Upplýsingaöryggisstefna
Stefna LSS um öryggi upplýsinga
Stefna Lífeyrissjóðs starfsmanna sveitarfélaga, LSS, um öryggi upplýsinga snýst um verndun upplýsinga stofnunarinnar og sjóðfélaga. Verndin snýr að ógnum, innan frá sem utan, vísvitandi eða óviljandi. Markmiðið er að tryggja áframhaldandi rekstur og lágmarka tjón, með því að koma í veg fyrir tjón eða lágmarka áhrif af þeim atvikum sem truflað geta rekstur lífeyrissjóðsins. Öryggi upplýsinga er á ábyrgð forstöðumanns skrifstofu- og fjárhagssviðs. Stjórn lífeyrissjóðsins hefur skuldbundið hann til að fara eftir stefnu þessari. Stefna þessi tekur til þeirra upplýsingakerfa er varða starfsemi hans, samkvæmt lista yfir þau þar sem koma skal fram hver ber ábyrgð á hverjum hluta kerfisins. Ef rekstri kerfa LSS er útvistað gildir stefna LSS hjá viðkomandi hýsingaraðila. Stefnu þessa skal endurskoða að minnsta kosti árlega og samþykkja af stjórn lífeyrissjóðsins. Ábyrgðarmaður upplýsingaöryggis skal kynna stefnuna fyrir hagsmunaaðilum, þ.m.t. starfsmönnum, hýsingaraðilum og sjóðsfélögum (t.d. með birtingu á heimasíðu). Skulu hýsingaraðilar beita þeim öryggisúrræðum sem þeir telja nauðsynleg til að tryggja öryggi þeirra kerfa sem þeir sjá um, hvort sem um er að ræða verklag, hugbúnað, netuppsetningu eða raunlægt öryggi. Upplýsingakerfi lífeyrissjóðsins innihalda viðkvæmar upplýsingar sem eingöngu má nota í starfsemi hans. Hagsmunir lífeyrissjóðsins og sjóðfélaga gætu skaðast ef upplýsingar komast í rangar hendur, reynast rangar eða eru ekki aðgengilegar þegar þeirra er þörf. Stjórn LSS hefur því samþykkt eftirfarandi reglur er varða trúnað og að gögn séu rétt og aðgengileg.
Reglur um trúnað.
Til að tryggja að enginn óviðkomandi aðili hafi aðgang að upplýsingum sem tilheyra starfsemi LSS.
Þetta tekur til upplýsinga á rafrænu sem og útprentuðu formi og hvort sem þau eru geymd í húsnæði lífeyrissjóðsins eða vistuð hjá þjónustuaðila. ·
Aðgangur að þeim upplýsingakerfum sem þessi stefna tekur til skal ekki veittur nema með samþykki stjórnenda lífeyrissjóðsins. ·
Þjónustuaðili skal leita samþykkis fyrir aðgangsbeiðnum frá öðrum en ábyrgðaraðila viðkomandi kerfis með rekjanlegum hætti, svo sem tölvupósti.·
Hýsingaraðilar skulu upplýsa ábyrgðarmann upplýsingaöryggis um hverjir hafa aðgang að kerfum a.m.k. einu sinni á ári, þ.m.t. er aðgangur þeirra sem hafa réttindi kerfisstjóra í öllum kerfum. ·
Aðgengi utanaðkomandi aðila svo sem þjónustuaðila skal vera í lágmarki bæði hvað snertir umfang og tímabil aðgangs, t.d. með því að láta aðgang þjónustuaðila renna út eftir ákveðinn tíma. ·
Upplýsingar um lífeyrissjóðinn og sjóðsfélaga eru í forsjá lífeyrissjóðsins og ber þeim sem þær meðhöndla að fara með þær sem trúnaðarmál. Ekki er leyfilegt að veita upplýsingar um t.d. persónulega hagi sjóðsfélaga nema í samráði við ábyrgðarmann upplýsingaöryggis. ·
Notendaaðgangur skal vera tengdur við nafngreinda starfsmenn nema annað sé nauðsynlegt og skulu slíkar undantekningar skráðar. Lykilorð skulu vera minnst átta (8) stafir, skipt um þau á 90 daga fresti og krafist lágmarks flækjustigs. Gæta skal þess að 8 síðustu lykilorð verði óvirk.
