Upplýsingaöryggi er krefjandi áskorun og er í stöðugri þróun. Auknar kröfur varðandi meðferð og vernd upplýsinga og upplýsingakerfa eru m.a. gerðar í persónuverndarlöggjöf (GDPR) og löggjöf um net- og upplýsingakerfi mikilvægra innviða (NIS). Nú í október birti fjármála- og efnahagsráðuneytið drög að sameiginlegum viðmiðum varðandi upplýsingaöryggi sem ber vinnuheitið „Landsarkitektúr upplýsingaöryggis“. Þar er í fyrsta sinn gerð tilraun til að samræma vinnubrögð og leiðbeina opinberum aðilum á Íslandi við að skapa ramma í kringum upplýsingaöryggismál. Ein af stærstu áskorununum sem lagðar eru fram í tillögunum fela í sér að opinberir aðilar þurfa að innleiða stjórnkerfi upplýsingaöryggis sem er byggt á staðlinum ISO/IEC 27001 fyrir lok ársins 2022. Þá þurfa þeir aðilar sem eru hluti af nauðsynlegum innviðum og aðilar sem meðhöndla upplýsingar sem eru flokkaðar sem mjög viðkvæmar að hljóta faggilda vottun á öryggisstjórnkerfi sínu.

KPMG býður upp á ISO 27001 ráðgjöf, innleiðingu á stjórnkerfi upplýsingaöryggis, glufugreiningar (e. gap analysis) og vottanir skv. staðlinum.  Við höfum  mikla reynslu og þekkingu á íslensku lagaumhverfi og höfum unnið náið með fyrirtækjum og stofnunum við að byggja upp stjórnkerfi upplýsingaöryggis og gæðahandbækur tengt rekstri upplýsingatæknimála og skjalastjórnunar.

Hvernig við getum aðstoðað:

  • Aðstoðum við innleiðingu á stjórnkerfi upplýsingaöryggis (ISO 27001) þar sem áherslan er lögð á þekkingu og skilvirkni í stjórnun upplýsingaöryggismála
  • KPMG hefur í gegnum tíðina vottað fjölmarga aðila gagnvart ISO 27001 og vinnur náið með fyrirtækjum og stofnunum í framkvæmd glufugreininga og vottun.

Hér eru nokkur atriði sem opinberir aðilar þurfa að huga að (ekki er um tæmandi lista að ræða):

Upplýsingaöryggisstefna: Hafa skjalfesta öryggisstefnu sem er samþykkt af stjórnendum, kynnt fyrir starfsmönnum og uppfærð með reglubundnum hætti.

Hlutverk og ábyrgð á upplýsingaöryggi: Þeir aðilar sem meðhöndla viðkvæmar upplýsingar þurfa að skipa upplýsingaöryggisstjóra með faggilda, viðurkennda vottun á þekkingu á sviði upplýsingaöryggis.

Áhættustýring: Framkvæma áhættumat vegna upplýsingaöryggis þar sem áhættuþættir eru greindir, ábyrgðaraðilar skilgreindir og tímaáætlun fram sett um meðhöndlun.

Aðgangsstýring: Skilgreina ferli við örugga auðkenningu og skilgreina verkferli aðgangsstýringa sem nær m.a. yfir stofnun, lokun og reglubundinnar rýni á aðgangi.

Atvikastjórnun: Skjalfesta formlegt ferli vegna atvikastjórnunar sem nær yfir hvernig tilkynna eigi öryggisatvik og -frávik. Aðilar sem falla undir lög nr. 78/2019 (NIS) þurfa að huga að tilkynningum til CERT-ÍS í verklaginu vegna atvikastjórnunar.

Breytingastjórnun: Skjalfesta og vinna eftir formlegu breytingarstjórnunarferli sem tekur mið af áhættu og umfangi breytinga og nær m.a. yfir samþykki, prófanir og innleiðingu.

Áætlun um samfelldan rekstur: Skjalfesta áætlun um samfelldan rekstur þar sem áhættuþættir eru kortlagðir ásamt viðbrögðum.

Rekstraröryggi: Ýmsar tæknilegar og skipulagslegar öryggisráðstafanir þarf að innleiða til að tryggja öruggan, réttan rekstur og verjast gegn óværum og tækniveilum.