Faghópur um stjórnun upplýsingaöryggis

Faghópur um stjórnun upplýsingaöryggis

Hópurinn vill stuðla að aukinni vitund um gagnaöryggismál og upplýsingaöryggi með jafningjafræðslu og miðlun upplýsinga um t.d. aðferðir, verkfæri og verklag. Fundir verða með því sniði að fyrirlesari er fenginn til þess að fjalla um eitt afmarkað efni og mynda síðan umræður út frá því. Hópurinn stendur einni fyrir stærri morgunverðarfundum og ráðstefnum í samstarfi við aðra faghópa eða virta aðila utan Stjórnvísi.  

Viðburðir

GDPR - gæða- og öryggismál

Einungis sex mánuðir eru þangað til að persónuverndarreglugerð ESB (General Data Protection Regulation) tekur gildi. GDPR leysir af hólmi rúmlega 20 ára gamla persónuverndarlöggjöf sem ekki hefur fylgt eftir þeim breytingum sem hafa átt sér stað í hinum stafræna heimi.

Mörg skilyrði GDPR tengjast bæði gæða- og öryggisstjórnun fyrirtækja og á þessum fundi verður farið yfir helstu þætti gæðastjórnunar sem nýtast við hlítingu GDPR.

Dagskrá er eftirfarandi:

Arna Hrönn Ágústsdóttir, lögfræðingur hjá Nýherja mun segja frá GDPR innleiðingunni hjá félaginu með áherslu á mikilvægi starfsmannaþjálfunar

Maria Hedman, Lausnaráðgjafi og product owner hjá Nýherja, mun fjalla um kortlagningu verkferla og sýna raunhæf dæmi um ferla sem krefjast endurbóta vegna tilkomu GDPR.

Anton Már Egilsson, Lausnastjóri hjá Nýherji, mun fjalla um helstu þætti öryggismála í tengslum við hlítingu GDPR

Í lokin gefst tími fyrir spurningar og umræður.

 

Endurskoðun stefnu vegna breytinga á ISO stöðlum

Nokkrar breytingar hafa orðið á ISO 9001 og ISO 27001 stöðulunum. Á fundinum verður kynnt hvernig Orkuveita Reykjavíkur hefur staðið að því að nýta stefnumótun til þess að innleiða breyttar áherslur í stöðlunum. Greint verður frá undirbúningi , framkvæmd, úrvinnslu og innleiðingu stefnumótunar þar sem lögð er áhersla á aðkomu stjórnenda að vinnunni.
Fyrirlesarar: Kristjana Kjartansdóttir, gæðastjóri OR, og Olgeir Helgason, upplýsingaöryggisstjóri OR.

Breytt persónuverndarlöggjöf frá 2018 - hvað þýðir það fyrir þína starfsemi?

Breytt persónuverndarlöggjöf frá 2018 - hvað þýðir það fyrir þína starfsemi?

Fyrr á árinu voru samþykktar umfangsmestu breytingar sem gerðar hafa verið á evrópskri og þ.a.l. íslenskri persónuverndarlöggjöf í rúm 20 ár. Breytingarnar taka gildi á árinu 2018 en fyrir þann tíma þurfa fyrirtæki og stofnanir að aðlaga starfsemi sína að breyttum - og auknum - kröfum til persónuverndar og öryggis persónuupplýsinga. Réttindi einstaklinga eru jafnframt aukin til muna sem einnig kallar á breytingar í starfsemi þeirra sem vinna persónuupplýsingar. Farið verður yfir helstu breytingarnar sem löggjöfin kallar á um og settar fram leiðbeiningar um hverju þurfi að huga að í framhaldinu.

Með framsögu farar Alma Tryggvadóttir, skrifstofustjóri upplýsingaöryggis frá Persónuvernd og Hörður Helgi Helgason, hdl. Landslög

Fréttir

Ný stjórn faghóps um upplýsingaöryggi.

Fjöldi Stjórnvísifélaga sýndi áhuga á að koma í stjórn faghóps um upplýsingaöryggi, allt afburðafólk. Úr varð stór og sterk stjórn sem endurspeglar vel fjölbreytilega þeirra vinnustaða sem áhuga sýndu.  Fyrsti fundur stjórnarinnar var á Kringlukránni í dag þar sem farið var yfir almennt fyrirkomulag og umboð stjórna Stjórnvísi, hlutverk stjórnar, kosningu formanns og næstu skref.

