Norges miljø- og biovitenskapelige universitet Ledelsessystem for informasjonssikkerhet ved NMBU

Transkript

1 Norges miljø- og biovitenskapelige universitet Ledelsessystem for informasjonssikkerhet ved NMBU Basert på ISO/IEC /02:2013

2 Innhold INNLEDNING 3 BEGREPER OG DEFINISJONER 5 1. STYRENDE DEL Policy for informasjonssikkerhet Omfang Sikkerhetsmål Strategi for informasjonssikkerhet Organisering Kriterier for akseptabel risiko Organisering av informasjonssikkerhet Roller Feil! Bokmerke er ikke definert Ansvar og oppgaver Feil! Bokmerke er ikke definert. 2. GJENNOMFØRENDE DEL Kartlegging av informasjonsverdier Årsplan Feil! Bokmerke er ikke definert. 2.3 Risikovurdering, håndtering og tiltak Feil! Bokmerke er ikke definert. 3. KONTROLLERENDE DEL FEIL! BOKMERKE ER IKKE DEFINERT. 3.1 Avviksmelding og håndtering Feil! Bokmerke er ikke definert. 3.2 Sikkerhetsrevisjon Feil! Bokmerke er ikke definert. 3.3 Ledelsens gjennomgang Feil! Bokmerke er ikke definert. side 2

3 Ledelsessystem for informasjonssikkerhet ved NMBU Innledning NMBUs overordnede mål for arbeidet med sikkerhet og beredskap er å forebygge uønskede hendelser og å minske konsekvensene dersom de skulle oppstå. Dette innebærer blant annet at hvert sikkerhetsområde skal ha både en grunnleggende oversikt over risiko og sårbarhet, og en god styring med det forebyggende arbeidet innen området. God informasjonssikkerhet er vesentlig i arbeidet med å nå målene i NMBUs strategi og for å skape flere og bedre resultater i forskning og utdanning, samt effektivisering av administrativ virksomhet. For å sikre at IT-infrastrukturen er sikker og tilgjengelig er det viktig at alle studenter og ansatte har god kunnskap om informasjonssikkerhet og at de administrative IT-systemene er risikovurdert. Låste skjermer, usikker lagring og personopplysninger på avveier kan føre til tap av publikasjonspoeng, tap av forskningsprosjekter, eksamener som må gjenopptas og et dårlig omdømme. Innføring av Ledelsessystem for informasjonssikkerhet og en prioritert satsning på opplæring av alle ansatte og studenter om informasjonssikkerhet er derfor av avgjørende betydning for at NMBU skal nå sine ambisjoner for de sju styringsparameterne og de tilhørende tiltakene fra Budsjett og tiltaksplan NMBUs visjon Kunnskap for livet uttrykker universitetets overordnede mål om å bidra til å sikre framtidens livsgrunnlag gjennom fremragende forskning, utdanning, formidling og innovasjon. For å nå dette målet er NMBU avhengig av å samle inn, produsere, bearbeide og formidle store mengder forsknings- og undervisningsdata, personopplysninger og annen type informasjon i sin virksomhet. NMBU behandler i tillegg personopplysninger i forhold til ansatte, studenter og andre som har relasjoner til NMBUs virksomhet. Grunnleggende personvernhensyn skal være førende for all behandling av slike opplysninger og behandlingen skal være lovlig, sikker og skje med tilfredsstillende beskyttelse. Foreliggende policy dokumenterer de systematiske tiltak som NMBU har innført for å sikre at lover og tilhørende regelverk er kjent og følges. NMBU gjør et godt arbeid med samfunnssikkerhet og beredskap. Dette er viktig for NMBU fordi: side 3

