Þjónustukönnun

Upplýs­inga­örygg­isstefna

Upplýsingaöryggisstefna

Vegagerðin leggur áherslu á mikilvægi þess að vernda upplýsingar stofnunarinnar fyrir innri og ytri ógnum og tryggja öryggi þeirra á viðeigandi hátt, í allri meðferð, vinnslu og vistun samkvæmt gildandi reglum og lögum.

Hlutverk Vegagerðarinnar er að standa vörð um öryggi persónuupplýsinga, m.t.t. leyndar, réttleika og tiltækileika gagnvart starfsmönnum, viðskiptavinum og öðrum tengdum hagsmunaaðilum.

Stjórnunarkerfi upplýsingaöryggis hjá Vegagerðinni nær jafnt til innra sem ytra öryggis upplýsingakerfa stofnunarinnar, starfsmanna hennar og verktaka sem veita Vegagerðinni þjónustu.
Stjórnunarkerfið byggir á ISO/IEC 27001:2023 staðlinum, lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga sem og gildum Vegagerðarinnar:
Öryggi – Fagmennska – Framsýni – Þjónusta.

Nánari útfærsla stefnunnar er í handbókinni Reglur um tölvunotkun, tengdum stefnum og verklagsreglum.

Neðangreindar stefnuáherslur eru leiðarljós í allri meðferð gagna og rekstri upplýsingatæknikerfa Vegagerðarinnar og eru jafnframt innan ramma heildarstefnu stofnunarinnar.

  1. Tryggja skal leynd, réttleika og tiltækileika upplýsinga og kerfa samkvæmt viðmiðum ISO/IEC 27001:2023.
  1. Tryggja skal samræmi við lög, reglur og samningsbundnar kröfur um upplýsingaöryggi.
  1. Tryggja skal viðvarandi og samfelldan rekstur upplýsingakerfa sem tilheyra mikilvægum innviðum.
  1. Framkvæma skalreglulegaáhættumat á upplýsingakerfum Vegagerðarinnar og þegar breytingar verða á starfsemi til að tryggja að mótvægisaðgerðir séu útfærðar.
  1. Mælanleg markmið tengd upplýsingaöryggi skulu vera skilgreind.
  1. Stöðugt skal unnið að reglulegri yfirferð, úttektum og umbótum á stjórnunarkerfi upplýsingaöryggis til að tryggja þróun samhliða breytingum á starfsemi og áhættu.
  1. Skilgreina og prófa skal reglulega viðbragðsáætlanirvegna öryggisatvika og tryggja að nauðsynleg aðföng og hæfni séu til staðar.
  1. Allt starfsfólk skal hljóta reglulega fræðslu um upplýsingaöryggi sem miðar að því að draga úr mistökum og bæta vitund.
  1. Viðhalda skal raunlægu öryggi húsnæðis með viðeigandi aðgangsstýringum í samræmi við áhættumat og mikilvægi aðstöðunnar.
  1. Frávik, brot eða grunur um veikleika í upplýsingaöryggi skulu tilkynnt og rannsökuð. Umbætur skulu gerðar á öllum frávikum.

Við árlega rýni stjórnenda skal meta stöðu upplýsingaöryggis stofnunarinnar gagnvart þessari stefnu og mælanlegum markmiðum hennar. Upplýsingaöryggisstefna þessi skal endurskoðuð á tveggja ára fresti eða eftir þörfum.