Upplýsingaöryggisstefna Þekkingar lýsir áherslu félagsins á upplýsingavernd, umbótum og öryggi í allri upplýsingavinnslu. Það er ásetningur Þekkingar að eignir, þar með talin gögn og aðrar upplýsingar, séu varin sem kostur er og í fyllsta samræmi við fyrirmæli yfirvalda, lög og reglugerðir. Verja þarf upplýsingaeignir félagsins fyrir öllum ógnum, hvort sem þær eru innri eða ytri, hvort sem þær eru af ásetningi, vegna óhappa eða af slysni. Innleiðing og framkvæmd stefnunnar er mikilvæg til að fullvissa starfsmenn, samstarfsaðila, viðskiptavini og birgja um að Þekking stjórni öryggi upplýsinga sinna með ábyrgum hætti.

Það er markmið Þekkingar að öryggi upplýsinga sé óaðskiljanlegur hluti reksturs upplýsingakerfa og annarrar starfsemi félagsins. Áhersla er á að varðveita trúnað, heilleika og tiltækileika upplýsinga Þekkingar þannig að þær nýtist sem best í starfsemi fyrirtækisins. Það að vernda upplýsingar fyrirtækisins á skilvirkan hátt ásamt því að tryggja samfelldan rekstur og lágmarka rekstraráhættu er okkar markmið. 

Stefna þessi tekur til allrar starfsemi Þekkingar. Stefnan nær til allrar umgengni og vistunar upplýsinga hjá fyrirtækinu á hvaða formi sem er og á hvaða miðli sem er. Stefnan nær til samskipta starfsmanna, samstarfsaðila, viðskiptavina og birgja. Hún nær einnig til hvers konar skráningar, vinnslu, samskipta, dreifingar, geymslu og eyðingar upplýsinga hjá félaginu. Stefnan tekur jafnframt til húsnæðis og búnaðar þar sem upplýsingar eru meðhöndlaðar eða vistaðar. 

Stefnan skal vera aðgengileg áhugasömum, bæði þeim sem eru innan fyrirtækis sem og utan. Brot á stefnunni verða meðhöndluð sem alvarlegt agabrot og verða meðhöndluð í samræmi við agaferli félagsins.

Það er ætlun okkar að:

• Geyma aðeins eða nota upplýsingar sem við þurfum til að starfrækja reksturinn.
• Bera kennsl á þær upplýsingar sem þarf að vernda og gera okkur grein fyrir gildi þeirra fyrir Þekkingu og viðskiptavini þess.
• Bera kennsl á ógnir sem steðja að upplýsingunum okkar.
• Verja upplýsingarnar okkar fyrir óviðkomandi aðgengi eða breytingum.
• Tryggja að upplýsingarnar okkar séu tiltækar þegar á þarf að halda.
• Farga upplýsingunum okkar á öruggan hátt.
• Vita hverjir eiga að hafa aðgang að upplýsingunum okkar.
• Veita aðeins aðgengi að upplýsingunum okkar þeim sem hafa fengið formlegt samþykki.
• Veita aðeins þann aðgang að upplýsingunum okkar sem nauðsynlegur er fyrir viðkomandi hlutverk.
• Tryggja að allir sem hafa aðgang að upplýsingunum okkar skilja hvað má og má ekki gera við upplýsingarnar.
• Vita hver hefur gert hvað við upplýsingarnar okkar.

Þekking mun stjórna upplýsingaöryggi á kerfisbundin hátt með því að starfrækja formlegt stjórnkerfi upplýsingaöryggi samkvæmt ISO/IEC 27001:2022.

Í handbókum félagsins er að finna skjalfestar ráðstafanir til framfylgni stefnu þessari.

Ábyrgð á framkvæmd og viðhaldi stefnunnar skiptist þannig:

• Upplýsingaöryggisnefnd Þekkingar ber ábyrgð á stefnunni og endurskoðar hana reglulega til þess að tryggja að hún samrýmist markmiðum með rekstri félagsins.
• Stjórnendur félagsins bera ábyrgð á innleiðingu stefnunnar.
• Stjórnendur félagsins bera ábyrgð á því að kröfur fyrirtækisins um öryggi upplýsinga séu tilgreindar í samningum við samstarfsaðila, viðskiptavini og birgja í samræmi við áhættumat.
• Upplýsingaöryggisstjóri ber ábyrgð á framkvæmd stefnunnar og beitir til þess viðeigandi stöðlum og bestu aðferðum.
• Upplýsingaöryggisnefnd Þekkingar rýnir viðbrögð vegna öryggisatvika og innleiðir breytingar á öryggisstefnu, ferlum, skipulagi eða viðbrögðum ef tilefni er til.
• Öllum starfsmönnum Þekkingar ber að vinna samkvæmt stefnunni. Þeir bera ábyrgð á að fylgt sé þeim stýrimarkmiðum og verklagsreglum sem eiga að tryggja framkvæmd stefnunnar. 
• Þeir sem ógna öryggi upplýsinga Þekkingar af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðgerðir.
• Öllum starfsmönnum Þekkingar ber að tilkynna um öryggisatvik og veikleika sem varða öryggi upplýsinga.

Síðast uppfært: Kópavogur, 6. júlí 2023