4 NMBU ønsker å beskytte sine verdier på et nivå som ledelsen mener er tilfredsstillende NMBU ønsker å etterleve lovkrav Er forberedt på å kunne håndtere store og omfattende uønskede hendelser Dette gjelder også håndtering av informasjonssikkerhet. Med informasjonssikkerhet forstås beskyttelse mot brudd på konfidensialitet, integritet eller tilgjengelighet av den informasjonen som blir behandlet i et system, samt beskyttelse av informasjonssystemer og nett i seg selv (Grunnlagsdokument for sikkerhet ved NMBU). Informasjonssikkerhet er viktig for NMBU for å sikre at: taushetsbelagt informasjon ikke kommer på avveie all informasjon er korrekt og tilgjengelig for de som skal bruke den personopplysninger beskyttes slik at personvernet ikke krenkes Alle offentlige virksomheter er pålagt å ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet jf. eforvaltningsforskriften 15. NMBUs Ledelsessystem for informasjonssikkerhet er basert på standarden ISO/IEC og er en integrert del av NMBUs generelle system for kvalitetsstyring og internkontroll. Behandling og beskyttelse av personopplysninger skal skje i samsvar med lovpålagte bestemmelser. Foreliggende dokument er utarbeidet i henhold til de krav som er stilt i Personopplysningslovens 13 og 14, jf Personopplysningsforskriftens kap2, 2-1 flg. Ledelsessystemet består av tre hovedelementer: I. Styrende del, som i hovedsak retter seg mot ledelsen, herunder hvilke beslutninger og føringer som legges for internkontroll. II. Gjennomførende del, som i hovedsak retter seg mot ansatte og studenter. Her finner man beskrivelse av rutiner som er tilpasset den enkeltes arbeidssituasjon. III. Kontrollerende del, som bidrar til å fange opp avvik fra systemet og til at det gjennomføres periodiske gjennomganger. side 4

5 Begreper og definisjoner Administrativt IT-system IT-systemer som benyttes til og understøtter løsningen av administrative oppgaver i en organisasjon Behandlingsansvarlig CISO CSIRT Informasjonssikkerhet Informasjonssystem Integritet IT-system Konfidensialitet Ansvarlig for behandling av personopplysninger i virksomheten ved universitetet, skal påse at formålet for og hjelpemidlene i denne behandlingen er innmeldt på forskriftsmessig vis. Cheif Information Security Officer også kalt informasjonssikkerhetsrådgiver. Skal i det daglige utøve universitetsledelsens ansvar for informasjonssikkerheten ved NMBU. Computer Security Incident Responce Team - en gruppe på ITavdelingen som har ansvar for daglig oppfølging av trusler og hendelser som kan kompromittere IT-tjenester og IT-systemer. Iverksettelse av tiltak for å skape et tilfredsstillende sikkerhetsnivå for beskyttelse av informasjonsverdier, for eksempel personopplysninger. Beskyttelse av informasjonens tilgjengelighet, integritet og konfidensialitet. Elektronisk eller papirbasert system for lagring og behandling av informasjon. IT-system som lagrer, administrere og gjør tilgjengelig data tilknyttet en eller annen anvendelse, består ofte av en eller flere databaser med tilhørende applikasjoner. Sikring av en informasjons nøyaktighet, fullstendighet og opprinnelighet. Samlingen av de IT-løsninger som inngår i et system som kan benyttes til å løse et sett av beslektede oppgaver. Sikring av informasjon mot ikke-autorisert innsyn i, endring eller offentliggjøring. side 5

6 Personopplysning: Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson for eksempel navn, adresseinformasjon, lønn, referanseuttalelser, oppgavebesvarelser mv., jf. POL 2 nr. 1. Dette gjelder også IP-adresse og andre opplysninger som kan knyttes til og identifisere en person. Personvernombud Risikovurdering/-analyse Ansvarlig for oppfølging av lov om personopplysninger ved institusjonen, skal påse at behandlingsansvarlige følger de lover og forskrifter som gjelder for behandling av personopplysninger. Norsk samfunnsvitenskapelig datatjeneste AS (NSD) er oppnevnt som personvernombud for forsknings- og studentprosjekt som gjennomføres av NMBU. Fra mai 2018 må NMBU også ha et personversombud for student- og ansattopplysninger som behandles ved NMBU. Kartlegging av sårbarheter ved et system og hvor sannsynlig det er for at de ulike sårbarhetene kan utnyttes til å skaffe noen urettmessig tilgang til systemet. Ledsages av en anbefaling av tiltak som sikrer et for organisasjonen akseptabelt sikkerhetsnivå. Sensitiv personopplysning Sensitive personopplysninger (sensitive data) er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, medlemskap i fagforeninger, jf. POL 2 nr. 8. Sikkerhetsansvarlig (CSO) Chief Security Officer Administrasjonsdirektøren er overordnet sikkerhetsansvarlig (CSO) for all sikkerhet ved NMBU, herunder informasjonssikkerhet og det ansvar som tillegges behandlingsansvarlig iht POL. side 6

