1. Tilgangur

Upplýsingaöryggisstefna Keilis lýsir áherslum skólans á verndun og meðferð gagna/upplýsinga í vörslu og eigu Keilis. Verja þarf þær upplýsingar sem Keilir varðveitir fyrir öllum ógnum, innri og ytri,af ásetningi, gáleysi eða slysni. Innleiðing og framkvæmd stefnunnar er grundvöllur að faglegum vinnubrögðum og er mikilvæg til að fullvissa starfsmenn Keilis og notendur þjónustu skólans, um heilindi og rétt vinnubrögð.

2. Umfang

Upplýsingaöryggisstefnan tekur til allra gagna/upplýsinga, í hvaða formi sem þau/þær eru og hvar sem þau/þær eru vistuð. Sérstök áhersla er lögð á:

1. Gögn/upplýsingar frá notendum þjónustu Keilis, t.d. prófaupplýsingar og upplýsingar um fjármál.
2. Persónulegar upplýsingar sem tengjast starfsmönnum Keilis.

Upplýsingaöryggisstefnan tekur jafnframt til þess húsnæðis, búnaðar og kerfa, þar sem gögn/upplýsingar eru geymd eða fara um, þ.e. tölvuvélasalir, netþjónar, upplýsingakerfi, gagnagrunnar, kaplar, nettengibúnaður og fjarskiptaskápar. Upplýsingaöryggisstefnan nær jafnframt til starfsmanna Keilis og samningsbundinna samstarfsaðila sem hafa aðgang að umræddum gögnum/upplýsingum.

3. Markmið

Markmið með upplýsingaöryggisstefnunni eru að:

1. Upplýsingar séu réttar og aðgengilegar þeim sem aðgangsheimild hafa.
2. Leynd upplýsinga og trúnaði sé viðhaldið, þar sem það á við.
3. Upplýsingar sem fara um net Keilis komist óskaddaðar til rétts viðtakanda.
4. Áhætta vegna vinnslu og varðveislu upplýsinga sé innan skilgreindra áhættumarka og í samræmi við áhættumat.

4. Leiðir að markmiðum

Leiðir að ofangreindum markmiðum eru:

1. Að áætlanir séu gerðar um samfelldan rekstur, þeim viðhaldið og þær prófaðar til að tryggja öruggan rekstur og endurreisn kerfa.
2. Að frávik frá upplýsingaöryggisstefnunni séu rannsökuð og þeim fylgt eftir.
3. Að til séu afrit af öllum gögnum og hugbúnaðarkerfum.
4. Að fylgja og uppfylla alla samninga sem Keilis er aðili að og varða upplýsingaöryggi.
5. Að viðhalda gæðahandbókum með verklagsreglum og verkferlum vegna meðferðar upplýsinga og sjá til þess að starfsmenn og samstarfsaðilar fylgi henni.
6. Að starfsmenn fái þjálfun og fræðslu um upplýsingaöryggi og ábyrgð þeirra því tengt.
7. Að ávallt sé farið eftir lögum og reglum öryggisnefndar Keilis, Persónuverndar og Vísindasiðanefndar, þegar sótt er um að fá upplýsingar úr kerfum Keilis.

5. Ábyrgð 

Ábyrgð við framkvæmd og viðhald upplýsingaöryggisstefnunnar skiptist á eftirfarandi hátt:

1. Framkvæmdastjóri Keilis ber ábyrgð á öryggi og eftirfylgni stefnunnar.
2. Stjórn Keilis ber ábyrgð á upplýsingaöryggisstefnunni og að hún sé endurskoðuð og rýnd reglulega.
3. Yfirmenn Keilis bera ábyrgð á því að starfsmenn þeirra fari eftir þeim reglum og tilmælum sem gilda um upplýsingaöryggi og meðferð gagna. Yfirmenn Keilis bera einnig ábyrgð á því að viðhalda öryggisvitund meðal starfsmanna.
4. Öllum starfsmönnum ber að vinna samkvæmt upplýsingaöryggisstefnunni. Þeim ber að tilkynna öryggisfrávik og veikleika sem varða upplýsingaöryggi til gæðaráðs. Starfsmönnum Keilis ber, eftir fremsta megni, að tryggja að aðeins þeir sem hafa réttindi til, geti nálgast upplýsingar hvort heldur á rafrænu eða pappírsformi.

