Kapittel 1: Innledning

Størrelse: px
Begynne med side:

Download "Kapittel 1: Innledning"

Transkript

1 Kapittel 1: Innledning - Universitetet i Oslo Kapittel 1: Innledning IT-sikkerhetsarbeidet skal være tydelig forankret og godt kjent i universitetets ledelse og ha denne ledelsens uttalte støtte, oppmerksomhet og engasjement. IT-sikkerhetsledelse skal inngå som en del av lederoppgavene på linje med annet sikkerhetsarbeid på universitetet. Innholdsfortegnelse 1.1. Virkeområde 1.2. Målgrupper 1.3. Eierskap, godkjenning og revisjon 1.4. Versjon Grunnlaget for arbeidet 1.6. Prosedyrer og rutiner IT er ikke lenger bare snakk om drift og leveranser av tjenester, IT inngår som en vesentlig del i utviklingen av universitetets prosesser og virksomhet og gir universitetet nye muligheter og evner i arbeidet med å nå sine mål. (Fra dokumentet Organisering og standardisering av universitetets IT-virksomhet behandlet i Universitetsstyret 27. oktober 2012) Behovet for en systematisk oversikt og samling av de retningslinjer og rutiner som ligger til grunn for arbeidet med IT-sikkerhet springer ut av universitetets avhengighet av IT og IT-ressurser i sin daglige og langsiktige virksomhet. Trusler som i sin konsekvens svekker eller hindrer universitetets og den enkelte brukers tilgang til IT-ressursene eller åpner disse for misbruk, er ikke bare en trussel mot universitetets og brukernes mulighet til å løse sine oppgaver og nå sine mål. Truet er også de store materielle og immaterielle verdier som universitetet forvalter og den store mengden av informasjon som er gitt i fortrolighet eller samlet inn på en slik måte at de omfattes av lov om personopplysninger. I tillegg kommer den ødeleggende virkning ulike sikkerhetshendelser kan få for omdømmet til Universitetet i Oslo Virkeområde Håndboka samler retningslinjer for alle deler av IT-sikkerhetsarbeidet, inkludert informasjonssikkerheten. Den gjelder for all IT-virksomhet på universitetet enten den skjer i regi av USIT eller av andre enheter ved universitetet. Den er således styrende for: Sentral og lokal IT på universitetet System- og tjenesteeiere Institusjoner i universitetets randsone som benytter seg av universitetets IT-tjenester og IT-infrastruktur Samarbeidstiltak, inkludert tiltak som universitetet er vertskap for I tillegg vil aktuelle deler av håndboka gjøres gjeldende for USITs oppdragsvirksomhet. Retningslinjene i IT-sikkerhetshåndboka er utformet i tråd med og skal være i overensstemmelse med lov- og regelverk på området og vedtak fattet av universitetets ledelse (universitetsstyre, rektor, universitetsdirektør). I den grad retningslinjer trukket opp i håndboka strider mot noe av dette, er det retningslinjene i håndboka som viker. På den andre siden er IT-sikkerhetshåndboka overordnet instrukser, rutiner og anbefalinger utformet og gitt av underordnete enheter. IT-sikkerhetshåndboka inngår som en del av dokumentasjonen av sikkerhetsarbeidet på universitetet. I tillegg 1 of 3 15/09/14 20:29

2 Kapittel 1: Innledning - Universitetet i Oslo til IT-sikkerhetshåndboka omfatter dette: Instrukser og beredskapsplaner utarbeidet av Eiendomsavdelingen v/sikkerhetssjefen HMS-håndboka og andre bestemmelser på HMS-området 1.2. Målgrupper IT-sikkerhetsarbeid et en virksomhet som omfatter hele organisasjonen og IT-sikkerhetshåndboka har flere målgrupper: Universitetets ledelse og ledelsen ved fakulteter og andre enheter IT-tilsatte i sentral og lokal IT System- og tjenesteeiere Universitetets IT-brukere (ansatte og studenter) Samarbeidstiltak universitetet er vertskap for og samarbeidende organisasjoner, inkludert organisasjoner og institusjoner i universitetets randsone 1.3. Eierskap, godkjenning og revisjon Universitetsdirektøren er øverste ansvarlig for IT-sikkerheten på universitetet og eier IT-sikkerhetshåndbok for Universitetet i Oslo. IT-sikkerhetshåndboka gjennomgås og revideres årlig. IT-direktøren koordinerer arbeidet med revisjonen og legger forslag til endringer fram for universitetsdirektøren. Universitetsdirektøren avgjør om endringene er av en slik karakter at de skal legges fram for godkjenning av rektor eller universitetsstyret. Til hvert kapittel er det nedfelt noen overordnete prosedyrer og rutiner. Ansvaret for utforming av prosedyrer, rutiner og andre bestemmelser i denne delen av håndboka tilligger IT-sikkerhetssjefen i samarbeid med linjeledere og godkjennes av IT-direktøren Versjon 2.0 Dette er versjon 2.0 av IT-sikkerhetshåndboka. Den første versjonen ble utarbeidet av en arbeidsgruppe på USIT oppnevnt av IT-direktøren. Den andre versjonen er en revidert og oppdatert utgave av versjon 1.0 utført av IT-sikkerhetssjefen på oppdrag fra IT-direktøren Grunnlaget for arbeidet Arbeidet med IT-sikkerhetshåndboka bygger på den internasjonale standarden på området, ISO/IEC 27002:2005 Information Technology Security Techniques Code of Practice for Information Security Management. IT-sikkerhetshåndboka følger disposisjonen i denne standarden. Denne standarden anbefaler Direktoratet for forvaltning og IKT (DIFI) lagt til grunn for arbeidet med styringssystem for informasjonssikkerhet i offentlig virksomhet. USIT er pr 2012 ikke sertifisert etter denne standarden, men følger den der det formålstjenlig Prosedyrer og rutiner Med utgangspunkt i dette kapittelet er følgende prosedyrer og rutiner beskrevet: 1. Årlig revisjon av IT-sikkerhetshåndbok for Universitetet i Oslo 2. Utarbeiding og godkjenning av prosedyrer i IT-sikkerhetshåndbok for Universitetet i Oslo 2 of 3 15/09/14 20:29

3 Kapittel 1: Innledning - Universitetet i Oslo Publisert 22. jan :45 - Sist endret 29. aug :49 3 of 3 15/09/14 20:29

4 Kap 2: Begreper og definisjoner - Universitetet i Oslo Kap 2: Begreper og definisjoner IT-sikkerhetsarbeidet skal benytte et vokabular som tydelig og utvetydig beskriver bestemmelser, tiltak og andre forhold i denne delen av IT-virksomheten. BEGREP: Administrativt IT-system Autentisering Autorisering Autoritativt system Behandlingsansvarlig Brukerdata Brukerprogramvare Brukerutstyr Båndbredde CERT FEIDE Hjemmemaskin Hjemmevakt Identifikasjon Informasjonssikkerhet Informasjonssystem Integritet IT-bruker BETYDNING: IT-systemer som benyttes til og understøtter løsningen av administrative oppgaver i en organisasjon Bekreftelse av identitet ved hjelp av noe en person vet, har eller er, for eksempel at en IT-bruker bekrefter sin identitet ved hjelp av et personlig passord Tillatelse til å utføre en handling, tildeling av rettigheter i et system System som lagrer og leverer informasjon om noe og er anerkjent og har status som opprinnelig kilde til denne informasjonen Ansvarlig for behandling av personopplysninger i virksomheten ved universitetet, skal påse av formålet for og hjelpemidlene i denne behandlingen er innmeldt på forskriftsmessig vis Data brukeren selv har til rådighet og lagret på medier brukeren selv har kontroll med tilgangen til Den programvare brukeren benytter i sin virksomhet på universitetet Det utstyr (stasjonær og bærbar PC, nettbrett, smarttelefon eller annet utstyr) brukeren benytter for å få tilgang til universitetets IT-tjenester En kommunikasjonskanals kapasitet til overføring av informasjon Computer Emergency Response Team, en gruppe som har ansvar for daglig oppfølging av trusler og hendelser som kan kompromittere IT-tjenester og IT-systemer Felles elektronisk ID Datamaskin som brukeren har tilgjengelig hjemme og som kan etablere forbindelse til universitetets nett og gi brukeren tilgang til IT-tjenester og IT-systemer der Vaktordning utenom ordinær arbeidstid med oppdrag å overvåke feilsituasjoner og problemer og i spesielle tilfelle selv løse disse eller kontakte andre som kan løse dem Noe som knytter en identitet i et system til en person, for eksempel et brukernavn Tiltak for å sikre informasjonens konfidensialitet, integritet og tilgjengelighet IT-system som lagrer, administrere og gjør tilgjengelig data tilknyttet en eller annen anvendelse, består ofte av en eller flere databaser med tilhørende applikasjoner Sikring av en informasjons nøyaktighet, fullstendighet og opprinnelighet En person som på grunnlag av registrering i et autoritativt system er tildelt brukernavn og passord og på basis av dette har tilgang til IT-tjenester og IT-systemer ved universitetet 1 of 3 15/09/14 20:29

5 Kap 2: Begreper og definisjoner - Universitetet i Oslo IT-ressurs IT-sikkerhet IT-system IT-tilsatt IT-tjeneste Kapasitet Katastrofesite Konfidensialitet Lokal IT-tilsatt Nett, trådfast og trådløst Personopplysninger Personvernombud Priviligert bruker Risikovurdering/-analyse Sensitive data Sikkerhetshendelse Sikkerhetsnivå SLA Service Level Agreement Stabilitet IT-basert innretning som inngår som del av en IT-tjeneste eller et IT-system, omfatter nett, programvare, maskinvare, lagringssystemer etc Tiltak innrettet på å sikre IT-tjenester og IT-systemer på et for organisasjonen akseptabelt sikkerhetsnivå Samlingen av de IT-løsninger som inngår i et system som kan benyttes til å løse et sett av beslektede oppgaver Tilsatte ved universitetet som har som sin arbeidsoppgave drift, vedlikehold, utvikling eller støttetjenester knyttet til IT-virksomheten ved universitetet Enhver IT-basert tjeneste som brukerne får tilgang til ved universitetet Et systems evne til å løse en bestemt oppgave Et reservested der kopi av kritiske data lagres og der kritiske tjenester kan kjøres dersom den ordinære tjenesten ikke er tilgjengelig Sikring av informasjon mot ikke-autorisert innsyn i, endring eller offentliggjøring Tilsatt ved enheter ved universitetet med oppgave å ta seg av brukernære drifts- og støttetjenester Nettet på universitetet er delt i en trådfast del der maskinen koples til nettet via kabel og en trådløs del. Det stilles forskjellig krav til maskiner som skal koples til de to delene av nettet Opplysninger som kan knyttes til og identifisere en person Ansvarlig for oppfølging av lov om personopplysninger ved institusjonen, skal påse at behandlingsansvarlige følger de lover og forskrifter som gjelder for behandling av personopplysninger Bruker som i et system er tildelt spesielle rettigheter som går utover rettighetene en ordinær bruker av systemet har Kartlegging av sårbarheter ved et system og hvor sannsynlig det er for at de ulike sårbarhetene kan utnyttes til å skaffe noen urettmessig tilgang til systemet. Ledsages av en anbefaling av tiltak som sikrer et for organisasjonen akseptabelt sikkerhetsnivå I følge Lov om behandling av personopplysninger omfatter sensitive data opplysninger om en persons rasemessige eller etniske bakgrunn, politisk, filosofisk eller religiøs oppfatning, om en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helsemessige forhold, seksuelle forhold og medlemsskap i fagforeninger Enhver hendelse som kan kompromittere sikkerheten i et system eller en tjeneste og åpne denne for urettmessig tilgang Det sikkerhetsnivå ansvarlig myndighet har bestemt skal gjelde for organisasjonens virksomhet Se tjenesteavtale Oppetid, mål på den tiden et system eller tjeneste er tilgjengelig for brukeren, henger ofte sammen med tilgjengelighet 2 of 3 15/09/14 20:29

6 Kap 2: Begreper og definisjoner - Universitetet i Oslo Standard driftsopplegg Systemeier Systemforvalter Systemprogramvare Sårbarhetsvurdering/-analyse Tilgjengelighet Tjenesteavtale Tjenesteansvarlig Tjenesteerklæring Trusselbilde De krav som stilles til maskiner som koples til nettet, omfatter krav til operativsystem, konfigurasjon av systemet, rutiner for oppgradering med mer Eieren av et system, ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet, samt finansieringen av dette Ansvarlig ved Universitetet i Oslo for et system i de tilfelle der systemeier er et organ som representerer flere institusjoner, ansvarlig for de institusjonsspesifikke kravene til systemet Den programvare som sammen med operativsystemet gjør en datamaskin operativ Se risikovurdering/-analyse Responstid, svartid, mål på den tiden det tar å utføre bestemte operasjoner i et system, inkluderer også sikring mot tap eller vesentlig avbrudd i brukerens tilgang til en tjeneste eller et system En avtale om å levere en tjeneste eller et system med funksjons- og kvalitetskrav som partene har definert i avtalen og med bestemmelser som sanksjoner når ett eller flere av disse kravene ikke imøtekommes Ansvarlig på USIT for leveransen av en tjeneste og at denne er i henhold til det som måtte finnes av funksjons-, kvalitets- og sikkerhetskrav til tjenesten En løsere form for tjenesteavtale med en ofte omfattende beskrivelse av hvilke tjenester og systemer som skal leveres til en organisasjon Oversikt over trusler mot et system eller en tjeneste som så utgjør grunnlaget for risikovurderingen/-analysen Se også Definisjoner av begreper brukt i USITs driftsmiljøer. Publisert 22. jan :45 - Sist endret 29. aug :53 3 of 3 15/09/14 20:29

