Informasjonssikkerhet - konsernprosedyre

Like dokumenter
1. Mål og hensikt Konsernprosedyre Sikring er forankret i konsernstandarder for hhv. sikkerhetsstyring og for kvalitetsstyring.

Beredskap - konsernprosedyre

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Konsernstandard for Kvalitetsstyring - Konsernstandard

Hva er sikkerhet for deg?

Sikkerhetsstyring - konsernstandard

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Policy for personvern

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Personvern og informasjonssikkerhet

Sikring mot terror og andre villede handlinger rettet mot de nasjonale transportaktørene (jern- og tunnelbane)

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Retningslinje for risikostyring for informasjonssikkerhet

Personopplysninger og opplæring i kriminalomsorgen

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Spørreundersøkelse om informasjonssikkerhet

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Internkontroll i praksis (styringssystem/isms)

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Retningslinje for Sikring innen Sikkerhetsstyring

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv i gjeldende rett.

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Strategi for Informasjonssikkerhet

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

3.1 Prosedyremal. Omfang

Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni Side 1

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Ny styringsmodell for informasjonssikkerhet og personvern

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Sikkert nok - Informasjonssikkerhet som strategi

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Avito Bridging the gap

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Overordnet IT beredskapsplan

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Prosedyre for personvern

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Informasjonssikkerhet i Norge digitalt Teknologiforum

Policy for Antihvitvask

Retningslinje for Sikkerhetsstyring og leverandørstyring innen Sikkerhetsstyring

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Difis veiledningsmateriell, ISO og Normen

Transportkonferansen Ledelsessystemer, ISO-sertifisering

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Ny sikkerhetslov og forskrifter

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Egenevalueringsskjema

Oppfølging av informasjonssikkerheten i UH-sektoren

Krav til utførelse av Beredskapsøvelser

EUs personvernforordning (GDPR)

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Oversikt. Remi Longva

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Aggregering av risiko - behov og utfordringer i risikostyringen

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Veiledning- policy for internkontroll

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Direktiv Krav til sikkerhetsstyring i Forsvaret

Sikkerhet innen kraftforsyningen

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

RETNINGSLINJE for klassifisering av informasjon

Internkontroll og informasjonssikkerhet lover og standarder

Transkript:

Prosedyre Godkjent av: Boe, Karsten Side: 1 av 8 1. Mål og hensikt Konsernprosedyre Informasjonssikkerhet er forankret i konsernstandarder for hhv. sikkerhetsstyring og for kvalitetsstyring. Formålet er å styrke og opprettholde sikker og pålitelig informasjonsbehandling i Bane NOR. Prosedyren beskriver hovedprinsipper, ansvar og myndighet og gir grunnlag for etablering av menneskelige, tekniske og organisatoriske informasjonssikkerhetstiltak. Informasjonssikkerhet handler om å sikre informasjonens integritet, konfidensialitet og tilgjengelighet, for å sikre jernbanedrift og for å ivareta Bane NORs samfunnsoppdrag. 2. Omfang Konsernprosedyren omfatter all behandling av informasjon uavhengig av om informasjonen produseres og formidles i digitalt format, i fysisk format, eller i form av tale. Informasjonssikkerhet omfatter også IKT- og Cybersikkerhet. Denne konsernprosedyren gjelder for Bane NORs samlede virksomhet. 3. Forkortelse og definisjoner Forkortelse/Definisjoner Cybersikkerhet IKT IKT-sikkerhet Informasjonssikkerhet Integritet Integrert ledelsessystem ISO IT-sikkerhet Konfidensialitet Ledelsessystem NS NSM Personopplysning Beskrivelse Sikring av informasjonsverdier som er sårbare via tilganger fra IKT-systemer (informasjons og kommunikasjonsteknologi). Informasjons og kommunikasjonsteknologi. Sikring av informasjons- og kommunikasjonsteknologi i forhold til konfidensialitet, integritet og tilgjengelighet. Sikring av informasjon (informasjonsverdier) i forhold til konfidensialitet, integritet og tilgjengelighet, uavhengig av om informasjonen produseres og formidles i digitalt format, i fysisk format, eller i form av tale. Sikkerhet for at virksomhetens informasjon og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. Et sett med samvirkende elementer som en organisasjon trenger for å nå sine mål (ref. ISO) der systemet omfatter flere fagområder. «International Standard Organization». Sikring av informasjonsteknologi i forhold til konfidensialitet, integritet og tilgjengelighet. Sikkerhet for at nærmere angitt informasjon ikke avsløres/er tilgjengelig for uvedkommende, og at kun autoriserte personer får tilgang til denne. Et sett med samvirkende elementer som en organisasjon trenger for å nå sine mål (ref. ISO). Norsk Standard. Nasjonal Sikkerhetsmyndighet. Opplysning eller vurdering som kan knyttes til enkeltperson,

