NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Like dokumenter
NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

NTNU Retningslinje for klassifisering av informasjon

Politikk for informasjonssikkerhet

NTNU Retningslinje for tilgangskontroll

Retningslinje for risikostyring for informasjonssikkerhet

Avito Bridging the gap

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Veileder for gjennomføring av valg. Fysisk sikring av lokaler og teknisk utstyr ved valg

RETNINGSLINJE for klassifisering av informasjon

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Overordnet IT beredskapsplan

BILAG 5. Sikkerhetsvedlegg

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Kommunens Internkontroll

Internkontroll og informasjonssikkerhet lover og standarder

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Avvikshåndtering og egenkontroll

Informasjonssikkerhet

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Prinsipper for informasjonssikkerhet ved NTNU

Ny sikkerhetslov og forskrifter

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

3.1 Prosedyremal. Omfang

Sikring av vannforsyning mot tilsiktede uønskede hendelser (security) VA - DAGENE I VRÅDAL

Sikkerhetsmål og -strategi

NTNU Retningslinje for operativ sikkerhet

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Risikovurdering av Public 360

RiskManagement og sikkerhetsutfordringer i byggog eiendomsnæringen, november Forebygging og forsvar mot tilsiktede uønskede handlinger

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Beskrivelse av informasjonssystemet

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Risikovurdering for folk og ledere Normkonferansen 2018

Referansearkitektur sikkerhet

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Prosedyre for skjerming av informasjon

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

HVEM ER JEG OG HVOR «BOR» JEG?

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Risikovurdering av cxstafettloggen

SIKKERHETSINFORMASJON Bergen Havn

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Høgskolen i Telemark. Policy for informasjonssikkerhet ved

Mørketallsundersøkelsen 2006

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Policy. for. informasjonssikkerhet. ved NMBU

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Seminar om betalingssystemer og IKT i finanssektoren,

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Sikkert nok - Informasjonssikkerhet som strategi

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Informasjonssikkerhetsprinsipper

IKT-reglement for Norges musikkhøgskole

Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

IKT-sikkerhet og sårbarhet i Risør kommune

Følger sikkerhet med i digitaliseringen?

Personopplysninger i leieforhold - illustrert ved eksemplet elektronisk adgangskontroll

Databehandleravtale digitale arkiv og uttrekk for deponering

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Revisjon av informasjonssikkerhet

Helseforskningsrett med fokus på personvern

Hva er sikkerhet for deg?

SØKNAD OM GODKJENNING - DEL 1

Internkontroll i mindre virksomheter - introduksjon

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

VI BYGGER NORGE MED IT.

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

GDPR- hva betyr dette for NTNU

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Transkript:

Retningslinje for fysisk sikring av IKTinfrastruktur Type dokument Retningslinje Forvaltes av Økonomi- og eiendomsdirektør Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020 Unntatt offentlighet Nei Referanse ISO 27001; A11.1 Referanse LOV/Regel Referanse interne Denne retningslinjen er underlagt Politikk for informasjonssikkerhet dokumenter 1. Formål Formålet er å forhindre uautorisert adgang til, skade på og/eller forstyrrelser i virksomhetens informasjon og systemer for informasjonsbehandling. Retningslinjen skal videre forhindre tap, skade, tyveri eller kompromittering av aktiva samt avbrudd i organisasjonens drift. 2. Hvem Retningslinje for fysisk sikring av IKT-infrastruktur gjelder for Retningslinje for fysisk sikring av IKT-infrastruktur gjelder for alle som har ansvar for prosjektering av bygg alle som har ansvar for drift av bygg alle som har ansvar for bruk av bygg 3. Definisjoner IKT-infrastruktur: Med NTNUs IKT-infrastruktur menes alt utstyr, digital informasjon, informasjonssystemer og tjenester som benyttes til informasjonsbehandling og kommunikasjon. Informasjonsverdier: Disse deles inn i to kategorier: Primærverdier handler om hva vi gjør og hvordan, og informasjonen vi benytter: forretningsprosesser og aktiviteter informasjon Sekundærverdier handler om de verktøyene vi bruker og kompetansen hos de som bruker verktøyene:

hardware software nettverk ansatte lokasjoner organisasjonsstrukturer 4. Overordnede prinsipper Følgende overordnede prinsipper gjelder for sikring av IKT-infrastruktur: Fysisk eller logisk tilgang til NTNUs IKT-infrastruktur skal være forankret i et behov for å få utført en pålagt oppgave. Fysisk og logisk adgang til NTNUs IKT-infrastruktur skal være sporbar. NTNU skal ha en fysisk og logisk tilgangskontroll som står i forhold til skaden u- autorisert tilgang kan medføre. Det skal til enhver tid være en oppdatert dokumentasjon av alle områder og komponenter som inngår i NTNUs IKT-infrastruktur, og med et relasjonskart som viser sammenheng mellom tilganger. Arealer som inneholder infrastruktur som representerer høy sårbarhet/risiko for tilgjengeligheten til kritiske eller større deler av NTNUs informasjonskilder skal ha fysisk beskyttelse mot naturkatastrofer, ondsinnede angrep og ulykker. For arealer som inneholder infrastruktur som representerer høy sårbarhet/risiko for tilgjengeligheten til kritiske eller større deler av NTNUs informasjonskilder skal det være utarbeidet og testet en kontinuitetsplan som inntrer ved kritiske hendelser. Det skal til enhver tid være en plan for utvikling og forvaltning av arealer som inneholder NTNUs IKT-infrastruktur. Ved avhending av IKT-utstyr skal Rutine for avhending av lagringsmedium følges. 4.1 Krav til fysisk sikring av arealer som gir tilgang til NTNUs IKT-infrastruktur For å kunne ivareta informasjonssikkerheten skal sikring av fysiske arealer følge kravene under: Områder som inneholder IKT-infrastruktur og/eller informasjon som krever beskyttelse skal inndeles i soner. Sonene skal beskyttes med hensiktsmessige adgangskontroller for å sikre at kun autorisert personell får adgang. Ved vurdering av adgangskontroll og autorisasjon skal det tas hensyn til hvilken informasjon og hvilket utstyr som er plassert i aktuelt område iht. til gjeldende rutine. Alt personell skal kunne tilkjennegi sin identitet når de er i NTNUs områder med tilgangsbegrensninger. Referert til tabellen i «Retningslinje for fysisk sikring av IKT-infrastruktur» betyr det områder med GRØNN,

