Policy for informasjonssikkerhet ved U1S
|
|
- Siv Nilssen
- 8 år siden
- Visninger:
Transkript
1 \I\ EkSLIÆrLf, \HLi: 05 AUG in i Stava nger Policy for informasjonssikkerhet ved U1S Versjon:1.2 Dato:
2 1.0 Policy for informasjonssikkerhet Sikkerhetsmål Sikkerhetsstrategi Roller og ansvarsområder Roller og ansvarsområder Prinsipper for informasjonssikkerhet ved UiS Risikostyring Policy for informasjonssikkerhet Sikkerhetsorganisasjon Klassifisering og eiendelskontroll Informasjonssikkerhet knyttet til personalet Informasjonssikkerhet knyttet til fysiske forhold Kommunikasjon og driftsadministrasjon av IT Tilgangskontroll Systemutvikling og vedlikehold Håndtering av sikkerhetshendelser og avvik Kontinuitetsplanlegging Samsvar Styrende dokumenter for sikkerhetsarbeidet Formål med styrende dokumenter Dokumentstruktur Refera nser Interne referanser Eksterne referanser Stavanger - Org.nr Telefon: E-post: post@uis.no -
3 Policy for informasjonssikkerhet ved UiS Versjonskontroll: Kenneth Høstland Marina Davidian John B. Møst Kenneth Høstland Jon Bjelland Kenneth Høstland Marina Davidian Per Ramvi Kenneth Høstland Marina Davidian John B. Møst Kenneth Høstland Marina Davidian John B. Møst Gunnar Bøe Marina Davidian John B. Møst Versjon: Dato: Forfatter: Kontrollert: Godkjent: Gjennomgang og godkjenning: Dato: Navn: Rolle: Initialer: John B. Møst Universitetsdirektør JBM Kenneth Høstland Marina Davidian 3 av
4 Policy for informasjonssikkerhet ved UiS 1.0 POLICYFOR INFORMASJONSSIKKERHET 1.1 Sikkerhetsmål (UiS) er forpliktet til å ivareta konfidensialitet, integritet og tilgjengelighet for alle fysiske og elektroniske informasjonsverdier i institusjonen for å sikre etterlevelse av virksomhetsmessige, kontraktsmessige og regulativ krav. De overordnede mål for informasjonssikkerheten i UiS er følgende: Sørge for samsvar med gjeldende lover, forskrifter og retningslinjer. Ivareta krav til konfidensialitet, integritet og tilgjengelighet for UiS sine ansatte, studenter og andre brukere. Etablere kontroller for å beskytte UiS sin informasjon og informasjonssystemer mot tyveri, misbruk og andre former for skade og tap. Motivere ledelse og ansatte til å opprettholde ansvar, eierskap, kunnskap og kompetanse om informasjonssikkerheten, slik at frekvens og skadenivå av sikkerhetshendelser kan minimaliseres. Sikre at UiS er i stand til å fortsette sine tjenester også dersom større sikkerhetshendelser skulle inntreffe. Sørge for at personvernet ivaretas. Sikre tilgjengelighet og pålitelighet i nettverksinfrastruktur og tjenester levert og driftet av UiS Følge metoder fra internasjonale standarder for informasjonssikkerhet (bl.a. ISO/IEC 27001) 1.2 Sikkerhetsstrategi UiS sin gjeldende virksomhetsstrategi og rammeverk for risikostyring er førende for å identifisere, bedømme, evaluere og kontrollere informasjonsrelaterte risikoer gjennom etablering og vedlikehold av policy for informasjonssikkerhet (dette dokumentet). Det er vedtatt at informasjonssikkerheten skal ivaretas av policy for informasjonssikkerhet og et sett av underliggende og komplementerende dokumenter. I særdeleshet skal virksomhetsmessig kontinuitet ivaretas gjennom kontinuitetsplaner, backup-prosedyrer, forsvar mot skadelig kode og ondsinnede aktiviteter, tilgangskontroll til systemer og informasjon, avvikshåndtering og rapportering. Begrepet informasjonssikkerhet er knyttet til konfidensialitet; sikkerhet for at bare autoriserte personer har tilgang til informasjonen, og at den ikke avsløres til uvedkommende. integritet; sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter Kenneth 1- Iøstiand Marina Davidian 4 av
5 Policy for informasjonssikkerhet ved UiS tilgjengelighet; sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig for autoriserte ved behov. Et av de mest kritiske aspektene ved UiS sin virksomhet er tilgjengelighet og pålitelighet knyttet til nett, infrastruktur og tjenester. UiS praktiserer et prinsipp om åpenhet, men vil kunne prioritere hensynet til konfidensialitet foran tilgjengelighet og integritet. Alle brukere av UiS sine informasjonssystemer er forpliktet til å følge denne policy. Overtredelse av denne policy for informasjonssikkerhet og vedtatte sikkerhetskrav vil derfor være et tillitsbrudd mellom brukeren og UiS, og vil kunne medføre konsekvenser for ansettelses- eller avtaleforholdet Kenneth Høstland Marina Davidian 5 av
6 Policy for informasjonssikkerhet ved UiS 2.0 ROLLER OG ANSVARSOMRÅDER 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter og avtaler. Universitetsdirektøren har det daglige ansvar for sikkerheten ved UiS, herunder fysisk sikkerhet, personalsikkerhet og informasjonssikkerhet. Eier av sikkerhetspolicy Universitetsdirektøren er eier av sikkerhetspolicyen (dette dokumentet). Universitetsdirektøren delegerer sikkerhetsrelatert dokumentasjon og signaturrettigheter til sikkerhetsansvarlig (CSO, Chief Security Officer). Alle endringer i dokumentet skal dokumenteres og signeres av sikkerhetsansvarlig. Sikkerhetsansvarlig Sikkerhetsansvarlig (CSO, Chief Security Officer) er hovedansvarlig for informasjonssikkerhet ved UiS. IT direktør har denne rollen (ref. kapittel 3.3.1). Systemeier Systemeier, i samråd med IT avdelingen, er ansvarlig for krav til anskaffelse, utvikling og vedlikehold av informasjon og relaterte informasjonssystemer. Alle typer informasjon skal ha en definert eier. Eier definerer hvilke brukere eller brukergrupper som skal ha tilgang til informasjonen og hva som er autorisert bruk av informasjonen. Systemansvarlig (IT- avdelingen) Systemansvarlige er ansvarlig for spesifikke områder av IT ved universitetet. Systemansvarlige er personer som forvalter UiS sine informasjonssystemer eller informasjon som er betrodd UiS fra andre parter. Hver enkelt type informasjon og systemer kan ha en eller flere dedikerte systemansvarlige. Disse er ansvarlige for å beskytte informasjonen, inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å foreta backup slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder dessuten sikkerhetsmekanismer i tråd med intensjonen. Brukere Ansatte og studenter er ansvarlige for å gjøre seg kjent med og rette seg etter UiS sitt ITreglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av den aktuelle informasjonen, eventuelt systemansvarlig Kenneth Høstiand Marina Davidian 6 av