Prosedyre Godkjent av: Boe, Karsten Side: 2 av 8 Forkortelse/Definisjoner Sensitiv personopplysning Systemeier Tilgjengelighet Beskrivelse f.eks. navn, adresse, telefonnummer, e-postadresse, IPadresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer). Opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, eller medlemskap i fagforeninger. En leder som er ansvarlig for å utvikle, forvalte og drifte et informasjonssystem herunder ansvarlig for informasjonssikkerhet i systemet. Sikkerhet for at tjenester oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov. 4. Krav til utførelse 4.1. Hovedprinsipper a) Informasjonssikkerhetsarbeidet i Bane NOR skal være målrettet, risikobasert og basert på et prinsipp der informasjon sikres iht. konsernsjef/systemeieres vurdering av akseptabel/ uakseptabel risiko. 4.2. Lederskap a) Bane NOR skal utøve tydelig lederskap i konsernets arbeid med informasjonssikkerhet. 4.2.1. Ledelsessystem for informasjonssikkerhet a) Informasjonssikkerhet skal inngå som en integrert del i konsernets overordnete ledelsessystem. b) Ledelsessystemet skal sikre at Bane NOR ivaretar informasjonssikkerhet helhetlig og systematisk som en integrert del av foretaksstyringen. Standard for informasjonssikkerhet (NS-ISO 27001) skal legges til grunn i det integrerte ledelsessystemet. 4.3. Planlegging a) Det skal utarbeides handlingsplan for samfunnssikkerhet, som inkluderer fagområdet informasjonssikkerhet. b) Handlingsplan skal inkludere tiltak for divisjonene og for konsernet samlet. Handlingsplan skal ta utgangspunkt i vurdert risiko og skal bidra til at Bane NOR når sine informasjonssikkerhetsmål. 4.3.1. Mål for informasjonssikkerhet a) Bane NOR skal sikre konsernets informasjonsverdier og være kjent med trusler, sårbarheter og risiko mht. informasjonsverdiene. Etablerte sikkerhetstiltak skal være tilpasset trusselbilde for virksomheten, og den risiko som konsernsjef/systemeiere aksepterer.