7 Sikkerhetsmål De mål som NMBU har vedtatt skal ligge til grunn for arbeidet med informasjonssikkerhet. Disse er beskrevet i Policy for informasjonssikkerhet ved NMBU. Sikkerhetsorganisasjon SLA Systemansvarlig Systemeier Dokumentert beskrivelse av ansvars- og myndighetsforhold for bruk og drift av informasjonssystemet samt ansvar - og myndighetsforhold i forbindelse med oppfølging av sikkerhetsarbeidet (sikkerhetsledelse), jf. POF 2-7. Service Level Agreement - En avtale om å levere en tjeneste eller et system med funksjons- og kvalitetskrav som partene har definert i avtalen og med bestemmelser som sanksjoner når ett eller flere av disse kravene ikke imøtekommes Overordnet teknisk ansvarlig for forvaltningen av et informasjonssystem etter fullmakt fra systemeier. Den som har det formelle ansvaret for et informasjonssystem, herunder ivaretakelse av sikkerheten, ansvarlig for spesifikasjon av funksjons- og kvalitetskrav til utvikling og drift av systemet, samt finansieringen av dette. side 7

8 I. Styrende del Ledelsessystemets første hoveddel inneholder styrende dokumenter. De styrende dokumentene definerer rammene for NMBUs arbeid med informasjonssikkerhet. Styrende dokumenter omfatter beskrivelser av følgende forhold: - Avgrensning av ledelsessystemet («scope») - Sikkerhetsmål og kriterier for akseptabel risiko - Sikkerhetsstrategi - Sikkerhetsorganisasjon side 8

9 1. Policy for informasjonssikkerhet Vedtatt Innhold: 1. Omfang 2. Sikkerhetsmål 3. Strategi for informasjonssikkerhet 4. Organisering 5. Kriterier for akseptabel risiko 1.1 Omfang Policy for informasjonssikkerhet gjelder all informasjonsbehandling som skjer internt på NMBU og som NMBU har ansvar for eksternt. Dette omfatter all behandling, lagring og formidling av informasjon, både analoge og digitale, i forskning, formidling og undervisning samt all informasjon vedr. studenter og ansatte ved NMBU. All informasjonen som blir behandlet i et system, samt beskyttelse av informasjonssystemer og nett i seg selv er også inkludert. 1.2 Sikkerhetsmål Informasjonssikkerhet er viktig for NMBU for å sikre at vår behandling av informasjon er i samsvar med lover, regler og avtaler, og bidrar på en formåls- og kostnadseffektiv måte til best mulig realisering av virksomhetens samlede mål. Informasjonssikkerhet handler om å sikre at informasjonen ikke blir kjent for uvedkommende (konfidensialitet) ikke blir endret utilsiktet eller av uvedkommende (integritet) er tilgjengelig ved behov (tilgjengelighet) NMBU har vedtatt at følgende mål skal ligge til grunn for arbeidet med informasjonssikkerhet: 1. NMBU skal ha oversikt over alle informasjonssystemer (både analoge og digitale) som enhetene benytter for behandling av informasjon som gjelder/berører virksomheten. 2. NMBU skal sørge for at taushetsbelagt informasjon ikke kommer på avveie. 3. NMBU skal sørge for at informasjon er korrekt og tilgjengelig for de som skal bruke den. side 9