7 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet Grunnlaget og retningslinjene for IT-sikkerhetsarbeidet skal være tydelig formulert og enkelt tilgjengelig, være godkjent av universitetets ledelse og være tilgjengelig for dem som måtte ha behov for eller legitim interesse av det. Innholdsfortegnelse 3.1. Beskyttelse, kontroll og reaksjon Sikkerhet i dybden Driftssikkerhet Informasjonssikkerhet 3.2. Prinsipper for IT-sikkerhetsarbeidet IT-sikkerhetsarbeidet har som utgangspunkt målene Universitetet i Oslo har formulert for sin virksomhet blant annet i Strategi For å nå målene for sin virksomhet er universitetet avhengig av utstrakt bruk av IT og IT-tjenester. Det overordnete målet for IT-sikkerhetsarbeidet er: Å sikre rett nivå på sikkerhet, stabilitet, tilgjengelighet og kvalitet av IT-tjenester og IT-ressurser slik at primærvirksomheten og støttetjenestene kan utføres mest mulig problem- og avbruddsfritt. Dette krever tekniske, organisatoriske og praktiske tiltak som dekker alle sidene ved IT-sikkerheten: Beskyttelse og sikring Kontroll og overvåking Reaksjon og oppfølging IT-sikkerhetstiltakene skal favne alle IT-ressurser på universitetet, infrastruktur, tjenester og systemer, maskin- og programvare, samt data og informasjon Beskyttelse, kontroll og reaksjon IT-sikkerhetsarbeidet på universitetet omfatter tre grupper av tiltak som alle må ivaretas på en hensiktsmessig måte og som samlet utgjør et helhetlig sikkerhetsopplegg: Beskyttelse og sikring: Tiltak for å beskytte og sikre utstyr, tjenester, systemer, ressurser og annet mot avbrudd, feil, innbrudd, misbruk, ødeleggelse eller andre trusler mot sikkerheten, tilgjengeligheten, stabiliteten og kvaliteten i IT-tjenestene og IT-systemene Kontroll og overvåking: Tiltak for å kontrollere og verifisere at sikringstiltakene fungerer og for å fange opp unormale situasjoner og omstendigheter som kan representere en trussel Reaksjon og oppfølging: Tiltak for å identifisere og eliminere årsaker og følge opp sikkerhetsbrudd for å hindre at hendelsen inntrer på nytt, eventuelt med sanksjoner mot dem som måtte ha forårsaket dem Sikkerhet i dybden 1 of 4 15/09/14 20:29

8 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... Universitetet i Oslo bygger sitt IT-sikkerhetsarbeid på prinsippet om sikkerhet i dybden. Dette innebærer å bygge et forsvarsverk med flere nivåer av sikkerhetstiltak. De viktigste nivåene i dette forsvarsverket er: Sikkerhet i nettet, både i porten inn og ut av universitetsnettet, internt mellom de ulike delene av universitetsnettet og i nettkomponentene Sikkerhet i tjenestene og systemene som benyttes i organisasjonen, inkludert operativsystem og systemprogramvare på maskinutstyret der tjenestene og systemene går Sikkerhet på arbeidsplassutstyret og annet brukerutstyr som benyttes i organisasjonen En kompetent IT-organisasjon med god innsikt i og kunnskap om alle sider av IT-sikkerheten og som rår over de verktøy som trengs for effektivt sikkerhetsarbeid Oversikt, kunnskap og årvåkenhet hos den enkelte IT-tilsatte og bruker På alle nivåer skal sikkerhetstiltakene være beskrevet for de ulike interessentgruppene i enkelt tilgjengelig og tilpasset informasjon og dokumentasjon Driftssikkerhet Driftssikkerhet er en vesentlig del av IT-sikkerheten ved siden av den betydningen den har for tilgjengelighet ( responstid ) og stabilitet ( oppetid ). Faktorer det legges vekt på for å oppnå tilfredsstillende driftssikkerhet, er: Et godt fysisk driftsmiljø med stabil strømforsyning, kjøling etc og med tilfredsstillende fysisk sikring mot urettmessig tilgang, tyveri, brann, vannskade etc Tilstrekkelig kapasitet på maskinvare og nett Reduksjon av kompleksitet Feiltolerante løsninger for viktige tjenester og funksjoner Sikring av tjenester og systemer, data og informasjon Informasjonssikkerhet Spesifikt for informasjonssikkerheten innebærer dette tiltak som sikrer alle parter følgende: Tilgjengelighet: Sikrer mot tap av eller avbrudd i tilgangen til informasjon og data Konfidensialitet: Sikrer mot ikke-autorisert innsyn i, endring av eller offentliggjøring av informasjon og data Integritet: Sikrer informasjonens og datas nøyaktighet, fullstendighet og opprinnelighet 3.2. Prinsipper for IT-sikkerhetsarbeidet IT-sikkerhetsarbeidet på Universitetet i Oslo bygger på følgende prinsipper: 1. Forankring i universitetets ledelse: IT-sikkerhetsarbeidet skal være tydelig forankret og godt kjent i universitetets ledelse og ha denne ledelsens uttalte støtte, oppmerksomhet og engasjement. IT-sikkerhetsledelse skal inngå som en del av lederoppgavene i linja 2. Kontinuerlig oppfølging: IT-sikkerhetsarbeidet skal rapporteres i linja for IT-sikkerhetsorganisasjonen i tråd med rutiner beskrevet i IT-sikkerhetshåndboka 3. Klart formulert grunnlag: Grunnlaget og retningslinjene for IT-sikkerhetsarbeidet skal være tydelig formulert og enkelt tilgjengelig, være godkjent av universitetets ledelse og være tilgjengelig for dem som måtte ha behov for eller legitim 2 of 4 15/09/14 20:29

9 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... interesse av det 4. Bevissthet om sårbarhet, trusler og risiko: Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av det generelle trusselbildet og hvilke sikkerhetstiltak dette krever. For kritiske systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover de generelle sikringstiltakene 5. Planlagte IT-sikkerhetstiltak: Det skal utarbeides årlige handlingsplaner med tiltak som skal gjennomføres for å redusere sårbarhet og bedre IT-sikkerheten 6. Tydelig ansvars- og oppgavedeling: Universitetet skal ha en IT-sikkerhetsorganisasjon der roller, beslutnings- og rapporteringslinjer er klart definert og der myndighet og fullmakter på de ulike nivåene er like klart definert. 7. Kartlagte og klassifiserte IT-tjenester: Det skal foreligge en oversikt over universitetets IT-tjenester og IT-systemer. I denne oversikten skal tjenestene og systemene klassifiseres i forhold til viktighet og denne klassifiseringen skal danne grunnlag for tiltak knyttet til sikring av tjenester og systemer 8. Roller og ansvar for den enkelte: For de ulike gruppene av personell (brukere, IT-ansatte etc) som kommer i berøring med IT-tjenestene og IT-systemene ved universitetet, skal det foreligge klare bestemmelser knyttet til arbeidsavtaler, taushetsplikt, sikkerhetsklarering med mer. Det skal eksistere tilbud om opplæring av de ulike gruppene for å sikre nødvendig kompetanse innen IT-sikkerhet. Det skal eksistere retningslinjer for representanter for tredjeparts tilgang til IT-tjenestene og IT-systemene 9. Forsvarlig fysisk sikring: Lokaler med IT-utstyr skal være forsvarlig fysisk sikret mot urettmessig tilgang, samt brann, vannskade, tyveri og lignende hendelser. Lokaler som huser kritiske IT-ressurser skal i tillegg ha sikker strømforsyning og et kontrollert miljø (kjøling, luftfuktighet etc) 10. Tilstrekkelig teknisk sikring: IT-systemene og IT-tjenestene skal være tilstrekkelig sikret teknisk mot uberettiget tilgang til og misbruk av data og IT-ressurser, mot redusert tjenestekvalitet og mot tap av data. Samtidig skal kravene til datas tilgjengelighet, konfidensialitet og integritet ivaretas 11. Identifiserbare brukere og prosesser: Universitetet i Oslo skal ha autoritative systemer for personinformasjon om brukere som grunnlag for identifikasjon, autentisering og autorisering i forhold til IT-systemer og IT-tjenester. Det skal eksistere retningslinjer for etablering og avvikling av brukernavn med tilhørende rettigheter og tjenester 12. Anskaffelse, utvikling og vedlikehold av IT-systemer: Det skal være spesifisert hva slags krav til IT-sikkerhet som skal legges til grunn ved anskaffelse og utvikling av IT-systemer. Tilsvarende skal det være klare rutiner knyttet til oppgradering og vedlikehold av tjenestene og systemene. Det skal være et regime for testing av ny programvare og nye systemer, samt oppgradering av eksisterende før dette settes i produksjon 13. Beredskap i forhold til sikkerhetshendelser: Universitetet skal ha en CERT-gruppe som følger opp hendelser som i sin konsekvens kan eksponere universitetets IT-ressurser for sårbarheter med påfølgende misbruk, ødeleggelse, tap av data, anseelse eller lignende og gjennomfører tiltak for å avverge eller redusere skadevirkningene. 14. Beredskap, kontinuitets- og katastrofeplan: 3 of 4 15/09/14 20:29

