Tilgangur
Upplýsingaöryggi er mikilvægur þáttur í að stafræn samskipti verði megin samskiptaleið fólks og fyrirtækja við hið opinbera. Að skapa trausta og örugga umgjörð um þessi samskipti þar sem leynd, réttleiki og aðgengi upplýsinga er haft að leiðarljósi mun auka traust til stafrænnar þjónustu í samfélaginu og auka notkun hennar.
Upplýsingaöryggisstefna
Upplýsingaöryggisstefna þessi tekur til allra verkefna, þjónusta og umhverfa sem Stafrænt Ísland (Ísland.is) rekur. Starfsfólk, samstarfsaðilar og verktakar þurfa að uppfylla skilyrði þessarar stefnu í samræmi við umfang þeirrar þjónustu sem veitt er. Notendur þjónustu geta ávallt treyst því að þjónustur séu hannaðar, innleiddar og starfræktar með upplýsingaöryggi og öryggi persónuupplýsinga að leiðarljósi.
Framkvæmdastjóri Stafræns Íslands ber ábyrgð á upplýsingaöryggi og að viðeigandi kröfur séu gerðar til samstarfsaðila og birgja um upplýsingaöryggi. Framkvæmdastjóri tryggir að nægjanleg aðföng séu til staðar og úthlutar ábyrgð á upplýsingaöryggi til viðeigandi aðila. Framkvæmdastjóri skal einnig skipa upplýsingaöryggisnefnd Stafræns Íslands sem ber ábyrgð á stjórnunarlegri rýni og samþykkt áhættu og umbóta.
Mælanleg markmið um upplýsingaöryggi skulu stuðla að því að bæta þjónustu Stafræns Íslands og bæta traust til þjónustunnar. Mælanleg markmið eru tengd leynd, réttleika og tiltækileika.
Öryggi upplýsinga og upplýsingakerfa er hluti af allri starfsemi Stafræns Íslands og byggir á sífelldu mati á áhættum og úrræðum til að tryggja að jafnvægi sé milli áhættu og tækifæra í öllum verkefnum og þjónustum. Stafrænt Ísland byggir umsýslu upplýsingaöryggis á alþjóðlegum stöðlum og viðmiðum um upplýsingaöryggi og stjórnkerfi upplýsingaöryggis (ISMS). Þar með talið alþjóðlegum staðli ISO 27001:2017 um stjórnkerfi upplýsingaöryggis, stefnu stjórnvalda um málefni sín og öðrum viðeigandi lögum og reglugerðum á hverjum tíma.
Þjónustur og vinnslur skulu ávallt lágmarka umfang persónugreinanlegra upplýsinga sem unnið er með svo aðeins sé unnið með nauðsynlegar upplýsingar í eins skamman tíma og hægt er.
Stafrænt Ísland skal sjá til þess að stöðugar umbætur og lagfæringar m.t.t. upplýsingaöryggis séu hluti af innri starfsemi og þeim verk- og þjónustusamningum sem gerðir eru. Upplýsingaöryggi skal vera hluti af hönnun og markmiðum frá upphafi til enda hvers verkefnis.
Meta skal verkefni út frá mikilvægi fyrir samfélagið og einstaklinga og áhrifum þess ef þjónusta er ekki tiltæk; mikilvægis þeirra upplýsinga sem unnar eru og hvaða áhrif t.d. uppljóstrun þeirra hafi á einstaklinga, hópa eða samfélagið í heild ; hver áhrif af rangri vinnslu eða meðhöndlun hafi á einstaklinga, fyrirtæki og aðra hagaðila. Kröfur til skipulags- og tæknilegra öryggisúrræða skal gera í samræmi við matið á verkefninu og taka mið af persónuverndarstefnu Stafræns Íslands.
Tæknileg og skipulagsleg öryggisúrræði skulu valin og innleidd út frá heildstæðu áhættumati byggðu á umfangi og eðli hverrar vinnslu/þjónustu. Taka skal tillit til áhættu sem tengjast tækni, mannauði, lögum, samningsákvæðum, fjárhag og ytri aðstæðum. Meta skal áhættur byggðar á bestu fyrirliggjandi upplýsingum á hverjum tíma. Úrræði skulu innleidd í samræmi við niðurstöður áhættumats og áhættuþol. Staðfesta skal að úrræði dragi með ásættanlegum hætti úr áhættu. Stöðug vöktun og endurmat á öryggisúrræðum skal fara fram. Mat á áhrifum á persónuvernd (MÁP) skal framkvæma samkvæmt persónuverndarstefnu Stafræns Íslands.
Öryggisbrestir er varða trúnað, réttleika eða tiltækileika upplýsinga og þjónusta sem Stafræn Ísland starfrækir ber að tilkynna án tafar. Fyrir hverja þjónustu eða verkefni skal tilgreindur vörustjóri sem leiðir samskipti og viðbragð atvika er upp kunna að koma. Öryggisbresti kann að þurfa að tilkynna ytri aðilum í samræmi við lög og aðrar kröfur byggt á eðli viðkomandi atviks. Sem vinnsluaðili tilkynnir Stafrænt Ísland ábyrgðaraðila persónuupplýsinga um allar ábendingar og atvik er varðað geta öryggi persónuupplýsinga.
Veikleika- og öryggisgalla sem kunna að finnast í þjónustum og verkefnum Stafræns Íslands skal tilkynna til Stafræns Íslands. Uppgötvi ytri aðili veikleika og tilkynnir hann án frekari aðgerða og á viðurkenndan hátt (e. responsible disclosure) mun viðkomandi ekki vera sóttur til saka af hálfu Stafræns Íslands vegna þess athæfis. Stafrænt Ísland fer fram á að þeir sem tilkynni öryggisveikleika uppljóstri þeim ekki opinberlega fyrr en að 90 dögum liðnum og gefi þar með Stafrænu Íslandi tækifæri til lagfæringa.
Stafrænt Ísland gerir allar sömu kröfur til hæfni og getu innri sem ytri aðila til upplýsingaöryggis og persónuverndar. Skal slíkt endurspeglast í ráðningarsamningum, útboðsgögnum, samningsákvæðum og verklýsingum eftir því sem við á hverju sinni út frá kröfum verkefnisins og mikilvægi þess. Trúnaðarákvæði eru í þeim samningnum er varða meðferð trúnaðarupplýsinga og aðgang að kerfum sem vinna slíkar upplýsingar. Auk þess eru gerðar kröfur til öruggrar hönnunar og innbyggðar og sjálfgefinnar persónuverndar í kröfum til þróunar- og rekstraraðila.
Stefnu þessa skal endurskoða af upplýsingaöryggisnefnd a.m.k. á tveggja ára fresti eða oftar ef innri eða ytri breytingar gefa tilefni til.
Stefnan er samþykkt af framkvæmdastjóra Stafræns Íslands og öðlast gildi 18.10.2022
Þjónustuaðili
Stafrænt Ísland