NTNU Retningslinje for operativ sikkerhet

Like dokumenter
NTNU Retningslinje for tilgangskontroll

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Retningslinje for risikostyring for informasjonssikkerhet

Beskrivelse av informasjonssystemet

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

3.1 Prosedyremal. Omfang

Veileder for gjennomføring av valg. Teknisk veileder i bruk av EVA Admin for kommuner og fylkeskommuner

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Overordnet IT beredskapsplan

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Databehandleravtale etter personopplysningsloven

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

4.2 Sikkerhetsinstruks bruker

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

2.4 Bruk av datautstyr, databehandling

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Risikovurdering for folk og ledere Normkonferansen 2018

Kundens tekniske plattform

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Databehandleravtale etter personopplysningsloven m.m

Databehandleravtale etter personopplysningsloven

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Avito Bridging the gap

Bilag til kjøpsavtalen for Antivirusløsning K Bilag 1 - Kundens kravspesifikasjon

Avvikshåndtering og egenkontroll

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Mobilbank kontrollspørsmål apper

Personvern - sjekkliste for databehandleravtale

BYOD SUHS-13. Per Arne Enstad, CISA/CISM/CRISC. Bring Your Own Disaster?

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Tjenester i skyen. 19. desember

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Egenevalueringsskjema

Administratorveiledning

Revisjon av informasjonssikkerhet

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Personopplysninger og opplæring i kriminalomsorgen

Bilag 6 Vedlegg 3 Definisjoner

Statens standardavtaler Avtaler og veiledninger om IT-anskaffelser

Informasjonssikkerhetsprinsipper

Politikk for informasjonssikkerhet

Sikkerhetskrav for systemer

Krav til informasjonssikkerhet

Leverandørtilganger. Pål-Øivind Kjeserud Enhetsleder Sykehuspartner Sykehuspartner

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Implementering av CMDB/CMS

Sikkerhetsmål og -strategi

2.13 Sikkerhet ved anskaffelse

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Nasjonal sikkerhetsmyndighet

Saksframlegg. Saksgang: Styret tar saken til orientering. Styret Sykehuspartner HF 3. september 2019 SAK NR

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Bilag 14 Databehandleravtale

Teknisk hjørne RiskManager

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Sikkerhetsinstruks bruker

Når du registrerer deg for å få tilgang til Tjenestene som arrangør Kontakter oss med forespørsler

Sykehuspartner skal bygge en digital motorvei for Helse Sør-Øst. Morten Thorkildsen Styreleder, Sykehuspartner HF 11. oktober 2018

Bilag 3: Beskrivelse av det som skal driftes

KONKURRANSEGRUNNLAG. Bilag 4 Prosedyre A63-V01 Krav til ekstern driftsleverandør

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Referansearkitektur sikkerhet

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Rollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).

Risikovurdering av cxstafettloggen

Regelverk for IoT. GDPR eprivacy

KJENN MEG - MED RETT TIL Å BLI FORSTÅTT

1. Intro om System Center

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

GRUNNPRINSIPPER FOR IKT-SIKKERHET

BEHANDLING AV PERSONOPPLYSNINGER. Tone Tenold 2017

Personvernerklæring for MOOC

Tjenestenivå beskrivelse

Transkript:

Retningslinje for operativ sikkerhet Type dokument Retningslinje Forvaltes av Leder av IT-avdelingen Godkjent av Organisasjonsdirektør Klassifisering Intern Gjelder fra 20.08.2018 Gjelder til 20.08.2020 Unntatt offentlighet Nei Referanse ISO ISO 27001 A12.1-A12.7 Referanse LOV/Regel Referanse interne Denne retningslinjen er underlagt Politikk for informasjonssikkerhet dokumenter 1. Formål Formålet med denne retningslinjen er å beskrive krav til operativ sikring av NTNUs informasjonssystemer for å sikre stabil og sikker drift og mulighet til å detektere problemer i IKT-infrastrukturen. Formålet med kravene er å øke kvaliteten og sikre tjenestene som NTNU leverer i forhold til tilgjengelighet, konfidensialitet og integritet. 2. Hvem Retningslinje for operativ sikkerhet gjelder for Retningslinje for operativ sikkerhet gjelder for Linjeledere Systemeiere IT systemadministratorer Ansatte 3. Definisjoner Endringsstyring: Etablert prosess for å styre endringer i tjenester, systemer og applikasjoner som driftes av NTNU. Prosessen skal baseres på ITIL rammeverket. IT Service Portal: Sentral oversikt over systemer i NTNU. Kapasitetsstyring: Kontinuerlig overvåke trender og tilpasse leveransene i forhold til kapasitet og ytelse for å sikre at systemet leverer innenfor de krav som stilles i avtaler. Teknisk sårbarhetsstyring: Etablert prosess for å ha kontroll på tekniske sårbarheter som sikkerhetshull i programvare, operativsystem og maskinvare. Oppdagelse og håndtering av disse slik at risiko reduseres til et akseptabelt nivå.

