Tilgangur
Tilgangur upplýsingaöryggisstefnu Sjóvá samstæðunnar er að tryggja sem best öryggi upplýsinga samstæðunnar þannig að þær nýtist á skilvirkan og hagkvæman hátt fyrir viðskiptavini og rekstur.
Umfang
Upplýsingaöryggisstefna þessi og viðmið sem henni fylgja ná til Sjóvá-Almennra trygginga hf. og dótturfélagsins Sjóvá-Almennra líftrygginga hf. Stefnan tekur til starfsstöðva þessara félaga og allra sem þar starfa, sem og upplýsingatæknibúnaðar og gagna í eigu þeirra.
Stefnan nær jafnframt til gagna í eigu þessara félaga sem meðhöndlaður er hjá þjónustuaðilum.
Stefna
- Sjóvá gætir þess að tryggja sem best öryggi upplýsinga hjá samstæðunni á hverjum tíma.
- Sjóvá fylgir ávallt þeim lögum og reglum sem eru í gildi hverju sinni um stjórnun upplýsingaöryggis og meðferð upplýsinga þ.m.t. vinnslu persónuupplýsinga.
- Stefna þessi er bindandi fyrir alla starfsmenn, sem og þá aðila og starfsmenn þeirra sem veita Sjóvá þjónustu eða sinna eftirliti með starfseminni. Allir þessir aðilar eru skuldbundnir til að vernda upplýsingar og upplýsingakerfi Sjóvár í samræmi við þær reglur sem samstæðan setur sér.
- Sjóvá stuðlar að virkri öryggisvitund starfsmanna, þjónustuaðila, viðskiptavina og gesta með fræðslu og leiðbeiningum.
- Sjóvá tryggir að stefnu þessari sé fylgt í hvívetna með ráðstöfunum í samræmi við störf og ábyrgð þeirra aðila sem stefnan nær til.
- Sjóvá framkvæmir reglulega áhættugreiningar og úttektir til að meta þörf á breytingum á stefnu þessari.
- Starfsmönnum og þjónustuaðilum, núverandi og fyrrverandi, er óheimilt að veita upplýsingar um málefni Sjóvár sem þeir verða áskynja í störfum sínum fyrir samstæðuna.
- Sjóvá gætir þess í hvívetna að tryggja sem best leynd, réttleika og tiltækileika gagna og upplýsingakerfa Sjóvár.
- Sjóvá mun endurskoða þessa stefnu eins oft og þurfa þykir, þó eigi sjaldnar en árlega.
Leiðir
- Sjóvá mun fylgja staðlinum ISO/IEC 27001:2013 – Stjórnkerfi upplýsingaöryggis og nýta hann sem grundvöll skipulags og viðhaldsaðgerða til að tryggja að stefnu þessari sé framfylgt.
- Öryggisteymi upplýsingatæknisviðs (UT) fer yfir öryggismál upplýsingatækni hverju sinni og fylgir eftir og vinnur úrbótaverkefni. Aðilar teymsins bera líka ábyrgð á því að fylgjast með nýjungum í öryggismálum almennt ásamt því að gegna lykilhlutverki í úttektum. Öryggisteymi UT samanstendur af forstöðumanni UT, lykilforritara UT og rekstrarstjóra UT sem er jafnframt öryggisstjóri UT. Aðilar sem teymið vinnur náið með eru áhættu og gæðastjóriSjóvá og rekstrarstjóri Sjóvá hjá hýsingaraðila.
- Sjóvá tryggir að starfsmenn, umboðsaðilar, verktakar og þjónustuaðilar fái ásættanlega þjálfun og fræðslu varðandi upplýsingaöryggi svo öllum sé ljós ábyrgð sín.
- Stjórnendur Sjóvár munu sjá til þess að gæðakerfi Sjóvár fari í gegnum stöðugar umbætur m.t.t. til upplýsingaöryggis.
- Mælikvarðar eru virkjaðir til að fylgjast með virkni stefnu þessarar og niðurstaða þeirra reglulega kynnt framkvæmdastjórn Sjóvár.
Hagsmunaaðilar og þarfir þeirra
Sjóvá hefur skilgreint eftirfarandi aðila sem hagsmunaaðila í tengslum við upplýsingaöryggisstefnu þessa og í framhaldinu skilgreint þarfir þeirra og væntingar til Sjóvár á eftirfarandi hátt:
- Starfsmenn, umboðsaðilar og verktakar ganga að persónulegu öryggi sínu sem vísu á starfsstöðvun okkar. Þeir þurfa jafnframt sífellda þjálfun og fræðslu í öllu sem viðkemurupplýsingaöryggi og mögulegum áhættum.
- Stjórn, FME og endurskoðunarnefnd þarfnast reglulegrar upplýsingagjafar um starfsemi í tengslum við upplýsingaöryggi og frammistöðu upplýsingaöryggiskerfa.
- Viðskiptavinir þurfa að geta treyst því að persónuupplýsingar þeirra séu öruggar bæði í meðferð starfsmanna og í kerfum Sjóvár. Þeir þurfa jafnframt að geta nálgast upplýsingarnar sínar á einfaldan og öruggan hátt.
- Innri og ytri endurskoðendur þurfa einfaldan og öruggan aðgang að öllum gögnum og upplýsingum sem þeir þurfa á að halda þegar þeir framkvæma úttektir á starfsemi Sjóvár.
- Endurskoðunarnefnd þarfnast reglulegrar upplýsingagjafar um starfsemi Sjóvár í tengslum við upplýsingaöryggi og frammistöðu upplýsingaöryggiskerfa ásamt skýrslum um áhættustýringar hjá Sjóvá.
- Þjónustuaðilar og verktakar með aðgang að gögnum Sjóvár þurfa að vera upplýstir um upplýsingaöryggisstefnu Sjóvár og hvaða þýðingu það hefur fyrir þá að þjónusta ISO 27001 vottað fyrirtæki.
- Hluthafar og markaðsaðilar fá jafnan aðgang að réttum og áreiðanlegum upplýsingum um Sjóvá. Þannig tryggir félagið aukna þekkingu og skilning hagsmunaaðila og eftir atvikum annarra á starfsemi félagsins.
