Stefna Hagstofu Íslands um öryggi upplýsinga

Tilgangur

Stefna Hagstofu Íslands um upplýsingaöryggi lýsir áherslu yfirstjórnar Hagstofu Íslands á upplýsingavernd og öryggi í allri upplýsingavinnslu. Verja þarf upplýsingar í eigu Hagstofu Íslands og viðskiptavina hennar fyrir öllum ógnum, hvort sem þær eru innri eða ytri, stafa af ásetningi, vegna óhappa eða af slysni. Innleiðing og framkvæmd stefnunnar er mikilvæg til að fullvissa starfsmenn, samstarfsaðila, gagnaveitendur, viðskiptavini og birgja um að Hagstofa Íslands stjórni með ábyrgum hætti öryggi upplýsinga sinna.

Markmið

Að tryggja öryggi upplýsinga stofnunarinnar á skilvirkan hátt ásamt því að tryggja samfelldan rekstur og lágmarka rekstraráhættu. Áhersla er á að varðveita trúnað, heilleika og tiltækileika upplýsinga þannig að þær nýtist sem best í starfsemi Hagstofu Íslands.

Nothæfi

Stefna þessi tekur til allrar starfsemi Hagstofu Íslands. Stefnan nær til allrar umgengni og vistunar upplýsinga hjá stofnuninni á hvaða formi sem er og á hvaða miðli sem er.

Stefnan nær til samskipta starfsmanna, samstarfsaðila, gagnaveitenda, viðskiptavina og birgja. Hún nær einnig til hvers konar skráningar, vinnslu, samskipta, dreifingar, geymslu og eyðingar upplýsinga hjá Hagstofu Íslands. Stefnan tekur jafnframt til húsnæðis og búnaðar þar sem upplýsingar eru meðhöndlaðar eða vistaðar.

Stefnumið

Hagstofa Íslands hefur eftirfarandi stefnumið í öryggi upplýsinga:

  1. Upplýsingar séu réttar og aðgengilegar þeim sem aðgangsrétt hafa þegar þörf er á.
  2. Leynd upplýsinga og trúnaði sé viðhaldið.
  3. Upplýsingar berist ekki óviðkomandi af ásetningi, gáleysi eða vangá.
  4. Upplýsingar séu varðar gegn þjófnaði, eldi, náttúruhamförum o.þ.h.
  5. Upplýsingar séu varðar gegn skemmdum og eyðingu af völdum tölvuveira og annars spilli hugbúnaðar.
  6. Alltaf séu til áreiðanleg og vel varðveitt afrit af mikilvægum gögnum og hugbúnaðarkerfum.
  7. Upplýsingar sem fara um opið net komist óskaddaðar og á réttum tíma til rétts viðtakanda, og þess sé jafnframt gætt að þær berist ekki til annarra.
  8. Áætlanir séu gerðar um samfelldan rekstur, þeim sé viðhaldið og þær prófaðar eins og kostur er.
  9. Öryggisatvik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt og rannsökuð.
  10. Áhætta vegna vinnslu og varðveislu upplýsinga sé innan skilgreindra áhættumarka

Framkvæmd

Til að uppfylla stefnuna mun Hagstofa Íslands fara eftirfarandi leiðir:

  1. Halda skrá yfir öll upplýsingaverðmæti og flokka þau eftir mikilvægi trúnaðar, heilleika og tiltækileika þeirra.
  2. Greina reglubundið með formlegu áhættumati allra upplýsingaverðmæta sem varða verndun upplýsinga, veikleika þeirra og ógnir sem geta stefnt þeim í hættu.
  3. Stjórna áhættu innan ásættanlegra marka með því að starfrækja formlegt stjórnkerfi upplýsingaöryggis samkvæmt ISO/IEC 27001:2013.
  4. Halda skipulega utanum verklagsreglur og verkferli vegna meðferðar upplýsinga og viðhalda þeim.
  5. Stjórnendur og starfsmenn Hagstofu Íslands fylgi stefnumiðum, verklagsreglum og verkferlum stofnunarinnar og öllum öðrum fyrirmælum sem varða öryggi upplýsinga.
  6. Fylgja og hlíta lögum sem um starfsemina gilda, meðal annars eftirfarandi:
    1. Lög um Hagstofu Íslands og opinbera hagskýrslugerð nr. 163/2007
    2. Stjórnsýslulög nr. 37/1993
    3. Lög um réttindi og skyldur starfsmanna ríkisins nr. 70/1996.
    4. Lög um persónuvernd og meðferð persónuupplýsinga nr. 77 /2000.
    5. Upplýsingalög nr. 140/2012
    6. Siðareglur Alþjóða tölfræðistofnunarinnar.
    7. Meginreglur i evrópskri hagsýslugerð
  7. Uppfylla reglur eftirlitsstofnana sem varða starfsemi stofnunarinnar, meðal annars eftirfarandi:
    1. Reglum Persónuverndar nr. 299/2001 um öryggi persónu-upplýsinga.
  8. Fylgja öllum samningum sem Hagstofan er aðili að og varða upplýsingaöryggi.
  9. Setja skýrar reglur um meðferð allra trúnaðargagna á Hagstofu Íslands.
  10. Allir starfsmenn Hagstofu Íslands fái þjálfun og fræðslu varðandi upplýsingaöryggi og ábyrgð þeirra hvað varðar upplýsingaöryggi.

Ábyrgð

Ábyrgð á framkvæmd og viðhaldi stefnunnar skiptist þannig:

  1. Hagstofustjóri ber ábyrgð á stefnu þessari og endurskoðar hana reglubundið.
  2. Sviðsstjórar Hagstofu Íslands bera ábyrgð á innleiðingu stefnunnar.
  3. Sviðsstjórar Hagstofu Íslands bera ábyrgð á því að kröfur stofnunarinnar um öryggi upplýsinga séu tilgreindar í samningum við samstarfsaðila, viðskiptavini og birgja í samræmi við áhættumat.
  4. Öryggisstjóri Hagstofunnar ber ábyrgð á framkvæmd stefnunnar og beitir til þess viðeigandi stöðlum og bestu aðferðum
  5. Öllum starfsmönnum Hagstofunnar ber að vinna samkvæmt stefnunni. Þeir bera ábyrgð á að fylgt sé þeim stýrimarkmiðum og öryggisreglum sem eiga að tryggja framkvæmd stefnunnar.
  6. Öllum starfmönnum Hagstofunnar ber að tilkynna um öryggisatvik og veikleika sem varða upplýsingaöryggi.
  7. Þeir sem ógna öryggi upplýsinga Hagstofunnar af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðgerðir.

Endurskoðun

Þessi stefna er endurskoðuð árlega og oftar ef þörf krefur til þess að tryggja að hún samrýmist markmiðum með rekstri Hagstofunnar.

Samþykkt 29. nóvember 2018

Stefna Hagstofu Íslands um öryggi upplýsinga (PDF)