Reglur um gæði upplýsinga.
Til að tryggja að upplýsingar sem skráðar eru séu réttar og nákvæmar.
Rangar, villandi ófullkomnar og úreltar upplýsingar skal leiðrétta eða eyða þegar þær uppgötvast. Eftirlit með áreiðanleika upplýsinga skal vera reglubundið. Breytingar á aðgangskerfum skal prófa sérstaklega, í aðskildu umhverfi áður en þau eru tekin í notkun·
Möguleiki þarf að vera á að breytingar séu afturkræfar hafi þær skaðleg áhrif á upplýsingakerfin. ·
Óski lífeyrissjóðurinn þess getur hann farið fram á að óháður aðili taki út þá þjónustu sem hann kaupir hjá þjónustuaðila.
Reglur um aðgengi að upplýsingum.
Til að tryggja að upplýsingar sem skráðar eru í upplýsingakerfi séu aðgengilegar þeim sem þær þurfa að nota þegar þeirra er þörf.
Tryggja skal að kerfi og gögn sem kunna að eyðileggjast sé hægt að endurheimta með neyðaráætlun og afritum sem geymd eru á öruggum stað. ·
Komi til langvarandi rekstrarstöðvunar eða að húsnæði verði ekki aðgengilegt af einhverjum orsökum verða hýsingaraðilar að tryggja fjaraðgang að kerfum t.d. frá heimilum starfsmanna. Gæta skal sérstaklega að því, síðustu 5 daga hvers mánaðar og fyrsta virkan dag eftir mánaðamót, að kerfin séu aðgengileg.·
Gögn lífeyrissjóðsins skulu afrituð a.m.k. í lok hvers virks dags. ·
Sjálfstæð afrit skal gera í lok hvers reikningsárs og geyma með öruggum hætti í samræmi við reglugerð um rafrænt bókhald, nr. 598/1999. Starfsmenn lífeyrissjóðsins og þjónustuaðilar skulu tilkynna ábyrgðarmanni upplýsingaöryggis öll frávik vegna aðgengis, trúnaðar og áreiðanleika upplýsinga. Öll frávik sem verða innan lífeyrissjóðsins (svo sem rangir útreikningar) og þeirra sem verða hjá hýsingaraðilum (svo sem of víðtækur aðgangur) ber ábyrgðaraðila að skrá sérstaklega. Frávikaskráning er grundvallaratriði í innra eftirliti með öryggi upplýsinga og skal vera aðgengileg úttektaraðilum, svo sem innri endurskoðendum og Fjármálaeftirliti. Starfsmenn lífeyrissjóðsins og þjónustuaðila, sem hafa aðgang að upplýsingum sjóðsins eða vinna við rekstur upplýsingakerfa hans, skulu þekkja stefnu LSS varðandi öryggi upplýsinga. Þeir skulu einnig þekkja verklagsreglur sem snerta störf þeirra og fara eftir þeim þegar unnið er með upplýsingar eða upplýsingakerfi lífeyrissjóðsins. Stefna LSS um öryggi upplýsinga tekur mið af lögum og reglugerðum um skyldutryggingu lífeyrisréttinda, starfsemi lífeyrissjóða, persónuverndar og meðferð persónuupplýsinga. Stefna þessi er í samræmi við leiðbeinandi tilmæli Fjármálaeftirlitsins nr. 1/2005 um rekstur upplýsingakerfa eftirlitsskyldra aðila og reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.
Beiðni um undanþágu frá greiðslujöfnun
Fræðsluvefur lífeyrissjóðanna
Launagreiðendavefur LSS
(á eingöngu við LSS)
Sjóðsfélagavefur LSS
(á eingöngu við LSS)
Leit
Stjórnborð
Mynd
Skrifstofa LSS
Sigtúni 42
105 Reykjavík
Sími: 540 0700
Netfang: lss(hjá)lss.is
Opið alla virka daga
kl. 9.00-12.00 og 12.30-16.00