Ødeleggende programvare: Programvare som kan skade eller utnytte systemer eller applikasjoner i den hensikt å ødelegge, stjele eller manipulere data. 4. Overordnede prinsipper Kravene til operativ sikkerhet i dette dokumentet er basert på overordnede krav i ISO 27001. Kravene er tenkt som minimumskrav: NTNU skal ha en samlet oversikt over alle systemer og tjenester i produksjon. NTNU bør ha en samlet oversikt over alle systemer og tjenester som er i utvikling og test. Dersom de understøtter funksjons- og/eller virksomhetskritiske tjenester eller systemer er dette et obligatorisk krav. NTNU skal ha dokumentasjon for alle systemer som er i produksjon. For funksjonsog/eller virksomhetskritiske systemer skal også test og utvikling ha dokumentasjon. NTNU skal ha standardiserte driftsprosedyrer for alle systemer som er i produksjon, NTNU skal ha en rutine for etablering og oppdatering av systemdokumentasjon og driftsprosedyrer. NTNU skal ha rutine for herding av systemer og tjenester. NTNU skal ha en rutine for skadevarebeskyttelse. NTNU skal ha rutine for sentral logginnsamling fra systemer som er i produksjon. NTNU skal ha rutine for monitorering av systemer og tjenester som er i produksjon. NTNU skal ha rutiner som ivaretar teknisk sårbarhetsstyring. NTNU skal ha endringsstyring på systemer og applikasjoner i produksjon. NTNU skal ha en rutine for sikkerhetskopiering. NTNU skal ha en rutine for kapasitetsstyring. NTNU skal ha en rutine for å sikre kapasitet og drift. Leder av Seksjon for digital sikkerhet kan pålegge krav utover dette for å ivareta sikkerheten basert på risiko og trusselvurderinger. 4.1 Krav til systemdokumentasjon og driftsprosedyrer Systemdokumentasjonen skal beskrive hvordan systemet eller tjenesten er implementert samt standard driftsrutiner og tilhørende brukerdokumentasjon der det er relevant. Følgende krav gjelder: Systemdokumentasjon for et system skal omfatte signifikante elementer systemet er bygget opp av, og avhengighetsforholdet mellom disse elementene. Systemdokumentasjonen skal jevnlig vedlikeholdes og oppdateres når det utføres endringer. Systemdokumentasjonen skal være av en slik kvalitet at man skal kunne gjenbygge systemet eller tjenesten samt benytte den til feilsøking ved hendelser.

Informasjon om system(er) med link til dokumentasjon skal til enhver tid være oppdatert i IT Service Portal. Systemdokumentasjon skal minimum inneholde: o systemnavn o systembeskrivelse o avhengigheter til andre systemer o funksjonalitet o brukergrupper o systemeier o forvaltes av o hvem som administrerer/drifter o hvem som er ansvarlig kontakt ved sikkerhetshendelser o hvem som er teknisk/operativ kontakt ved sikkerhetshendelser o klassifisering og gradering o nettverksadresser (faste IP-adresser / DNS) o implementerte sikkerhetstiltak o driftsrutiner o prosedyrer for kapasitetsplanlegging Dokumenterte driftsrutiner skal vedlegges systemdokumentasjon og skal minimum omfatte: o prosedyre for installasjon og konfigurasjon av systemer og tjenester o prosedyre for sikkerhetskopiering og gjenoppretting av data og system o prosedyre for program- og operativsystemoppdateringer o prosedyre for kapasitetsstyring o prosedyre for endringsstyring o prosedyre for konfigurasjonsendringer o prosedyre for monitorering og varsling av tjenestekvalitet o prosedyre for systemlogg o prosedyre for å varsle feil 4.2 Krav til brukerdokumentasjon For å sikre riktig og sikker bruk av tjenestene skal det finnes brukerdokumentasjon som minimum må inneholde: målgruppe funksjonalitet informasjon som kan behandles og/eller lagres i systemet (åpen, intern, fortrolig, strengt fortrolig) informasjon om sikker bruk krav til kompetanse brukers ansvar

