Netöryggisstefna
Netöryggisstefna Sensa er sett fram í þeim tilgangi að tryggja sem best netöryggi félagsins og vernda þannig upplýsingar sem félagið ber ábyrgð á gagnvart óheimilum aðgangi, breytingum, eyðileggingu eða gíslingu.
Öryggisráðstafanir til stuðnings stefnunni:
1.
Sensa stuðlar að stöðugum umbótum. Sensa er í samstarfi við viðurkennda innviðaframleiðendur og fylgir viðurkenndum aðferðum og leiðbeiningum í rekstrinum varðandi uppsetningu, rekstur og uppfærslur. Öll kerfi Sensa eru metin út frá tiltækileika, réttleika og leynd sem er grundvöllur viðbragðs- og neyðaráætlunar.
2.
Skilgreind eru mörk eða netmæri í netkerfum þar sem tilteknir notendur hafa takmarkaðan aðgang að netkerfum, búnaði og netþjónustu. Prófunarumhverfi eru aðskilin á netlagi. Netumhverfi eru varin á bakvið eldveggi og útstöðvar eru varðar með vírusvörnum. Veikleikagreining er framkvæmd á innviðum og gerðar eru reglulegar álagsprófanir. Vefsía er til staðar sem lokar sjálfkrafa fyrir óæskilegt efni og óværur sem takmarkar útsetningu fyrir netógnum.
3.
Sensa er með áætlun um samfelldan rekstur (neyðarferli) gagnvart húsnæði, starfsfólki og net- og tölvuinnviðum. Skilgreindar neyðaraðgerðir eru forsenda þess að takast á við neyðarástand með skipulögðum hætti og hægt sé að endurheimta í fyrra ástand eins fljótt og auðið er. Einnig er félagið með viðbragðsáætlun við netárásum.
4.
Félagið viðheldur verklagi um aðgangsstýringar og framsetningu lykilorða sem skulu vera sterk og uppfærð reglulega. Tveggja þátta auðkenning er skilyrði fyrir aðgangi. Sensa nýtir lykilumsjónarkerfi fyrir umsýslu viðkvæmra lykilorða. Aðgangur að netinnviðum félagsins er eingöngu frá samþykktum endabúnaði. Þráðlaust gestanet er fyrir gesti.
5.
Formlegt breytingastjórnunarferli er til staðar til að tryggja samræmi í framkvæmd breytinga og afturköllun breytinga ef svo ber undir. Umsjónaraðili þarf að samþykkja breytingar. Tilkynnt er um breytingar með a.m.k. tveggja daga fyrirvara nema ef um neyðarbreytingu er að ræða, þá getur fyrirvarinn verið styttri.
6.
Formlegt ferli er fyrir skráningu rekstrarfrávika. Frávik er þegar um er að ræða truflun á þjónustu eða þjónusturof, hvort sem rofið er af völdum Sensa eða þriðja aðila. Tilkynnt er um frávik eins fljótt og auðið er og upplýst um framvindu meðan frávik varir.
7.
Dulritun er notuð til að vernda gögn á vinnustöðvum starfsmanna og á afritunasvæðum bæði í hvíld og við flutning. Gögn á gagnastæðum er dulkóðuð við flutning og hægt að virkja dulkóðun í hvíld á stýriskerfislagi.
8.
Árlega er farið í gegnum formlegt áhættumat og lagðar eru fram nauðsynlegar aðgerðir út frá áhættustigi ef svo ber undir. Áhættumat er framkvæmt við breytingabeiðnir og ef ógnir eða aðstæður kalla á áhættumat.
9.
Sensa viðheldur verklagi um meðferð og skipulag upplýsinga, útgáfustýringar og merkingar upplýsinga.
10.
Árlega fá starfsmenn félagsins þjálfun í upplýsingaöryggi og kröfum sem félagið gerir til að tryggja vernd starfsmanna og upplýsingaöryggi. Sé tilefni til eru starfsmenn upplýstir um ógnir sem mikilvægt er að undirbúa starfsfólk fyrir.
11.
Félagið er með verklag um mat á öryggisráðstöfunum þriðju aðila sem hafa aðgang að kerfum eða gögnum Sensa.
12.
Framkvæmdastjóri er eigandi stefnunnar og er það á ábyrgð framkvæmdastjórnar að henni sem framfylgt. Stefna þessi er endurskoðuð a.m.k. á þriggja ára fresti sem er á ábyrgð öryggisstjóra að framkvæma.
Valgerður Hrund Skúladóttir
Reykjavík 7. apríl 2025
Framkvæmdastjóri