Prosedyre Godkjent av: Boe, Karsten Side: 3 av 8 b) Bane NOR skal bygge informasjonssikkerhet og robusthet inn i informasjonsinfrastruktur for å sikre jernbanedrift, kunder og brukere. Sikring av digital infrastruktur skal være integrert med mål, virkemidler og tiltak på lik linje som øvrig infrastruktur. c) Personvern skal være ivaretatt i konsernets behandling av personopplysninger. 4.3.2. Risikobasert informasjonssikkerhet a) Risikostyring av informasjonssikkerhet skal utøves gjennom vurdering av risiko for tap av integritet, tap av konfidensialitet og tap av tilgjengelighet - for informasjon som behandles i konsernets virksomhet. b) Risikovurderinger skal være basert på; Verdivurdering informasjonens verdi/viktighet for Bane NOR, Trusselvurdering trussel mot Bane NOR virksomhet, Sårbarhetsvurdering informasjonens sårbarhet overfor identifiserte trusler. c) Risikovurderinger skal gjøres ved bruk av konsernets fastsatte metodikk. Metoder skal sikre at like vurderingskriterier blir benyttet for fastsettelse av informasjonssikkerhetsrisiko på tvers i konsernet. d) Informasjonssystemer i Bane NOR skal verdivurderes. I verdivurderingen skal det fremkomme hvor alvorlig konsekvensene ved brudd på hhv. tap av integritet, konfidensialitet og/eller tilgjengelighet vil være. e) Alle informasjonssystemer med høy verdivurdering skal risikovurderes mht. risiko for tap av integritet, konfidensialitet og/eller tilgjengelighet. 4.3.3. Planlegging av endringer a) Ledelsessystem for informasjonssikkerhet skal sikre at endrede forutsetninger, eller endret trusselbilde, følges opp med nye eller oppdaterte risikovurderinger, samt at revisjonsfunn og øvrige avvik følges opp. b) Behov for endring i ledelsessystemet, endring av handlingsplaner og krav, endring av tiltak skal kontinuerlig vurderes. c) Ved anskaffelse av, eller utvikling av nye systemer i foretaket, skal det sikres at systemene underlegges styring av konsernets informasjonssikkerhet. 4.4. Støtte 4.4.1. Ressurser a) Virksomheten skal avsette tilstrekkelige ressurser til å ivareta arbeidet med informasjonssikkerhet i konsernet. 4.4.2. Kompetanse a) Konsernet skal ha kompetansekrav som angir nødvendig minimumskompetanse for utførelse av oppgaver og funksjoner av betydning for informasjonssikkerhetsarbeidet. b) Konsernet skal ha opplæringsprogrammer som sikrer at arbeid av betydning for informasjonssikkerhet kan utføres på en tilfredsstillende måte. 4.4.3. Bevisstgjøring og kulturutvikling

Prosedyre Godkjent av: Boe, Karsten Side: 4 av 8 a) Det skal på alle ledd i organisasjonen arbeides med bevisstgjøring, holdningsskapende arbeid og kulturutvikling innen informasjonssikkerhet. 4.4.4. Dokumentert informasjon a) Informasjon som beskriver hvordan styring av informasjonssikkerhet ivaretas, skal være dokumentert, lett tilgjengelig og gjort kjent på hensiktsmessig måte for personell med tjenstlig behov. b) Dokumentert informasjon skal være styrt, sporbar og med versjonskontroll. 4.5. Drift 4.5.1. Klassifisering av informasjon a) Bane NORs informasjon, informasjonssystemer og komponenter som inngår i den digitale infrastrukturen, skal klassifiseres iht. fastsatte kriterier for klassifisering. b) Bane NOR skal, i en egen konsernprosedyre for håndtering av informasjon, beskrive tilfredsstillende håndtering for de ulike klassifiseringsnivåene. 4.5.2. Systemeierskap a) Ledelsens eierskap til konsernets informasjonssystemer skal være definert. 4.5.3. Informasjonssikkerhetstiltak - generelt a) Menneskelige, tekniske og organisatoriske informasjonssikkerhetstiltak skal etableres og følges opp. Tiltak skal være basert på risikovurderinger og iht. den risiko som systemeier/konsernsjef aksepterer. b) Bane NOR skal følge sentrale råd fra Nasjonal Sikkerhetsmyndighet (NSM), eksempelvis om oppdatering av programvare, sikkerhetsoppdateringer, oppdatering av operativsystemer, hvitelisting av tillatte applikasjoner/blokkering av ikke-autoriserte programmer, kontroll med administratorrettigheter, e-postkontroll. Se www.nsm.stat.no for råd om sentrale tiltak. 4.5.4. IKT- og Cybersikkerhet - håndtering av sikkerhetshendelser a) Bane NOR skal ha tilstrekkelig kapasitet for deteksjon, analyse og varsling/respons for hendelser som kan påvirke konsernets informasjonssikkerhet. Dette kan være uønskede tilsiktede handlinger som hacking/datainnbrudd, skadevare, m.v. b) Bane NOR skal implementere hensiktsmessig logging i informasjonssystemene. Logging/overvåking skal utføres iht. norsk lov om arbeidsrett, samt iht. personopplysningsloven. c) Informasjonssikkerhetshendelser, herunder IKT- og Cybersikkerhetshendelser, skal behandles slik at sporing og eventuelt bevismateriale kan fremlegges, dersom påkrevd. d) Bane NOR skal ha en proaktiv tilnærming til Cybersikkerhet. Det skal utvikles strategi for Cybersikkerhet, integrert med konsernets øvrige mål og strategier. 4.5.5. Driftskontinuitet og beredskap

