniráð. Breytingar eru lagðar fyrir stjórn til samþykktar.

Ábyrgð

Stjórn SORPU samþykkir og ber ábyrgð á þessari stefnu.

Framkvæmdastjóri ber ábyrgð á framkvæmd og framgangi stefnunnar innan SORPU.

Fjármálastjóri ásamt stjórnendum starfsstöðva og efnisstrauma bera ábyrgð á útfærslu stefnunnar og þeim markmiðum og mælingum sem eru viðeigandi til að ná henni fram.

Starfsfólk, verktakar og birgjar eru ábyrgir fyrir að fylgja þeim reglum sem ætlað er að tryggja framkvæmd stefnunnar.

Stefna þessi var samþykkt til útgáfu af stjórn SORPU þann 14. janúar 2026.