10 Kapittel 3: Prinsippene for IT-sikkerhetsarbeidet - Universitete... Det skal eksistere beredskapsplaner for oppfølging og reaksjon ved feil og problemer, samt kontinuitets- og katastrofeplaner for håndtering av større og varige brudd på tilgangen til IT-tjenestene og IT-systemene. Det skal eksistere en oversikt over hvilke beredskaps- og kontinuitetstiltak som skal være knyttet til de ulike kategoriene av IT-tjenester 15. Etterleve lov- og regelverk: IT-virksomheten ved Universitetet i Oslo skal skje i overensstemmelse med relevant lov- og regelverk. Dokumentasjon av at så er tilfelle skal foreligge i den form og med den tilgjengelighet som den enkelte lov krever. Forhold som ikke faller inn under eksisterende lov- og regelverk skal reguleres av IT-reglement for Universitetet i Oslo med utfyllende bestemmelser Publisert 22. jan :45 - Sist endret 7. sep :53 4 of 4 15/09/14 20:29

11 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Kapittel 4: Risiko- og sårbarhetsvurderinger Til grunn for IT-sikkerhetsarbeidet skal det ligge en vurdering av det generelle trusselbildet og hvilke sikkerhetstiltak dette krever. For kritiske systemer og tjenester skal en spesifikk risikovurdering legges til grunn for sikringstiltak utover de generelle sikringstiltakene. Innholdsfortegnelse 4.1. Det generelle trusselbildet 4.2. Virksomhetskritiske tjenester og systemer 4.3. Ikke-tolererbare trusler 4.4. Data som må sikres spesielt 4.5. Prosedyrer og rutiner 4.1. Det generelle trusselbildet Hvis vi holder katastrofer av ulikt slag (brann, naturkatastrofer og lignende) utenfor, så er det hensiktsmessig å beskrive det generelle trusselbildet langs tre akser: 1. Teknologi vs mennesker 2. Indre vs ytre trusler 3. Tilsiktete vs utilsiktete handlinger Utviklingen det siste tiåret har medført tre viktige endringer i det generelle trusselbildet av betydning for arbeidet med IT-sikkerhet: 1. Teknologi Teknologien er blitt viktigere fordi teknologien og de tekniske løsningene IT-virksomheten bygger på, blir stadig mer kompleks, samtidig som virksomhetens avhengighet av dem øker sterkt. Å sikre komplekse systemer er langt vanskeligere enn å sikre oversiktlige og enkle systemer og å sikre virksomhetskritiske systemer blir mer krevende enn tidligere 2. Ytre trusler I denne perioden har ytre trusler gjennom Internett mer eller mindre overtatt hovedrollen i trusselbildet, i motsetning til tidligere tider da indre trusler representerte den største risikoen 3. Tilsiktete handlinger Ytre trusler er svært ofte resultatet av tilsiktete handlinger, i mange tilfeller er handlingene overlagte og med åpenbart kriminelle hensikter. Mange av truslene er knyttet til at personer med illegitime hensikter skaffer seg tilgang til store mengder utstyr koplet til Internett og bruker dette til egne formål uten eiernes viten og gjør disse til stråmenn for illegitime handlinger Det første trekket er knyttet til den teknologiske utviklingen. I utgangspunktet vil IT-tjenester og IT-systemer med nødvendighet være beheftet av feil og mangler: De lages av mennesker De brukes av mennesker 1 of 4 15/09/14 20:30

12 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Og mennesker gjør med nødvendighet feil, både når de lager og når de bruker ting. I tillegg, IT-tjenestene og IT-systemene har vokst og vokser fortsatt i avhengighet og kompleksitet. Bak de stadig mer avanserte og funksjonelt rike tjenestene og systemene som benyttes, er det et stort antall programmer som skal samvirke direkte og indirekte i mer og mer komplekse interaksjoner. Det eneste som er sikkert med ny teknologi, er at den er grunnleggende usikker og inneholder sikkerhetshull og kostnadene ved å få tjenestene og systemene operative og sikre dem er sterkt økende. Det andre trekket er knyttet til utviklingen av Internett og bruken av dette i all slags virksomhet. I løpet av noen få år utviklet Internett seg fra en arena preget av samarbeid, godvilje og raushet til også å være en risikofylt omgivelse for virksomheten. Det er fire forhold som gjør at Internett er et sted der en skal trå noe varsommere enn tidligere: Det første er rekkevidde. Internett har gitt våre tjenester og vår kommunikasjon global rekkevidde, samtidig har det også gitt de mørke kreftene en arena med samme rekkevidde når det gjelder å spre informasjon om og utnytte sikkerhetshull, kompromittere systemer, samt distribuere verktøy for å utnytte sikkerhetshull og lignende Det andre forholdet går på automatisering. Tidligere var det en IT-faglig utfordring å bryte seg inn på andres datamaskiner. I dag kan enhver laste ned sofistikerte verktøy ( rootkit, virusgeneratorer etc) som kan automatisere massive angrep mot sikkerheten, tilgjengeligheten og stabiliteten på et stort antall systemer med et enkelt museklikk. Disse verktøyene er ofte oppdatert for å utnytte de sist oppdagete sikkerhetshullene før leverandøren er klar med oppgraderinger som fjerner hullet i sin programvare Det tredje forholdet går på ressurser. PC-er med mye rå maskinkraft og stor båndbredde kan sette i gang kraftige angrep, når de samme PC-ene samarbeider om oppgaven, kan angrepet ha ødeleggende virkning. Med spredningen av bredbånd er disse PC-ene på nett hele tiden Det fjerde har med penger å gjøre. Internett er blitt en viktig arena for forretningsvirksomhet med tilhørende pengetransaksjoner. Der det finnes penger, finnes det også krefter som ønsker å tilegne seg disse på uærlig vis I tillegg, gjennom å skaffe seg uberettiget adgang til andres maskiner økes slagkraften betydelig. I Internett finnes et stort antall maskiner som ikke er tilstrekkelig sikret. En vanlig strategi er å ta kontroll over et større antall av disse og benytte dem i et koordinert angrep. Det er nok av eksempler på angrep der bakmennene har skaffet seg tilgang til titusenvis av PC-er og der disse PC-ene uten eiernes vitende er brukt å utføre angrepet. Det tredje trekket er knyttet til noe av det samme. De ytre fiendene som bruker Internett som plattform for sin virksomhet utfører den med overlegg. Dette endres ikke av at det er en rekke brukere som uten å vite det løper disse kreftenes ærend. Motivasjonen til disse ytre fiendene varierer sterkt, fra å briske seg for venner og konkurrenter til kriminelle handlinger med økonomisk motiv. En vesentlig motivasjon er å skaffe seg urettmessig tilgang til andres ressurser for å bruke dem til ett eller annet formål av mer eller mindre lyssky karakter. Det kan være ressurser som kan brukes til å distribuere varer (musikk, filmer, programvare og lignende) ulovlig, det kan være ressurser som kan brukes i angrep på aktører og tjenester i Internet ( denial of service -angrep) eller lignende. En annen viktig motivasjon er jakten på penger, enten dette skjer ved å tilegne seg informasjon som har en verdi i et grått eller svart marked, drive utpressing eller på andre måter skaffe seg tilgang til andres penger (gjennom for eksempel svindel med kredittkort). En variant av dette er den markedsføringen som skjer via spam. En tredje motivasjon er ulike varianter av ødeleggelsestrang som blant annet mye av virusvirksomheten bygger på Virksomhetskritiske tjenester og systemer 2 of 4 15/09/14 20:30