10 4. NMBU skal sørge for at forskningsdata og forskningsresultater som produseres ved NMBU lagres og behandles på en forsvarlig måte. 5. NMBU skal sørge for at vitnemål og undervisningsmateriell som produseres ved NMBU lagres og behandles på en forsvarlig måte. 6. NMBU skal sørge for at personopplysninger beskyttes slik at personvernet til ansatte, studenter eller deltakere i forskningsprosjekter ikke krenkes. 7. NMBU skal sørge for at all informasjon behandles i henhold til krav i lover og forskrifter. 1.3 Strategi for informasjonssikkerhet Arbeidet med informasjonssikkerhet skal være forankret i en internkontroll (styring og kontroll) basert på anerkjente standarder på informasjonssikkerhetsområdet og skal følge gjeldende regelverk og avtaler. NMBU skal ha oversikt over hvilke informasjon vi forvalter, hvor kritisk eller sensitiv ulike typer informasjon er, hvor informasjonen befinner seg og hvem som har ansvaret for den. Administrasjonsdirektør, eller den han/hun delegerer til, skal til daglig utøve ledelsens ansvar for arbeidet med informasjonssikkerhet på en systematisk måte. NMBU skal systematisk vurdere behov for - og gjennomføre nødvendige risikovurderinger. Risikoreduserende tiltak skal være basert på risikovurderinger, nytte-kost vurderinger og ledelsens føringer for risikohåndtering og et effektivt sikkerhetsarbeid. Hendelser som kan påvirke målene for informasjonssikkerhet negativt, skal meldes og følges opp på en systematisk måte. Alle avvik skal meldes i NMBUs avvikssystem. Ledere på alle nivåer skal innføre, drifte og vedlikeholde det vedtatte ledelsessystemet for informasjonssikkerhet og systematisk styre, kontrollere og følge opp tilstanden og arbeidet med informasjonssikkerhet i egen enhet. Administrasjonsdirektør, eller den han/hun delegerer til, skal utarbeide årlig rapport til rektor som skal danne grunnlag for at ledelsen blir orientert om og får grunnlag for styring av arbeidet med informasjonssikkerhet. Administrasjonsdirektør, eller den han/hun delegerer til, skal identifisere og følge opp behov for kompetanse- og kulturutvikling innen informasjonssikkerhet. Arbeidet med informasjonssikkerhet skal evalueres systematisk. side 10

11 1.4 Organisering Ansvar og myndighet for informasjonssikkerhet ved NMBU skal følge det ordinære linjeansvaret. Alle enhetsledere har ansvar for informasjonsbehandling, IKT-system og informasjonssikkerhet innenfor sin enhet. Nødvendige fellesfunksjoner, støttefunksjoner og samarbeidsgrupper skal etableres, ha tydelige roller og ansvar og understøtte linjelederne rundt om i virksomheten. NMBUs IT-avdeling skal ha en egen IT-sikkerhetsgruppe / Computer Security Incident Response Team (CSIRT), som skal ha ansvar for forebyggende tiltak og håndtering av IT-sikkerheten ved NMBU. Alle informasjonssystemer ved NMBU skal ha en systemeier. Systemeiere for fellessystem skal ivareta interessene til de som benytter systemene i sin oppgaveløsning og involvere disse på en hensiktsmessig måte i systemforvaltning og informasjonssikkerhetsarbeid. Systemeierskap omfatter roller med tilhørende ansvar, prosedyrer og beslutningsmyndighet knyttet til alle faser i systemets livsløp. Innføring av nye systemer og avvikling av gamle skal kun skje etter behandling i en strategisk koordineringsgruppe som skal ivareta helheten i NMBUs administrative IT-virksomhet. Hver systemeier gjennomfører risikoanalyser på sine respektive systemer for å kunne klassifisere informasjon ut fra hvor kritisk den er for virksomheten. Alle ansatte, studenter og assosierte brukere skal ha et bevisst forhold til hvilken informasjon de behandler og hvilke krav som stilles til informasjonsbehandlingen og bruken av IKT. Alle ansatte, studenter og assosierte brukere skal etterleve de lover, regler, retningslinjer, krav, prosedyrer, rutiner mv. som gjelder for dem og det arbeidet de utfører. 1.5 Kriterier for akseptabel risiko For å oppnå tilfredsstillende informasjonssikkerhet skal arbeidet basere seg på kriterier for akseptabel risiko. NMBU klassifiserer informasjonen i følgende kategorier: Åpen Intern Sensitiv Følgende kriterier for akseptabel risiko gjelder for de tre kategorier av informasjon: Åpen informasjon All NMBUs informasjon er åpen med mindre den er klassifisert i en av de to øvrige kategoriene. Det stilles ingen krav til konfidensialiteten til åpen informasjon. side 11