7 s Policyfor informasjonssikkerhetved UiS Konsulenter og kontraktspartnere Kontraktspartnere og innleide konsulenter skal skrive under taushetserklæring ved innsyn i sensitive forhold Kenneth Høstland Marina Davidian 7 av
8 Policy for informasjonssikkerhet ved UiS 3.0 PRINSIPPERFOR INFORMASJONSSIKKERHETVED UIS 3.1 Risikostyring Risikovurdering UiS skal ha en tilnærming til sikkerhet som er basert på risikovurderinger UiS skal løpende analysere risikoer og vurdere behovet for beskyttelsestiltak. Tiltak skal vurderes med hensyn til effektivitet, kostnad, praktisk gjennomførbarhet og med utgangspunkt i UiS sin rolle som utdannings- og forskningsinstitusjon Risikovurdering skal identifisere, kvantifisere og prioritere risiko i forhold til relevante kriterier for akseptabel risiko Det skal gjennomføres en årlig overordnet risikovurdering av informasjonssystemene Det skal gjennomføres risikovurderinger ved endringer som har betydning for informasjonssikkerheten. Det skal benyttes anerkjente metoder for risikovurdering, slik som anbefalinger fra SSØog NSM eller ISO/IEC Systemeier er ansvarlig for at risikovurderinger blir gjennomført iht. policy. Håndtering av risiko Håndtering av risiko skal foretas i forhold til kriterier som UiS sin ledelse har akseptert Risikovurderinger skal godkjennes av UiS sin universitetsdirektør Dersom en risikovurdering avdekker uakseptabel risiko, skal det settes i verk tiltak for å redusere risikoen til et akseptabelt nivå. 3.2 Policy for informasjonssikkerhet Universitetsdirektøren skal sørge for at policy for informasjonssikkerhet, samt retningslinjer og standarder, blir benyttet og fulgt opp Universitetsdirektøren skal sørge for at det blir lagt til rette for at alle brukere får nødvendig opplæring og materiell, og slik at brukerne kan beskytte UiS sin informasjon og informasjonssystemer Sikkerhetspolicyen skal gjennomgås og oppdateres årlig eller ved behov etter prinsipper for ISMS (information security management system), som beskrevet i ISO/IEC Alle viktige endringer i UiS sin aktivitet, eller andre eksterne endringer som vil påvirke trusselbildet, skal føre til en revidering av policyen og retningslinjer som angår sikkerhet Kenneth Høstiand Marina Davidian 8 av
9 Policy for informasjonssikkerhet ved UiS 3.3 Sikkerhetsorganisasjon UiS sin sikkerhetsorganisasjon Ansvaret innenfor sikkerhetsområdet er fordelt som følger: Det overordnede sikkerhetsansvaret ligger hos Universitetsdirektøren. IT direktør er delegert ansvaret for sikkerhet ved UiS, inkludert informasjonssikkerhet og ITsikkerhet. IT direktør er med dette CSO (Chief Security Officer) ved UiS. Den enkelte avdeling og seksjon er ansvarlig for å implementere informasjonssikkerhet ved enheten. Lederne ved resultatenhetene skal utnevne egne IT-sikkerhetsansvarlige. HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til personaldata i henhold til personopplysningsloven. Utdanningsdirektøren har det utførende ansvar for informasjonssikkerhet knyttet til studentregisteret og annen studentrelatert informasjon. IT direktør har det utførende ansvaret for informasjonssikkerhet knyttet til IT-systemer og ITinfrastruktur. Driftssjef har det utførende ansvar for informasjonssikkerhet knyttet til bygningsmessig infrastruktur. HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til HMS-systemer. Universitetsdirektøren er behandlingsansvarlig for de ansattes personopplysninger. Den daglige behandlingsansvarlige er HR direktøren, som ivaretar myndighetskontakt i forhold til Datatilsynet. Norsk samfunnsvitenskapelig datatjeneste er personvernombud for forskningsrelaterte personopplysninger. Studiedirektøren har det utførende ansvar. Universitetsdirektøren har det overordnede ansvar for kvalitetsarbeidet, mens det operasjonelle ansvaret er delegert iht. ledelsesstrukturen. Prosjekter skal organiseres iht. prosjekthåndbok, der informasjonssikkerheten skal være definert. UiS sin informasjonssikkerhet vil jevnlig bli revidert gjennom internkontroll og ved behov med bistand fra UNINETT eller ekstern IT-revisor UiS har et informasjonssikkerhetsforum som består av UiS sin ledergruppe utvidet med ITdirektør og Driftssjef. Sikkerhetsforumet skal gi universitetsdirektøren råd om tiltak som fremmer operasjonell informasjonssikkerhet i organisasjonen gjennom nødvendig engasjement og tilstrekkelig ressursbruk. Sikkerhetsforumet skal ha følgende oppgaver: Gjennomgå og godkjenne policy for informasjonssikkerhet med tilhørende dokumenter og generelle ansvarsforhold. Overvåke vesentlige endringer i truslene mot organisasjonens informasjonsaktiva. Gjennomgå og overvåke innrapporterte sikkerhetshendelser.godkjenne større initiativ for å styrke informasjonssikkerheten Kenneth HØstland Marina Davidian 9 av
10 Policy for informasjonssikkerhet ved UiS 3.4 Klassifisering og eiendelskontroll Informasjon og infrastruktur skal klassifiseres med hensyn til nødvendig sikkerhetsnivå og tilgangsbegrensning Informasjon som nevnt i pkt skal klassifiseres i en av tre følgende kategorier for konfidensialitet: Sensitiv Informasjon av sensitiv art hvor uautorisert tilgang (også internt) kan medføre betydelig skade for enkeltpersoner, universitetet eller deres interesser. Sensitiv informasjon er her synonymt med forvaltningslovens «Unntatt Offentlighet» og sensitive personopplysninger iht. personopplysningsloven. Slik informasjon skal sikres i «røde» soner, ref. kapittel 3.6. Intern Informasjon som kan skade UiS eller være upassende at tredjepart får kjennskap til. Systemeier avgjør tilgangs- og delingsmåte. Åpen Annen informasjon er åpen UiS skal gjennomføre risikoanalyser/ -vurderinger for å kunne klassifisere informasjon ut fra hvor kritisk den er for virksomheten (kritikalitet) Det skal være utarbeidet rutiner for gjennomføring av informasjonsklassifisering og risikoanalyser Brukere som forvalter informasjon på UiS sine vegne skal behandle denne i henhold til klassifiseringen Sensitive dokumenter skal være tydelig merket Klassifisering av utstyr i forhold til kritikalitet er behandlet i kapittel Kenneth Høstland Marina Davidian 10 av
