Upplýsingaöryggisstefna FSu - stytt útgáfa
Tilgangur
Tilgangur með stefnunni er að tryggja öryggi persónuupplýsinga skólans eins og skylt er samkvæmt lögum um vernd persónuupplýsinga nr. 90/2018*. Stefnan lýsir vörnum skólans gagnvart innri og ytri ógnum hvort sem þær stafa af ásetningi eða gáleysi. Innleiðing og framkvæmd stefnunnar er mikilvægur liður í því að auka traust á skólanum og standa vörð um öryggi persónuupplýsinga m.t.t. leyndar, réttleika og tiltækileika.
Umfang
Stefnan nær til vinnslu persónuupplýsinga í vörslu og á forræði FSu, sem og vinnslu persónupplýsinga samningsbundinna samstarfs- og þjónustuaðila. Hún tekur til starfsemi, tækja og kerfa skólans og þeirrar þjónustu sem skólinn eða samningsaðilar hans veita. Hún nær einnig yfir umgengni um húsnæði skólans og samningsbundinna aðila.
Markmið
- Persónuupplýsingar séu réttar og aðgengilegar þeim sem aðgangsheimildir hafa.
- Leynd og trúnaði sé viðhaldið í samræmi við lög, reglur og samninga.
- Persónuupplýsingar séu varðar gegn skemmdum, eyðingu eða uppljóstrun af völdum ásetnings, gáleysis, aðstæðna eða atvika.
- Persónuupplýsingar komist til réttra viðtakenda, óskaddaðar og á réttum tíma.
- Að lágmarka áhættu af vinnslu persónuupplýsinga.
Leiðir
- Vinnsla persónuupplýsinga skal áhættumetin reglulega.
- Fylgt verði starfsvenjum fyrir upplýsingaöryggisstýringar samkvæmt staðlinum ÍST EN ISO/IEC 27002:2017 og skilgreindar eftirfarandi undirstefnur (númer stefnanna og númer efnisgreina sem notaðar eru í þessari stefnu eru þau sömu og í staðlinum):
- 6 Stefna um skipulag upplýsingaöryggis.
- 7 Stefna um mannauðsöryggi.
- 8 Stefna um verðmætastjórnun.
- 9 Stefna um aðgangsstýringar.
- 10 Stefna um notkun dulritunarstýringa til verndar upplýsingum.
- 11 Stefna um raunlægt öryggi og umhverfisöryggi.
- 12 Stefna um rekstraröryggi.
- 13 Stefna um samskiptaöryggi.
- 14 Stefna um öflun, þróun og viðhald upplýsingakerfa.
- 15 Stefna um birgjasambönd.
- 17 Stefna um þætti upplýsingaöryggis í stjórnun á samfelldum rekstri.
- 18 Stefna um hlítingu.
- 18.1.4 Persónuverndarstefna.
Ábyrgð
- Skólameistari ber ábyrgð á framkvæmd upplýsingaöryggisstefnunnar.
- Kerfisstjóri og starfsmenn tölvudeildar bera ábyrgð á að unnið sé eftir upplýsingaöryggisstefnunni og undirstefnum hennar.
- Öllu starfsfólki og verktökum FSu ber að vinna samkvæmt upplýsingaöryggisstefnunni. Þeim ber að tilkynna öryggisfrávik og veikleika sem varða upplýsingaöryggi til kerfisstjóra eða aðstoðarmanns hans og leita leiða ásamt honum til að fyrirbyggja endurtekin atvik.
Endurskoðun
- Upplýsingaöryggisstefnuna skal endurskoða eigi sjaldnar en á tveggja ára fresti eða ef verulegar breytingar verða til að tryggja að hún sé alltaf við hæfi.
Samþykki
Samþykkt af skólameistara 27. september 2021.
*8.,23. og 27. gr. PVL. 5. og 32. gr. PVRG 90/2018.