Prosedyre Godkjent av: Boe, Karsten Side: 5 av 8 a) Konsernets beredskapsplanverk skal omfatte IKT- og Cybersikkerhet, herunder hendelseshåndtering ved avdekking av digitale angrep/bortfall av IKT. b) Konsernets kriseledelse, samt konsernets fagansvarlige for informasjonssikkerhet, skal informeres og/eller involveres ved kritiske informasjonssikkerhetshendelser. Hendelser skal rapporteres til myndigheter dersom påkrevd. 4.5.6. Tjenesteutsetting a) Ved tjenesteutsetting av data/informasjonsbehandling skal respektive systemeiere gjennom kontrakter, og oppfølging av disse, sikre at Bane NOR har tilstrekkelig oversikt, styring og kontroll med tjenestene som settes ut. Ved evt. utsetting av tjenester til utenlandske virksomheter, skal særskilt risikovurdering gjennomføres. 4.5.7. Samvirke med interesseparter a) Forholdet til virksomheter og interesseparter som kan berøre arbeidet med informasjonssikring skal være avklart. b) Bane NOR leder arbeidet i Samarbeidsutvalg for sikring og beredskap (SUS) og er ansvarlig for samordning og koordinering av sikring/informasjonssikkerhet med, og mellom togselskaper, transportaktører og andre berørte. 4.5.8. Personvern a) Bane NOR skal, i en egen konsernprosedyre for personvern, beskrive tilfredsstillende behandling av personopplysninger i konsernet. Behandlinger av personopplysninger (ref. definisjon) i Bane NOR, skal utføres i samsvar med lov og forskrift om personopplysninger. 4.6. Evaluering av prestasjon a) Det skal gjennomføres overvåking, måling, analyser og evalueringer av informasjonssikkerhetsarbeidet i virksomheten. b) Det skal gjennomføres systematiske oppfølging og revisjon av ledelsessystem for informasjonssikkerhet, etterlevelse av systemet, samt etterlevelse av myndighetskrav. 4.6.1. Ledelsens årlige gjennomgåelse a) Bane NORs øverste ledelse skal ved behov, og minst en gang per år, gjennomgå konsernets informasjonssikkerhet. 4.7. Forbedring a) Bane NOR skal være en lærende organisasjon, som overfører erfaringer og lærer av informasjonssikkerhetshendelser og arbeidet med forebygging/skadereduksjon av slike hendelser. b) Informasjonssikkerhetshendelser skal registreres, undersøkes, analyseres og følges opp med tiltak i Bane NORs avvikssystem «Synergi». Hendelser med stort læringspotensial skal deles aktivt på tvers av divisjoner/enheter i konsernet.

