Fara í efni

Upplýsingaöryggisstefna

Upplýsingaöryggisstefna Brimborgar byggir á sjálfbærnistefnu félagsins og undirstefnum hennar sem eru að finna hér á vefnum og er í samræmi við kjörorð félagsins, Öruggur staður til að vera á, sem kynnt var til sögunnar árið 2003. Stefnur og markmið félagsins skulu ávallt endurspeglast í gildum þess og loforði skipulagsins um að vera öruggur staður til að vera á. Hvort sem átt er við vinnustað eða stað til verslunar og þjónustu. Kjörorð fyrirtækisins er: Brimborg - öruggur staður til að vera á.

Brimborg skuldbindur sig til að tryggja öryggi upplýsinga í starfsemi sinni, þar með talið persónuupplýsingar sem hægt er að lesa um í persónuverndarstefnu félagsins, fjárhagsupplýsingar og aðrar trúnaðarupplýsingar. Öryggi upplýsinga er grundvallaratriði til að viðhalda trúverðugleika og trausti viðskiptavina, starfsmanna og annarra hagsmunaaðila.

Til að framfylgja stefnunni hefur Brimborg gefið út reglur um tölvugögn, tölvu- og netnotkun og aðgang að kerfum Brimborgar sem kynntar eru nýliðum þegar þeir hefja störf. Eldra starfsfólk fær reglulega þjálfun varðandi reglurnar.

Markmið

Markmið stefnunnar er að:

  • Tryggja viðeigandi leynd upplýsinga, að upplýsingarnar séu réttar og alltaf tiltækar þeim sem hafa viðeigandi aðgangsheimildir.
  • Hindra óheimilan aðgang, notkun, breytingar, uppljóstrun, eyðileggingu, tap eða flutning gagna.
  • Greina, bregðast við og uppræta öryggisógnir á skilvirkan hátt.
  • Tryggja öryggisvitund og góða þekkingu starfsfólks á upplýsingaöryggi.
  • Endurskoða og uppfæra reglulega öryggisferla til að bregðast við nýjum ógnunum, tækniframförum og breytingum í lagaumhverfi.

Grunnstoðir

1. Upplýsingaöryggi

    • Brimborg tryggir að allar upplýsingar séu varðveittar á öruggan hátt í upplýsingakerfum fyrirtækisins í samræmi við lög og innri reglur.
    • Öryggisafrit eru tekin reglulega af öllum mikilvægum gögnum og vistuð á öruggum stað. Kerfisstjóri ber ábyrgð á framkvæmd og gæðum öryggisafrita.
    • Aðgangur að einstökum hlutum upplýsinga- og netkerfa er aðeins veittur viðeigandi starfsfólki og er stjórnað með öflugum aðgangsstýringum.

2. Fræðsla og vitund

    • Starfsfólk Brimborgar skal gera allt sem í þess valdi stendur að vernda gögn og upplýsingakerfi gegn óheimilum aðgangi, notkun, breytingum, uppljóstrun, eyðileggingu, tapi eða flutningi gagna.
    • Brimborg stuðlar að virkri öryggisvitund meðal starfsmanna með fræðslu og þjálfun, þar á meðal árlegum prófum og reglulegum fræðslufundum til að tryggja skilning og hæfni. Einnig skal leitast við að stuðla að virkri öryggisvitund meðal birgja, samstarfsaðila og gesta.
    • Starfsfólk skal frætt um mikilvægi þess að smella ekki á grunsamlega hlekki eða viðhengi, nota sterk lykilorð og tilkynna grunsamlegar beiðnir, símtöl, tölvupósta eða önnur skilaboð til upplýsingatæknideildar.
    • Reglulega eru gerðar veikleikaprófanir á netkerfum Brimborgar með og án vitundar starfsfólks og niðurstöður nýttar til að efla fræðslu og auka vitund um upplýsingaöryggi.

3. Aðgangsstýring

    • Aðgangur að upplýsingakerfum og gögnum er stjórnað með öflugum aðgangs- og auðkenningarreglum, þar með talið margþátta auðkenningu þar sem það á við t.d. fyrir ytri aðgang og fyrir viðkvæmar upplýsingar.
    • Óheimilt er að deila aðgangsorðum eða nota aðgang annarra að kerfum fyrirtækisins.
    • Starfsfólki er úthlutað aðgangi að viðeigandi kerfum við upphaf starfs og aðgangur afturkallaður við starfslok.

4. Öryggiseftirlit og viðbrögð

    • Brimborg er með virkt margþátta innra og ytra eftirlitskerfi sem fylgist með netárásum og óeðlilegri umferð um netkerfið.
    • Allur tölvupóstur er skannaður fyrir spillihugbúnaði og ruslpóstur er síaður frá.
    • Ef eftirlitskerfin verða vör við óeðlilega umferð, er skjótt brugðist við með því að loka fyrir aðgang, rannsaka atvikið, gera viðeigandi öryggisráðstafanir og tilkynna viðeigandi aðilum niðurstöðurnar.

5. Geymsla og eyðing gagna

    • Gögn skulu geymd í samræmi við persónuverndarstefnu Brimborgar.
    • Gögnum skal eytt á öruggan hátt í samræmi við viðurkenndar aðferðir og staðla, eins og með sérstökum eyðingarbúnaði eða eyðingaráætlunum, til að tryggja að þau verði ekki endurheimtanleg.
    • Persónuleg gögn skulu ekki vera vistuð í tölvukerfi fyrirtækisins en ef svo er gert þá skal það aðeins gert til skamms tíma og er á ábyrgð viðkomandi.

6. Framkvæmd og eftirlit

    • Netöryggisráð fundar reglulega, fer yfir stefnu, viðbragðsáætlanir, greiningar, öryggisatvik, uppfærslur og almennar rekstur netkerfis
    • Forstjóri er ábyrgur fyrir framkvæmd stefnunnar.
    • Upplýsingaöryggisstjóri er ábyrgur fyrir eftirliti með framkvæmd og tillögum að úrbótum.
    • Kerfisstjóri er ábyrgur fyrir daglegum rekstri kerfisins og netöryggiskerfa og skal tilkynna forstjóra, netöryggisráði og upplýsingaöryggisstjóra án tafar um veikleika sem hann kemst á snoðir um, tafir við uppfærslur og endurbætur og leiðir til að efla öryggi.
    • Framkvæmdar eru reglulegar úttektir á öryggisferlum til að tryggja að þeim sé fylgt og að öll frávik séu leiðrétt. Þær taka ekki einungis til ákveðinna atvika heldur til allra þátta í öryggismálum. Úttektir skulu skilgreindar og samþykktar af netöryggisráði og upplýsingaöryggisstjóra og framkvæmdar af óháðum aðilum.

Uppfært 26.5.2024

Vefspjall