11 Policy for informasjonssikkerhet ved UiS 3.5 Informasjonssikkerhet knyttet til personalet som håndterer sensitive data Ved tilsetting Sikkerhetsansvar og -roller for relevant personell, både ansatte og innleide, skal beskrives Sjekk av bakgrunnen til alle som innstilles til stillinger ved UiS skal foretas iht. relevante lover og regler Taushetserklæring skal signeres av alle (arbeidstakere, oppdragstakere eller andre) som kan få kjennskap til sensitiv og/eller intern informasjon IT-reglement skal signeres i alle brukerforhold og ved systemtilganger for tredjepart. For ansatte gjelder IT-reglementet refererer til UiS sine krav til informasjonssikkerhet og brukerens ansvar for å oppfylle disse IT-reglementet skal gjennomgås med ansatte jevnlig og ved alle nyansettelser Alle ansatte og tredjepartsbrukere skal få tilstrekkelig opplæring og oppdatering i policy for informasjonssikkerhet og relevante retningslinjer og prosedyrer. Kravet til opplæring vil variere Brudd på policy for informasjonssikkerhet og retningslinjer vil normalt medføre sanksjoner. Henvis til Tjenestemannsloven og gjeldende regler ved UiS UiS sin informasjon, informasjonssystemer og andre verdier (f.eks. telefon), skal kun benyttes til de formål de er bestemt for. Nødvendig privat bruk tillates Bruk av UiS sin IT-infrastruktur i egen næringsvirksomhet er under ingen omstendighet tillatt. Avslutning eller endring av tilsetting Ansvar for avslutting eller endring av ansettelsesforhold skal være klart definert i egen rutine med relevant rundeskjema UiS sine eiendeler skal leveres inn ved opphør av behov for bruk av eiendelene UiS skal endre eller stenge tilgangsrettigheter ved opphør av ansettelse eller endring av arbeidsforhold Nærmeste leder skal varsle IT avdelingen ved opphør av ansettelse eller endring av arbeidsforhold Kenneth Høstland Marina Davidian 11 av
12 Policy for informasjonssikkerhet ved UiS 3.6 Informasjonssikkerhet knyttet til fysiske forhold Sikkerhetsområder Sikre fysiske soner skal benyttes for å beskytte områder som inneholder IT-utstyr og informasjon som krever beskyttelse. Sikre soner skal beskyttes med hensiktsmessige adgangskontroller for å sikre at kun autorisert personell får adgang. Følgende soneinndeling skal benyttes: Sikringsnivå Område Sikring Alt er i utgangspunktet tilgjengelig. Studentområder og kantine. Ingen adgangskontroll. All utskrift skal beskyttes med «Follow me»-funksjonalitet. Gul Områder hvor det arbeidstiden kan forefinnes intern informasjon. Kontorlokaler, møterom, noen arkiver, noen tekniske rom slik som koblingsrom, skriverrom. All utskrift skal beskyttes med «Follow me»-funksjonalitet. Adgangskontroll: Hovednøkkel/nøkkelkort Avgrensede områder hvor spesiell autorisasjon kreves. f,. Datarom/serverrom/arkiver o.l. med sensitiv informasjon. All utskrift skal beskyttes med «Follow me»-funksjonalitet. Adgangskontroll: Hovednøkkel/nøkkelkort Områdene skal avmerkes i bygningsplansjer eller eksplisitt beskrives i eget dokument Sikkerhetsansvarlig for IT-sikkerhet er ansvarlig for godkjenning av fysisk tilgang til datatekniske rom Sikkerhetsansvarlig for fysisk sikkerhet er ansvarlig for godkjenning av fysisk tilgang til andre områder enn datatekniske Alle UiS sine lokaler skal sikres med tilstrekkelige sikringssystemer iht klassifisering, ref. tabell ovenfor, inkludert relevant sporbarhet/logging. (kjør ROS, der et tiltak, slik som overvåkning, etc. settes iht risikobildet) Sikkerhetsansvarlig innen det enkelte ansvarsområde sikrer at arbeid utført av tredjepart i sikre områder er relevant overvåket og dokumentert Kenneth Høstland Marina Davidian 12 av
13 Policy for informasjonssikkerhet ved UiS Alt personell skal kunne tilkjennegi sin identitet og bære personlige adgangskort når de er på UiS. ID-kortene er personlige, og må ikke overdras til tredjepart eller kolleger. Ansatte skal ha egen fargekode Røde områder skal være forsvarlig sikret mot miljøskader forårsaket av brann, vann, eksplosjon, vibrasjoner mv Alle hoveddører og -vinduer skal låses og stenges ved arbeidsdagens slutt. Siste medarbeider som forlater et område er ansvarlig for sikring, inkludert slå på alarm Adgangskort kan gis til håndverkere, teknikere og andre mot at det fremvises ID-kort Besøkende i rød sone skal registreres inn og utskrives, og de skal bære synlige gjestekort eller personlige adgangskort Besøk i rød sone skal ledsages (eller overvåkes, f.eks. med kamera). Sikring av utstyr IT-utstyr klassifisert som «Høy» (ref. kapittel ) skal plasseres eller beskyttes slik at det reduserer risikoen for miljømessige trusler (brann, oversvømmelse, temperatursvingninger, fukt etc.). Klassifisering skal settes med basis i ROS-vurdering Informasjon klassifisert som «Fortrolig» skal i prinsippet ikke lagres på bærbart datautstyr (f.eks. laptop, mobiltelefon eller minnepinner). Dersom det er nødvendig å lagre slik informasjon på bærbart utstyr, skal informasjonen passord beskyttes og / eller krypteres iht. IT-avdelingens retningslinjer Tilgang til informasjon klassifisert som sensitiv på bærbart datautstyr skal passord beskyttes og krypteres Bærbart datautstyr skal håndteres som håndbagasje under reiser Områder klassifisert som «Rød» skal sikres med relevant brann slukkingsutstyr med relevant varsling Det skal jevnlig gjennomføres brannøvelser Kenneth Høstland Marina Davidian 13 av
14 Policyfor informasjonssikkerhetved UiS 3.7 Kommunikasjon og driftsadministrasjon av IT Operasjonelle prosedyrer og ansvarsområder Installasjon av IT-utstyr og programvare på IT- utstyr i administrativt nett skal godkjennes av IT avdelingen før installasjon IT avdelingen skal sikre dokumentasjon av IT-systemer etter UiS sin standard Endringer i IT-systemer skal gjennomføres kun når det er virksomhetsmessig og sikkerhetsmessig velbegrunnet IT avdelingen har ansvaret for at det foreligger en nødprosedyre for å minimalisere effekten av feilslåtte endringer i IT-systemer Dokumentasjon av driftsprosedyrer skal oppdateres etter vesentlige endringer. Driftsoppgaver skal være skriftlig dokumentert i egne prosedyrer Før nye IT-systemer settes i produksjon skal det planlegges og gjøres risikovurdering for å motvirke at feil oppstår. I tillegg skal det finnes rutiner for overvåking og håndtering av uforutsette problemer Oppgaver og ansvar skal separeres på en slik måte at det reduserer muligheten for uautorisert eller uforutsett misbruk av UiS