Upplýsingaöryggisstefna

Markmið upplýsingaöryggisstefnu Vegagerðarinnar er að stuðla að viðvarandi og samfelldum rekstri stofnunarinnar og skjalfesta mikilvægi upplýsingaöryggismála.

Vegagerðin leggur áherslu á mikilvægi þess að vernda upplýsingar stofnunarinnar fyrir innri og ytri ógnum og leitast við að tryggja öryggi þeirra á viðeigandi hátt, í allri meðferð, miðlun, vinnslu og varðveislu.

Stjórnkerfi upplýsingaöryggis hjá Vegagerðinni nær til allrar starfsemi stofnunarinnar, jafnt til innra sem ytra öryggis upplýsinga stofnunarinnar, búnaðar, starfsstaða, starfsmanna hennar og verktaka sem veita Vegagerðinni þjónustu. Stjórnkerfið byggir m.a. á kröfum ÍST EN ISO/IEC 27001:2017 staðals um stjórnunarkerfi upplýsingaöryggis, lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga sem og gildum Vegagerðarinnar: Öryggi – Fagmennska - Framsýni - Þjónusta.

Eftirfarandi markmið skulu höfð að leiðarljósi í upplýsingaöryggi Vegagerðarinnar:

  • Hámarka öryggi upplýsinga og upplýsingakerfa stofnunarinnar með tilliti til leyndar, réttleika og tiltækileika.
  • Fylgja viðmiðum ISO/IEC 27001:2017 til grundvallar skipulags- og viðhaldsaðgerða sem standa vörð um leynd, réttleika og tiltækileika upplýsinga.
  • Fylgja þeim lögum og reglum sem gilda um stofnunina ásamt samningsbundnum skyldum.
  • Tryggja viðvarandi og samfelldan rekstur upplýsingaverðmæta Vegagerðarinnar.
  • Raunlægt öryggi sé viðunandi, s.s. aðgengi að húsnæði Vegagerðarinnar.
  • Viðhalda öryggi upplýsinga sem fluttar eru innan stofnunarinnar sem og til og frá ytri aðilum.

Leiðir Vegagerðarinnar að framangreindum markmiðum eru m.a. að:

  • Skjala upplýsingar um kerfi, ferla og vinnu á viðunandi hátt.
  • Skrá og meðhöndla öryggis- og rekstrarfrávik í starfsemi stofnunarinnar, þar á meðal öryggisbresti við meðferð persónuupplýsinga.
  • Framkvæma reglulega áhættumat og greina tækifæri til stöðugra úrbóta gagnvart upplýsingaöryggi stofnunarinnar.
  • Skjalfesta ferla og skipulag rekstrarsamfellu.
  • Skjalfesta hlutverk upplýsingaöryggis til að tryggja rekstrarsamfellu.
  • Öryggisstjóri upplýsingatækni gefur árlega út skýrslu varðandi hlítingu stofnunarinnar gagnvart þessari stefnu. Skýrslan er kynnt yfirstjórn og birt á innri vef Vegagerðarinnar.

Framkvæmd stefnunnar er nánar útfærð í reglum um tölvunotkun og verklagsreglum tengdum þeim í gæðahandbók Vegagerðarinnar.

Upplýsingaöryggisstefna þessi er endurskoðuð af öryggisstjóra upplýsingatækni á tveggja ára fresti eða oftar ef þörf krefur. Stefnan er kynnt starfsfólki og verktökum með aðgang að upplýsingakerfum Vegagerðarinnar og er aðgengileg hagsmunaaðilum á ytri vef stofnunarinnar.

Samþykkt af yfirstjórn Vegagerðarinnar 15.02.2021