Dokkufundur - 4. okt. 2016 - Síminn - final - til afhendingar
1. Stöðugar umbætur í rekstri Símans og
samspil við áhættustýringu
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
2. Hlíting gagnvart eftirlitsaðilum
Síminn hlítir ýmsum reglugerðum og lögum,
meðal annars:
• Persónuverndarlög nr. 77/2003 ásamt
reglugerðum PV
• Fjarskiptalög nr. 81/2003 ásamt reglugerðum
PFS
• Tilmæli Fjármálaeftirlitsins nr. 2/2014 og
6/2014
• Samkeppnislög nr. 44/2005
• Hlíting við PCI-DSS
• Hlíting við ISO 27001:2013
3. Vottað stjórnunarkerfi í 14 ár
Apríl 2002
Anza sameinast
Símanum
2007
Fyrirtækjasvið
Símans
Varan VIST innan
vottunar
Upplýsingatæknisvið
stofnað innan Símans
Vorið 2014
Upplýsingatæknisvið
sameinast Sensa
Áramót 2015 Vor 2015Júní 2007 Vor 2016
Undirbúningur fyrir
vottun hefst
Síminn vottaður skv.
ISO 27001:2013
Míla vottað skv. ISO
27001:2013
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
4. Hvers vegna vottun?
• Viðskiptavinir á fyrirtækjamarkaði gera auknar kröfur um vottun
- Lykill að markaði
• Hún hámarkar öryggi upplýsinga og búnaðar í eigu og vörslu félagsins
• Ógn af netárásum og upplýsingaleka fer vaxandi
• Hún styður við sterka ímynd fyrirtækisins og gildið áreiðanleg
• Hún styður við stefnu Símans um stöðugar umbætur
• Hún tryggir óháða úttekt á innra verklagi
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
5. Hvað er undir í vottun Símans?
• Afhendingu á tal- og farsímaþjónustu
að meðtöldum gagnaflutningi
• Virðisaukandi þjónustu
• Internetþjónustu
• Sjónvarpsþjónustu
• Gagnaflutningsþjónustu
• Samtengingar
• Heildsölu og smásölu
• Þjónustuver
• Viðskiptastýringu
• Reikningagerð
• Innheimta
Stjórnunarkerfi Símans um upplýsingaöryggi nær til starfsmanna, innri starfsemi og þjónustu sem
Síminn veitir frá höfuðstöðvum og hýsingarsölum. Stjórnunarkerfið gildir um öll upplýsinga- og
fjarskiptakerfi sem eru í eigu Símans og nær yfir:
CERTIFICATE NUMBER
IS 648473
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
6. MARKAÐSÁHÆTTA (M) REKSTRARÁHÆTTA (R) HLÍTINGARÁHÆTTA (H) FJÁRHAGSÁHÆTTA (F)
Áhætta sem getur ógnað því að Síminn nái tekju-
eða arðsemimarkmiðum eða hindrar innleiðingu
á stefnu.
Áhætta sem getur truflað samfellda afhendingu á
vörum og þjónustu til viðskiptavina og ógnað öryggi
upplýsinga sem Síminn varðveitir. Einnig ef öryggi
starfsfólks, viðskiptavina og umhverfis er ógnað.
Áhætta sem getur ógnað því markmiði að starfa ávallt
í samræmi við lög, reglur og staðla sem um
starfsemina gilda og brjóta ekki mikilvæga samninga
sem fyrirtækið hefur gert.
Áhætta sem getur skaðað fjáreignir eða takmarkað
fjárfestingargetu eða aðgengi að fjármögnun. Einnig
áhætta sem tengist reikningsskilum og skattalegum
álitaefnum.
• M1 Samkeppni
Áhætta vegna hegðunar keppinauta og
samkeppnis-hömlum stjórnvalda
• R1 Samfelldur rekstur
Áhætta vegna bilana í fjarskiptakerfum,
tækniumhverfi, upplýsingakerfum eða vegna
annarrar stöðvunar á afhendingu vöru eða
þjónustu til viðskiptavina
• H1 Fjarskiptamarkaður og ákvarðanir PFS
Áhætta tengd hlítingu við lög og reglur á
fjárskiptamarkaði, ákvarðanir PFS og viðhaldi
starfsleyfa frá PFS.