bestilling og terminering hvis relevant hvordan personopplysninger behandles innsyn i informasjon som blir lagret om bruker brukerstøtte 4.3 Krav til adskilt utvikling, test og produksjonsmiljø Det stilles krav til at utvikling, test og produksjon skal foregå i separate løsninger. Følgende krav stilles som et minimum: Produksjonsdata som inneholder personopplysninger skal ikke overføres til utvikling eller test med mindre man har hjemmel for å gjøre dette. Sensitive data skal ikke overføres til utvikling uten at det er foretatt en risikovurdering. Autentiseringsmekanismer og brukere i test og utvikling skal være adskilt fra produksjon. Test og utvikling skal foregå i egne nettverkssoner separert fra produksjon. Om mulig bør test og utvikling adskilles fysisk fra produksjon. 4.4 Krav til endringsstyring (Change management) For å ivareta informasjonssikkerheten skal følgende krav til endringsstyring etterleves: NTNU skal ha endringsstyring på alle systemer i produksjon. NTNU bør ha endringsstyring på systemer i test og utvikling. NTNU skal ha rutine som beskriver overføring fra utvikling til test og fra test til produksjon. NTNU skal ha en rutine for endringsstyring av signifikante endringer på IKT-systemer. Denne rutinen skal minimum adressere og ivareta: o at endringer har en identifikator og registreres i ett sentralt system o at det forekommer en risiko- og konsekvensvurdering som dokumenterer effekt relatert til driftsstabiliteten og informasjonssikkerheten til NTNUs systemer og tjenester o at det er en formell prosess for å godkjenne/avvise endringer o at informasjonssikkerheten verifiseres o at endringen kommuniseres til relevante parter o at det er en plan for å tilbakestille endringen o at det er etablert en egen prosedyre for hasteendringer o at endringen har tiltenkt effekt verifiseres o at endringen skjer innenfor en definert tidsperiode o at endringen testes før den implementeres på produksjonssystemer o at ansvarsfordeling og beslutningsmyndighet i endringsrutinen er dokumentert o at monitorering av system og tjeneste er oppdatert o at systemdokumentasjon, driftsprosedyrer og brukerdokumentasjon blir oppdatert ved endringer

4.5 Krav til kapasitetsstyring (Capacity management) NTNU skal ha en rutine for kapasitetsstyring av IKT-infrastruktur som understøtter krav til tilgjengelighet og ytelse. Rutinen for kapasitetsstyring skal minimum omfatte: prosedyre for avvikling av system og tjeneste prosedyre for optimalisering og frigjøring av ressursbruk prosedyre for å rydde opp i og slette gammel data prosedyre for regelmessig vurdering og endring av kapasitet i forhold til krav til tilgjengelighet og ytelse prosedyre for å behovsprøve ressursforbruk, systemer og tjenester jevnlig og avvikle eller konsolidere systemer og tjenester som ikke lengre benyttes 4.6 Krav til beskyttelse mot skadevare NTNU skal implementere tiltak som detekterer, beskytter mot og støtter sentral håndtering av uønsket programvare og skadevare. Følgende krav gjelder: NTNU skal vurdere tiltak mot skadevare fortløpende basert på risiko og sårbarhetsvurderinger, samt trusselbildet mot NTNU. NTNU skal ha oppdatert og sentralt styrt sikkerhetsprogramvare på: o administrerte klienter o tjenere der brukere kan logge inn interaktivt (terminalservere og shell servere) o klienter og tjenere som benyttes til administrasjon av IKT-infrastrukturen o klienter og tjenere som benyttes til å aksessere fortrolig og strengt fortrolig informasjon o ansattes egne enheter dersom de benyttes til å aksessere NTNUs interne ressurser NTNU krever at enheter som kobler seg til nettverket har installert sikkerhetsoppdateringer og har oppdatert skadevarebeskyttelse der dette er hensiktsmessig. NTNU skal ha beskyttelse mot skadevare på systemer og tjenester i henhold til klassifisering. NTNU skal ha rutine for beskyttelse mot skadevare. Denne rutinen bør, men er ikke begrenset til å omfatte: o oppdatering av program- og maskinvare o installere sikkerhetsoppdateringer så fort som mulig o begrense administratorrettigheter til sluttbrukere o blokkere kjøring av ikke-autoriserte programmer o aktivere kodebeskyttelse mot ukjente sårbarheter o herde applikasjoner o benytte klientbrannmur o sikker oppstart og diskkryptering o installasjon av antivirus