Viðbætur við þessa öryggisstefnu útfæra nánar leiðir að markmiðum og geta skýrt betur hvaða reglum skuli fylgja.

5.1 Ábyrgð á upplýsingaöryggi rafræns umhverfis

6. Viðurlög

Þeir sem ógna upplýsingaöryggi Keilis af ásettu ráði, eiga yfir höfði sér máls höfðun eða aðrar viðeigandi lagalegar aðgerðir. Jafnframt eiga þeir á hættu, samkvæmt lögum um réttindi og skyldur starfsmanna, áminningu eða, ef um endurtekin eða alvarleg brot er að ræða, brottvikningu úr starfi. 

7. Viðaukar 

Viðauki 1 - Afritunarstefna Keilis

Afstaða Keilis

Öll mikilvæg gögn verður að afrita reglulega. Hægt verður að endurreisa mikilvæg gögn í þá stöðu sem þau voru í við lok síðasta vinnudags, nema hrun eigi sér stað. Eigi hrun sér stað verður að vera hægt að endurbyggja vikugömul gögn.

Réttlæting

Tap á mikilvægum gögnum getur haft alvarlegar afleiðingar á starfsemi Keilis.

Tímarammi

Afritunarstefnan er í gildi á öllum tímum.

Hlutverk og ábyrgðir

• Notendur: Ábyrgir fyrir að setja mikilvæg gögn á stað þar sem þau verða afrituð.
• Tölvudeild: Ábyrgur fyrir afritunartöku, prófanir á afritum og að uppfæra
• afritunarskilgreiningar.
• Öryggisnefnd: Ábyrgt fyrir að ákveða hvaða gögn skuli vera afrituð.

Framkvæmd

• Einu sinni í viku skal afrita mikilvæg gögn.
• Fjórum sinnum í viku skal gera stigvaxandi afritun (incremental backup) af þeim gögnum breyttust síðan síðasta afritun var gerð.
• Afritunarskilgreining skal vera endurskoðuð 3 á ári eða eftir þörfum.
• Tvisvar á ári skal prófa að endurbyggja dagleg, vikuleg og mánaðarleg afrit til að kanna heilanleika afritunar.

Frekari upplýsingar

Hægt er að nálgast frekari upplýsingar hjá tölvunarfræðingi.

Viðauki 2 - Lykilorð

Afstaða Keilis

Hver starfsmaður sem hefur aðgang að fjárhagsupplýsingakerfi Keilis notendanafn og lykilorð. Lykilorðið býður upp á sannreyningu að aðeins leyfilegir notendur geti nálgast fjárhagskerfi Keilis með þessu eintæka notendanafni.

Réttlæting

Sterkt lykilorðaöryggi tryggir að tölvukerfi séu sem öruggust.

Tímarammi

Þessar reglur um lykilorð eiga við á öllum tímum.

Hlutverk og ábyrgðir

• Starfsmaður: Ábyrgur fyrir að tryggja að lykilorð verði ávallt leyndarmál.
• Lykilorð skulu vera lágmark 8 stafir.
• Lykilorð mega ekki vera algeng orð eða vægar breytingar á nafni notanda.
• Notendur verða að breyta um lykilorð á a.m.k. tvisvar á ári.
• Notendur hafa aðeins fimm tilraunir til þess að slá inn rétt lykilorð áður en notendanafn læsist.

Frekari upplýsingar

Hægt er að fá frekari upplýsingar hjá tölvunarfræðingi.