GUL, RØD sikkerhetsgradering til alle tider og for områder med HVIT sikkerhetsgradering når skallsiktingen er aktivisert. Sikringsnivå Kategori informasjon/ informasjonssystemer Klassifisert som: RØD Konfidensialitet klassifisert på nivå 3/4. på nivå 3/4. Tilgjengelighet nivå klassifisert på 3/4. Område Begrensede deler av datarom, arkivrom eller andre rom som gir tilgang til informasjon som det er kritisk for NTNU å beskytte mot uautorisert innsyn eller endring. Rød sone skal etableres inne i et område som er definert som gul sone, og som har tilfredsstillende skallsikring. Sikring Avlåst hele døgnet. Adgangskort + PIN kode eller nøkkel med svært begrenset tilgang. etter særskilt avtale, opplæring i NTNUs krav til informasjonssikkerhet, signert taushetserklæring og under oppsyn av autorisert NTNU ansatt. Alle skal bære synlig adgangskort. Det skal gjennomføres årlig ROS-analyse for kartlegging av sikringstiltak av arealet. tilgang ved hendelser som brann, terror, etc. godkjenning og revisjon av tilgangsrettigheter. GUL Konfidensialitet klassifisert på nivå 3. på nivå 3. Tilgjengelighet nivå klassifisert på 3. Avgrensede områder hvor spesiell autorisasjon kreves, datarom/arkiver med fortrolig informasjon, og/eller informasjon som det er viktig for NTNU å beskytte mot uautorisert innsyn eller endringer. revisjon av adgangslogger. Avlåst hele døgnet. Adgangskort + PIN kode eller nøkkel med begrenset tilgang. etter særskilt avtale og opplæring i NTNUs krav til informasjonssikkerhet.

Tekniske rom med infrastruktur som representerer høy sårbarhet/risiko for tilgjengeligheten til kritiske eller større deler av NTNUs informasjonskilder. Printerrom og kontorlokaler der det kan aksesseres informasjon klassifisert som Fortrolig. Taushetserklæring skal signeres. Alle skal bære synlig adgangskort. Det skal gjennomføres årlig ROS-analyse for kartlegging av sikringstiltak av arealet. For printerrom der rommet er plassert i grønn eller hvit sone kan printeren være gul sone ved utskrift av fortrolig informasjon. Det kreves da sikker utskriftsfunksjonalitet for printeren/ utskriftssystemet. tilgang ved hendelser som brann, terror, etc. godkjenning og revisjon av tilgangsrettigheter. GRØNN HVIT Konfidensialitet klassifisert på nivå 2. på nivå 2. Tilgjengelighet klassifisert på nivå 2. Klassifisert som: Konfidensialitet nivå 1, Integritet 1, Tilgjengelighet klassifisert på nivå 1 Arealer der det kan aksesseres informasjon klassifisert som Intern. Kontorer, møterom, mv. der det er adgangskontroll hele døgnet. Arealer som gir adgang til infrastruktur-komponenter som kan kompromittere informasjonssikkerheten, slik som: kabler, rutere, koblingsbokser, etc. Offentlig tilgjengelige områder: Vrimleområder, korridorer, kantiner mv. I prinsippet alt åpent. revisjon av adgangslogger. Lås og personlig nøkkelkort + PIN kode. etter særskilt avtale og signert taushetserklæring. Skallsikring for bygninger utenom åpningstid og eventuelle ekstra sikkerhetstiltak der det ansees som nødvendig, f. eks videoovervåking mv.

Sikringstiltakene baseres på ROS-vurdering og aktiva plassert i lokalene. 5. Roller og ansvar 5.1 Økonomi- og eiendomsdirektør skal sørge for tilstrekkelig finansiering av arbeidet med informasjonssikkerhet i prosjektering og drift av bygg 5.2 Leder av Avdeling for campus service er ansvarlig for etterlevelse av retningslinjen ved drift av bygg 5.3 Leder av Eiendomsavdelingen er ansvarlig for etterlevelse av retningslinjen ved prosjektering og anskaffelse av bygg 5.4 Leder av IT-avdelingen skal konsulteres ved revideringer av retningslinje, risikovurderinger og tiltak 5.5 Leder av HR- og HMS-avdelingen er ansvarlig for at ledere er kjent med, og har tilstrekkelig kompetanse, til å ivareta sitt ansvar i henhold til denne retningslinjen 5.6 Leder av Seksjon for digital sikkerhet er ansvarlig for godkjenning av egen rutine for tilgang ved hendelser som brann, terror, etc. i rød sone er ansvarlig for godkjenning av egen rutine for godkjenning og revisjon av tilgangsrettigheter til rød sone ansvarlig for godkjenning av egen rutine for revisjon av adgangslogger i rød sone konsulteres ved revideringer av retningslinje, risikovurderinger og tiltak 5.7 Linjeleder ansvarlig for at ansatte har tilstrekkelig opplæring til å kunne etterleve kravene i retningslinjen

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding