Við notum vefkökur til að bæta upplifun þína á síðunni. Með því að halda áfram að vafra um síðuna samþykkir þú skilmála okkar um notkun á vefkökum, að öðrum kosti getur þú kynnt þér hvernig má stýra notkun þeirra.

Útgáfa 7.0

Stefna í upplýsingaöryggi

Tilgangur og umfang

Þessi stefna í upplýsingaöryggi lýsir áherslu stjórnar félagsins á upplýsingavernd, umbótum og öryggi í allri upplýsingavinnslu. Verja þarf upplýsingaeignir félagsins fyrir öllum ógnum, hvort sem þær eru innri eða ytri, hvort sem þær eru af ásetningi, vegna óhappa eða af slysni. Fagleg vinnubrögð eru lykillinn að árangri og til marks um það er þessi stefna sett. Innleiðing og framkvæmd stefnunnar er mikilvæg til að fullvissa starfsmenn, samstarfsaðila, viðskiptavini og birgja um að félagið stjórni með ábyrgum hætti öryggi upplýsinga sinna.

Stefna þessi tekur til allra eininga félagsins. Hún nær til allrar umgengni og vistunar upplýsinga hjá félaginu á hvaða formi sem er og á hvaða miðli sem er.

Stefnan nær til allra starfsmanna, samstarfsaðila, og birgja sem vinna með upplýsingar félagsins. Hún nær einnig til hvers konar skráningar, vinnslu, samskipta, dreifingar, geymslu og eyðingar upplýsinga hjá félaginu. Stefnan tekur jafnframt til húsnæðis og búnaðar þar sem upplýsingar eru meðhöndlaðar eða vistaðar.

Stefnan skal vera aðgengileg áhugasömum, bæði þeim sem eru innan fyrirtækis sem og utan.

Brot á stefnunni verða meðhöndluð sem alvarlegt agabrot og verða meðhöndluð í samræmi við agaferli starfsmannaþjónustu.

Fylgni

Fylgni við stefnuna verður vaktað reglulega af Gæða- og öryggisráði.

Markmið

Upplýsa um kröfur til að varðveita trúnað, heilleika og tiltækileika upplýsinga sem félagið notar í starfsemi sinni eða meðhöndlar fyrir hönd viðskiptavina.

Stefnumið

Svona munum við vinna úr þeirri áhættu sem fylgir því að tapa trúnaði, heilindum og tiltækileika þeirra upplýsinga sem við geymum eða vinnum með.

Stjórnun upplýsinganna okkar

  1. Við geymum aðeins eða notum upplýsingar sem við þurfum til að starfrækja reksturinn.
  2. Við berum kennsl á þær upplýsingar sem þarf að vernda og gerum okkur grein fyrir gildi þeirra fyrir félagið og viðskiptavini þess.
  3. Við berum kennsl á ógnir sem steðja að upplýsingunum okkar.
  4. Upplýsingarnar okkar eru varðar fyrir óviðkomandi aðgengi eða breytingum.
  5. Upplýsingarnar okkar eru tiltækilegar þegar á þarf að halda.
  6. Upplýsingunum okkar er fargað á öruggan hátt.

Stjórnun fólksins okkar

  1. Við vitum hverjir eiga að hafa aðgang að upplýsingunum okkar.
  2. Allir sem hafa aðgang að upplýsingunum okkar hafa fengið formlegt samþykki.
  3. Allir sem hafa aðgang að upplýsingunum okkar hafa bara þann aðgang sem nauðsynlegur er fyrir viðkomandi hlutverk.
  4. Allir sem hafa aðgang að upplýsingunum okkar skilja hvað má og má ekki gera við upplýsingarnar.
  5. Við vitum hver hefur gert hvað við upplýsingarnar okkar.

Framkvæmd

Til að uppfylla stefnuna þurfa allar einingar félagsins að fylgja eftirfarandi skrefum, til þess að finna og draga úr viðeigandi áhættum, vernda upplýsingar viðskiptavina, vernda vörumerki félagsins og fylgja lögum og reglum sem eiga við.

  1. Greina hlutverk og markmið eininga og finna mikilvægar upplýsingaeignir.
  2. Finna atburði sem ógnað geta upplýsingum, hlutverki og markmiðum.
  3. Finna ógnir og greina afleiðingar atburða.
  4. Finna stýringar sem draga bæði úr líkum á að ógn valdi skaða og áhrifum afleiðinga. Meta líkur og áhrif og meðhöndla óásættanlega áhættu.
  5. Viðhalda stýringum.
  6. Viðhafa eftirlit með hönnun, innleiðingu og virkni stýringa.

Ráðstafanir til að tryggja fylgni

Félagið er staðfast í því að stjórna upplýsingaöryggi á kerfisbundin hátt með því að starfrækja formlegt stjórnkerfi upplýsingaöryggi samkvæmt ISO/IEC 27001:2013

Í gæða- og öryggishandbók félagsins er að finna skjalfestar ráðstafanir.

Ábyrgð

Ábyrgð eiganda stefnunnar er að tryggja að verklag sé rétt og að unnið sé eftir því.

Stjórn félagsins ber ábyrgð á stefnunni og endurskoðar hana reglulega.

Stjórnendur félagsins bera ábyrgð á innleiðingu stefnunnar.

Stjórnendur félagsins bera ábyrgð á því að kröfur fyrirtækisins um öryggi upplýsinga séu tilgreindar í samningum við samstarfsaðila, viðskiptavini og birgja í samræmi við áhættumat.

Gæða- og öryggisstjóri félagsins ber ábyrgð á framkvæmd stefnunnar og beitir til þess viðeigandi stöðlum og bestu aðferðum.

Þeir sem ógna upplýsingaöryggi félagsins af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðgerðir.

Öllum starfsmönnum félagsins ber að tilkynna um öryggisatvik og veikleika sem varða upplýsingaöryggi.