12 Integriteten og tilgjengeligheten til åpen informasjon skal prioriteres. Integriteten til informasjonen skal vektlegges foran hensynet til tilgjengelighet. Intern informasjon Denne kategorien omfatter informasjon som er ment for intern bruk og som kan skade Universitetet eller være upassende at tredjepart får kjennskap til og som kan unntas offentlighet i medhold av Offentleglova. Systemeier avgjør lagrings- og delingsmåte. Det aksepteres ikke brudd på konfidensialiteten og integriteten til intern informasjon som er unntatt offentlighet. Kortere avbrudd i tilgjengeligheten til intern informasjon aksepteres. Sensitiv informasjon Denne kategorien omfatter informasjon av følsom art hvor uautorisert tilgang, også internt, kan medføre betydelig skade for enkeltpersoner, NMBU eller NMBUs samarbeidspartnere. Sensitiv informasjon er taushetsbelagte opplysninger som skal unntas offentlighet iht Offentleglova 13. Slike opplysninger er sensitive personopplysninger iht Personopplysningslovens 2 eller opplysninger som omfattes av Forvaltningslovens 13. Sensitiv informasjon skal sikres spesielt. Det aksepteres ikke brudd på konfidensialiteten eller integriteten til sensitiv informasjon. Gitt at sensitiv informasjon ikke berører liv og helse, kan kortere avbrudd i tilgjengeligheten aksepteres. side 12

13 2. Organisering av informasjonssikkerhet Vedtatt Innhold: 1 Roller 2 Ansvar og oppgaver 2.1 Roller I sikkerhetsorganisasjonen til NMBU inngår følgende roller: Universitetsstyret Rektor Administrasjonsdirektør Informasjonssikkerhetsrådgiver (CISO) Informasjonssikkerhetsforum Enhetsledere Prosjektledere i forskningsprosjekter IT-direktør Avdelingsdirektør, eiendomsavdelingen Brukere (ansatte, studenter, gjester) 2.2 Ansvar og oppgaver Nedenfor følger en gjennomgang av hvilket ansvar og hvilke arbeidsoppgaver de ulike rollene i sikkerhetsorganisasjonen er pålagt å ivareta. side 13

14 2.2.1 Universitetsstyret: Myndighet: Har det øverste ansvaret gjennom Grunnlagsdokument for sikkerhet ved NMBU. Rapportering: Skal informeres om vesentlig alvorlige sikkerhetsbrudd av rektor Rektor: Myndighet: Behandler og vedtar ledelsessystem for informasjonssikkerhet ved NMBU og vesentlige endringer i ledelsessystemet. Spesielt gjelder dette endringer i sikkerhetsmål og kriterier for akseptabel risiko. Kan stille krav til det videre arbeidet med informasjonssikkerhet ved NMBU. Rapportering: Skal informeres årlig om arbeidet med informasjonssikkerhet av administrasjonsdirektøren. Skal informeres om spesielt alvorlige sikkerhetsbrudd av administrasjonsdirektøren Administrasjonsdirektøren: Myndighet og delegasjon: Har det overordnede ansvaret for informasjonssikkerheten ved NMBU. Oppnevner medlemmer og leder informasjonssikkerhetsforumet ved NMBU. side 14

15 Kan delegere ansvaret for utøvelsen av daglige oppgaver til informasjonssikkerhetsrådgiver, herunder også oppnevnelse av medlemmer til informasjonssikkerhetsforum. Er behandlingsansvarlig for alle personopplysninger og skal inngå avtaler med eksterne aktører (databehandlere) som behandler personopplysninger på vegne av NMBU. Er ansvarlig for at personvernet ivaretas etter gledende regelverk. Drift og ressurser: Skal sørge for at ledelsessystemet for informasjonssikkerhet blir innført, satt i drift og vedlikeholdt. Skal sørge for at det avsettes tilstrekkelige ressurser til arbeidet med informasjonssikkerhet, herunder opplæring og kompetanseheving. Kontroll og rapportering: Skal sørge for at formål med behandling av personopplysninger er fastsatt. Skal ha oversikt over de informasjonsverdiene som behandles av institusjonen, spesielt behandlingen av personopplysninger. Skal holde seg orientert om arbeidet med informasjonssikkerhet. Skal årlig gjennomgå status for arbeidet med informasjonssikkerhet ved NMBU (ledelsens gjennomgang). Skal årlig rapportere status for arbeidet med informasjonssikkerhet til universitetsstyret og informere styret om spesielt alvorlige sikkerhetsbrudd. Skal, dersom det er nødvendig, foreslå endringer i ledelsessystemet (sikkerhetsmål, sikkerhetsstrategi, akseptabel risiko og organisering) til universitetsstyret. Skal meddele rektor alvorlige brudd på konfidensialiteten til personopplysninger. side 15

