Staðlamál

Stjórnkerfi upplýsingaöryggis - Innleiðing
Innleiðingarferlinu var skipt niður í nokkra verkþætti.  Sá fyrsti fólst í að fá aðstoð frá KPMG ráðgjöf við að kanna viðhorf meðal viðskiptavina Teris. Megintilgangur könnunarinnar var að finna helstu styrkleika og veikleika fyrirtækisins áður en byrjað væri að innleiða stjórnkerfið.  Því næst var hafist handa við að búa til öryggisstefnu. Til að verkefnið fengi forgang innan fyrirtækisins var ákveðið að stjórnunarteymi Teris markaði stefnuna. Tekist var á um ýmsa hluti og oft þurfti að taka stórar ákvarðanir um breytingar á rekstrarumhverfi Teris. Öryggisstefnan var samþykkt af stjórn og undirrituð af framkvæmdastjóra í maí 2003.

Undirrituð öryggisstefna var kynnt fyrir starfsmönnum og viðskiptavinum og markmiðið var strax frá upphafi að fá vottun á stjórnkerfið samkvæmt staðlinum. Seinna kom í ljós að það féll vel að leiðbeinandi tilmælum um rekstur upplýsingakerfa hjá eftirlitskyldum aðilum sem  Fjármálaeftirlitið gaf út árið 2005.

Uppbygging verkferla var yfirfarin og borin saman við þær aðferðir sem staðallinn gerir kröfur um, allt frá ráðningarferli nýrra starfsmanna til tæknilegar uppbyggingar upplýsingakerfa Teris. Meðal annars voru teknar ákvarðanir um að endurhanna hluta af tæknilegu umhverfi fyrirtækisins og þurfti rekstrarsviðið að marka sér stefnu og áætlun í þeim málum. 

Í innleiðingarferlinu komu tímar þar sem verkefnið gekk vel en einnig tímar þar sem innleiðingin gekk hægar en gert var ráð fyrir. Á heildina litið tóku allir starfsmenn þessum breytingum á vinnuaðferðum mjög vel. Þegar farið var yfir verkferlana kom í ljós að í flestum tilfellum höfðu starfsmenn unnið eftir mjög skýrum ferlum þó að þeim hefði ekki verið komið skipulega fyrir í öryggishandbók.

Mikilvægt atriði í staðlinum er að starfsmenn fylgi settum verklagsreglum um breytingastjórn og að allt sem viðkemur breytingum sé skjalað. Það tók tíma að koma þeim breytingum í fastar skorður hjá Teris og enn koma fyrir frávik, en með góðu eftirliti fækkar þeim stöðugt.  

Betri öryggisvitund starfsfólks
ÍST ISO/IEC 27001 gerir kröfu um  ítarlega skráningu frávika sem upp koma í rekstrarumhverfinu. Eitt af hlutverkum öryggisnefndar, en í henni sitja nokkrir úr  stjórnunarteymi Teris, er að yfirfara þessi frávik og flokka eftir alvarleika. Mikilvægt er að teknar séu ákvarðanir sem miða að því að læra af frávikunum og finna lausnir sem koma í veg fyrir að þau komi fyrir aftur. 

Stjórnunaraðferðir sem staðallinn gerir kröfur um hafa tvímælalaust styrkt stöðu Teris í öryggismálum. Öryggisvitund starfsmanna hefur aukist og almennur skilningur er á mikilvægi þess að fylgja þeim aðferðum og verkferlum sem innleiddir hafa verið í fyrirtækinu.  Rekstrarumhverfið er öruggara og við erum með skilvirkari stjórnun í öryggismálum. 

Teris fékk vottun í júní árið 2006 hjá KPMG Audit Plc í Bretlandi. Samnningur var gerður við þá til loka árs 2009 um úttektir á sex mánaða fresti. Úttekt verður næst gerð  í lok þessa mánaðar.
Þegar horft er yfir farinn veg sjáum við hve mikið verk hefur verið unnið undanfarin ár til að tryggja betur öryggi gagna og upplýsinga í kerfum Teris og viðskiptavina þess. Þrátt fyrir þessa miklu vinnu þá mælum við  tvímælalaust með að fyrirtæki innleiði stjórnkerfi upplýsingaöryggis samkvæmt ÍST ISO/IEC 27001.