Upplýsingaöryggisstefna
Samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 ber Vegagerðinni að tryggja viðunandi öryggi persónuupplýsinga.
Vegagerðin leggur áherslu á mikilvægi þess að vernda upplýsingar stofnunarinnar fyrir innri og ytri ógnum og tryggja öryggi þeirra á viðeigandi hátt, í allri meðferð, vinnslu og vistun. Með þessari stefnu geta starfsmenn, viðskiptavinir og aðrir treyst ásetningi Vegagerðarinnar um að standa vörð um öryggi persónuupplýsinga, m.t.t. til leyndar, réttleika og tiltækileika.
Stjórnkerfi upplýsingaöryggis hjá Vegagerðinni nær jafnt til innra sem ytra öryggis upplýsingakerfa stofnunarinnar, starfsmanna hennar og verktaka sem veita Vegagerðinni þjónustu. Stjórnkerfið byggir á ÍST EN ISO/IEC 27001:2017, lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga sem og gildum Vegagerðarinnar: Öryggi – Fagmennska – Framsýni – Þjónusta.
Stefnunni er nánar lýst í handbókinni Reglur um tölvunotkun og tengdum verklagsreglum.
Eftirfarandi markmið skal hafa að leiðarljósi í öllum rekstri upplýsingatæknikerfa Vegagerðarinnar:
- Hámarka öryggi upplýsinga og upplýsingakerfa stofnunarinnar með tilliti til leyndar, réttleika og tiltækileika.
- Fylgja viðmiðum ISO/IEC 27001:2017 til grundvallar skipulags- og viðhaldsaðgerða sem standa vörð um leynd, réttleika og tiltækileika upplýsinga.
- Tryggja viðvarandi og samfelldan rekstur upplýsingakerfa Vegagerðarinnar og skjalfesta skilning á mikilvægi öryggismála þeirra.
- Skjölun kerfa og vinnu sé viðunandi.
- Fylgja þeim lögum og reglum sem gilda um stofnunina.
- Raunlægt öryggi sé viðunandi, s.s. aðgengi að húsnæði Vegagerðarinnar.
- Framkvæma reglulega áhættumat og greina tækifæri til stöðugra úrbóta gagnvart upplýsingaöryggi stofnunarinnar.
- Að frávik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt og rannsökuð.
- Unnið sé að stöðugum umbótum þegar kemur að upplýsingaöryggi.
Öryggisstjóri upplýsingatækni gefur árlega út skýrslu varðandi hlítingu stofnunarinnar gagnvart þessari stefnu. Skýrslan er kynnt yfirstjórn og birt á innri vef Vegagerðarinnar.
Upplýsingaöryggisstefna þessi er endurskoðuð á tveggja ára fresti eða oftar ef þörf krefur.
Samþykkt af yfirstjórn 25.4.2022