16 Skal melde om alvorlige brudd på konfidensialiteten til personopplysninger til Datatilsynet Informasjonssikkerhetsrådgiver (CISO): Myndighet og ansvar: Skal i det daglige utøve universitetsledelsens ansvar for informasjonssikkerheten ved NMBU. Er sekretær og skal planlegge arbeidet i informasjonssikkerhetsforumet ved NMBU. Tilstand og oversikt: Skal ha oversikt over informasjonsverdier som behandles og IT-løsninger som benyttes ved NMBU. Skal holde seg orientert om informasjonssikkerhetstilstanden ved NMBU, herunder motta avviksmeldinger fra fakulteter, avdelinger, andre enheter, forskningsprosjekter og individuelle brukere (ansatte, studenter, gjester, osv.). Revisjoner og rapporter: Skal sørge for at det gjennomføres revisjoner av arbeidet med informasjonssikkerhet ved fakulteter, avdelinger, andre enheter og forskningsprosjekter. Skal utarbeide rapport om informasjonssikkerhetsarbeidet til universitetsledelsens årlige gjennomgang. Skal rapportere alvorlige brudd på informasjonssikkerheten og andre vesentlige avvik til administrasjonsdirektør. Opplæring, informasjon og bistand: side 16

17 Skal sørge for at det gis opplæring i praktisk informasjonssikkerhetsarbeid til alle ansatte og studenter. Skal bistå fakulteter, avdelinger og forskningsprosjekter ved planlegging, gjennomføringen og oppfølging av konkrete sikkerhetsoppgaver, spesielt risikovurderinger, iverksetting av sikringstiltak og inngåelser av avtaler med betydning for informasjonssikkerheten (SLA og liknende). Skal sørge for at brukerne informeres om trusler mot informasjonssikkerheten Informasjonssikkerhetsforum: Myndighet og ansvar: Skal gi råd til universitetsledelsen om tiltak/initiativ som fremmer informasjonssikkerheten, herunder ressursbehov. Skal koordinere planleggingen og gjennomføringen av tiltak/initiativ på informasjonssikkerhetsområdet som omfatter hele institusjonen. Skal ivareta helheten i universitetets administrative og faglige IT-virksomhet. Skal bidra til mer brukervennlige og kosteffektive IT-løsninger for NMBU gjennom bedre samhandling rundt initiering, innføring, forvaltning, drift og avvikling av administrative og faglige IT-systemer. Anbefalingene fra Informasjonssikkerhetsforumet vil være rådgivende for administrasjonsdirektøren som evt. sørger for videre behandling i NMBUs ledergrupper og NMBUs medbestemmelsesorgan. Ledelse og sammensetning: Arbeidet ledes av administrasjonsdirektør. Informasjonssikkerhetsrådgiver (CISO) er sekretær og planlegger arbeidet. side 17

18 Forumet for øvrig består av: o En representant oppnevnt av forskningsdirektør o En representant oppnevnt av studiedirektør o En representant oppnevnt av IT-direktør o En representant oppnevnt av økonomidirektør o En representant oppnevnt av personaldirektør o To representanter fra fakultetene oppnevnt av administrasjonsdirektøren o Hovedverneombud o Utvides ellers ved behov Forumet møtes minst én gang hvert semester eller ved behov. Øvrige oppgaver: Skal holde seg orientert om tilstanden på informasjonssikkerhetsområdet, herunder nye trusler mot NMBU sine informasjonsverdier. Skal gjennomgå meldte avvik og sikkerhetshendelser. Skal gjennomgå resultater fra sikkerhetsrevisjoner. Skal behandle eventuelle forslag til endringer i sikkerhetsmål, sikkerhetsstrategi, akseptkriterier og sikkerhetsorganisering i forkant av ledelsens gjennomgang. Skal foreslå konkrete mål for arbeidet med informasjonssikkerhet for neste periode (budsjettår) i forkant av ledelsens gjennomgang. Skal ivareta helheten i NMBUs faglige og administrative IT-virksomhet. Skal holdes oppdatert på nye omfattende IKT-endringer og vedta innføring og avvikling av faglige og administrative IT-systemer ved NMBU. Skal på sikt utforme et overordnet veikart (strategi) for administrative IT-systemer Vedlikeholde en oversikt over alle administrative og faglige IT-systemer side 18