13 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Virksomhetskritiske tjenester og systemer skal gjennomgå en konkret risiko- og sårbarhetsanalyse og påfølgende utforming av spesifikke sikringstiltak i tillegg til de generelle. En slik analyse er i utgangspunktet svarene som gis på noen enkle spørsmål: 1. Hvilke verdier har vi? 2. Hva vil tap av disse verdiene koste oss? 3. Hvilke trusler er disse verdiene eksponert for? 4. Hva er risikoen for at disse truslene blir manifeste? 5. Hva koster det å beskytte seg mot disse truslene? I teorien er spørsmålet om sikkerhetstiltak et økonomisk spørsmål, er det potensielle tapet (identifisert i spørsmål 2) multiplisert med risikoen (spørsmål 4) større enn kostnadene ved sikkerhetstiltaket (spørsmål 5)? Hvis svaret er ja er sikkerhetstiltaket regningssvarende, hvis nei vil ikke tiltaket bli iverksatt dersom ikke andre forhold veier så tungt at tiltaket allikevel må iverksettes. I utgangspunktet er det vanskelig å fastsette verdier og potensielle verditap når det gjelder IT-virksomheten. Materielle verdier kan vanligvis lett verdsettes, men disse utgjør en stadig mindre del av en organisasjons verdier. Det er langt vanskeligere å verdsette verdier av immateriell karakter, prosesser, kompetanse, omdømme og lignende, samt verdien knyttet til tilgjengelighet og stabilitet av tjenester, systemer og data. For en del virksomhetskritiske tjenester og systemer er det allikevel nødvendig å gå konkret inn på disse forholdene og vurdere hva slags spesifikke sikringstiltak som er nødvendig. Ansvaret for dette ligger hos tjeneste- eller systemeier i tett samarbeid med USIT. Eksempler på slike tjenester og systemer er: Universitetets adgangskontrollsystem og anlegg for sentral drift ( SD-anlegg ) Lønns- og personalsystemet SAPUiO Felles studentsystem (FS) Økonomisystemet E-posttjenesten Brukeradministrasjonssystemet Lagrings- og backuptjenestene Katalogtjenestene ( LDAP, Active Directory ) 4.3. Ikke-tolererbare trusler I utgangspunktet er det en del trusler som universitetet ikke kan leve med og som i størst mulig grad skal elimineres. Dette omfatter trusler som i sin konsekvens kan medføre eller innebære: Skade på liv og helse Vedvarende, vesentlige avbrudd av primærvirksomheten Vesentlige materielle skader Omfattende tap av omdømme Vedvarende brudd på lov- og regelverk 4.4. Data som må sikres spesielt I den daglige og langsiktige virksomheten er universitetets virksomhet avhengig av data fra informasjonssystemene. Dette gjelder først og fremst systemene som leverer autoritative data til andre systemer: 3 of 4 15/09/14 20:30

14 Kapittel 4: Risiko- og sårbarhetsvurderinger - Universitetet i Oslo Lønns- og personalsystemet SAPUiO Felles studentsystem (FS) I samme klasse stiller også det brukeradministrative systemet. Det vil også være svært ødeleggende for universitetet dersom data i økonomisystemet og arkivsystemet mistes eller blir gjenstand for uautorisert endring. Utover dette vil forskningsdata i viktige forskningsprosjekter og forskningsdata som er innsamlet i tråd med avtale med tredjepart eller med hjemmel i lov om personopplysninger måtte sikres spesielt mot tap og uautorisert tilgang Prosedyrer og rutiner I tilknytning til dette kapittelet er følgende prosedyrer utarbeidet: Prosedyre for sårbarhets- og risikovurdering av virksomhetskritiske systemer og tjenester Publisert 22. jan :45 - Sist endret 29. aug :09 4 of 4 15/09/14 20:30

15 Kapittel 5: Årsplan for IT-sikkerhetsarbeidet - Universitetet i Oslo Kapittel 5: Årsplan for IT-sikkerhetsarbeidet Det skal utarbeides årlige handlingsplaner med tiltak som skal gjennomføres for å redusere sårbarhet og bedre IT-sikkerheten. Innholdsfortegnelse 5.1. Planverk 5.2. Prosedyrer og rutiner 5.1. Planverk Det utarbeides årsplaner for IT-sikkerhetsarbeidet på linje med andre deler av IT-virksomheten. Årsplanene redegjør for prioriterte tiltak på området. Årsplanen utarbeides av IT-sikkerhetssjefen og godkjennes av IT-direktøren og legges fram for universitetsdirektøren til orientering. Det rapporteres tertialvis på årsplanen Prosedyrer og rutiner Ingen prosedyrer. Publisert 22. jan :45 - Sist endret 12. aug :24 1 of 1 15/09/14 20:30

16 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse Universitetet skal ha en IT-sikkerhetsorganisasjon der roller, beslutnings- og rapporteringslinjer er klart definert og der myndighet og fullmakter på de ulike nivåene er like klart definert. Innholdsfortegnelse 6.1. Sikkerhetsarbeid på universitetet Beslutnings- og rapporteringslinje Annen delegering av fullmakter, autorisering 6.2. IT-sikkerhetsorganisasjonen IT-direktøren IT-sikkerhetssjef Leder av UiO-CERT Underdirektører, Seksjons- og gruppeledere Tjenesteeier Lokale IT-ansvarlige 6.3. Administrativ IT Strategisk systemeier Systemeier 6.4. Andre roller og funksjoner Personvernombud Behandlingsansvarlig Kommunikasjonsdirektør 6.5. Internkontroll og Internrevisjon 6.6. Prosedyrer og rutiner 6.1. Sikkerhetsarbeid på universitetet Ansvaret for IT-sikkerhetsarbeidet følger styringslinja fra universitetsdirektøren til grunnenhetene. Det operative ansvaret for IT-sikkerheten er delegert fagavdelingen, USIT v/it-direktøren og følger linja i IT-organisasjonen ned til den enkelte IT-tilsatte, inkludert lokale IT-tilsatte. IT-sikkerhet utgjør sammen med fysisk sikkerhet og HMS (Helse, miljø og sikkerhet) de tre delene av sikkerhetsarbeidet ved universitetet. Universitetsdirektøren er øverste ansvarlig for sikkerhetsarbeidet: Ansvar for at det er utformet rutiner, prosedyrer, organisatoriske og praktiske tiltak som sikrer at virksomheten kan foregå i tråd med gitte retningslinjer og ivaretar universitetets krav til sikringsnivå: På IT-sikkerhetsområdet er dette ansvaret delegert IT-direktøren. Gjennom denne delegasjonen utøver IT-direktøren gjennom IT-sikkerhetssjefen myndighet for IT-sikkerhet på vegne av universitetsdirektøren på hele universitetet Ansvar for at disse bestemmelsene etterleves i den ordinære virksomheten: Dette ansvaret følger linja fra universitetsdirektøren via fakultetsledelsen til ledelsen ved grunnenhetene 1 of 4 15/09/14 20:31

