Árið 2023

Áhættustjórnun

Innra eftirlit og áhættustýring

Áhættustjórnuner hluti af stjórnkerfi Sýnar í þeim tilgangi að tryggja árangursríkan, ábyrgan og samfelldan rekstur. Markmið áhættustýringar hjá Sýn er að tryggja samfelldan rekstur við hverjar þær aðstæður sem upp kunna að koma. Félagið hefur sett sér áhættustefnu sem endurspeglar áherslu stjórnar á meðhöndlun áhættu í starfsemi Sýnar. Fagleg vinnubrögð starfsfólks er lykill að árangri og tryggir að viðeigandi ráðstöfunum sé beitt til að draga úr áhættum sem steðja að starfsfólki eða félaginu. Heilt yfir er rekstur Sýnar frekar áhættufælinn sem þýðir að félagið bregst almennt við áhættum með því að meðhöndla þær til áhættulækkunar, t.d. þegar kemur að þjónusturofi vegna óveðurs, heilsu og öryggi starfsfólks, viðskiptavina, vinnslu upplýsinga og rekstur net- eða upplýsingakerfa. Framkvæmdastjórn ber ábyrgð á stefnumótun áhættustýringar en felur gæða- og öryggisráði að sjá um framkvæmd stefnunnar, vöktun og eftirlit með breytingum á áhættuumhverfinu.

Víðtækar innri og ytri úttektir eru gerðar á helstu þáttum í rekstri félagsins, t.d. á ytra og innra öryggi kerfa, getu gagnaflutningsneta, upplýsingaöryggi, viðkvæmum ferlum sem og fjármálaferlum félagsins.

Úttektir á stjórnkerfi upplýsingaöryggis, hlítni við lög, reglur og meðferð trúnaðarupplýsinga er á ábyrgð gæða- og öryggisdeildar sem upplýsir gæða- og öryggisráð Sýnar um niðurstöður þeirra. Í gæða- og öryggisráði eiga sæti forstjóri, framkvæmdastjórar, forstöðumenn innviða og Endor, dótturfélags Sýnar, og gæða- og öryggistjóri. Ráðið fundar mánaðarlega.

Regluvörður heyrir undir Lögfræðisvið Sýnar. Meginhlutverk regluvörslu er að draga úr hættu á því að reglur séu brotnar í rekstri félagsins með fyrirbyggjandi aðgerðum. Þá snýr starf regluvarðar öðru fremur að tryggja að fullnægjandi þekking sé til staðar innan félagsins á ákvæðum um meðferð innherjaupplýsinga og viðskipti stjórnenda.

Stjórn Sýnar fer a.m.k. einu sinni á starfsári yfir helstu þætti innra eftirlits og áhættustýringar félagsins og skilgreinir þá áhættuþætti sem félagið þarf að takast á við. Stjórn sér einnig til þess að til staðar sé fullnægjandi kerfi innra eftirlits, sem er formlegt og skjalfest.

Upplýsingaöryggi

Sýn leggur áherslu á jákvæða öryggismenningu innan félagsins með það að markmiði að öryggi og vernd upplýsinga verði hluti af daglegum störfum starfsfólks. Öll sem hefja störf hjá félaginu fara í gegnum ítarlegt nýliðanámskeið þar sem m.a. er lögð áhersla á öryggisvitund, persónuvernd og fylgni við lög, reglur og innra verklag. Sýn hefur komið upp rafrænni fræðslugátt, UNI, þar sem er að finna fjölda af ítarlegum rafrænum námskeiðum. Árlega skal allt starfsfólk félagsins taka rafræn námskeið um upplýsingaöryggi og persónuvernd.

Árið 2014 hlaut Sýn í fyrsta sinn vottun á stjórnkerfi félagsins í upplýsingaöryggi sem byggir á alþjóðlega staðlinum ISO2701. Vottunin staðfestir að unnið sé í samræmi við kröfur staðalsins. Árlega framkvæma úttektaraðilar úttekt á stjórnkerfinu til að tryggja virkni þess. Í maí 2023 fór fram þriggja ára endurnýjunarúttekt á vottuninni og var ákveðið að fá nýja úttektaraðila að borðinu. Samið var við KPMG og framkvæmdu úttektaraðilar, bæði frá Íslandi og Finnlandi, úttektina. Úttektaraðilar staðfestu vottun stjórnkerfisins.

Hluti af starfsemi Sýnar telst til rekstrarlega nauðsynlegrar þjónustu fyrir Ísland og tryggir stjórnkerfi félagsins m.a. fylgni við lög og reglur um öryggi net- og upplýsingakerfa mikilvægra innviða. Sýn lýtur eftirliti Fjarskiptastofu. Net- og upplýsingakerfi félagsins eru vöktuð allan sólahringinn af starfsfólki stjórnborðs Sýnar þar sem unnið er eftir skilgreindu verklagi ef upp koma bilanir eða þjónusturof. Til staðar er viðbragðs- og neyðaráætlun sem er virkjuð ef upp koma atvik eða atburðir sem ógna öryggi net- eða upplýsingakerfa. Þar eru hlutverk og ábyrgð skýr og skilgreindar hafa verið aðgerðir og boðleiðir eftir mismunandi atvikum og atburðum. Til að mynda var ákveðið að færa Sýn á viðbúnaðar- og viðbragðsstig samkvæmt neyðaráætlun félagsins viku fyrir og eftir leiðtogafund Evrópuráðsins í Reykjavík í maí 2023. Þar sem metin var töluverð áhætta á því að ógnaraðilar myndu ráðast á net- eða upplýsingakerfi opinberra aðila, fyrirtækja og fjarskiptafélaga. Það að vera á viðbúnaðar- og viðbragðsstigi felur m.a. í sér að farið er í ýmsar fyrirbyggjandi aðgerðir, eftirlit er aukið með netárásum eða netógnum og fleira starfsfólk er í viðbragðsstöðu.

Viðbragðs- og neyðaráætlun var jafnframt virkjuð nokkrum sinnum á árinu vegna veðurhamfara, jarðhræringa og eldgosa á Reykjanesi. Neyðaráætlun er í stöðugri rýni og endurskoðun þar sem eftirfylgnifundir eru haldnir eftir hvert atvik eða atburð. Á fundunum er m.a. farið yfir hvort skilgreint skipulag og aðgerðir hafi virkað rétt og hvað hefði mátt gera með öðrum hætti.

Við notum vefkökur til að bæta upplifun þína á síðunni. Með því að halda áfram að vafra um síðuna samþykkir þú skilmála okkar um notkun á vefkökum, að öðrum kosti getur þú kynnt þér hvernig má stýra notkun þeirra.