o fjerne funksjonalitet og programvare som ikke benyttes 4.7 Krav til sikkerhetskopiering Det er krav til at det er etablert sikkerhetskopiering der dette er nødvendig for å ivareta informasjonssikkerheten. Følgende krav stilles: Det skal etableres sikkerhetskopiering basert på systemets klassifisering og eksterne eller interne krav til sikkerhetskopiering. Sikkerhetskopiering må sikres slik at det ikke lagres i samme rom eller i nærheten av systemet det tas sikkerhetskopiering av. Det skal være mulig å foreta kryptert sikkerhetskopiering dersom klassifisering tilsier dette. Løsningen for sikkerhetskopiering må støtte differensierte sikkerhetsnivå. Sikkerhetskopier skal ha tilgangskontroll som følger prinsipper og krav i retningslinje for tilgangskontroll. Tilgang til sikkerhetskopiert data skal loggføres. Sikkerhetskopiering skal fungerer hensiktsmessig og i henhold til driftsrutiner verifiseres regelmessig. Det skal regelmessig gjennomføres test av gjenoppretting i fra sikkerhetskopi. 4.8 Krav til logginnsamling og systemmonitorering (Event management) Effektiv og sikker drift av IKT-infrastruktur er avhengig av å vite status på systemer, tjenester og infrastrukturen som helhet for å kunne avdekke unormal aktivitet eller avvik i fra normal drift. NTNU skal ha et helhetlig system for både aktiv og passiv monitorering av IKT-infrastruktur, systemer og tjenester. Logg og monitorering (Event management) er basis for operativ sikkerhet og god tjenestekvalitet. Følgende krav stilles til logging på NTNU: NTNU skal ha en rutine for innsamling av log fra systemer og tjenester. Log skal analyseres sentralt for å kunne avdekke feil, tilgjengelighets- og sikkerhetshendelser. Innsamling, prosessering og lagring av system og applikasjonslogger skal gjøres på en egen sentral plattform. Denne plattformen skal: o ha egen fysisk maskinvare o ha streng tilgangskontroll med sporbarhet ved bruk av privilegert tilgang o være redundant og distribuert o støtte for flere roller og streng granulert tilgangskontroll o være fysisk plassert i NTNU sitt datasenter o kunne integreres med en monitoreringsplattform