17 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... (institutt, avdeling, randsoneenhet etc) Utover dette kommer roller og funksjoner med spesielle oppgaver av betydning for IT-sikkerheten: Strategisk systemeier Tjeneste- og systemeiere/-forvaltere Personvernombud Behandlingsansvarlig Kommunikasjonsdirektør Enhet for intern revisjon (EIR) er tillagt ansvar for å etterse at internkontroll er tilfredsstillende etablert for all virksomhet på universitetet, inkludert de ulike områdene av sikkerhetsarbeidet Beslutnings- og rapporteringslinje Beslutnings- og rapporteringslinjs i IT-sikkerhetsarbeidet følger styringslinja i universitetets organisasjon Annen delegering av fullmakter, autorisering Delegering av fullmakter og myndighet på IT-sikkerhetsområdet utover det som er beskrevet i IT-sikkerhetshåndboka, følger linja i universitetets organisasjon. All delegering skal være dokumentert og bekjentgjort på hensiktsmessig måte IT-sikkerhetsorganisasjonen Universitetsdirektøren er øverste ansvarlig for IT-sikkerheten ved Universitetet i Oslo IT-direktøren IT-direktøren er delegert myndighet og har ansvar for IT-sikkerheten på universitetet, jf IT-direktørens ansvar og oppgaver. Dette innebærer blant annet ansvar for: At IT-sikkerhetshåndboken gjennomgår en årlig revisjon og at denne godkjennes av universitetsdirektøren At det foreligger rutiner og prosedyrer som sikrer oppfølging av retningslinjene i IT-sikkerhetshåndboka At det foreligger årsplan for IT-sikkerhetsarbeidet og at status på området rapporteres i tråd med rutinene for virksomhetsrapportering på universitetet IT-sikkerhetssjef IT-sikkerhetssjefen utøver IT-direktørens myndighet innen IT-sikkerhetsområdet og rapporterer til denne, jf stillingsbeskrivelsen for denne stillingen Leder av UiO-CERT Leder av UiO-CERT-gruppa er av IT-direktøren tildelt ansvar og myndighet for daglig oppfølging av sikkerhetshendelser i tråd med retningslinjene i kapittel 13 Håndtering av sikkerhetshendelser. Leder av UiO-CERT rapporterer til IT-sikkerhetssjefen Underdirektører, Seksjons- og gruppeledere Underdirektører, seksjons- og gruppeledere på USIT har ansvar for USITs tjenesteleveranser og at disse følger retningslinjene i IT-sikkerhetshåndboka, jf ansvar og oppgaver tillagt linjeledere på USIT i Funksjons- og bemanningsplan for USIT Tjenesteeier For hver av IT-tjenestene definert i tjenestekatalogen skal det på USIT være en tjenesteeier som blant annet er 2 of 4 15/09/14 20:31

18 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... ansvarlig for at tjenesten som leveres følger retningslinjene i IT-sikkerhetshåndboka Lokale IT-ansvarlige Lokale IT-ansvarlige er ansvarlig for at lokal IT-virksomhet skjer i tråd med bestemmelsene i IT-sikkerhetshåndboka. Ved tvil skal IT-sikkerhetssjefen konsulteres Administrativ IT I behandlingen av anbefalingene i Administrative IT-systemer fra IHR-plangruppe for administrativ IT besluttet universitetsstyret 27. januar 2012 følgende: Et entydig definert systemeierskap Et entydig ansvars- og myndighetskart Et veikart for administrative IT-systemer En strategisk koordineringsgruppe En rådgivnings- og sekretariatsfunksjon Strategisk systemeier Strategisk systemeier er bindeleddet mellom universitetsledelsen, USIT og systemeierne i IT-sikkerhetsspørsmål Systemeier Systemeier er ansvarlig for å spesifisere krav til IT-sikkerheten ved disse, sikre at disse er i tråd med bestemmelsene i IT-sikkerhetshåndboka og sikre at dette følges opp av drifts- og utviklingsorganisasjonen i tråd med beskrivelse av ansvar og myndighet i Styring og forvaltning av administrativ IT Andre roller og funksjoner Ved siden av ovennevnte har følgende roller og funksjoner betydning for arbeidet med IT-sikkerhet: Personvernombud Behandlingsansvarlig Kommunikasjonsdirektør Personvernombud Personvernombudet ivaretar deler av Datatilsynets oppfølgingsansvar i forhold til lov om personopplysninger med tilhørende forskrift. Personvernombudet skal påse at den behandlingsansvarlige følger de lover og forskrifter som gjelder for behandlinger av personopplysninger, samt å føre en fortegnelse over behandlinger av personopplysninger. Personvernombudet skal: Bistå den registrerte med å ivareta sine rettigheter Påse at behandlingen av personopplysninger blir meldt til ombudet og at innmeldingene inneholder korrekte og tilstrekkelige opplysninger i forhold til bestemmelsene i personopplysningsloven med tilhørende forskrifter Føre en systematisk og offentlig tilgjengelig oversikt over alle slike behandlinger Ved Universitetet i Oslo er personvernombud delt i to: Norsk Samfunnsvitenskapelige datatjeneste (NSD), Bergen er personvernombud for behandlinger i forskningsøyemed 3 of 4 15/09/14 20:31

19 Kapittel 6: IT-sikkerhetsorganisasjon og -ledelse - Universitete... Morten Opsal, Enhet for intern revisjon, er personvernombud for administrative behandlinger Behandlingsansvarlig Behandlingsansvarlig bestemmer formålet ved behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes i behandlingen av disse på universitetet. Behandlingsansvarlig ved UiO er Universitetsdirektøren. Behandlingsansvarlig er ansvarlig for all behandling av personopplysninger ved UiO, skal påse at lov og forskrift etterfølges og skal holde oversikt over innmeldte behandlinger. Ved Universitetet i Oslo er dette ansvaret delegert til juridisk rådgiver Märtha Felton. Det følger av ordinær delegering av ansvar, at den enkelte avdelingsleder/instituttleder er ansvarlig for den behandling av personopplysninger som blir foretatt ved den enkelte avdeling/institutt. Dette ansvaret kan igjen delegeres videre Kommunikasjonsdirektør Kommunikasjonsdirektøren er ansvarlig for intern og ekstern informasjon i krisesituasjoner i tråd med den generelle sikkerhetsinstruksen for Universitetet i Oslo Internkontroll og Internrevisjon Internkontroll defineres som en kontinuerlig prosess, iverksatt, gjennomført og overvåket av institusjonens styre, ledelse og ansatte. Den utformes for å gi rimelig sikkerhet vedrørende måloppnåelse innen følgende områder: Målrettet og kostnadseffektiv drift Pålitelig regnskapsrapportering og økonomiforvaltning Overholdelse av lov- og regelverk Enhet for intern revisjon (EIR) har som sitt ansvarsområde å føre tilsyn med at den etablerte interne kontrollen fungerer som planlagt og eventuelt om den har mangler eller svakheter. Det skjer gjennom revisjoner som er planlagte og systematiske undersøkelser av et spesifikt tema. EIR har en årsplan å arbeide etter der disse temaene er beskrevet. EIR utøver i tillegg rådgiving og veiledning innenfor fagfeltet internkontroll og bidrar med kvalitetssikringsaktiviteter Prosedyrer og rutiner Ingen prosedyrer. Publisert 22. jan :45 - Sist endret 11. sep :38 4 of 4 15/09/14 20:31

