Inngangur
Stefna Háskóla Íslands í upplýsingaöryggi lýsir áherslum háskólans á upplýsingaöryggi og örugga meðferð gagna og upplýsinga í vörslu og eigu skólans. Háskóli Íslands skal verja upplýsingaeignir skólans og hagsmunaaðila fyrir öllum ógnum, innri og ytri, af ásetningi, vegna óhappa eða af slysni.
Fagleg vinnubrögð eru lykillinn að árangri og til marks um það er þessi stefna um upplýsingaöryggi sett. Innleiðing og framkvæmd stefnunnar er mikilvægur hluti þess að ná samstöðu starfsmanna og hagsmunaaðila um öryggi gagna.
Umfang
Stjórnkerfi upplýsingaöryggis Háskóla Íslands nær til þess húsnæðis, vélbúnaðar, hugbúnaðar, þjónustu, ferla og starfsfólks sem nauðsynlegt er til að viðhalda ásættanlegu þjónustustigi fyrir viðskiptavini og innri starfsemi Háskóla Íslands, ásamt uppsetningu og viðhaldi útstöðva og umsýslu notenda fyrir Háskóla Íslands. Þetta er í samræmi við „Yfirlýsingu um nothæfi“ útg. 1.0
Markmið
Markmiðin með upplýsingaöryggisstefnunni eru að:
- Upplýsingar séu réttar og aðgengilegar þeim sem aðgangsheimildir hafa þegar þörf er á.
- Trúnaði sé viðhaldið þegar við á og trúnaðarupplýsingar gerðar óaðgengilegar óviðkomandi.
- Upplýsingar séu tryggilega varðar gegn skemmdum og eyðingu hvort sem það er af ásetningi eða kæruleysi (vangá).
- Áhætta vegna vinnslu, varðveislu og miðlunar á upplýsingum sé innan skilgreindra áhættumarka og í samræmi við áhættumat.
Upplýsingaöryggistefna
- Stefna Háskóla Íslands í upplýsingaöryggismálum er bindandi fyrir alla starfsmenn stofnunarinnar og nær til allra þjónustuaðila sem veita Háskóli Íslands þjónustu.
- Starfandi er Persónuverndar- og upplýsingaöryggisnefnd og er hlutverk hennar að vera samráðsvettvangur upplýsingaöryggis- og persónuverndarmála skv. starfsreglum sem rektor setur og háskólaráð staðfestir.
- Háskóli Íslands tryggir öryggi upplýsinga stofnunarinnar og nemenda sinna m.t.t. leyndar, réttleika og tiltækileika.
- Háskóli Íslands fylgir markmiðum, lögum, reglum og leiðbeiningum við stjórnun upplýsingaöryggis, sem eru grundvöllur skipulags og ráðstafana sem standa vörð um leynd, réttleika og tiltækileika gagna og upplýsingakerfa.
- Allir starfsmenn Háskóli Íslands eru skuldbundnir til að vernda gögn og upplýsingakerfi gegn óheimiluðum aðgangi, notkun, breytingum, uppljóstrun, eyðileggingu, tapi eða flutningi.
- Starfsmenn Háskóla Íslands, nemendur og þjónustuaðilar eru hvattir til að tilkynna upplýsingaöryggisatvik og -frávik sem upp koma í þeim tilgangi að stuðla sífellt að stöðugum umbótum.
- Starfsmönnum, nemendum, þjónustuaðilum, núverandi og fyrrverandi, er óheimilt að veita upplýsingar um innri mál Háskóla Íslands, nemenda, ytri aðila eða annarra starfsmanna.
- Háskóli Íslands stuðlar að virkri öryggisvitund starfsmanna, nemenda, samstarfsaðila, verktaka, þjónustuaðila og gesta. Starfsemi og starfshættir starfsmanna Háskóla Íslands skulu vera til fyrirmyndar hvað varðar upplýsingaöryggi.
- Háskóli Íslands mun eftir því sem við á fylgja ÍST ISO/IEC 27001 – Stjórnunarkerfi um upplýsingaöryggi sem er grundvöllur skipulags og viðhaldsaðgerða sem hafa það að markmiði að tryggja leynd, réttleika og tiltækileika gagna og upplýsingakerfa.
- Stefnu Háskóla Íslands í upplýsingaöryggismálum er nánar lýst í Stjórnkerfi upplýsingaöryggis.
- Öllum lögum, reglugerðum og reglum sem Háskóla Íslands þarf að lúta um varðveislu, meðferð og verndun upplýsinga er fylgt. Þess skal sérstaklega gætt að vanda úrlausnir mála þar sem árekstrar kunna að verða milli ákvæða í mismunandi lögum og reglugerðum, t.d. upplýsingalögum og lögum um persónuvernd.
- Framkvæmdar eru úttektir á stefnu og einstökum stöðlum og vinnuferlum upplýsingaöryggis. Þær taka ekki einungis til ákveðinna atvika heldur til allra þátta í öryggismálum. Úttektir skulu skilgreindar og samþykktar af Persónuverndar- og upplýsingaöryggisnefnd Háskóla Íslands.
- Háskóli Íslands framkvæmir reglulega áhættumat og innri úttektir til þess að ákveða hvort frekari aðgerða sé þörf og greina tækifæri til stöðugra umbóta.
- Upplýsingaöryggisstjóri gefur árlega út skýrslu varðandi framkvæmd og virkni Háskóla Íslands gagnvart þessari stefnu.
- Háskóli Íslands endurskoðar þessa stefnu eins og tilefni er til en að lágmarki á tveggja ára fresti.
Ábyrgð og gildissvið
Ábyrgð við framkvæmd og viðhald upplýsingaöryggisstefnu skiptist á eftirfarandi hátt:
Rektor Háskóla Íslands ber ábyrgð á upplýsingaöryggisstefnunni og að hún sé endurskoðuð og rýnd reglulega með formlegum hætti.
Í kjölfar slíks endurmats og endurskoðunar er Upplýsingaöryggisstefnan uppfærð og samþykkt formlega af háskólaráði, auk þess sem stefnan og hugsanlegar breytingar á henni eru kynntar starfsfólki og samstarfsaðilum.
Framkvæmdastjóri miðlægrar stjórnsýslu ber ábyrgð á framkvæmd upplýsingaöryggisstefnunnar og beitir til þess viðeigandi stöðlum og vinnuferlum.
Allir starfsmenn Háskóla Íslands bera ábyrgð á að þeim vinnuferlum sé fylgt sem tryggja framkvæmd upplýsingaöryggisstefnunnar. Samstarfsaðilar, verktakar og birgjar bera ábyrgð á að fylgja samningsbundnum vinnuferlum sem tryggja framkvæmd stefnunnar.
Öllum starfsmönnum ber að vinna samkvæmt upplýsingaöryggisstefnunni. Þeim ber að tilkynna öryggisfrávik, veikleika og eða öryggisbresti með viðeigandi hætti.
Eftirfylgni
Upplýsingaöryggisstefnan er kynnt fyrir stjórnendateymum skólans. Til þess að tryggja að markmiðum stefnunnar sé fylgt er gerð aðgerðaáætlun skv. Heildaráætlun upplýsingaöryggisstjóra og henni fylgt eftir með formlegum hætti.
Tilvísanir
- Heildaráætlun upplýsingaöryggisstjóra
- Markmið og mælingar
- VLR-0373 Ábendingar, kvartanir og fyrirspurnir