Prosedyre Godkjent av: Boe, Karsten Side: 6 av 8 5. Ansvar og myndighet 5.1. Ledelsen a) Konsernets øverste ledelse har ansvar for å sette, kommunisere og følge opp overordnete mål og strategier for informasjonssikkerhet. 5.2. Konsernstab - Sikkerhet og kvalitet a) På vegne av konsernsjef, ha det overordnede fagansvaret for informasjonssikkerhet i konsernet. b) Eie konsernets overordnede styrende dokumentasjon for informasjonssikkerhet (operativt eierskap til styrende dokumentasjon for IKT- og Cybersikkerhet er delegert til divisjon Digitalisering og teknologi). c) Etablere og vedlikeholde styringssystem for informasjonssikkerhet, som en integrert del i konsernets overordnede ledelsessystem for foretaksstyring. d) Sammenstille konsernets handlingsplan for samfunnssikkerhet, inkludert fagområdet informasjonssikkerhet. e) Sikre samhandling av konsernets kontinuerlige arbeid med informasjonssikkerhet gjennom fagnettverk og funksjonsrapportering. f) Støtte og motivere fagansvarlige i divisjonene bidra til bevisstgjøring og holdningsskapende arbeid i organisasjonen og læring på tvers. g) Gjennomføre og oppdatere overordnede verdivurderinger av informasjonssystemer iht. konsernets fastsatte metodikk. h) Sammenstille, og gjennomføre regelmessig/minimum årlig, gjennomgang med konsernledelsen av konsernets trusselbilde og risiko mht. informasjonssikkerhet. i) Etablere kompetansekrav som angir nødvendig minimumskompetanse for utførelse av oppgaver/funksjoner av betydning for informasjonssikkerhetsarbeidet. j) Være koordinerende kontakt mot myndigheter, tilsyn, andre eksterne aktører mht. konsernets informasjonssikkerhetsarbeid. k) Følge opp mht. etterlevelse av konsernets styrende krav til informasjonssikkerhet også gjennom interne SK-revisjoner. 5.3. Divisjon - Digitalisering og teknologi a) På vegne av konsernsjef og systemeiere i divisjoner, ha fagansvar for sikker og pålitelig drift av konsernets informasjonssystemer (IKT- og Cybersikkerhet). b) Etablere og vedlikeholde ledelsessystem innen fagområdet IKT- og Cybersikkerhet, som en integrert del av informasjonssikkerhet i konsernets overordnete ledelsessystem for helhetlig foretaksstyring. c) Etablere, vedlikeholde og lede konsernets fagnettverk for IKT- og Cybersikkerhet. d) Gjennomføre trussel-, sårbarhets- og risikovurderinger mht. konsernets IKT- og Cybersikkerhet. e) Innføre sikkerhetstiltak og infrastruktur som skal sikre utvikling og pålitelig/sikker drift av konsernets informasjonssystemer. f) Arbeide tett på de utførende enhetene som bl.a. leverer kjørevegskritisk infrastruktur og ivareta alle aspekter av IKT- og Cybersikkerhet. Bistå med faglig støtte og tilgjengeliggjøre ressurser for utførende enheter og systemeiere (ref. pkt. 5.4 c, d, e, h og i). g) h) Bidra til bevisstgjøring og holdningsskapende arbeid i organisasjonen - og læring på tvers innen området IKT og Cybersikkerhet. i) Sette krav til, og løpende følge opp leverandørers IKT- og Cybersikkerhetsarbeid.