• F1 Lausafjárstaða
Áhætta tengd lausafjárstöðu og
skammtímafjármögnun
• M2 Viðskiptavinir, tekjur og arðsemi
Áhætta vegna brottfalls og nýliðunar
viðskiptavina, verðþróunar,
tekjusamsetningar og framlegðar
• R2 Upplýsingaöryggi
Áhætta vegna hverskonar leka á
trúnaðarupplýsingum í eigu Símans eða
viðskiptavina
• H2 Samkeppnisreglur, sátt við SE og ákvarðanir SE
Áhætta tengd hlítingu við samkeppnis-lög,
ákvarðanir SE og skilyrðum í sátt við SE
• F2 Fjármögnun
Áhætta tengd endurfjármögun skulda eða
aðgengi að lánsfé til fjárfestinga eða rekstrar
• M3 Vörumerki og markaðsstaða
Áhætta tengd virði vörumerkis og viðhaldi á
sérstöðu
• R3 Upplýsingatækni
Áhætta sem tengist miðlægum upplýsingakerfum,
hug- og vélbúnaði eða netkerfi innri kerfa
• H3 Breytingar og ósamræmi
Áhætta tengd aðlögun að breytingum á lögum og
reglum. Áhætta vegna ósamræmis milli ákvarðana
PFS og SE
• F3 Fjármálamarkaður
Gjaldeyrisáhætta, vaxtaáhætta,
verðbólguáhætta og áhætta tengd fjárfestingu í
fjármálagerningum.
• M4 Flækjustig samstæðu
Áhætta vegna innbyrðis flækjustigs og
takmarkana
• R4 Sviksamlegt athæfi
Áhætta vegna sviksamlegs athæfis starfsfólks,
viðskiptavina eða þriðja aðila
• H4 Verndun greiðslukortaupplýsinga
Áhætta tengd kröfum PCI-DSS um verndun
greiðslukortaupplýsinga
• F4 Reikningsskil og skattskil
Áhætta tengd reikningsskilum, virðisrýrnun
óefnislegra eigna og framkvæmd skattskila
• M5 Markaðsaðstæður
Áhætta vegna stöðu markaða, hagkerfis og
óstöðugleika í stjórnmálum
• R5 Útvistun
Áhætta tengd rekstri og ábyrgð á útvistaðri
starfsemi og kerfum
• H5 Persónuvernd • F5 Veltufjármunir og uppgjör
Tapsáhætta viðskiptakrafna, áhætta vegna
birgða og uppgjörsáhætta vegna mobile
payments
• H6 Önnur lög og reglur, ágreinings- og dómsmál
• R6 Mannauður
Áhætta tengd starfsmannaveltu, viðhaldi
þekkingar, vinnuvernd, heilsuvernd og raunöryggi
starfsfólks.
• H7 ISO vottun • F6 Eignir og skuldbindingar utan
efnahagsreiknings
• R7 Húsnæði og leigusamningar
Áhætta tengd húsaleigusamningum, yfirráðum yfir
húsnæði undir mikilvæg kerfi og viðhaldi eigin
fasteigna
• H8 Innri starfsreglur
• R8 Fjarskipti • H9 Samningar vegna hugbúnaðar og þjónustu
Áhættusnið og viðmið
Dokkufundur 4. október 2016 –
Stöðugar umbætur í rekstri Símans
7. Aðferðafræði
Áhættuflokkur / snið Áhrif Lýsing
Markaðsáhætta
Áhætta sem getur ógnað því að fyrirtækið nái
markmiðum eða hindrað innleiðingu stefnu,
t.d. er þróun hagkerfis meðal þess sem getur
orsakað markaðsáhættu.
1 – Óveruleg Minniháttar áhrif á ímynd
2 – Minniháttar Hefur áhrif á samskipti við viðskiptavini og/eða almenning
3 – Miðlungs Töluverð áhrif á samskipti við viðskiptavini og/eða almenning
4 – Veruleg Veruleg áhrif á samskipti við viðskiptavini og/eða almenning
5 – Háskaleg Stefnir framtíð stofnunarinnar í hættu
Fjárhagsáhætta
Áhætta sem getur skaðað fjáreignir eða
takmarkað fjárfestingargetu eða aðgengi að
fjármögnun. Einnig áhætta sem tengist
reikningsskilum og skattalegum álitaefnum.
1 – Óveruleg Fimm hundruð þúsund til ein milljón kr.