sine verdier Utvikling, test og vedlikehold skal separeres for å redusere risikoen for uautorisert tilgang eller uautoriserte endringer og for å redusere risikoen for feilsituasjoner Lokale IT løsninger ved fakultetene skal være rettet mot spesielle behov ved den enkelte enhet. Det skal legges til rette for at lokale IT løsninger ved UiS kan dra nytte av fellestjenester som tilbys via den sentrale IT tjenesten uavhengig av hvilken teknologi som benyttes lokalt og uavhengig av organisatorisk tilhørighet v/uis. Eksterne leverandører Alle avtaler som angår utkontrakterte IT-systemer skal inneholde krav til informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet), beskrivelse av avtalt sikkerhetsnivå, krav til fortløpende rapportering av avvik fra leverandør, beskrivelse av hvordan UiS kan etterprøve at leverandørene oppfyller avtalene, beskrivelse av UiS sin rett til revisjon. Systemplanlegging og aksept/godkjenning Det skal tas hensyn til informasjonssikkerhetskrav når nye IT-systemer designes, testes, implementeres og oppgraderes, samt ved systemendringer. Det skal utarbeides rutiner for endringshåndtering og systemutvikling/vedlikehold Kenneth Høstland Marina Davidian 14 av
15 Policy for informasjonssikkerhet ved UiS IT-systemenes dimensjonering skal avpasses kapasitetskrav. Belastning skal overvåkes slik at oppgradering og tilpasning kan finne sted fortløpende. Dette gjelder særlig for virksomhetskritiske systemer. Beskyttelse mot skadelig kode Datautstyr skal sikres mot virus og annen ondsinnet og/eller skadelig kode. ITsikkerhetsansvarlig skal sørge for sikringen. Sikkerhetskopiering IT avdelingen er ansvarlig for regelmessig sikkerhetskopiering og testing av denne, samt oppbevaring av data på UiS sine IT-systemer iht. klassifisering Sikkerhetskopier skal oppbevares eksternt eller i egen relevant sikret sone. Nettverksstyring IT avdelingen har det overordnede ansvaret for å beskytte UiS sitt interne nettverk Det skal føres oversikt over alt utstyr som kobles opp i UiS sitt kablede datanettverk Det skal føres oversikt over all bruk av UiS sitt nettverk. Håndtering av lagringsmedier Håndtering av flyttbare lagringsmedier, slik som taper, minnepinner, disketter og utskrifter, skal sikres iht. klassifikasjon. Det påhviler den enkelte ansatte at dette gjennomføres Lagringsmedier skal avhendes på sikker måte ved destruering (kassasjon) mv. Utveksling av informasjon Det skal etableres prosedyrer og kontroller for å beskytte utveksling av informasjon ihht klassifisering med tredjepart eller forflytting av informasjon Eksterne leverandører skal underlegges retningslinjene Arbeidsgiver har rett til innsyn i arbeidstakers personlige e-post og område i virksomhetens datanettverk, samt annet elektronisk utstyr som universitetet har stilt til ansattes disposisjon, iht. personopplysningsforskriftens kapittel 9. Rett til innsyn gjelder også der privat utstyr benyttes i universitetets tjeneste. Bruk av kryptografiske teknikker Lagring og overføring av sensitive opplysninger (ref. klassemodellen i kapittel 3.11) skal krypteres eller beskyttes på annen måte Kenneth Høstland Marina Davidian 15 av
16 Policy for informasjonssikkerhet ved UiS Elektroniske virksomhetsytelser Informasjon involvert i elektronisk handel over offentlige nettverk skal beskyttes mot svindel, kontraktsmessige uoverensstemmelser, uautorisert adgang og endringer IT avdelingen har ansvar for at offentlig tilgjengelig informasjon, f.eks. på UiS sine webtjenester, er tilstrekkelig beskyttet mot uautoriserte endringer. Overvåkning av systemtilgang og bruk Tilgang og bruk av IT-systemer skal logges og overvåkes for å kunne identifisere potensielt misbruk Bruk og beslutninger skal være sporbare til en spesifikk entitet, f.eks. person eller enkeltsystem IT avdelingen (med samarbeidspartner(e)) skal registrere vesentlige forstyrrelser og uregelmessigheter i driften av systemene, samt mulig årsak til feil IT-systemer og datanettverk skal overvåkes i tilstrekkelig grad i forhold til kapasitet, oppetid og kvalitet for pålitelig drift og tilgjengelighet IT avdelingen (med samarbeidspartner(e)) skal logge sikkerhetshendelser i alle vesentlige systemer / (ihht klassifisering) IT avdelingen (med samarbeidspartner(e)) skal sikre at systemenes klokker jevnlig synkroniseres til korrekt tid For informasjonssystemer som behandler personopplysninger, skal all autorisert bruk og forsøk på uautorisert bruk logges. Loggene skal lagres i minst 3 måneder Kenneth Høstiand Marina Davidian 16 av
17 Policyfor informasjonssikkerhetved UiS 3.8 Tilgangskontroll Virksomhetsmessige krav Det skal finnes en skriftlig tilgangs- og passordpolicy som er basert på virksomhets- og sikkerhetsmessige krav og behov. Tilgangspolicyen skal revideres regelmessig Tilgangspolicyen skal inneholde retningslinjer for endringsfrekvens, passordregler (minimumslengde, type karakterer som kan/skal benyttes mv.) og hvordan passordet kan lagres. Brukeradministrering- og ansvar System og systemtilganger skal minimum autentiseres ved hjelp av personlige brukeridentiteter og passord Brukere skal ha unike kombinasjoner av brukeridentiteter og passord Brukere er ansvarlige for enhver bruk av brukeridentiteter og passord. Brukere skal holde brukeridentiteter og passord konfidensielle, og skal bare røpe disse hvis det er spesifikt autorisert av CSO. Tilgangskontroll/Autorisasjon Tilgang til informasjonssystemer skal være autorisert av nærmeste leder iht. systemeiers direktiver. Dette skal inkludere tilgangsrettigheter, inkludert tilhørende privilegier, som lagres i «aksesslister». Autorisasjoner gis bare på bakgrunn av «Need to know»-prinsippet, og reguleres av type rolle/stilling Nærmeste leder skal melde fra til IT avdelingen om oppretting og endringer i generell tilgang Systemeier tilordner rettigheter til systemer innenfor sitt ansvarsområde, eksempelvis er det ESSleder som har ansvaret for tilgang til FS Aksesslister beskriver roller og ansvar med tilhørende tilgangsrettigheter med basis i følgende klassifisering. Intern (flere roller) Ekstern (flere roller) Student Publikum Kontroll med nettverkstilgang IT avdelingen har ansvaret for at brukernes nettverkstilgang skjer i overensstemmelse med retningslinjene for tilgang Brukere skal kun ha tilgang til de tjenester de er autorisert for Kenneth HØstland Marina Davidian 17 av