19 2.2.6 Enhetsledere (dekaner og avdelingsdirektører/-ledere): Myndighet og ansvar: Er ansvarlig for å tilfredsstille krav til informasjonssikkerhet i egen enhet og skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp innenfor sine ansvarsområder. Kan delegere utøvelsen av det daglige ansvaret for informasjonssikkerheten til én eller flere informasjonssikkerhetskoordinator(er). Kartlegging, risikovurderinger og tiltak: Skal ha oversikt over informasjonsverdier og IT-løsninger enheten er ansvarlige for, inkludert hvilke forskningsdata som behandles. Skal ha oversikt over hvilke forskningsprosjekter som gjennomføres ved sitt fakultet/enhet. Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp i forskningsprosjekter. Skal sørge for at det jevnlig (hvert annet år) blir gjennomført risikovurderinger av: o IT-systemer/tjenester som enhetene har eierskap til. o Bruk av eksterne IT-systemer/tjenester (fjerndrift). o Bruk av IT-utstyr. o Arbeidsprosesser (forskning, undervisning, formidling og administrasjon). o Fysiske forhold som har betydning for informasjonssikkerheten. Skal i tillegg sørge for risikovurderinger ved: o Anskaffelse av IT-løsninger. o Vesentlige endringer i arbeidsprosesser, IT-løsninger eller fysiske forhold. side 19

20 Skal sørge for at sikringstiltak blir iverksatt dersom risikovurderingene viser at informasjonssikkerheten ikke er tilfredsstillende, herunder bestille tekniske og fysiske sikringstiltak fra IT- eller eiendomsavdelingen. Informering og opplæring: Skal sørge for at administrativt og vitenskapelige ansatte med ansvar for konkrete sikkerhetsoppgaver og prosjektledere/deltakere har kompetanse til å utføre sine informasjonssikkerhetsoppgaver. Skal sørge for at alle brukere i sin enhet er kjent med de rutiner som til enhver tid gjelder for behandling av informasjonsverdier i administrasjon, undervisning, forskning og formidling. Avviksmelding og avvikshåndtering: Skal sørge for at alle brukere i sin enhet er kjent med de prosedyrer som til enhver tid gjelder for melding av rutineavvik og sikkerhetsbrudd. Skal sørge for at alle avvik og sikkerhetsbrudd i sin enhet blir lukket, herunder be om assistanse fra IT- eller eiendomsavdelingen ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig. Revisjoner og avtaler: Skal sørge for at informasjonssikkerhetsrådgiver får nødvendig bistand ved gjennomføring av sikkerhetsrevisjoner. side 20

21 Skal sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører for å ivareta informasjonssikkerheten (for eksempel SLA), herunder kontrollere at avtalevilkårene respekteres Prosjektledere i forskningsprosjekter: Myndighet og ansvar: Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir ivaretatt. Skal rapportere forskningsprosjekter til sin enhetsleder. Skal, dersom det er nødvendig, melde forskningsprosjekter til lokalt personvernombud (kan komme krav om dette som følge av nytt EU-direktiv i 2018) eller til Norsk Samfunnsvitenskapelig Datatjeneste. Kartlegging, risikovurderinger og tiltak: Skal ha oversikt over hvilke informasjonsverdier og IT-løsninger som behandles eller benyttes i forskningsprosjekter. Skal sørge for at det gjennomføres risikovurderinger ved oppstart av forskningsprosjekter og jevnlig ved langvarige prosjekter. Skal sørge for at sikringstiltak blir iverksatt dersom risikovurderingene viser at informasjonssikkerheten i prosjektene ikke er tilfredsstillende, herunder bestille tekniske og fysiske sikringstiltak fra IT- og eiendomsavdelingen. Informering og opplæring: side 21

