Upplýsingaöryggisstefna SORPU

Tilgangur og umfang

Þessi upplýsingaöryggisstefna lýsir áherslu stjórnar og stjórnenda SORPU á upplýsingavernd og öryggi í allri upplýsingavinnslu. Stjórnun upplýsingaöryggis er mikilvæg til að tryggja áframhaldandi rekstur og lágmarka tjón, ef skaði verður, með því að koma í veg fyrir eða lágmarka áhrif af atvikum sem geta truflað rekstur og þjónustu SORPU. Innleiðing og framkvæmd stefnunnar er mikilvæg til að fullvissa starfsmenn, viðskiptavini og eigendur um heilindi og rétt vinnubrögð í rekstri SORPU.

Upplýsingaöryggisstefnan tekur til allrar starfsemi SORPU, þar með talið starfsfólks og verktaka/birgja/vinnsluaðila sem starfa með SORPU. Stefnan tekur einnig til skráningar, vinnslu, samskipta, dreifingar og geymslu gagna innan SORPU.

Upplýsingaöryggisstefnan tekur jafnframt til húsnæðis og búnaðar þar sem upplýsingaeignir SORPU eru meðhöndlaðar eða vistaðar sem og starfsfólks þeirra verktaka/birgja eða annarra aðila sem kunna að hafa aðgang að gögnum og upplýsingum SORPU í lögmætum og samningsbundnum tilgangi.

Áherslurnar í stefnunni eru:

Trúnaður gagna

  • Upplýsingaeignir SORPU séu varðveittar á tryggilegan hátt og haldinn viðeigandi trúnaður og leynd um þær.
  • Eingöngu aðilar, sem til þess hafa heimild, hafi aðgang að upplýsingaeignum SORPU.
  • Við útvistun upplýsingatækniþjónustu skulu þjónustuaðilar sem taka það að sér vera vottaðir samkvæmt ISO 27001 staðlinum, eftir því sem mögulegt er. Í samningum um útvistun upplýsingatækniþjónustu skulu koma fram kröfur SORPU um meðhöndlun, verndun og geymslu á upplýsingatæknieignum SORPU og að þjónustuaðili undirgangist þær kröfur.
  • Farið sé að kröfum SORPU og lögum um persónuvernd varðandi aðgang, meðhöndlun, varðveislu og dreifingu persónugreinanlegra upplýsinga. Til staðar skulu vera á hverjum tíma vinnslusamningar við þjónustuaðila sem meðhöndla persónugreinanleg gögn.
  • Starfsfólk sem hefur aðgang að upplýsingaeignum og þeir verktakar/birgjar/vinnsluaðilar, sem koma að rekstri upplýsingakerfa skulu undirrita trúnaðaryfirlýsingu og/eða vinnslusamning áður en aðgangur er veittur að upplýsingaeignum SORPU. Í trúnaðaryfirlýsingunni skal vera skuldbinding um að hlíta þessari upplýsingaöryggisstefnu og viðeigandi verklagi hverju sinni um öryggi gagna sem snertir þeirra vinnu.
  • Trúnaðaryfirlýsing og viðurlög við óviðeigandi meðhöndlun upplýsingaeigna SORPU komi fram í vinnslusamningum, verksamningum, ráðningarsamningum, starfslýsingum eða sambærilegu.
  • Starfsfólki og öðrum sem þurfa að hafa aðgang að upplýsingaeignum SORPU, svo sem verktökum/birgjum/vinnsluaðilum, sé veitt viðeigandi fræðsla og þjálfun varðandi kröfur til öryggis upplýsingaeigna.

Réttleiki gagna

  • Tryggt sé að upplýsingar sem skráðar eru hjá SORPU séu skráðar rétt og nákvæmlega á hverjum tíma.
  • Ónákvæmar, villandi, ófullkomnar eða úreltar upplýsingar séu leiðréttar, eytt eða við þær aukið þegar slíkt uppgötvast og haldið verði uppi reglubundnu eftirliti í þeim tilgangi.
  • Upplýsingaeignir séu varðar fyrir óheimilum breytingum.
  • Öryggisþarfir séu greindar með eigin áhættumati SORPU, með eða án aðkomu utanaðkomandi ráðgjafa. Áhættumatið taki m.a. til hlítingar við upplýsingaöryggiskröfur laga, reglugerða, samninga, ásamt kröfum opinberra eftirlitsaðila.

Tiltækileiki gagna

  • Tryggt sé að upplýsingar sem skráðar eru í upplýsingakerfi SORPU séu aðgengilegar þeim, sem hafa heimild og þurfa að nota þær, þegar þeirra er þörf.
  • SORPA tryggir að neyðaráætlun um tiltækileika gagna sé til staðar á hverjum tíma og endurskoðuð reglulega eða eftir þörfum.
  • SORPA tryggir að kerfi og gögn sem kunna að eyðileggjast verði hægt að endurheimta með hjálp neyðaráætlunar og afrita sem geymd eru á öruggum stað.
  • Tryggt sé að viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda upplýsingaeignir SORPU. Öryggisráðstafanir skal endurskoða reglulega eða eftir þörfum.
  • Tryggt sé að til staðar sé viðbragðsáætlun til að tryggja rekstur upplýsingatæknikerfa (Business Continuity Plan), sem er haldið við og endurskoðað reglulega eða eftir þörfum.
  • Breytingar á upplýsingaöryggiskerfum eru skipulagðar í samræmi við ferla SORPU um
  • upplýsingatæknistýringu.
  • Tilkynnt sé um kerfislæg og stærri frávik varðandi upplýsingaöryggi í ábendingakerfi SORPU. Tilkynningar um frávik skulu rannsökuð og meðhöndluð til að tryggja umbætur.
  • Öll gögn SORPU sem falla undir lög um opinbera skjalasöfnun skulu afhent viðeigandi opinberu skjalasafni.

Ábyrgð

Stjórn SORPU samþykkir og ber ábyrgð á þessari stefnu.

Framkvæmdastjóri ber ábyrgð á framkvæmd og framgangi stefnunnar innan SORPU.

Fjármálastjóri ásamt stjórnendum starfsstöðva og efnisstrauma bera ábyrgð á útfærslu stefnunnar og þeim markmiðum og mælingum sem eru viðeigandi til að ná henni fram.

Starfsfólk, verktakar og birgjar eru ábyrgir fyrir að fylgja þeim reglum sem ætlað er að tryggja framkvæmd stefnunnar.

Stefna þessi var samþykkt til útgáfu af stjórn SORPU þann 5. desember 2023.