Upplýsingaöryggisstefna
Samþykkt 28.10.2021

 1. Upplýsingaöryggisstefna Kviku
Gögn, upplýsingar, upplýsingakerfi og samskiptaleiðir Kviku banka hf. (hér eftir nefnt Kvika) skulu vera
örugg, áreiðanleg, tiltæk og einungis aðgengileg þeim sem hafa til þess heimild.
Stjórnun upplýsingaöryggis er nauðsynleg leið til að draga úr rekstraráhættu og lágmarka hættu á tjóni af
völdum atvika sem geta haft áhrif á starfsemi fyrirtækisins eða þjónustu við viðskiptavini.

2. Tilgangur
Upplýsingaöryggisstefna Kviku styður við samfelldan rekstur og þjónustu, lágmarkar þannig
rekstaráhættu og hámarkar öryggi verðmæta í eigu og umsjón Kviku.

3. Markmið
Kvika veitir viðskiptavinum sínum örugga og trausta þjónustu með því að:

• Kappkosta að mikilvæg þjónusta sé ávallt aðgengileg fyrir viðskiptavini
• Hámarka öryggi upplýsinga í eigu og vörslu fyrirtækisins m.t.t. leyndar, réttleika og tiltækileika
• Tryggja hlítingu við lög og reglur er varða meðhöndlun upplýsinga og samninga sem fyrirtækið
   hefur gert
• Búa starfsfólki og viðskiptavinum öruggt umhverfi og stuðla að aukinni vitund um
  upplýsingaöryggi
• Framkvæma reglulega áhættugreininingar til að áætlanir um veitingu samfelldrar þjónustu til
  viðskiptavina sé innan þjónustuviðmiða

4. Umfang
Upplýsingaöryggisstefnan er bindandi fyrir alla starfsmenn Kviku og þá sem veita fyrirtækinu þjónustu.
Stefnan nær einnig til reksturs og aðstöðu sem eru í eigu og í umsjá fyrirtækisins eins og skilgreint er í
staðhæfi um vottun.

5. Ábyrgð og framkvæmd
Stjórn ber ábyrgð á að upplýsingaöryggisstefnunni sé framfylgt með því að setja markmið og reglur og
tryggja viðeigandi ráðstafanir til að framfylgja þeim.
Stefnan felur í sér skuldbindingu um stöðugar umbætur í stjórnun upplýsingaöryggis. Stjórn getur falið
rekstrarnefnd eða upplýsingaöryggisnefnd eftirfylgni með tilteknum verkefnum sem varða
upplýsingaöryggi.
Allir starfsmenn, verktakar og þjónustuaðilar eru skuldbundnir til að vernda gögn og upplýsingakerfi gegn
óheimilum aðgangi, notkun, breytingum, uppljóstrun, eyðileggingu, glötun eða flutningi.
Starfsmönnum og þjónustuaðilum, núverandi og fyrrverandi, er óheimilt að veita upplýsingar um innri mál
fyrirtækisins, viðskiptavina þess eða annarra starfsmanna.
Aðilar sem brjóta gegn upplýsingaöryggisstefnu Kviku eiga yfir höfði sér áminningu í starfi, uppsögn eða
að beitt verði viðeigandi lagalegum ráðstöfunum allt eftir eðli og umfangi brots.

6. Endurskoðun
Endurskoða skal upplýsingaöryggisstefnuna á minnst tveggja ára fresti eða ef breytingar verða á skipulagi
eða starfsemi fyrirtækisins. Stefnuna skal leggja fyrir og staðfesta í stjórn Kviku og undirrita af forstjóra.

Staðfest af stjórn Kviku 28. október 2021 
Áætluð endurskoðun október 2023