Aðrar útgáfur af skjalinu: PDF - Word Perfect. Ferill 611. máls.
141. löggjafarþing 2012–2013.
Þingskjal 1265 — 611. mál.
Óskað var eftir upplýsingum frá Fjármálaeftirlitinu við vinnslu svarsins og byggist svarið á upplýsingum frá eftirlitinu.
1. Er upplýsingaöryggi í Fjármálaeftirlitinu á árinu 2013 með vottun á stjórnkerfi upplýsingaöryggis samkvæmt ISO 27001 og hvenær fékkst sú vottun?
Fjármálaeftirlitið er ekki með utanaðkomandi vottun á stjórnunarstaðli gagna- og upplýsingaöryggis, þ.e. ISO 27001.
2. Ef slík vottun er ekki fyrir hendi, af hverju var fallið frá því að fá slíka vottun eins og stefnt var að á árinu 2009 í skýrslu um áætlaðan rekstrarkostnað Fjármálaeftirlitsins 2008?
Ákvörðun um vottun samkvæmt ISO 27001 var tekin fyrir hrun efnahagskerfisins. Stefnt var að því að innleiða stjórnkerfið fyrri hluta ársins 2008 og fá úttektaraðila til að taka kerfið út með það að markmiði að fá kerfið vottað fyrir lok ársins 2008. Það náðist ekki þar sem hrun efnahagskerfisins hafði áhrif á breytta forgangsröðun Fjármálaeftirlitsins, eðli málsins samkvæmt. Hins vegar hefur gagna- og upplýsingaöryggiskerfið verið mótað og skjalfest í formi stefnuskjala, verklagsreglna, vinnulýsinga og eyðublaða (forma). Gagna- og upplýsingaöryggismálum Fjármálaeftirlitsins er nú stýrt samkvæmt því uppleggi auk þess að hafa verið töluvert endurbætt við flutning stofnunarinnar á Höfðatorg. Innleitt hefur verið m.a. nýtt aðgangs- og myndavélakerfi, hert á reglum um aðgengi og aðgangsstýrðum svæðum fjölgað.
Við þetta má bæta að áfram er unnið að umbótum á öllu skipulagi og verklagi Fjármálaeftirlitsins þar sem m.a. fleiri alþjóðlegir stjórnunarstaðlar, svo sem ISO 9001, eru hafðir til viðmiðunar sem styðja munu enn frekar við verklag samkvæmt ISO 27001.
Þá hefur núverandi stjórn Fjármálaeftirlitsins ekki tekið ákvörðun um vottun samkvæmt ISO 27001.
141. löggjafarþing 2012–2013.
Þingskjal 1265 — 611. mál.
Svar
atvinnuvega- og nýsköpunarráðherra við fyrirspurn Guðlaugs Þórs Þórðarsonar
um vottun á stjórnkerfi upplýsingaöryggis.
Óskað var eftir upplýsingum frá Fjármálaeftirlitinu við vinnslu svarsins og byggist svarið á upplýsingum frá eftirlitinu.
1. Er upplýsingaöryggi í Fjármálaeftirlitinu á árinu 2013 með vottun á stjórnkerfi upplýsingaöryggis samkvæmt ISO 27001 og hvenær fékkst sú vottun?
Fjármálaeftirlitið er ekki með utanaðkomandi vottun á stjórnunarstaðli gagna- og upplýsingaöryggis, þ.e. ISO 27001.
2. Ef slík vottun er ekki fyrir hendi, af hverju var fallið frá því að fá slíka vottun eins og stefnt var að á árinu 2009 í skýrslu um áætlaðan rekstrarkostnað Fjármálaeftirlitsins 2008?
Ákvörðun um vottun samkvæmt ISO 27001 var tekin fyrir hrun efnahagskerfisins. Stefnt var að því að innleiða stjórnkerfið fyrri hluta ársins 2008 og fá úttektaraðila til að taka kerfið út með það að markmiði að fá kerfið vottað fyrir lok ársins 2008. Það náðist ekki þar sem hrun efnahagskerfisins hafði áhrif á breytta forgangsröðun Fjármálaeftirlitsins, eðli málsins samkvæmt. Hins vegar hefur gagna- og upplýsingaöryggiskerfið verið mótað og skjalfest í formi stefnuskjala, verklagsreglna, vinnulýsinga og eyðublaða (forma). Gagna- og upplýsingaöryggismálum Fjármálaeftirlitsins er nú stýrt samkvæmt því uppleggi auk þess að hafa verið töluvert endurbætt við flutning stofnunarinnar á Höfðatorg. Innleitt hefur verið m.a. nýtt aðgangs- og myndavélakerfi, hert á reglum um aðgengi og aðgangsstýrðum svæðum fjölgað.
Við þetta má bæta að áfram er unnið að umbótum á öllu skipulagi og verklagi Fjármálaeftirlitsins þar sem m.a. fleiri alþjóðlegir stjórnunarstaðlar, svo sem ISO 9001, eru hafðir til viðmiðunar sem styðja munu enn frekar við verklag samkvæmt ISO 27001.
Þá hefur núverandi stjórn Fjármálaeftirlitsins ekki tekið ákvörðun um vottun samkvæmt ISO 27001.