Prosedyre Godkjent av: Boe, Karsten Side: 7 av 8 j) Sikre gjennom kontrakter, og oppfølging av disse, at Bane NOR ved tjenesteutsetting har tilstrekkelig oversikt, styring og kontroll med tjenestene som settes ut. k) Følge opp, og månedlig rapportere status og resultat av IKT- og Cybersikkerhetsarbeidet. l) Inkludere IKT- og Cybersikkerhet i «ledelsens gjennomgåelse» i divisjonen. m) Avgi nødvendige ressurser til arbeidet med IKT- og Cybersikkerhet. n) Utarbeide strategi for Cybersikkerhet i Bane NOR og påfølgende handlingsplan for IKT- og Cybersikkerhet. 5.4. Divisjoner a) Konserndirektør har ansvar for informasjonssikkerhet i egen divisjon, i samsvar med overordnede krav. b) Utarbeide divisjonens del av handlingsplan for samfunnssikkerhet, innen fagområdet informasjonssikkerhet. c) Utøve ledelsens systemeierskap for respektive informasjonssystemer. d) Gjennomføre trussel-, sårbarhets- og risikovurderinger for informasjonssikkerhet i divisjonen. e) Gjennomføre risikovurderinger for divisjonens informasjonssystemer med høy verdivurdering. f) Innføre risikobaserte informasjonssikkerhetstiltak i egen divisjon. g) Gjennomføre opplæring og bevisstgjøring/holdningsskapende arbeid i egen divisjon. h) Sette krav til, og løpende følge opp leverandørers informasjonssikkerhetsarbeid. i) Som systemeiere, sikre gjennom kontrakter og oppfølging av disse, at Bane NOR ved tjenesteutsetting av data/informasjonsbehandling har tilstrekkelig oversikt, styring og kontroll med tjenestene som settes ut. j) Følge opp og månedlig rapportere status og resultat av informasjonssikkerhetsarbeidet. k) Inkludere informasjonssikkerhet i «ledelsens gjennomgåelse» i divisjonen. l) Avgi nødvendige ressurser til arbeidet med informasjonssikkerhet. m) Utpeke fagansvarlig som skal representere divisjonen i konsernets fagnettverk for «informasjonssikkerhet» innen samfunnssikkerhet. 5.5. Den enkelte medarbeider a) Den enkelte medarbeider skal ta et selvstendig ansvar for informasjonssikkerhet. b) Ansvaret skal utøves ved at den enkelte setter seg inn i og etterlever konsernets krav, retningslinjer og tiltak - overholder taushetsplikten - varsler om observasjoner og mulige/faktiske informasjonssikkerhetshendelser. 5.6. Krav til leverandører c) Bane NOR skal gjennom kontrakter stille tilsvarende informasjonssikkerhetskrav til leverandører/innleide som til egen organisasjon, samt at de har satt seg inn i konsernets til enhver tid gjeldende krav til informasjonssikkerhet. d) Bane NOR skal sikre at leverandører har - og anvender sitt eget ledelsessystem for sikkerhet og kvalitet, hvor informasjonssikkerhet inngår, i deres arbeid/leveranser for Bane NOR. 5.7. Fagnettverk

Prosedyre Godkjent av: Boe, Karsten Side: 8 av 8 a) Konsernets fagnettverk for samfunnssikkerhet (nivå I) og for informasjonssikkerhet (nivå II) ledes av konsernfagansvarlig og den han/hun delegerer ansvaret til - og består av fagansvarlige i divisjonene (på nivå I og II). b) Konsernets fagnettverk for IKT- og Cybersikkerhet ledes av fagansvarlig i divisjonen Digitalisering og teknologi. c) Fagnettverkene skal sikre samhandling, kontinuitet og vedvarende forbedring av arbeidet med informasjonssikkerhet i konsernet. 6. Rapportering a) Divisjoner skal rapportere på fagområdet informasjonssikkerhet. b) Endringer i risikobilde og større endringer på kritiske objekter skal fremgå i rapportering. 7. Fravik fra konsernprosedyre a) Begrunnet fravik fra krav i denne konsernprosedyre skal behandles av dokumenteier. 8. Referanser Jernbaneloven med sikringsforskriften IKT-forskriften Forskrift om sikkerhetsstyring for jernbanevirksomheter på det nasjonale jernbanenettet Lov om offentlighet i forvaltningen Arkivloven med forskrifter Ekomloven og Eforvaltningsforskriften Beskyttelsesinstruksen E-signaturloven Nasjonal standard for informasjonssikkerhet (NS-ISO-27001) Nasjonal standard for samfunnssikkerhet (NS-ISO-22301) Nasjonal standard for samfunnssikkerhet (NS 5831) Personopplysningsloven Revisjonsoversikt Rev nr Dato Hovedendring 000 17.01.2018 Dokument etablert

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding