Mínar síður og Félagakerfi
Öryggisstefna
Félagakerfi hefur markað eftirfarandi öryggisstefnu til þess að standa vörð um upplýsingaeignir viðskiptavina.
1. Öryggisstefna
Að vera leiðandi hugbúnaðarfyrirtæki er varðar öryggi upplýsingaeigna.
Að gera réttar upplýsingar aðgengilegar fyrir rétta aðila með öruggum hætti.
Að upplýsingaöryggi sé mikilvægur og sýnilegur þáttur í allri starfsemi fyrirtækisins.
Að allir starfsmenn Félagakerfa séu bundnir trúnaði um upplýsingar viðskiptavina þess og skuldbundnir til að vernda gögn félagsins og upplýsingakerfi. Allir starfsmenn Félagakerfa skulu undirrita trúnaðaryfirlýsingu þess efnis.
Að upplýsingaeignir, kerfi og ferlar séu endurskoðaðir með reglulegu millibili og yfirfarnir af óháðum þriðja aðila með sérhæfingu í upplýsingaöryggi.
Að fylgja góðum viðskiptaháttum, lögum og persónuvernd til að tryggja hagsmuni viðskiptavina.
Að Félagakerfi styðjist við vottuð og skilvirk stjórnkerfi upplýsingaöryggis. Stjórnkerfi þessara fyrirtækja fylgja viðurkenndum bestu aðferðum til að verja upplýsingaeignir fyrirtækisins jafnt og viðskiptavina gegn ytri og innri ógnum.
Að starfrækja skilvirk öryggiskerfi að húsnæði og upplýsingakerfum fyrirtækisins með það að markmiði að vernda upplýsingaeignir.
2. MEÐFERÐ PERSÓNUUPPLÝSINGA
Félagakerfi mun hlíta lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Allir starfsmenn Félagakerfa skulu kynna sér þau lög til hlítar.
Í þeim tilfellum þar sem persónuupplýsingar eru skráðar skuldbindur Félagakerfi sig til þess að vernda þær og mun ekki miðla persónuupplýsingum til þriðja aðila án samþykkis notenda (eiganda persónuupplýsinganna) eða í kjölfar dómsúrskurðar. Sömu lögmál eiga við í þeim tilfellum þar sem við meðhöndlum persónuupplýsingar fyrir viðskiptavini okkar.
Félagakerfi mun ekki hýsa persónuleg gögn notenda.
3. ÖRYGGISSTJÓRN, ÁBYRGÐ & TILKYNNINGARSKYLDA
Öryggisstjórn
Öryggisstjórn fer með yfirumsjón á öryggi er tengist þróunarumhverfi Félagakerfa, ferlum og þeim atriðum sem snúa að upplýsingaeignum fyrirtækisins jafnt og viðskiptavina. Ráðið ber ábyrgð á framgangi og eftirfylgni verkefna tengdum upplýsingaöryggi. Jafnframt ber ráðið ábyrgð á öryggisstefnu félagsins t.a.m. að uppfærslur á henni og sjá til þess að starfsmenn framfylgi settum reglum.
Ábyrgð
Í öryggisráði sitja Guðmundur Sigursteinn Jónsson (öryggisstjóri), Birgir Hrafn Birgisson, Björn Halldór Helgason og Orri Arnarsson.
Starfsmenn eru skuldbundnir til að kynna sér til hlítar og skrifa undir öryggisstefnuna sem og trúnaðaryfirlýsingu.
Tilkynningarskylda
Starfsmönnum Félagakerfa og viðskiptavina þess ber skylda til að láta öryggisstjórn / öryggisstjóra vita um leið og viðkomandi uppgötvar öryggisfrávik og/eða aðstæður þar sem persónuleg gögn eða önnur viðkvæm gögn eru sýnileg þeim sem þau ættu ekki að vera, sem og að láta vita og kanna betur ef grunur er um veikleika í kerfum Félagakerfa sem gæti valdið því að viðkvæmar upplýsingar séu berskjaldaðar. Sjá nánar í kaflanum um viðbrögð við öryggisfráviki.
4. VIÐBRÖGÐ VIÐ ÖRYGGISFRÁVIKI
Verði starfsmaður / viðskiptavinur var við öryggisfrávik ber honum skylda til að tilkynna það án tafar til öryggisstjóra Félagakerfa ([email protected]) eða sími 449-0975. Fyrstu viðbrögð við öryggisfráviki geta skipt sköpun og því hafa Félagakerfi sett upp aðgerðaráætlun í eftirfarandi skrefum.
- Punkta niður hvenær viðkomandi varð var við öryggisfrávik.
- Virkja viðbragðsteymi (öryggisstjórn).
- Viðbragðsteymi metur öryggisfrávikið tekur ákvörðun um hvað þarf að gerast strax t.d. taka veflausn eða vefþjón niður.
- Kalla til óháða öryggisaðila til þess að hefja greiningarvinnu.
- Ef á við, hafa samband við lögreglu eftir að hafa talað við lögfræðing.
- Skrifa niður öll skref sem tekin eru og af hverju þau eru tekin.
Þessi skýrsla á að vera uppfærð þangað til málinu er talið lokið.
Félagakerfi leggur mikla áherslu á að tryggja öryggi þeirra persónuupplýsinga sem viðskiptavinir og félagsmenn þeirra treysta félaginu fyrir.
Samþykkt af stjórn Félagakerfa 1. október 2019