Stjórnina skipa þau Anna Kristín Kristinsdóttir upplýsingaöryggisstjóri Isavia sem jafnframt er formaður faghópsins, Arnar Freyr Guðmundsson Seðlabanka Íslands, Davíð Halldórsson KPMG, Ebenezer Þ. Böðvarsson Borgun, Hrefna Arnardóttir Advania, Jón Elías Þráinsson Landsneti, Kristín Ósk Hlynsdóttir Rannís, Margrét Kristín Helgadóttir Fiskistofu, Margrét Valdimarsdóttir Creditinfo og Margrét Valgerður Helgadóttir hjá Póstinum. 

Upplýsingar um hvernig fyrirtæki og stofnanir geta undirbúið sig undir gildistöku um breytta persónuverndarlöggjöf frá 2018.

Breytt persónuverndarlöggjöf frá 2018 var viðfangsefni faghópa um CAF/EFQM, gæðastjórnun, ISO og upplýsingatækni var haldinn á Veðurstofu Íslands í morgun.
Fyrr á árinu voru samþykktar umfangsmestu breytingar sem gerðar hafa verið á evrópskri og þ.a.l. íslenskri persónuverndarlöggjöf í rúm 20 ár. Breytingarnar taka gildi á árinu 2018 en fyrir þann tíma þurfa fyrirtæki og stofnanir að aðlaga starfsemi sína að breyttum - og auknum - kröfum til persónuverndar og öryggis persónuupplýsinga. Réttindi einstaklinga eru jafnframt aukin til muna sem einnig kallar á breytingar í starfsemi þeirra sem vinna persónuupplýsingar.
Alma Tryggvadóttir, skrifstofustjóri upplýsingaöryggis frá Persónuvernd sagði lögin hafa haft langan aðdraganda og undirbúning. Annars er reglugerð um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og frjálst flæði slíkra upplýsinga og hins vegar tilskipun um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga hjá löggæsluaðilum. Markmiðið er að einstaklingar fái betri stjórn yfir upplýsingar um sig. Þetta er því liður í að bæta réttarvernd. Reglugerðin tekur formlega gildi 25.maí 2018. Þeir sem vinna persónuupplýsingar hafa því 1,5ár til að samræma sig. Reglugerðin lýtur að öllum fyrirtækjum í heiminum sem vinna með upplýsingar um Evrópubúa hvar sem þeir eru í heiminum. Ef boðin er þjónusta eða vara til sölu fellurðu innan gildissviðsins. Upplýsingar sem beint má rekja er t.d. nafnið þitt og óbeint IP tölur. Reglugerðin nær til ábyrgðaaðila þ.e. þeirra sem hefja vinnslu og einnig til þeirra sem vinna úr upplýsingum. Hingað til hafa úrvinnsluaðilar verið í skjóli. Ábyrgðar-og vinnsluaðilar eru því báðir orðnir ábyrgir.
Rík krafa er um gagnsæi og að veitt sé fræðsla um upplýsingarnar. Hver er tilgangurinn og hvenær er þeim eytt. Verið er að einfalda aðgang að upplýsingum til einstaklinga. Einstaklingar eiga að geta flutt upplýsingar sínar til, þetta er nýr réttur. Hægt á að vera að fara til einstaklinga og færa allt á milli. Ekki er lengur hægt að loka á upplýsingar. Fyrirtæki og stofnanir þurfa að gefa upplýsingar um eðli upplýsingabrests. Síðan er réttur til að gleymast. Hann felst í að einstaklingur á rétt á að ákveðnum upplýsingum um hann sé eytt. Opinber aðili hefur ekki sama rétt og borgari. Mjög strangar reglur eru komnar. Stofnanir og fyrirtæki þurfa að uppfæra samþykkisferla. Gera einstaklingum kleift að fá allar upplýsingar um sig. Halda skrá yfir vinnsluaðgerðir. Hvaða upplýsingar er ég að vinna, hvar flokkast þær og hvaða tegund er ég að vinna með, eru þær almennar? Undantekning er fyrir stofnanir sem eru undir 250 manns. Síðan er breytt tilkynningarskilda þ.e. tilkynna þarf um allar persónuupplýsingar. Nú þarf að tilkynna um öryggisbrest til Persónuverndar innan 72 klst. frá því bresturinn varð. Einnig þarf að tilkynna hvernig vinna á úr öryggisbrestinum. Einnig er skylda að tilkynna öryggisbrest til einstaklinganna sjálfra.