20 Kapittel 7: IT-tjenester og informasjonsressurser - Universitet... Kapittel 7: IT-tjenester og informasjonsressurser Det skal foreligge en oversikt over universitetets IT-tjenester og IT-systemer. I denne oversikten skal tjenestene og systemene klassifiseres i forhold til viktighet og denne klassifiseringen skal danne grunnlag for tiltak knyttet til sikring av tjenester og systemer. Innholdsfortegnelse 7.1. Tjenestekatalog og konfigurasjonsdatabase Operative tjenester Utviklingstjenester Støttetjenester Veikart for administrativ IT 7.3. Klassifikasjon av IT-tjenestene Viktighet = 5 (uviktige tjenester) Viktighet = 4 (test/utviklingstjenester, lite viktige tjenester) Viktighet = 3 (normal) Viktighet = 2 (viktige systemer) Viktighet = 1 (høy viktighet) 7.4. Informasjonsressursene Klassifisering av informasjonsressursene Behandling av personopplysninger Særskilte tillatelser, sikkerhetsklareringer mm Behandling av særskilte typer data Lagring av informasjon og data 7.5. Ressurser eid av tredjepart 7.6. Prosedyrer og rutiner IT-tjenester er en kombinasjon av flere IT-ressurser: IT-infrastrukturen med nettet på universitetet og forbindelsene til omverdenen Maskinvare, inkludert brukernes arbeidsplassutstyr Programvare, inkludert databaser, applikasjoner, informasjonssystemer etc For IT-tjenestene skal det eksistere en klassifikasjon i forhold til viktighet for daglig og langsiktig virksomhet på universitetet. Implisitt i denne klassifiseringen vil det også ligge en klassifisering av det maskinutstyret og den programvaren som inngår i tjenesteproduksjonen og den kompetansen og kunnskapen som IT-organisasjonen trenger for å tilby tjenesten. Informasjonsressurser omfatter alle typer data og informasjon som er lagret på universitetets utstyr og gjøres tilgjengelig ved hjelp av IT-tjenestene. IT-sikkerhetshåndboka omfatter IT-tjenester og informasjonsressurser som eies eller forvaltes av Universitetet i Oslo eller enheter tilknyttet universitetet og som er tilgjengelig på universitetets nett. 1 of 6 15/09/14 20:32

Revisjon av IT-sikkerhetshåndboka

Revisjon av IT-sikkerhetshåndboka Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte

Detaljer

Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring

Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring Side 1 av 5 Enhet for Intern Revisjon REVISJONSRAPPORT IT-tilgangsstyring Distribusjon: IT-direktøren OPA Kopi: Universitetsdirektøren Gjennomført februar - september 2013 Revisorer: Morten Opsal Blindern,

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren 22.-23. april 2015 Fung. økonomidirektør Kirsti R. Aarøen Universitetet i Bergen 14.450 studenter

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Bilag 6 Vedlegg 3 Definisjoner

Bilag 6 Vedlegg 3 Definisjoner Bilag 6 Vedlegg 3 Definisjoner Saksnummer 13/00203 1 / 7 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 0.1 16.05.2013 Difi Dokument distribuert til tilbydere 02. 01.11.2013 Difi Ny definisjon

Detaljer

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU US 42/2015 Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU Universitetsledelsen Saksansvarlig: Økonomi- og eiendomsdirektør Saksbehandler(e): Jan E. Aldal, Hans Chr Sundby, Siri

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning. Biobankinstruks 1. Endringer siden siste versjon 2. Definisjoner Biobank Med diagnostisk biobank og behandlingsbiobank (klinisk biobank) forstås en samling humant biologisk materiale som er avgitt for

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetshåndbok for Utdanningsetaten. kortversjon Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering

Detaljer

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

Bergen kommunes strategi for informasjonssikkerhet 2011-2014

Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommunes strategi for informasjonssikkerhet 2011-2014 Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid.

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Norm for informasjonssikkerhet www.normen.no. Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Personvernombud Støttedokument Faktaark nr. 35 Versjon: 2.1 Dato: 15.12.2010 Målgruppe Dette faktaarket er spesielt relevant for: Ansvar

Detaljer

PACS 2005. IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig

PACS 2005. IT-sikkerhet i foretakene - ansvar og roller. Trondheim. Helse Nord-Trøndelag HF. Helge Gundersen. IKT-rådgiver / IT-sikkerhetsansvarlig IT-sikkerhet i foretakene - ansvar og roller Helge Gundersen IKT-rådgiver / IT-sikkerhetsansvarlig Historisk: PACS 2005 Regionalt samarbeid innefor IT Formalisert samarbeid mellom 3 fylkeskommuner Felles

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem)

Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem) Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem) Versjon 10. juni 2013 1 Bakgrunn Samarbeidstiltaket FS er et samarbeid mellom norske universiteter og høgskoler med ansvar for å videreutvikle

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket RUTINER FOR BEHANDLING AV STUDENTOPPLYSNINGER VED UNIVERSITETET I TROMSØ Fastsatt av universitetsdirektøren 04.07.05, jf. pkt. 1.5 i Instruks for behandling av personopplysninger ved Universitetet i Tromsø(instruksen).

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14. Digitaliseringsstrategi for Buskerud fylkeskommune 2015-2017 Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.april 2015 Innhold 1. INNLEDNING... 3 2. GJENNOMFØRING... 4 3. SATSINGSOMRÅDER...

Detaljer

Digitaliseringsstrategi 2014-2029

Digitaliseringsstrategi 2014-2029 Digitaliseringsstrategi 2014-2029 Stavanger kommune Stavanger kommune skal gi innbyggerne og næringsliv et reelt digitalt førstevalg. Den digitale dialogen skal legge vekt på åpenhet og tilgjengelighet.

Detaljer

UTKAST Organisering Qm+

UTKAST Organisering Qm+ DILBERT-prosjektet UTKAST Organisering Qm+ NOTAT Utarbeidet av Bjørn Grønning, Dato 16.08.12 Dokumentversjon 0.5 Dette dokumentets formål Beskrive organisering av personellressurser til Qm+ systemet og

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland

Detaljer

Mørketallsundersøkelsen 2006

Mørketallsundersøkelsen 2006 Mørketallsundersøkelsen 2006 Øyvind Davidsen Leder av Datakrimutvalget Sikkerhetskonferansen 2006 27-28 September 1 Mørketallsundersøkelsen Dette er den 5. mørketallsrapporten som utarbeides av Datakrimutvalget

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet. NOTAT Til: Møtedato: 13.12.07 Universitetsstyret Arkivref.: 200706432-1 Risikostyring ved Universitetet i Tromsø Bakgrunn Som statlig forvaltningsorgan er Universitetet i Tromsø underlagt Økonomiregelverket

Detaljer

Hver dag jobber vi for å holde HiOA

Hver dag jobber vi for å holde HiOA Hver dag jobber vi for å holde HiOA Sikkerhet er å beskytte verdier vit hva du skal gjøre når noe skjer Page 1 of 16 Mennesker omfatter alle som er tilknyttet HiOA eller oppholder seg på HiOAs område Informasjon

