ÍslenskaEnska

Vitnisburðir

"Orðsporið sem af Stika fer ásamt þeirri kynningu sem stofnunin hefur af fyrirtækinu er að þar fari ábyrgir aðilar sem hafa náð árangri á sínu sviði."

Hafdís Guðmundsdóttir, skrifstofustjóri Fangelsismálastofnunar

Öryggisstefna Skoða sem PDF skjal Prentvæn útgáfa Senda í tölvupóst

Tilgangur

Þessi öryggisstefna lýsir áherslu stjórnar Stika á upplýsingavernd og öryggi í allri upplýsingavinnslu. Verja þarf upplýsingaeignir Stika fyrir öllum ógnum, innri og ytri, af ásetningi, vegna óhappa eða af slysni. Fagleg vinnubrögð eru lykillinn að árangri og til marks um það er þessi öryggisstefna sett. Innleiðing og framkvæmd stefnunnar er mikilvæg til að fullvissa starfsmenn og viðskiptavini Stika um heilindi og rétt vinnubrögð í rekstri fyrirtækisins. Stjórn Stika hefur samþykkt þessa stefnu og styður við framkvæmd hennar.

Umfang

Öryggisstefnan tekur til allrar starfsemi Stika. Hún tekur til umgengni og vistunar allra upplýsinga í hvaða formi sem er og á hvaða miðli sem er. Stefnan tekur til allra samskipta starfsmanna, viðskiptavina, samstarfsaðila og birgja. Hún tekur einnig til hvers konar skráningar, vinnslu, samskipta, dreifingar, geymslu og eyðingar upplýsinga Stika.

Öryggisstefnan tekur jafnframt til húsnæðis og búnaðar þar sem upplýsingar eru meðhöndlaðar eða vistaðar sem og starfsmanna og samningsbundinna viðskiptavina sem hafa aðgang að upplýsingum.

Markmið

Markmið Stika með öryggisstefnunni eru að:

  1. Upplýsingar séu réttar og aðgengilegar þeim sem aðgangsrétt hafa þegar þörf er á.
  2. Trúnaðarupplýsingar séu óaðgengilegar óviðkomandi og varðar gegn skemmdum, eyðingu eða uppljóstrun til aðila sem hafa ekki aðgangsrétt hvort sem er af ásetningi eða gáleysi.
  3. Leynd upplýsinga og trúnaði sé viðhaldið.
  4. Upplýsingar berist ekki óviðkomandi af ásetningi eða gáleysi.
  5. Upplýsingar séu varðar gegn þjófnaði, eldi, náttúruhamförum o.þ.h.
  6. Upplýsingar séu varðar gegn skemmdum og eyðingu af völdum tölvuveira.
  7. Alltaf séu til áreiðanleg og örugglega varðveitt afrit af helstu gögnum og hugbúnaðarkerfum.
  8. Upplýsingar sem fara um net komist til rétts viðtakanda óskaddaðar og á réttum tíma, þess sé gætt að þær fari ekki til annarra.
  9. Áætlanir séu gerðar um samfelldan rekstur, þeim sé viðhaldið og þær prófaðar eins og kostur er.
  10. Frávik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt og rannsökuð.
  11. Að áhætta vegna vinnslu (meðferðar) og varðveislu upplýsinga sé innan skilgreindra áhættumarka.

Leiðir að markmiði

Leiðir Stika að ofangreindum markmiðum eru að:

  1. Halda skrá yfir upplýsingaeignir og flokka þær eftir mikilvægi leyndar, réttleika og tiltækileika.
  2. Greina reglulega með formlegu áhættumati verðmæti upplýsingaeigna, viðkvæmni þeirra og ógnir sem geta stefnt þeim í hættu.
  3. Stjórna áhættu innan ásættanlegra marka með því að starfrækja formlegt stjórnkerfi upplýsingaöryggis samkvæmt ISO/IEC 27001:2005.
  4. Halda skipulagshandbók með verklagsreglum og verkferlum vegna meðferðar upplýsinga og viðhalda henni.
  5. Stjórnendur og starfsmenn Stika fylgi skipulagshandbók Stika og öllum öðrum fyrirmælum fyrirtækisins.
  6. Viðhalda faggildri vottun skv. ISO/IEC 27001:2005.
  7. Fylgja og hlíta lögum sem um starfsemina gilda, sjá viðauka.
  8. Fylgja öllum samningum sem fyrirtækið er aðili að og varða upplýsingaöryggi.
  9. Allir starfmenn Stika fái þjálfun og fræðslu varðandi upplýsingaöryggi og ábyrgð þeirra hvað varðar upplýsingaöryggi.
  10. Öll starfsemi fylgi ISO/IEC 27001:2005.

Ábyrgð

Ábyrgð við framkvæmd og viðhald öryggisstefnunnar skiptist á eftirfarandi hátt:

  1. Stjórn Stika ber ábyrgð á öryggisstefnunni og endurskoðar hana reglulega.
  2. Skipulagsstjóri Stika ber ábyrgð á framkvæmd öryggisstefnunnar og beitir til þess viðeigandi stöðlum og vinnuferlum.
  3. Allir starfsmenn Stika bera ábyrgð á að fylgt sé þeim vinnuferlum sem eiga að tryggja framkvæmd öryggisstefnunnar.Viðskiptavinir, samstarfsaðilar og birgjar bera ábyrgð á að fylgt sé samningsbundnum verkferlum sem tryggja eiga framkvæmd stefnunnar.
  4. Öllum starfsmönnum Stika ber að vinna samkvæmt öryggisstefnunni. Þeim ber að tilkynna öryggisfrábrigði og veikleika sem varða upplýsingaöryggi. Þeir sem ógna upplýsingaöryggi Stika eða viðskiptavina hans af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðgerðir.

Endurskoðun

Þessi stefna er endurskoðuð árlega og oftar ef þörf krefur til þess að tryggja að hún samrýmist markmiðum með rekstri Stika.

Samþykki

Með samþykkt þessarar öryggisstefnu fellur úr gildi öryggisstefna sem samþykkt var af stjórn Stika þann 17. október 2011.

Reykjavík, 2. október 2012

Fyrir hönd stjórnar,
Svana Helen Björnsdóttir,
forstjóri Stika ehf.
 


© Stiki - Information Security - Laugavegur 178 - IS-105 Reykjavik - Phone: +354 5700 600