Fyrirtæki og stofnanir þurfa að skipa sér persónuverndarfulltrúa óháð stærð sinni. Ef kjarnastarfsemi felst í því þá er það nauðsynlegt. Þetta á við tryggingarfélög, banka o.fl. Þessi fulltrúi heyrir beint undir forstjóra, hann þjálfar starfsmenn sem vinna með persónuupplýsingar. Ekki er hægt að pikka hvern sem er út heldur velja þann sem þekkir persónuverndarlögin.
Fyrirtækin eiga að framkvæma mat. Hvað er ég að fara að vinna? Er ég að gæta hófs? Í alvarlegustu tilvikunum á að leita álits persónuverndar samræmist gildandi lögum og reglum. Evrópska persónuverndarráðið (EDPB) mun stórauka sektarheimildir allt að 4% af heildarveltu fyrirtækis.
Það er alveg ljóst að persónuvernd er komin í fyrsta sæti. Nú þarf vitundarvakningu þannig að allir skilji hvaða skyldur hvíla á þeim. Þetta er viðvarandi verkefni fyrir gæðastjórnun og auka þarf vitundina. Nú þarf að byrja á að greina allar upplýsingar. Erum við ábyrgðar eða vinnsluaðili? Það er alveg ljóst að þetta mun kalla á tíma. Tækifæri felast í verndinni, það eykur traust og sá sem fylgir reglunum ætti að fá aukin viðskipti. Framundan er fundarröð hjá Persónuvernd. Haldnar verða málstofur fyrir aðila.
Hörður Helgi Helgason, hdl. Landslög sagði komin tími til að huga að því hvernig hægt væri að aðstoða fyrirtæki við innleiðingu nýju laganna. Núgildandi reglur 77/2000 um persónuvernd hafa kjarnann um hvernig megi vinna með persónuupplýsingar. Lögin kveða á um ákveðnar heimildir og upplýsingaöryggi. Gull hvers fyrirtækis og stofnana eru upplýsingar. Sjávarútvegsfyrirtæki vinna í dag mikið með upplýsingar. Upplýsingar eru þrennt: leynd, réttleiki og aðgengileiki. Tryggja þarf að upplýsingar séu réttar og þeir sem þurfa að komast í upplýsingarnar komist í þær og þær séu réttar t.d. á Landspítalanum.
Á ISO.org er hægt að sjá alla staðla um persónuvernd. En hvað breytist í nýju reglugerðinni? Í fyrsta lagi þá verður sjálfstæð heimild til að vinna með persónuupplýsingar í öryggisskyni. Ef það er þörf eða nauðsyn þá er það heimilt. Annað þá er það uppsetning kerfanna. Ef þau snúa að starfsmönnum þá þarf að passa að starfsmenn fái ekki meiri upplýsingar en þau þurfa. CRM kerfi koma tilbúin uppsett með að vinna mjög mikið með sínum viðskiptavini. Þar þarf að skoða hvort safna megi/eigi öllum þessum upplýsingum. Gegnumgangandi er að menn eru að skipta úr að segja hér eru skyldur í stað þess að nú þarf að skjala jafn óðum og sanna að yfir árabil hafi ráðstafanir verið til sönnunar. Nú þurfa því allir að fara af stað og vera tilbúnir að standa skil á. Nú er komin ný gullin regla. Hver og einn á rétt á að gætt sé öryggis varðandi upplýsingar um hann sem einstakling. Fyrirtæki þurfa núna að kóta niður og sýna hvernig þau gæta upplýsingaöryggis. Fylgt verður hart eftir öryggisreglunni um upplýsingabrest og því að tilkynnt sé um upplýsingabrest til Persónuverndar inna 72 klst.
Hörður benti á að hjá Persónuvernd eru prýðilegir bæklingar personuvernd.is Mikill GDPR-iðnaður er sprottinn upp erlendis og eru linkar á tékklistann í glærum með fyrirlestrinum á innra neti Stjórnvísi. Hörður nefndi að lokum að mikilvægt væri að hafa hliðsjón af ISO 27001 við undirbúning verkefnisins: Tryggja stuðning stjórnenda og halda þeim vel upplýstum, ekki reiða sig um á ráðgjafa því þetta verður að vera sjálfsprottið, fara strax af stað því kostnaðurinn verður mikill ef allt á að gerast á sama tíma. Taka saman skrá um alla vinnslu, setja saman og halda uppfærðri tíma-og kostnaðaráætlun sem taki til gerðar allra verkferla, verklagsreglna og mannaráðninga. Stilla saman þeim sviðum sem eru helstu neytendur persónuupplýsinga, UT-sviði, gæðasviði og lögfræðisviði.

Gullna hliðið - Áskoranir í breyttu umhverfi upplýsingafræðinga.

Stjórn faghóps um upplýsingaöryggi vekur athygli á ráðstefnu sem haldin verður

  1. apríl 2014 - kl. 8:30 - 11:00 í Þjóðarbókhlöðunni

Ráðstefnan er haldin á vegum námsbrautar í upplýsingafræði við Háskóla Íslands í samvinnu við Azazo - Gagnavörsluna. Fjölbreytt erindi eru á dagskrá sem tengjast með einum eða öðrum hætti stjórnun og öryggi upplýsinga. Á ráðstefnunni er einnig horft til teymisvinnu og mikilvægi þess að ólíkar faggreinar innan fyrirtækja leggi saman lausnir sínar og stuðli þannig að árangursríkri innleiðingu hugbúnaðarverkefna og skilvirkri notkun upplýsingakerfa.

Húsið opnar kl.8.30

Dagskrá:

8:45 - 9:05

Upplýsingaský og öryggi
Hannes Pétursson, framkvæmdastjóri hugbúnaðarsviðs Azazo

9:05 - 9:25

Kröfur starfsmanna : lækurinn finnur sér alltaf farveg! Kristjana Nanna Jónsdóttir, ráðgjafi Azazo og Björt Baldvinsdóttir

9:25 - 9:45

Samfélagsmiðlar og upplýsingastjórnun : er skjalaöryggi ógnað? Jóhanna Gunnlaugsdóttir, prófessor við Háskóla Íslands, námsbraut í
upplýsingafræði

9:45 - 10:00

KAFFI

10:00 - 10:20

Breytt hlutverk upplýsingastjórans : hvað heiti ég? Gunnhildur Manfreðsdóttir, fagstjóri ráðgjafasviðs Azazo

10:20 - 10:40

Einföldun upplýsingaumhverfis hjá Landsneti Ásgerður Kjartansdóttir, skjalastjóri og Sæmundur Valdimarsson, deildarstjóri upplýsingatæknideildar Landsnets

10:40 - 11:00

Teymi - líka í upplýsingastjórnun
Sigurjón Þórðarson, ráðgjafi hjá Hagvangi

Vinsamlegast skráði þátttöku
hér.https://docs.google.com/a/azazo.com/forms/d/1ppmfqxatgwda4B2lFYMu9uIgLlrh0tuAYi1sEA4DpxY/viewform
Aðgangur er ókeypis.

Hlökkum til að sjá ykkur!

Stjórn

Anna Kristín Kristinsdóttir
Verkefnastjóri - Formaður - ISAVIA ohf.
Arnar Freyr Guðmundsson
Annað - Stjórnandi - Seðlabanki Íslands
Davið Halldórsson
Sérfræðingur - Stjórnandi - KPMG ehf
Hrefna Arnardóttir
Deildarstjóri - Stjórnandi - Advania
Kristín Ósk Hlynsdóttir
Annað - Stjórnandi - Veðurstofa Íslands
Margrét V. Helgadóttir
Sérfræðingur - Stjórnandi - Íslandspóstur
Fannst þér efnið á síðunni hjálplegt?