1 Tilgangur

Þessi öryggisstefna lýsir áherslu stjórnar Stika á upplýsingavernd og öryggi í allri upplýsingavinnslu. Verja þarf upplýsingaeignir Stika fyrir öllum ógnum, innri og ytri, af ásetningi, vegna óhappa eða af slysni. Fagleg vinnubrögð eru lykillinn að árangri og til marks um það er þessi öryggisstefna sett. Innleiðing og framkvæmd stefnunnar er mikilvæg til að fullvissa starfsmenn og viðskiptavini Stika um heilindi og rétt vinnubrögð í rekstri fyrirtækisins. Stjórn Stika hefur samþykkt þessa stefnu og styður við framkvæmd hennar.

 

2 Umfang

Öryggisstefnan tekur til allrar starfsemi Stika. Hún tekur til umgengni og vistunar allra upplýsinga í hvaða formi sem er og á hvaða miðli sem er. Stefnan tekur til allra samskipta starfsmanna, viðskiptavina, samstarfsaðila og birgja. Hún tekur einnig til hvers konar skráningar, vinnslu, samskipta, dreifingar, geymslu og eyðingar upplýsinga Stika.

Öryggisstefnan tekur jafnframt til húsnæðis og búnaðar þar sem upplýsingar eru meðhöndlaðar eða vistaðar sem og starfsmanna og samningsbundinna viðskiptavina sem hafa aðgang að upplýsingum.

 

3 Markmið

Markmið Stika með öryggisstefnunni eru að:

  • Upplýsingar séu réttar og aðgengilegar þeim sem aðgangsrétt hafa þegar þörf er á.
  • Trúnaðarupplýsingar séu óaðgengilegar óviðkomandi og varðar gegn skemmdum, eyðingu eða uppljóstrun til aðila sem hafa ekki aðgangsrétt, hvort sem er af ásetningi eða gáleysi.
  • Leynd upplýsinga og trúnaði sé viðhaldið.
  • Upplýsingar berist ekki óviðkomandi af ásetningi eða gáleysi.
  • Upplýsingar séu varðar gegn þjófnaði, eldi, náttúruhamförum o.þ.h.
  • Upplýsingar séu varðar gegn skemmdum og eyðingu af völdum tölvuveira.
  • Alltaf séu til áreiðanleg og örugglega varðveitt afrit af helstu gögnum og hugbúnaðarkerfum.
  • Upplýsingar sem fara um net komist til rétts viðtakanda óskaddaðar og á réttum tíma, þess sé gætt að þær fari ekki til annarra.
  • Áætlanir séu gerðar um samfelldan rekstur, þeim sé viðhaldið og þær prófaðar eins og kostur er.
  • Frávik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt og rannsökuð.
  • Áhætta vegna vinnslu (meðferðar) og varðveislu upplýsinga sé innan skilgreindra áhættumarka.

4 Leiðir að markmiði

Leiðir Stika að ofangreindum markmiðum eru að:

  • Halda skrá yfir upplýsingaeignir og flokka þær eftir mikilvægi leyndar, réttleika og tiltækileika.
  • Greina reglulega með formlegu áhættumati verðmæti upplýsingaeigna, viðkvæmni þeirra og ógnir sem geta stefnt þeim í hættu.
  • Stjórna áhættu innan ásættanlegra marka með því að starfrækja formlegt stjórnkerfi upplýsingaöryggis samkvæmt ISO/IEC 27001:2013.
  • Halda skipulagshandbók með verklagsreglum og verkferlum vegna meðferðar upplýsinga og viðhalda henni.
  • Stjórnendur og starfsmenn Stika fylgi skipulagshandbók Stika og öllum öðrum fyrirmælum fyrirtækisins.
  • Viðhalda faggildri vottun skv. ISO/IEC 27001:2013.
  • Fylgja og hlíta lögum sem um starfsemina gilda, sjá viðauka.
  • Fylgja öllum samningum sem fyrirtækið er aðili að og varða upplýsingaöryggi.
  • Allir starfmenn Stika fái þjálfun og fræðslu varðandi upplýsingaöryggi og ábyrgð þeirra hvað varðar upplýsingaöryggi.
  • Öll starfsemi fylgi ISO/IEC 27001:2013.

5 Mælingar

Til að fylgjast með og meta virkni upplýsingaöryggiskerfisins eru eftirfarandi mælingar gerðar:

  • Fylgjast með fjölda þeirra breytingar sem eru gerðar stefnu og vinnuferla skjölum
  • Tíðni uppfærslu á áhættumati og prófanir á áætlun á rekstrarsamfellu.
  • Mæla stöðu stýringa og rýni á stöðu þeirra í GAP greiningum.
  • Fylgjast með úrlausn ábendinga frá ytri og innri úttektum.
  • Fylgjast með þekkingu starfsmanna með reglulegum námskeiðum.6 Ábyrgð
  • Ábyrgð við framkvæmd og viðhald öryggisstefnunnar skiptist á eftirfarandi hátt:
  • Stjórn Stika ber ábyrgð á öryggisstefnunni og endurskoðar hana reglulega.
  • Skipulagsstjóri Stika ber ábyrgð á framkvæmd öryggisstefnunnar og beitir til þess viðeigandi stöðlum og vinnuferlum.
  • Allir starfsmenn Stika bera ábyrgð á að fylgt sé þeim vinnuferlum sem tryggja eiga framkvæmd öryggisstefnunnar. Viðskiptavinir, samstarfsaðilar og birgjar bera ábyrgð á að fylgt sé samningsbundnum verkferlum sem tryggja eiga framkvæmd stefnunnar.
  • Öllum starfsmönnum Stika ber að vinna samkvæmt öryggisstefnunni. Þeim ber að tilkynna öryggisfrábrigði og veikleika sem varða upplýsingaöryggi. Þeir sem ógna upplýsingaöryggi Stika eða viðskiptavina hans af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðgerðir.

6 Endurskoðun

Þessi stefna er endurskoðuð árlega og oftar ef þörf krefur til þess að tryggja að hún samrýmist markmiðum með rekstri Stika.

 

7 Samþykki

Með samþykkt þessarar öryggisstefnu fellur úr gildi öryggisstefna sem samþykkt var af framkvæmdastjóra Stika þann 9. desember 2015.

Reykjavík, 27. október 2016

Fyrir hönd stjórnar,

Svana Helen Björnsdóttir,

framkvæmdastjóri Stika ehf.