18 Policyfor informasjonssikkerhetved UiS Mobilt utstyr og fjernarbeidsplasser Arbeid på UiS sitt datautstyr fra utenfor UiS sine lokaler er bare tillatt dersom sikkerhetspolicy er lest og forstått og IT-reglement underskrevet Mobile enheter skal sikres med tilstrekkelige sikkerhetsmekanismer Fjerntilgang til UiS sitt nettverk skal kun skje gjennom sikkerhetsløsninger godkjent av IT avdelingen Sensitiv informasjon skal krypteres når det oppbevares på bærbare medier, slik som minnepinner, PDA-er, DVD-er og mobiltelefoner Tilgang til privilegerte kontoer og sensitive områder skal begrenses Brukere skal hindres i å tilegne seg informasjon de ikke skal ha tilgang til. 3.9 Systemutvikling og vedlikehold Sikkerhetskrav til informasjonssystemer Definisjon av virksomhetsmessige krav til nye systemer eller videreutvikling av systemer skal inneholde sikkerhetsmessige krav. Korrekt virkemåte i informasjonssystemer Data inn og ut av felles informasjonssystemer skal valideres for å sikre korrekthet og relevans Pålitelighet og integritet i meldinger og informasjon skal defineres og relevante tiltak implementeres. Kryptografiske kontroller Retningslinjer for administrasjon og bruk av kryptografiske kontroller for beskyttelse av informasjon skal utvikles og implementeres. Sikkerhet i systemfiler Endringer i produksjonsmiljø skal følge gjeldende rutiner Implementering av endringer skal kontrolleres gjennom bruk av formelle prosedyrer for endringskontroll, for å minimalisere mulighetene for skade på informasjon eller informasjonssystemer. Sikkerhet i utvikling og vedlikehold De systemer som utvikles for eller av UiS skal ha klare krav til sikkerhet, inkludert validering av data, sikring av koden før produksjonssetting, og eventuell bruk av kryptografi Endringer i produksjonsmiljø skal følge gjeldende rutiner Kenneth Høstland Marina Davidian 18 av
19 s Policy for informasjonssikkerhet ved UiS Programvare skal testes og aksepteres formelt av systemeier og IT avdelingen før programvaren overføres til produksjonsmiljøet. Risikovurdering Før ny programvare klassifisert som «høy», eller større endringer i systemer klassifisert som «høy» settes i produksjon, skal det gjennomføres en risiko- og sårbarhetsvurdering Kenneth Høstland Marina Davidian 19 av
20 s Policy for informasjonssikkerhet ved UiS 3.10 Håndtering av sikkerhetshendelser og avvik Ansvar for rapportering Bruk av informasjonssystemer i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik Alle brukere er ansvarlig for å rapportere brudd og mulige brudd på sikkerheten. Rapporteringen skal gå linjevei, eventuelt direkte til CSO. Måling Det skal være mulig å definere kostnader og konsekvenser ved sikkerhetshendelser. CSO er ansvarlig for dette Det skal utarbeides rutiner for avvikshåndtering og rapportering. Rutinen skal inneholde krav til tiltak for å forhindre gjentagelser samt skadereduksjon. Bevissikring IT-sikkerhetsansvarlig skal være kjent med enkle rutiner for bevissikring ved mistanke om ITsikkerhetshendelser. Versjon: Dato: Forfatter: Kontrollert: God kjent: Side: Kenneth Høstiand Marina Davidian 20 av
21 Policyfor informasjonssikkerhetved UiS 3.11 Kontinuitetsplanlegging Kontinuitetsplan Det skal utarbeides en kontinuitetsplan som dekker kritiske og viktige informasjonssystemer og infrastruktur Kontinuitetsplan(er) skal utarbeides på bakgrunn av risiko og sårbarhetsanalyser som tar utgangspunkt i virksomhetsrisiko Planen(e) skal avstemmes med UiS sitt øvrige beredskap og planverk Kontinuitetsplanen(e) skal testes periodisk for å sikre at den er dekkende, og sikre at ledelse og ansatte forstår gjennomføringen Produksjonssystemer og andre systemer klassifisert som «Høy» skal ha reserveløsninger. Tabellen nedenfor gjenspeiler BIA(Business Impact Analysis) prosessen som ble gjennomført i Kritikalitet Tilgjengelighet Beskrivelse < 8 timer Systemet kan være utilgjengelig opp til 8 timer 2 - Medium 24 timer Systemet kan være utilgjengelig opp til ett døgn 3 dager Systemet kan være utilgjengelig opp til 3 dager Kenneth Høstland Marina Davidian 21 av
22 Policy for informasjonssikkerhet ved UiS 3.12 Samsvar Samsvar med juridiske krav UiS skal følge gjeldende lovverk, samt andre eksterne retningslinjer, slik som (ikke avgrenset til): Lov om arbeidsmiljø, arbeidstid og stillingsvern mv. (arbeidsmiljøloven) Forskrift i forhold til om systematisk helse-, miljø-, og sikkerhetsarbeid i virksomheter (internkontrollforskriften) Lov om behandling av personopplysninger (personopplysningsloven) Lov om statens tjenestemenn m.m. (tjenestemannsloven) Lov om årsregnskap mv. (regnskapsloven) Lov om universiteter og høyskoler (universitetsloven) Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) Lov om elektronisk signatur (esignaturloven) Andre eksterne referanser Hovedtariffavtalen i Staten Statens Personalhåndbok Datatilsynets krav Datatilsynets «Veileder i informasjonssikkerhet for kommuner og fylker». Samsvar med sikkerhetspolicy Ansatte er pålagt å forholde seg i overensstemmelse med policy for informasjonssikkerhet og retningslinjer. Oppfølging av dette er linjeledelsens ansvar. Studenter er pålagt å forholde seg til IT-reglementet Ansatte og studenter skal være klare over at bevis fra sikkerhetshendelser tas vare på (lagres) og kan overleveres etter rettslig krav. Kontroll og revisjon Revisjonskrav og revisjonshandlinger skal planlegges og avtales med de involverte for å minimalisere risikoen for forstyrrelser av UiS sine aktiviteter Kenneth Høstland Marina Davidian 22 av