Detaljer

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) 25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

Veiledning- policy for internkontroll

Veiledning- policy for internkontroll Veiledning- policy for 1. Bakgrunn Statlige virksomheter forvalter fellesskapets midler og leverer produkter og tjenester som er av stor betydning både for den enkelte samfunnsborger og for samfunnet som

Detaljer

SAKSTIHEL: Omorganisering av HMS og etablering av BHT-funksjon ved UiO

SAKSTIHEL: Omorganisering av HMS og etablering av BHT-funksjon ved UiO UNIVERSITETET I OSLO UNIVERSITETSDIREKTØREN Til Universitetsstyret Fra Universitetsdirektøren Sakstype: Vedtakssak Møtesaksnr.: V-sak 5 Møtenr. 2/2011 Møtedato: 01.03.11 Notatdato: 22.02.11 Arkivsaksnr.:

Detaljer

Oslo kommune Utdanningsetaten

Oslo kommune Utdanningsetaten Utdanningsetaten P. Reinholdsen Dato: 22.03.2016 Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 16/02641-2 Rohan Fininger, 95754230 Innsynshenvendelse etter Offentlighetslova - Konsekvenser ved valg

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Service Level Management - ITIL Dato: 12.02.2009 Versjon 1.1 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets Service

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET.

VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET. VENNLIGST LES DISSE VILKÅRENE OG BETINGELSENE NØYE FØR DU BRUKER DETTE NETTSTEDET. VILKÅR FOR BRUK AV NETTSTED Disse vilkårene for bruk (sammen med dokumentene som er referert til her) forteller deg betingelsene

Detaljer

Informasjonssikkerhet ved Universitetet i Tromsø Fastsatt av universitetsdirektøren 01.09.2011

Informasjonssikkerhet ved Universitetet i Tromsø Fastsatt av universitetsdirektøren 01.09.2011 Informasjonssikkerhet ved Universitetet i Tromsø Fastsatt av universitetsdirektøren 01.09.2011 1 Innholdsfortegnelse Forord... 3 1 Sikkerhetsmål og sikkerhetsstrategi... 4 1.1 Sikkerhetsmål... 4 1.2 Sikkerhetsstrategi...

Detaljer

Kompetansemål fra Kunnskapsløftet

Kompetansemål fra Kunnskapsløftet Datasikkerhet 2ISFA Kompetansemål fra Kunnskapsløftet yte service gjennom brukerstøtte og kommunikasjon med brukere yte service gjennom driftsstøtte og kommunikasjon med leverandører og fagpersonell på

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster? BYOD Bring Your Own Disaster? SUHS-13 Per Arne Enstad, CISA/CISM/CRISC BYOD eller ikke BYOD? BYOD har en del positive trekk som ikke kan overses: Gartner Group antyder en kostnadsbesparelse på 9-40% hvis

Detaljer

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den

Detaljer

RAPPORT. Revisjon: Implementering av kvalitetssystemet for medisinsk og helsefaglig forskning

RAPPORT. Revisjon: Implementering av kvalitetssystemet for medisinsk og helsefaglig forskning RAPPORT Revisjon: Implementering av kvalitetssystemet for medisinsk og helsefaglig forskning Distribuert til: Forskningsdirektør Kopi: Universitetsdirektør Gjennomført av: Seniorkonsulent Hilde Tanggaard

Detaljer

Hvordan velge en leverandør for cloud backup

Hvordan velge en leverandør for cloud backup Hvordan velge en leverandør for cloud backup WHITEPAPER Hvorfor bør du beskytte dine data? Før eller senere via skade, uhell eller feil er det statistisk sannsynlig at du vil miste verdifull data. Flere

Detaljer

MØRKETALLSUNDERSØKELSEN 2010

MØRKETALLSUNDERSØKELSEN 2010 MØRKETALLSUNDERSØKELSEN 2010 Mørketallsundersøkelsen 2010 7. undersøkelsen Perduco AS i mai 2010. Tidsrommet for kartleggingen er 2009. Utvalg: Det er trukket ut 6000 virksomheter til undersøkelsen. Av

Detaljer

Reglement om statlige universiteter og høyskolers forpliktende samarbeid og erverv av aksjer

Reglement om statlige universiteter og høyskolers forpliktende samarbeid og erverv av aksjer Reglement om statlige universiteter og høyskolers forpliktende samarbeid og erverv av aksjer Innledning A. Fastsettelse av virkeområde Reglementet er fastsatt av Kunnskapsdepartementet med hjemmel i lov

Detaljer

Kvalitetssikring av arkivene

Kvalitetssikring av arkivene Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2006-11-24 Veiledning i Sikkerhetsadministrasjon Grunnlagsdokument for sikkerhet Grunnlagsdokumentet er virksomhetens styringsdokument for den forebyggende

Detaljer

Akkumulert risikovurdering oktober 2015

Akkumulert risikovurdering oktober 2015 Akkumulert risikovurdering oktober 201 Sannsynlighet 1 Risiko for driftsstans i PRO og NISSY som følge av svakheter i løsning levert fra (6) Risiko for at Mine pasientreiser blir levert forsinket med redusert

Detaljer

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? For Kontrollutvalg 30.11.15 v/rådmann Thor Smith Stickler OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES? Definisjon av internkontroll - PwC Internkontroll er et formalisert kontrollsystem der kontrollaktiviteter

Detaljer

INSTRUKS FOR ØKONOMIFORVALTNINGEN VED NORGES HANDELSHØYSKOLE

INSTRUKS FOR ØKONOMIFORVALTNINGEN VED NORGES HANDELSHØYSKOLE INSTRUKS FOR ØKONOMIFORVALTNINGEN VED NORGES HANDELSHØYSKOLE INNHOLDSFORTEGNELSE 1 INSTRUKSENS FORHOLD TIL OVERORDNET ØKONOMIREGELVERK 3 2 ANSVARSFORHOLD 3 3 ØKONOMIFORVALTNING 4 4 PLAN OG BUDSJETT 6 5

Detaljer

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar) Justis- og politidepartementet Postboks 8005 Dep 0030 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 201104681/MKJ 11/00706-2/CBR 14. september 2011 Dato Høringsuttalelse - Forslag til ny forskrift

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det?

Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det? Dagens trusselbilde for IT-sikkerhetsbrudd og hvordan hanskes med det? Hvordan finne riktig IT-sikkerhetsnivå for din virksomhet? Arild S. Birkelund Bjørn A. Tveøy Hva skal vi snakke om? IT-sikkerhet et

Detaljer

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN

IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN IT-REGLEMENT FOR TILSATTE / ENGASJERTE VED KUNSTHØGSKOLEN Instruks for bruk av IT-utstyr ved Kunsthøgskolen i Oslo er fastsatt av høgskoledirektøren 1.april 2006. 1 Omfang, forutsetninger 1.1 Dette reglementet

Detaljer

Autentisering av ansatte

Autentisering av ansatte Autentisering av ansatte Øivind Grinde, Difi Norstella eid fagutvalg 20.3.2014 Strategi for ID-porten Mandat Levere en strategi med besluttbare tiltak og løsningsalternativer på identifiserte områder.

Detaljer

Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013:

Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013: Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Nils B. Normann, 75 51 29 00 Bodø, 17.4.2015 Styresak 45-2015 Oppfølging av Internrevisjonsrapport 01/2013: Revisjon av tverrgående prosesser

Detaljer