2 – Minniháttar Ein til fimm milljónir kr.
3 – Miðlungs Fimm til tíu milljónir kr.
4 – Veruleg Tíu til tuttugu milljónir kr.
5 – Háskaleg Meira en tuttugu milljónir kr.
Rekstraráhætta
Áhætta sem getur truflað samfellda
afhendingu þjónustu til viðskiptavina og
ógnað öryggi upplýsinga. Einnig ef öryggi
starfsfólks, viðskiptavina og umhverfis er
ógnað.
1 – Óveruleg Lítil eða engin truflun á rekstri
2 – Minniháttar Einhver áhrif á rekstur
3 – Miðlungs Talsverð áhrif á rekstur
4 – Veruleg Veruleg áhrif á rekstur
5 – Háskaleg Möguleg rekstrarstöðvun
Hlítingaráhætta
Áhætta sem getur ógnað því markmiði að
Síminn starfi eftir lögum, reglum og staðla
sem gilda um starfssemina.
1 – Óveruleg Engin viðskiptaleg áhrif
2 – Minniháttar Hugsanlegt brot á lögum
3 – Miðlungs Mögulegar sektir
4 – Veruleg Meiriháttar brot
5 – Háskaleg Gæti valdið lokun
Tíðni / Líkur Lýsing / Dæmi
1 – Hugsanlegt Litlar líkur á að raungerist, ef nokkurn tímann 5%
2 – Ólíklegt Ekki talið líklegt, kannski einu sinni á þriggja ára fresti 25%
3 – Fátítt Gæti gerst einu sinni á ári 55%
4 – Líklegt Talið líklegt, gæti gerst nokkrum sinnum á ári 75%
5 – Mjög líklegt Gæti gerst einu sinni í mánuði eða oftar 95%
Stýring Lýsing / Dæmi
1 – Frammúrskarandi Stýring er eins góð og getur verið. Ekki hægt að gera betur 80-100% virkni
2 – Góð Stýring er góð og sinnir hlutverki að mestu 60-80% virkni
3 – Ásættanleg Stýring er til staðar og sinnir hlutverki að mestu leyti 40-60% virkni
4 – Ófullnægjandi Stýring sinnir ekki hlutverki nema að mjög litlu leyti 20-40% virkni
5 – Óviðunandi Stýring sinnir ekki hlutverki sínu eða er ekki til staðar 0-20% virkni
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
8. Fjöldi áhætta eftir yfirflokkum (hlutfallslega)
Markaðsáhætta Rekstraráhætta Hlítingaráhætta Fjárhagsáhætta
Áhætta sem getur ógnað
því að Síminn nái tekju-
eða arðsemismarkmiðum
eða hindar innleiðingu á
stefnu
Áhætta sem getur truflað
semfellda afhendingu á
vörum og þjónustu til
viðskiptavinar og ógnað
öryggi upplýsinga,
starfsfólks eða
viðskiptavina
Áhætta sem getur ógnað
því markmiði að starfa
ávallt í samræmi við lög,
reglur og staðla sem um
starfsemina gilda og
brjóta ekki mikilvæga
samninga
Áhætta sem getur skaðað
fjáreignir eða takmarkað
fjárfestingargetu eða
aðgengi að fjármögnun.
Einnig áhætta sem tengist
reikningsskilum og
skattalegum álitaefnum
11 63 21 5
4 26 11 1
2 12 5 1
Áhættuflokkur
Lýsing á áhættuflokki
Fjöldi áhætta
Fjöldi áhætta á
aðgerðarbili alls
Fjöldi áhætta yfir
áhættuviðmiðum
100
20
42
{ Hlutfall eftir nýlega lækkun á viðmiðum – ekki rauntölur }Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
9. Nokkrir áhættuvísar
Af áhættum sem lækka:
• Meðal lækkun áhættustigs er: 22% yoy
• Meðal hækkun gæði stýringa eykst um: 24% yoy
Fyrir allar áhættur:
• Áhættustig lækkar um: 2,5% yoy
• Gæði stýringar eykst um: 1,5% yoy
{ Hlutfall – ekki rauntölur }
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
10. Öryggisatburðir – meðal mánuður
7,5 milljón 3 milljón
1 milljón
Blocked
4 þúsund
ATVIK!
1-2
Dokkufundur 4. október 2016 – Stöðugar umbætur í rekstri Símans
