Tilgangur
Undirstaða trausts í stafrænum samskiptum byggir á upplýsingaöryggi. Ábyrg og örugg meðferð upplýsinga og gagna er grundvallaratriði í þjónustu Stafræns Ísland sem stuðlar að traustum stafrænum samskiptum almennings og fyrirtækja við hið opinbera.
Leynd, réttleiki, aðgengi og óhrekjanleiki upplýsinga er leiðarljós í upplýsingaöryggi hjá Stafrænu Íslandi. Notendur þjónustu Stafræns Íslands eiga ávallt að treysta því að þjónustur séu hannaðar, innleiddar og starfræktar með upplýsingaöryggi og vernd persónuupplýsinga að leiðarljósi.
Upplýsingaöryggisstefna
Þessi upplýsingaöryggisstefna nær til allrar þjónustu og tækniinnviða sem Stafrænt Ísland (Ísland.is) þróar og rekur, sem og krafna sem gerðar eru til starfsfólks og þjónustuaðila.
Framkvæmdastjóri Stafræns Íslands ber ábyrgð á upplýsingaöryggi og að viðeigandi kröfur séu gerðar um upplýsingaöryggi. Framkvæmdastjóri tryggir að nægjanleg aðföng séu til staðar og úthlutar ábyrgð á verkefnum tengdum upplýsingaöryggi til viðeigandi aðila. Framkvæmdastjóri skipar einnig upplýsingaöryggisnefnd Stafræns Íslands sem ber ábyrgð á stjórnunarlegri rýni og framkvæmd öryggisstefnu. Allir aðilar sem koma að þjónustu við Stafrænt Ísland, eru skuldbundnir til að vernda upplýsingar, gögn og kerfi gegn óheimilum aðgangi, breytingum, notkun, uppljóstrun, eyðileggingu, glötun eða flutningi.
Helsta markmið upplýsingaöryggisstefnu Stafræns Ísland er að stuðla að trausti, öryggi og áreiðanleika í notkun stafrænnar þjónustu gagnvart öllum hagsmunaaðilum, þ.m.t. notendum og þjónustuveitendum. Jafnframt að tryggja hlítingu við lög og reglugerðir er varða meðhöndlun upplýsinga og samninga Stafræns Íslands.
Stjórnkerfi upplýsingaöryggis hjá Stafrænu Íslandi tekur mið af alþjóðlegum stöðlum og viðmiðum um upplýsingaöryggi. Þar með talið kröfur ISO/IEC 27001 staðalsins til grundvallar vottunar á upplýsingaöryggi, NIS reglugerð, stefnu stjórnvalda um upplýsingaöryggi og öðrum viðeigandi lögum og reglugerðum á hverjum tíma.
Þjónustur Stafræns Ísland skulu ávallt lágmarka umfang persónugreinanlegra upplýsinga sem unnið er með svo aðeins sé unnið með nauðsynlegar upplýsingar í eins skamman tíma og hægt er.
Stafrænt Ísland skal sjá til þess að stöðugar umbætur og lagfæringar m.t.t. upplýsingaöryggis séu hluti af innri starfsemi og þeim verk- og þjónustusamningum sem gerðir eru. Upplýsingaöryggi skal vera hluti af hönnun og markmiðum allra þjónusta sem veittar eru.
Öryggisbrestir er varða leynd, réttleika eða tiltækileika upplýsinga og þjónusta sem Stafrænt Ísland starfrækir ber að tilkynna án tafar. Öryggisbresti kann að þurfa að tilkynna ytri aðilum í samræmi við lög og reglugerðir sem byggja á eðli viðkomandi brests/atviks. Sem vinnsluaðili tilkynnir Stafrænt Ísland ábyrgðaraðila persónuupplýsinga um allar ábendingar og atvik er varðað geta öryggi persónuupplýsinga.
Stafrænt Ísland gerir allar sömu kröfur til hæfni og getu innri sem ytri aðila til upplýsingaöryggis og persónuverndar. Skal slíkt endurspeglast í ráðningarsamningum, útboðsgögnum, samningsákvæðum og verklýsingum eftir því sem við á hverju sinni út frá kröfum til þjónustu. Trúnaðarákvæði eru í þeim samningnum er varða meðferð trúnaðarupplýsinga og aðgang að kerfum sem vinna slíkar upplýsingar. Auk þess eru gerðar kröfur til öruggrar hönnunar og persónuverndar í kröfum til þjónustuaðila.
Stefnu þessa skal endurskoða af upplýsingaöryggisnefnd a.m.k. einu sinni á ári eða oftar ef innri eða ytri breytingar gefa tilefni til.
Stefnan er samþykkt af framkvæmdastjóra Stafræns Íslands og öðlast gildi 10.10.2024
Öryggissjóri Stafræns Íslands ber ábyrgð á að þróa, innleiða og hafa eftirlit með öllum þáttum í öryggisstefnu Stafræns Íslands til að vernda innviði, þjónustur og gögn gagnvart mögulegum netógnum. Þetta hlutverk felur í sér:
Öryggisstefna og fylgni: Að móta og uppfæra öryggisstefnur og áherslur, tryggja að þær uppfylli innlendar og alþjóðlegar kröfur og staðla, og að þeim sé fylgt eftir innan Stafræns Íslands og hjá samstarfsaðilum.
Áhættustjórnun: Að bera kennsl á, meta og draga úr öryggisáhættu með reglulegum úttektum og greiningum.
Atvikastjórnun: Að leiða umgjörð viðbragða við öryggisbrestum, þar með talið rýni á brestum og atvikum, mótvægisaðgerðir og endurheimt kerfa og gagna.
Öryggisvitund og þjálfun: Að efla öryggisvitund og þjálfun í öryggismálum til að tryggja að allt starfsfólk Stafræns ísland og samstarfsaðila sé upplýst um bestu starfshætti og mögulegar ógnir.
Tæknilegar lausnir: Að meta og innleiða öryggislausnir til að vernda innviði og þjónustu Stafræns Íslands.
Samræming og samstarf: Að vinna með öðrum ráðuneytum, stofnunum og utanaðkomandi aðilum til að efla heildaröryggi Stafræns Íslands.
Endurgjöf: Að skýra reglulega frá stöðu öryggismála, atvikum og þróun til æðstu stjórnenda og viðeigandi hagsmunaaðila.
Markmið öryggisstjóra er að innviðir og hugbúnaðarlausnir Stafræns Íslands uppfylli kröfur um öryggi, seiglu og séu fær um að veita óslitna þjónustu til notenda.
Þjónustuaðili
Stafrænt Ísland