Landsarkitektúr upplýsingaöryggis opinberra aðila

Á haustmánuðum 2020 fór Landsarkitektúr um upplýsingaöryggi opinberra aðila í samráðsgátt. Landsarkitektúr upplýsingaöryggis er hluti af Tækniarkitektúr opinberra aðila sem er í vinnslu. Landsarkitektúr um upplýsingaöryggi er ætlað að leiðbeina stofnunum um hvernig þær geti eflt netöryggi og samræmt vinnubrögð og aðgerðir í netöryggismálum þvert á stofnanir.

Í Landsarkitektúr upplýsingaöryggis eru ýmis mál sem þarf að huga að, sem dæmi má nefna er:

• Stjórnkerfi upplýsingaöryggis
  Opinberir aðilar þurfa að innleiða stjórnkerfi upplýsingaöryggis byggt á ISO27001 fyrir lok 2022. Vottunar stjórnkerfis er þörf séu meðhöndluð mjög viðkvæmar upplýsingar.
• Upplýsingaöryggisstefna
  Gerð er krafa á að skjalfest upplýsingaöryggisstefna sé gerð, samþykkt af æðstu stjórnendum og reglulega uppfærð.
• Upplýsingaöryggisstjóri
  Séu gögn sem flokkast undir viðkvæm eða mjög viðkvæm meðhöndluð, er krafa á að upplýsingaöryggisstjóri sé til staðar.
• Áhættustjórnun
  Formlegt ferli við gerð áhættumats og áhættumeðferðar skal vera innleitt ásamt því sem áhættumat skal vera uppfært reglulega.
• Samfelldur rekstur
  Þar sem gögn eru meðhöndluð sem flokkast undir viðkvæm eða mjög viðkvæm skal innleiða formlegt ferli um samfelldan rekstur og starfa eftir því ásamt því sem prófa þarf ferlið reglulega.
• Innra eftirlit
  Formlegt innra eftirlit skal framkvæmt þar sem lykilferlar eru prófaðir reglulega.
• Lykilverklagsreglur
  Útbúa og innleiða skal verklagsreglur um lykilatriði upplýsingaöryggis, þar á meðal aðgangsstýringu, breytingastjórnun, uppfærslustjórnun og öryggisprófanir. Frekari upptalning er í Landsarkitektúr upplýsingaöryggis.
• Stjórnun birgja
  Notast skal við sérstakan samningsviðauka sem gefinn hefur verið út m.v. þá tegund gagna sem verið er að meðhöndla.
• Skýjaþjónusta
  Tryggja þarf staðsetningu gagna og öryggisstillingar skýjalausna. Hafa þarf í huga að í vinnslu er stefna og gerð tækniarkitektúrs fyrir skýjaþjónustu hjá ríkinu sem gæti haft áhrif á Landsarkitektúr upplýsingaöryggis.

Sérfræðingar Deloitte hafa mikla reynslu og þekkingu á að aðstoða fyrirtæki við hönnun, útfærslu og innleiðingu stjórnkerfis upplýsingaöryggis ásamt ráðgjöf í kringum aðra lykilþætti sem getið er á um í Landsarkitektúr upplýsingaöryggis.
Einnig er Deloitte í hlutverki upplýsingaöryggisstjóra hjá ákveðnum viðskiptavinum, þar á meðal opinberum aðilum.

Við hvetjum viðeigandi aðila til að kynna sér kröfur Landsarkitektúrs upplýsingaöryggis og innleiða viðeigandi stjórnkerfi og öryggiskröfur í samræmi við kröfurnar.