INFORMASJONSSIKKERHETSPOLICY. Geir Tutturen IT-leder, UMB

Transkript

1 Geir Tutturen IT-leder, UMB

2 - TRENGER VI DET? Et noe ledende spørsmål fra arrangøren. Krav om styringsdokumenter mht informasjonssikkerhet: Personopplysningsloven 13 og 14 Personopplysningsforskriften 2 og 3 Spørsmålet blir dermed: Trenger vi assistanse via GigaCampus-programmet? Det kan være stor forskjell på UH-institusjonene mht status for denne type styringsdokumenter. Noen vil komme godt i mål på egen hånd Relativt mange vil kunne ha god nytte av drahjelp 2

3 UMBs erfaringer midtveis i prosessen Kortfattet historikk: Initiativ fra IT-siden for å delta i GigaCampussikkerhetsprosessen tidlig i 2008 Litt tung start mht motivering av resten av organisasjonen i prinsippet positive, men vanskelig å finne plass i kalenderen Noe uventet drahjelp fra ulike tilsyn som viste interesse for oss: Datatilsynet gjorde en del funn (de kom før GigaCampus-møtet) RiksRevisjonen de ville lage en IKT-profil (de drøyde sitt besøk til etter GigaCampus-møtet) Gjennomførte GigaCampus-møtet med stort engasjement 3

4 UMBs erfaring med Datatilsynet Datatilsynet skrev et brev og spurte om informasjon om UMBs informasjonssystem UMB skrev et brev og forklarte litt om organisasjon og ulike informasjonssystemer Datatilsynet kom på besøk Datatilsynet gjorde en del funn Datatilsynet skrev et brev og varslet et vedtak UMB skrev et brev og varslet en rekke konkrete tiltak, blant annet med henvisning til GigaCampus-prosessen UMBs brev gjorde ikke inntrykk på Datatilsynet. Datatilsynet skrev et brev med vedtak, og gav UMB en frist til å ha styringsdokumenter på plass 4

5 UMBs erfaring med RiksRevisjonen Riksrevisjonen skrev et brev og varslet om at de ville lage en IKT-profil av UMB, og ba derfor om dokumentasjon. UMB sammenfattet de ba om og sendte inn. UMB påpekte at vi var i gang med egen revisjon, og at det kunne være muligheter for et visst sammenfall. RR så også dette mønsteret og utsatte sitt besøk til de hadde fått rapporten fra GC-revisjonen gt1 På møtet med RR gav de uttrykk for at også de var i utvikling mht sine IKT-profiler, og at GC-rapporten gikk dypere en det RR tok sikte på. Avslutningsvis sa RR at de ikke kom til å forfølge funn som ikke var deres egne. UMBs ledere merket seg dette med interesse. 5

6 Slide 5 gt1 epost Geir Tutturen;

7

8 Erfaringer med GC-revisjonen Kartleggingsmøte God tilstedeværelse av ledere og fagfolk. Mye fokus på styringsdokumenter, og det var den delen som hadde det bredeste engasjementet Relativt samstemt stemning på møtet Rapporten Gjenspeilet det som ble sagt og diskutert på møtet Fikk likevel litt blandet mottagelse. IT-avdelingen og toppledelse tok rapporten til etterretning dvs den var som forventet Øvrige avdelinger hadde noe flere motreaksjoner Tendens til å henge seg opp skrivefeil, etc 7

9 Foreløpige erfaringer med policyarbeidet Arbeidsseminar gjennomført Litt redusert deltagelse pga uheldig timing i forhold til vinterferie. Dvs primært IT-folk tilstede foruten toppleder Mye fokus på sikkerhetsorganisasjon Også mye fokus på IKT-reglement / datadisiplinerklæring Policydokument og dokumentbase Nyttig med dokumentportefølje som gjør at man rakst etablere påkrevde styringsdokumenter Prosessen drives primært av IT og toppledelse Noe utfordring med aksepten av dokumentene og deres forankring i øvrige berørte avdelinger. Avstøtningstendenser 8

10 Observasjoner og vurderinger UH-kultur vs ISO-kultur? Prosessen så langt har etterlatt et inntrykk av GCsikkerhetsarbeidet er innleid, og i mindre grad tatt utgangspunkt i den akademiske kulturen. UH-institusjoner sidestilles med forsikringsselskaper og banker. Litt overraskende, men kanskje riktig? Villet kursendring? Har vi hatt en prosess? 9

11 Overraskelser Kontrakter med tredjepart Nyttig med bevisstgjøring og profesjonalisering Likevel interessant at kontraktene med UNINETT FAS får strykkarakter av UNINETTs egen revisjonsprosess. IKT-reglement Forslaget til IKT-reglement/datadisiplinerklæring er veldig annerledes enn UNINETTs forslag til Felles IKTreglement for UH-sektoren fra 2004 Inntrykket var at fellesreglementet fra 2004 ikke var kjent for revisorene. Datadisiplinerklæringen er kortere, og derfor oversiktlig Den behandler likevel ikke en del tema som er viktige i akademisk sektor, slik som eiendomsrett til data. 10

12 Anbefalinger og potensiale Forankring Forankring i ledelsen er viktig, men det er også viktig med forankring mot resten av organisasjonen. Informasjonssikkerhet angår flere avdelinger, og må ikke bare bli en IT-greie. Deler av dokumentasjonen kan med fordel bli ITnøytral, samt at informasjonssikkerhet må kunne innpasses i et samlet sikkerhetshåndteringssystem Utrede tema med aktualitet i UH-sektoren Eiendomsrett til data (e-post, hjemmeområder mm) Håndtering av bærbare PCer / PDA Håndtering av nettsamfunn og nye kommunikasjonsformer 11