23 Policy for informasjonssikkerhet ved UiS 4.0 STYRENDEDOKUMENTER FOR SIKKERHETSARBEIDET 4.1 Formål med styrende dokumenter Styrende dokumenter for informasjonssikkerhet skal bidra til å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser UiS står overfor. Det skal eksistere dokumenterte krav og retningslinjer knyttet til informasjonssikkerhet basert på oppdaterte risikoanalyser. De øvrige systemer og infrastruktur skal være dekket av gode basis kontroller innen informasjonssikkerhet som til enhver tid skal etterleves. 4.2 Dokumentstruktur UiS har organisert dokumentstrukturen for beskrivelse av sin sikkerhetsarkitektur i 3 nivåer. Den etablerte struktur for styrende dokumenter for IKT-sikkerhetsarbeidet er som følger: Nivå 1: Sikkerhetspolicy definerer mål, hensikt, ansvar og overordnede krav. I tillegg gir denne en oversikt over de etablerte styrende dokumenter knyttet til informasjonssikkerhet og hvorfor dette er viktig. Dette er styrende dokumentasjon. Virksomhetsstrategi, IT-strategi Jr Nivå 2: Overordnede retningslinjer og prinsipper for informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte policy. Dette er styrende dokumentasjon. Nivå 3: Standarder og prosedyrer for informasjonssikkerhet. Inneholder detaljerte retningslinjer for hvordan disse retningslinjer og prinsipper (nivå 2) skal implementeres. Dette bør etter hvert etableres for alle sentrale informasjonssystemer. Dette er gjennomførende og kontrollerende dokumentasjon. Versjon: Dato: Forfatter: Kontrollert: Kenneth Høstland Marina Davidian Godkjent: Side: 23 av
24 s Policy for informasjonssikkerhet ved UiS 5.0 REFERANSER 5.1 Interne referanser Versjon Dato Kommentar Ansvarlig IT-reglement for UiS IT direktør Strategiplan for UiS Strategi og kommunikasjonsdirektør Kvalitetssikringssystem for UiS Økonomi- og virksomhetsdirektør IT-strategi IT direktør Risikoanalyser Alle Personalreglement HR direktør Personalpolicy HR direktør Retninglinjer for avhending av IKT-utstyr IT direktør Taushetserklæring CSO Funksjonsbeskrivelse CSO Andre relevante IKT-relaterte dokumenter Versjon: Dato: Forfatter: Kontrollert: God kjent: Side: Kenneth Høstland Marina Davidian 24 av
25 Policy for informasjonssikkerhet ved UiS 5.2 Eksterne referanser Referanser ISO Informasjonsteknologi Administrasjon av informasjonssikkerhet (150/IEC 17799:2005) ISO/IEC 27001: 2005 Information security Security techniques Information security management systems Requirements ISO/IEC 27002: 2005 Information security Security techniques Code of practice for information security management. ISO/IEC 27005: 2008 Information security Security techniques Information security risk management. Lov om personopplysninger: htt : all h html Lov om arkiv (arkivlova): htt : all ni html Lov om årsregnskap m.v. (regnskapsloven): htt : all ni html Lov om statens tjenestemenn m.m. (tjenestemannsloven): htt : all ni html Lov om universiteter og høyskoler (universitetsloven): htt : all h html Lov om elektronisk signatur (esignaturloven): htt : all h html Lov om opphavsrett til åndsverk m.v. (åndsverkloven): htt : all ni html "Kommuneveiledningen" (Veiledning i informasjonssikkerhet for kommuner og fylker"): htt : net.no u load Dokumenter infosik veiledere tv df Datatilsynet: Veileder for bruk av tynne klienter: htt : net.no u load Dokumenter infosik veiledere Veileder t nneklient er.pdf Datatilsynet: Kryptering: htt : net.no tem lates article 889.as x Datatilsynet: Risikovurdering: htt : net.no u load Dokumenter infosik veiledere Risikovurderin TV pdf htt : u load forvaltnin o anal se risikost rin NY Metodedokument pdf OECDs retningslinjer - for sikkerhet i informasjonssystemer og nettverk - Mot en sikkerhetskultur. htt : dataoecd df Nasjonal Sikkerhetsmyndighet (NSM): Veiledning i risiko - og sårbarhetsanalyse (ROS). htt : Documents Veilednin er ROS 2004 veilednin. df Kenneth Høstland Marina Davidian 25 av
26 Policyfor informasjonssikkerhetved UiS [18] Senter for statlig økonomistyring: Risikostyring i staten Håndtering av risiko i mål- og resultatstyringen htt : u load forvaltnin o anal se risikost rin NY Metodedokument pdf UFS 107: Krav til strømforsyning av IKT- rom. Fagspesifikasjon fra UNINETT. htt s: ow.feide.no media i acam us:ufs103. df UFS 108: Krav til ventilasjon og kjøling i IKT- rom. Fagspesifikasjon fra UNINETT. htt s: ow.feide.no media i acam us:ufs108. df UFS 122: Anbefalt IT-infrastruktur i UH-sektoren. Fagspesifikasjon fra UNINETT.(Utkast). htt s: ow.feide.no media i acam us:ufs:ufs 122 v1.0. df Kenneth Høstland Marina Davidian av
Høgskolen i Telemark. Policy for informasjonssikkerhet ved
Høgskolen i Telemark Policy for informasjonssikkerhet ved Dato: 26. mai 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse HiT0.40 03.11.2008 HiTs rev. forslag før workshop HiT0.41
Detaljer2.0 ROLLER OG ANSVARSOMRÅDER 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter
DetaljerSikkerhetspolicy for informasjonssikkerhet ved
Sikkerhetspolicy for informasjonssikkerhet ved Dato: 28.04 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 1.0 28.04.2009 Endelig versjon Forfatter og distribusjon Forfatter
DetaljerInformasjonssikkerhetspolitikk. ved
ved Dato: 15.oktober 2009 Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 0.7 13.02.2008 Initiell versjon 0.8 22.10.2008 Bearbeidet versjon etter diverse høringer på e-post 0.81
DetaljerUniversitetet i Agder. Policy for informasjonssikkerhet ved
UiA Universitetet i Agder Policy for informasjonssikkerhet ved Dato: 09.05.2011 Versjonskontroll Versjon Dato Endringsbeskrivelse 0.7 2009-11-19 Initiell versjon 0.8 2009-11-26 Etter workshop 2009-11-24
DetaljerNTNU Retningslinje for fysisk sikring av IKTinfrastruktur
Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018
DetaljerPersonopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001
Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001 Personopplysningsforskriften Krav utledet av paragrafene i forskriften Tilsvarer krav og kontroller i ISO/IEC 27001 2-1 Forholdsmessige krav
DetaljerLagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:
Lagring av personopplysninger Øyvind Eilertsen UNINETT CERT SUHS-konferansen 2011 Dagens tekst Informasjonssikkerhet Behandling av personopplysninger: Organisatoriske krav Tekniske krav Informasjonssikkerhetsarbeidet
DetaljerOverordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune
Overordnede retningslinjer for Informasjonssikkerhet i Nord-Trøndelag fylkeskommune Versjon 1.0 Dato 10.12.2014 Utarbeidet av Sikkerhetskoordinator Side 1 Innhold 1. Ledelsens formål med informasjonssikkerhet...
DetaljerInformasjonssikkerhetsprinsipper
Ver. 1.0 Mai 2012 Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer
DetaljerPolicy. for. informasjonssikkerhet. ved NMBU
Policy for informasjonssikkerhet ved NMBU Ver: 1.01 Vedtatt: 25. april 2013 Oppdatert: 26. januar 2014 Innholdsfortegnelse NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1 INNLEDNING... 1 1.1 Bakgrunn...
