Tilgangur
Samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 ber Menntaskólanum við Sund að tryggja viðunandi öryggi persónuupplýsinga. Upplýsingaöryggisstefna þessi lýsir áherslum skólans á mikilvægi þeirrar skyldu. Verja þarf persónuupplýsingar hjá skólanum fyrir öllum ógnum, bæði innri og ytri, og gildir einu hvort þær ógnanir stafi af ásetningi eða gáleysi. Með þessari stefnu geta starfsmenn, nemendur, forráðamenn, viðskiptamenn og aðrir treyst ásetningi skólans til að standa vörð um öryggi persónuupplýsinga, m.t.t. til leyndar, réttleika og tiltækileika.
Umfang
Upplýsingaöryggisstefna þessi nær til umgengni og vistunar allra persónuupplýsinga í vörslu Menntaskólans við Sund. Hún tekur til innri starfsemi skólans og þeirrar þjónustu sem skólinn veitir nemendum sínum á samnýttum eða sértækum búnaði, auk allra innri kerfa, hug- og vélbúnaðar í eigu og undir fullri stjórn skólans. Jafnframt tekur hún til húsnæðis þar sem persónuupplýsingar eru meðhöndlaðar, starfsmanna og samningsbundinna aðila sem aðgang hafa að upplýsingunum.
Markmið
Markmið Menntaskólans við Sund með upplýsingaöryggisstefnu þessari er að:
- Persónuupplýsingar séu réttar og aðgengilegar þeim sem aðgangsheimild hafa.
- Leynd persónuupplýsinga og trúnaði sé viðhaldið í samræmi við lög og reglur þar að lútandi.
- Persónuupplýsingar séu varðar gegn skemmdum, eyðingu eða uppljóstrun, án tillits til þess hvort það komi til vegna ásetnings eða gáleysis.
- Persónupplýsingar sem fara um kerfi skólans komist til rétts viðtakanda, óskaddaðar og á réttum tíma.
- Að áhætta sem fylgir því að vinna með persónuupplýsingar sé innan skilgreindra áhættumarka.
- Að fylgja öllum lögum, reglugerðum og reglum sem varða meðferð persónuupplýsinga.
- Fylgja öllum samningum sem skólinn er aðili að og varða vernd persónuupplýsinga.
- Frávik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt og rannsökuð.
- Unnið sé að stöðugum umbótum þegar kemur að upplýsingaöryggi.
Leiðir að markmiði
Leiðir Menntaskólans við Sund að framangreindum markmiðum eru að:
- Halda skrár yfir upplýsingaeignir þar sem finna má persónuupplýsingar, hvort sem þær eru á rafrænu formi eða á pappír, og flokka þær eftir eðli og mikilvægi leyndar.
- Framkvæma reglulega formlegt áhættumat upplýsingaeigna til að greina þá áhættu sem vinnsla persónuupplýsinga getur haft í för með sér fyrir einstaklinga.
- Stjórna áhættu vegna vinnslu persónuupplýsinga innan skilgreindra marka með því að starfrækja stjórnkerfi upplýsingaröryggis.
- Framkvæma mat á áhrifum á persónuvernd ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir frelsi og réttindi einstaklinga, svo sem þegar til stendur að taka ný kerfi í notkun sem hýsa eða vinna persónuupplýsingar að öðru leyti.
- Viðhalda rekstrarhandbók með verklagsreglum og verkferlum vegna vinnslu persónuupplýsinga.
- Allir starfsmenn skólans fái reglulega þjálfun og fræðslu varðandi öryggi persónuupplýsinga og um þá ábyrgð sem á þeim hvílir.
- Allir starfsmenn fylgi gildandi lögum og reglum.
- Tryggja að afrit af persónuupplýsingum sé til og varðveitt á öruggan hátt.
Ábyrgð
- Rektor ber ábyrgð á þessari upplýsingaöryggisstefnu og því að hún sé endurskoðuð
- Rektor er ábyrgur fyrir framkvæmd stefnunnar.
- Tölvuumsjónarmaður í samstarfi við kerfisstjóra sér um daglega stjórnun upplýsingaöryggis.
- Persónuverndarfulltrúi skal sjá til þess að starfsfólk hljóti viðeigandi fræðslu um öryggi persónuupplýsinga.
- Öllum starfsmönnum Menntaskólans við Sund ber að vinna samkvæmt upplýsingaöryggisstefnunni. Þeim ber að tilkynna öryggisfrávik og veikleika sem varða upplýsingaöryggi. Þeir sem ógna upplýsingaöryggi skólans af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðferðir.
Endurskoðun
Þessa stefnu skal endurskoða árlega og oftar ef þörf krefur til að tryggja að hún samrýmist markmiðum Menntaskólans við Sund.
Síðast uppfært: 28.01.2022