22 Skal sørge for at prosjektdeltakere har kompetanse til å utføre sine sikkerhetsoppgaver, for eksempel ved å be informasjonssikkerhetsrådgiver om bistand til opplæring/kompetanseheving. Skal sørge for at alle prosjektdeltakerne er kjent med de rutiner som til enhver tid gjelder for behandling av informasjonsverdier i forskning. Avviksmelding og avvikshåndtering: Skal sørge for at alle prosjektdeltakerne er kjent med de prosedyrer som til enhver tid gjelder for melding av rutineavvik og sikkerhetsbrudd. Skal sørge for at alle avvik og sikkerhetsbrudd blir lukket, herunder be om assistanse fra IT- eller eiendomsavdelingen ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig. Revisjoner og avtaler: Skal sørge for at informasjonssikkerhetsrådgiver får nødvendig bistand ved gjennomføring av sikkerhetsrevisjoner av forskningsprosjekter. Skal sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører i forskningsprosjekter for å ivareta informasjonssikkerheten (for eksempel SLA), herunder sikre at avtalevilkårene respekteres IT-direktør: Myndighet og delegasjon: IT-direktør har det samme ansvaret for informasjonssikkerheten innenfor sin enhet som øvrige enhetsledere, se instruks for enhetsledere ovenfor. side 22

23 IT-direktør skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp ved investeringer i og drift av IT-løsninger. Registrering og dokumentasjon: Skal registrere og dokumentere autorisert og forsøk på uautorisert bruk av NMBUs ITløsninger som inneholder personopplysninger. Skal registrere og dokumentere alle sikkerhetshendelser/brudd som gjelder NMBUs ITløsninger. Ekstern bistand og avtaler: Skal bistå enheter eller forskningsprosjekter ved risikovurderinger av teknisk sikkerhet (interne og eksterne IT-løsninger) når de blir bedt om å gi slik bistand. Skal bistå enheter eller forskningsprosjekter ved utforming og iverksetting av IT-tekniske sikringstiltak. Skal bistå enheter og forskningsprosjekter ved håndtering av tekniske sikkerhetsbrudd. Skal sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører som har betydning for informasjonssikkerheten (for eksempel SLA), herunder kontrollere at avtalevilkårene respekteres Eiendomsdirektør: Myndighet og delegasjon: Leder i eiendomsavdelingen har det samme ansvaret for informasjonssikkerheten innenfor sin enhet som øvrige enhetsledere, se instruks for enhetsledere ovenfor. side 23

24 Skal sørge for at vedtatte sikkerhetsmål og kriterier for akseptabel risiko blir fulgt opp ved nybygg eller bygningsmessige endringer som har betydning for informasjonssikkerheten. Fysisk sikkerhet: Skal sørge for at sikring av tilgang til bygninger, rom og områder er i tråd med kriterier for akseptabel risiko. Bistand og avtaler: Skal bistå enheter og forskningsprosjekter ved risikovurderinger av fysisk sikkerhet og ved gjennomføring av nødvendige fysiske sikringstiltak. Skal bistå enheter og forskningsprosjekter ved håndtering av fysiske sikkerhetsbrudd. Skal sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører som har betydning for informasjonssikkerheten (for eksempel SLA med vaktselskaper), herunder sikre at avtalevilkårene respekteres Brukere (ansatte, studenter, gjester osv): Ansvar: Alle brukere skal overholde de rutiner og retningslinjer som til enhver tid gjelder for sikker håndtering av informasjonsverdier og personopplysninger. Oppgaver: Alle brukere skal rapportere avvik fra vedtatte rutiner/retningslinjer og brudd på informasjonssikkerheten. side 24

25 Ansatte skal bistå ved planlegging, gjennomføring eller oppfølging av konkrete sikkerhetsoppgaver dersom de blir bedt om det. side 25

26 II. Gjennomførende del Ledelsessystemets andre hoveddel inneholder gjennomførende dokumenter. De gjennomførende dokumentene beskriver retningslinjer for utførelsen av konkrete arbeidsoppgaver og rutiner for iverksetting av sikringstiltak. Gjennomførende dokumenter omfatter: - Kartlegging av informasjonsverdier - Årsplan for CSO/CISO eller informasjonssikkerhetsrådgiver - Risikovurderinger - Risikohåndteringsplan - Etablering av sikringstiltak («Statement of Applicability, SOA») side 26

27 III. Kontrollerende del (forbedringstiltak, beslutninger (ledelsesgjennomgang og revisjoner)) Ledelsessystemets tredje hoveddel inneholder kontrollerende dokumenter. De kontrollerende dokumentene omfatter retningslinjer for oppfølging, endring og forbedring av arbeidet med informasjonssikkerhet. Kontrollerende dokumenter inkluderer: - Avviksmelding og avvikshåndtering - Sikkerhetsrevisjon - Årsrapport - Referat fra ledelsens gjennomgang side 27