DetaljerMålet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».
Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.
DetaljerIKT-reglement for Norges musikkhøgskole
IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse
DetaljerInternkontroll og informasjonssikkerhet lover og standarder
Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften
DetaljerISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,
DetaljerInformasjonssikkerhet i UH-sektoren
Informasjonssikkerhet i UH-sektoren Per Arne Enstad CSO Forum, 13-14 juni 2012 Dagens tekst Bakgrunn Gjennomføring Hvorfor sikkerhetspolicy? Erfaringer så langt Veien videre 2 Bakgrunn Tradisjonelt: Sikkerhet
DetaljerAvvikshåndtering og egenkontroll
Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller
DetaljerSikkerhetsmål og -strategi
Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av
DetaljerSIKKERHETSINSTRUKS - Informasjonssikkerhet
SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren 23.08.2017, og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra 2014. Instruksen er en
Detaljer3.1 Prosedyremal. Omfang
3.1 Prosedyremal Formål Hensikten med denne planen er å planlegge hvordan Midt-Telemarkkommunene skal forebygge og håndtere uønskede hendelser, samt å beskytte kritiske tjenester og systemer mot negative
DetaljerOverordnet IT beredskapsplan
Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting
DetaljerIKT-reglement for NMBU
IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap
DetaljerRevisjon av IT-sikkerhetshåndboka
Direktørnettverket 4. juni 2014 Revisjon av IT-sikkerhetshåndboka IT-direktør Lars Oftedal Formål IT-sikkerhetsarbeidet skal sikre universitetets verdier, virksomhet, resultater og omdømme. Det skal beskytte
DetaljerKommunens Internkontroll
Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerInformasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt
Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt For hvem? Retningslinjene omfatter alle som har tilgang til kommunens IT-systemer.
Detaljer1 Våre tiltak. Norsk Interaktivs arbeid med personvern
Til våre kunder Kristiansand 22. juni 2016 Norsk Interaktivs arbeid med personvern Norsk Interaktiv har alltid hatt fokus på personvern i våre systemer. Vi vedlikeholder hele tiden våre tjenester for å
DetaljerReglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)
Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde
DetaljerAvtale om leveranse av IKT-tjenester. Del II - Databehandleravtale
Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:
DetaljerRevisjon av informasjonssikkerhet
Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012 2 Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet
DetaljerEgenevalueringsskjema
Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no
DetaljerPolicy for informasjonssikkerhet og personvern i Sbanken ASA
Åpen 1/ 5 Policy for informasjonssikkerhet og personvern i Sbanken ASA Besluttet av Styret i Sbanken ASA Dato for beslutning 13. november 2018 Erstatter 16. september 2016 Dokumenteier Chief Risk Officer
DetaljerRetningslinje for risikostyring for informasjonssikkerhet
Retningslinje for risikostyring for informasjonssikkerhet Type dokument Retningslinje Forvaltes av Avdelingsleder virksomhetsstyring Godkjent av Organisasjonsdirektøren Klassifisering Intern Gjelder fra
DetaljerForetakets navn : Dato: Underskrift :
Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi
DetaljerRisikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015
Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket
DetaljerBehandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11
KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES
Detaljer2.4 Bruk av datautstyr, databehandling
2.4 Bruk av datautstyr, databehandling Formål Denne prosedyren skal beskrive generelle krav til informasjonssikkerhet ved bruk av datautstyr i Midt-Telemarkkommunene. Den skal leses av alle medarbeidere,
DetaljerRisikovurdering av Public 360
Risikovurdering av Public 360 Øivind Høiem Seniorrådgiver UNINETT AS SUHS-konferansen 2015 Informasjonssikkerhet som muliggjøreren! For at ny teknologi skal bli brukt må brukere ha tillit til den Informasjonssikkerhet
DetaljerKvalitetssikring av arkivene
Kvalitetssikring av arkivene Kort om ROS-analysen og erfaringene fra UiT Norges arktiske universitet arkivleder Anita Dahlberg Kort om UiT Norges arktiske universitet Opprettet 1968 (vedtak) Sammenslått
DetaljerVedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02
Oslo kommune Instruks Vedtatt av: Byrådet Vedtatt: 20.06.2002 Erstatter: Saksnr: Brv 1316/02 Eier/ Byrådsavdeling for finans og utvikling Ikrafttredelse: 20.06.2002 ansvarlig: Versjon: 1 Bemyndiget: Dok.nr:
Detaljereforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32
NTNUs IKT-reglement Type dokument Reglement Forvaltes av Organisasjonsdirektør Godkjent av NTNUs styre Klassifisering Åpen Gjelder fra 14.06.2018 Gjelder til Frem til revisjon Unntatt offentlighet Nei
DetaljerVelkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet
Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre
DetaljerVI BYGGER NORGE MED IT.
VI BYGGER NORGE MED IT. DEN NYE WIFI-LØSNINGEN HAR GITT STAVANGER FORUM ET LØFT SOM GIR OSS MULIGHET TIL Å TILBY UNIKE LØSNINGER FOR KUNDENE VÅRE Stavanger Forum Lokal tilstedeværelse og global leveransekapasitet
DetaljerForvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"
Saknr. 16/15512-1 Saksbehandler: Kari Louise Hovland Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling" Kontrollutvalgets innstilling til vedtak: Kontrollutvalget legger saken frem for
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerOVERSIKT SIKKERHETSARBEIDET I UDI
OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument
DetaljerHøgskolen i Telemark Styret
Høgskolen i Telemark Styret Møtedato: 24.09.09 Saksnummer: Saksbehandler: Journalnummer: Arne Hatlen 2009/868 Fastsetting av policy for informasjonssikkerhet ved Høgskolen i Telemark Saken i korte trekk
DetaljerPrinsipper for informasjonssikkerhet ved NTNU
NTNU Norges teknisk-naturvitenskapelige Universitet NTNU Side Dato 1 av 20 15.10.2010 Informasjons 2 av 20 15.10.2010 Innledning...3 1 Risikostyring...3 2 Sikkerhetsorganisasjon - ansvar og roller...4
DetaljerRisikoanalysemetodikk
Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering
Detaljer4.2 Sikkerhetsinstruks bruker
4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til
DetaljerRETNINGSLINJE for klassifisering av informasjon
RETNINGSLINJE for klassifisering av informasjon Fastsatt av: Universitetsstyret Dato: 5.4.19 Ansvarlig enhet: Avdeling for IT Id: UiT.ITA.infosec.ret01 Sist endret av: -- Dato: 5.4.19 Erstatter: Kap. 3
DetaljerEndelig kontrollrapport
Saksnummer: 14/01059 Dato for kontroll: 26.11.2014 Rapportdato: 26.11.2014 Endelig kontrollrapport Kontrollobjekt: Sortland kommune Sted: Sortland Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerNTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet
Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet Type dokument Retningslinje Forvaltes av Leder av HR- og HMS-avdelingen Godkjent av Organisasjonsdirektør Klassifisering
DetaljerIT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde
IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle
DetaljerTiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011
Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerRiksrevisjonens erfaringer fra sikkerhetsrevisjoner
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner Avdelingsdirektør Ryno Andersen, mars 2016 Plan for innlegget Kort presentasjon Kort om Riksrevisjonen Erfaringer fra sikkerhetsrevisjoner 2 Om Riksrevisjonen
DetaljerVedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)
Databehandleravtale Godkjent av Trond Laupstad Godkjent dato 17. august 2011 Bilag 7 Vedrørende behandling av personopplysninger mellom (BEHANDLINGSANSVARLIG) og xx (DATABEHANDLER) 1. Innledning I henhold
DetaljerPersonvern - sjekkliste for databehandleravtale
ID Nfk.4.7.3 Versjon 1.00 Gyldig fra 22.08.2018 Siste versjon 24.08.2018 Forfatter May Moursund Verifisert Godkjent Stig Olsen Side 1 av 8 Databehandleravtaler sjekkliste Denne veiledningen/ sjekklisten
DetaljerTilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017
Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017 Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll
DetaljerSikkerhetsinstruks bruker
Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke
DetaljerSpesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum
Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens
DetaljerRettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen
Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens
DetaljerInformasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU
Informasjonssikkerhet i kommunene Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU Innhold 1. Hvorfor informasjonssikkerhet? 2. Grunnleggende informasjonssikkerhet 1. Pilarene in informasjonssikkerhet
DetaljerHva er et styringssystem?
Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke
DetaljerHar du kontroll på verdiene dine
Har du kontroll på verdiene dine Et juridisk perspektiv 1_Tittellysbilde Advokat Arve Føyen 1 Selskapets verdier Finansielle verdier Omdømme Humankapital Kunderelasjoner IPR og Forretningshemmeligheter
DetaljerEtableringsplan. Internkontroll for informasjonssikkerhet og personvern
Etableringsplan Internkontroll for informasjonssikkerhet og personvern Innholdsfortegnelse 1 Innledning... 2 2 Formål... 2 3 Informasjonssikkerhet og personvern... 2 4 Etableringsaktiviteter... 3 5 Lenker...
DetaljerPresentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD
Presentasjon sikkerhetsforum 2014 Avdelingsdirektør Arne Lunde Uh-avdelingen KD Agenda Regjeringens politikk Regulatoriske krav til etablering av tiltak for å sikre informasjonssikkerheten Risk management
DetaljerDatabehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]
Databehandleravtale Databehandleravtale mellom Oslo universitetssykehus HF (org nr. 993 467 049) ved MBT-Kvalitetslaboratorium og [Sett inn foretak] 1 Kontraktens parter Kontrakten inngås mellom databehandlingsansvarlig
DetaljerHvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS
Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen
DetaljerInformasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden
Informasjonssikkerhet og internkontroll DRI1010 forelesning 10.3.2011 Jon Berge Holden jobe@holden.no Ukas sak Undersøkelse i Kommune-Norge (100 kommuner) 15 prosent har ikke sletterutiner Halvparten sletter
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte
ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte - Styret - Rektor - Leder for Organisasjonsavdelingen -
DetaljerDeres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON
Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle
DetaljerVEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE
ANSKAFFELSESNR.: K-00319 Rammeavtale informasjonssikkerhet Side 1 av 5 VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE INNHOLDSFORTEGNELSE 1. Bakgrunn og formål med anskaffelsen... 2 2. Leveranseomfang... 2
DetaljerAVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]
V1.0 AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON i henhold til kraftberedskapsforskriften mellom Org.nr.: 000 000 000 og Org.nr.: 000 000 000 Dato: 20xx-xx-xx Side 1 av 5 1. Om avtalen
DetaljerFagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)
Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling
DetaljerAvmystifisere internkontroll/styringssystem - informasjonssikkerhet
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
Detaljer2.13 Sikkerhet ved anskaffelse
2.13 Sikkerhet ved anskaffelse Gjennomføringsansvar: Alle som gjennomfører IT-anskaffelser i Midt-Telemarkkommunene kan bruke denne prosedyren som rettesnor. Hensikten med denne planen er: Danne grunnlag
DetaljerAvito Bridging the gap
Avito Consulting AS Avito Bridging the gap Etablert i 2006 i Stavanger Med Kjernekompetanse innen Olje & Gass-sektoren Datterselskap i Trondheim og Oslo Med kjernekompetanse inne Helse & Offentlig og Olje
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerHelgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet
Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig
DetaljerKontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg
Saksnummer: 15/00501 Dato for kontroll: 28.05.2015 Rapportdato: 03.07.2015 Kontrollrapport Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerNovember Internkontroll og styringssystem i praksis - Aleksander Hausmann
November 2018 Internkontroll og styringssystem i praksis - Aleksander Hausmann Artikkel 24 - Den behandlingsansvarliges ansvar Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen
DetaljerHelhetlig arbeid med informasjonssikkerhet. Remi Longva
Helhetlig arbeid med informasjonssikkerhet Remi Longva 2019-02-13 Vårt utgangspunkt Informasjonssikkerhet å sikre at informasjon i alle former ikke blir kjent for uvedkommende (konfidensialitet) ikke
DetaljerSikkerhetshåndbok for Utdanningsetaten. kortversjon
Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Informasjonssikkerhet Versjon 1.0 Side 1 av 15 INNHOLD Forord 3 Innledning 4 Fysisk sikring 5 Adgangskontroll og utstyrsplassering
DetaljerAnsvar og organisering
Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant
DetaljerPolitikk for informasjonssikkerhet
Politikk for informasjonssikkerhet Type dokument Politikk Forvaltes av Organisasjonsdirektør Godkjent av Rektor 20.06.2018 Klassifisering Åpen Gjelder fra 20.06.2018 Gjelder til Frem til revisjon Unntatt
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerForvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune
Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...
DetaljerKrav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden
Krav til informasjonssikkerhet DRI1010 forelesning 15.03.2012 Jon Berge Holden jobe@holden.no Sikkerhet - hva skal beskyttes? Informasjonssikkerhet (def. ISO 27001, 3.4) Bevare konfidensialitet, integritet
DetaljerVeilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.
Oslo kommune Byrådsavdeling for finans Byrådssak 1105/13 INSTRUKS FOR INFORMASJONSSIKKERHET Sammendrag: I denne saken legger byråden for finans frem forslag om ny instruks for informasjonssikkerhet for
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerBILAG 5. Sikkerhetsvedlegg
BILAG 5 Sikkerhetsvedlegg Utgave 01112014 Side 1 av 5 INNHOLDSFORTEGNELSE 1. Formål og avgrensning... 3 2. Konfidensialitet og taushetserklæring... 3 3. Generelt om sikkerhet... 3 4. Praktisering av avtalen...
Detaljer