Alle systemer og applikasjoner som er i produksjon skal logge til en sentralisert loggløsning i tillegg til å ha en lokal kopi av loggen i minst 7 dager. Logger som inneholder personopplysninger skal slettes eller anonymiseres innen 90 dager etter innsamling. Unntatt herfra er logger hvor leder av Seksjon for digital sikkerhet ser grunn til å oppbevare disse lengre med en hjemmel i gjeldende lovverk. Alle systemer som er i produksjon skal sørge for å ha korrekt tid og dato, og benytte nettverksbasert tidsserver. Systemer og applikasjoner i skyen skal logge til logg-plattform lokalt på NTNU. Alle systemer og applikasjoner i produksjon skal minimum loggføre: o bruker-id o systemaktiviteter o tidsstempel o system-id og hvis mulig lokasjon o vellykkede og feilet brukerinnloggingsforsøk o vellykkede og feilet ressurstilgangsforsøk o endring av systemkonfigurasjon o bruk av privilegert tilgang o bruk av system og administrasjonsverktøy o nettverkskommunikasjon o aktivering og deaktivering av sikkerhetsmekanismer Ved utvidet logging skal følgende også logges: o start og stopp av prosesser o prosess-id o fil-aksess Følgende krav stilles til monitorering i NTNU: NTNU skal ha sentral monitorering av systemer og applikasjoner som er i produksjon. Systemer som er i produksjon skal minimum monitorere: o ytelse og ressursforbruk (CPU, Disk, Båndbredde etc.) o status på tjenester av en slik kvalitet at det kan brukes til å beregne tjenestekvalitet Sentral monitoreringsplattform skal minimum: o være redundant og distribuert o kunne sende ut varsler/alarmer slik at hendelsen kan håndteres basert på alvorlighetsgrad o kunne støtte flere roller og sikkerhetsgrupper for granulert tilgangskontroll o kunne kjøre på egen uavhengig maskinvare o være fysisk plassert i NTNU sine datasenter o kunne integreres med logg-plattform

4.9 Krav til konfigurasjonsstyring (Configuration Management) Det er viktig at komponenter i tjenester og systemer er sentralt konfigurert og oppdatert. Følgende krav stilles: Konfigurasjonsstyringen skal baseres på ITILs rammeverk for konfigurasjonsstyring. Systemer og applikasjoner i produksjon skal styres via sentrale konfigurasjonsverktøy.. Avhending av IT-Utstyr skal følge Rutine for avhending av lagringsmedium. 4.10 Krav til teknisk sårbarhetsstyring For å kunne beskytte informasjon og IKT-infrastruktur så skal det et etablere en prosess for sårbarhetsstyring. Følgende krav stilles: NTNU skal ha en rutine for teknisk sårbarhetsmonitorering (Vulnerability monitoring). NTNU skal utføre risikovurdering av sårbarheter (Vulnerability risk assessment) og implementere nødvendige tiltak for å begrense risiko for negativ effekt på informasjonssikkerheten. NTNU skal ha rutiner for sikkerhetsoppdatering av operativsystemer, programvare og maskinvare. NTNU skal ha en rutine for teknisk sårbarhetskoordinering. NTNU skal ha en sentral database over systemer, maskinvare og programvare. Denne databasen skal minimum inneholde: o programvare med versjonsnummerering o operativsystem med versjonsnummerering o maskinvare med produsent, serienummer og fastvareversjon 5. Roller og ansvar 5.1 Leder av IT-avdelingen er ansvarlig for at kravene i «Retningslinje for operativ sikkerhet» blir implementert i virksomheten 5.2 Leder av HR- og HMS-avdelingen er ansvarlig for at ledere er kjent med, og har tilstrekkelig kompetanse, til å ivareta sitt ansvar i henhold til denne retningslinjen 5.3 Leder av Seksjon for digital sikkerhet er ansvarlig for at enheten har tilstrekkelig med kompetanse og verktøy for å ivareta kravene i «Retningslinje for operativ sikkerhet» er ansvarlig for systemer og rutiner for teknisk sårbarhetsstyring i virksomheten er ansvarlig for å opprette et sentralt loggsystem i virksomheten er ansvarlig for å tilby sentrale løsninger for skadevarebeskyttelse i virksomheten er ansvarlig for sentral sikkerhetsmonitorering og analyse

5.4 Leder av Seksjon for IT-drift er ansvarlig for at enheten har tilstrekkelig med kompetanse og verktøy for å ivareta kravene i «Retningslinje for operativ sikkerhet» er ansvarlig for å opprette sentral driftsmonitorering for virksomheten 5.5 Leder av Seksjon for IT-Brukerstøtte er ansvarlig for at enheten har tilstrekkelig med kompetanse og verktøy for å ivareta kravene i «Retningslinje for operativ sikkerhet» 5.6 Leder av Seksjon for IT-Forvaltning er ansvarlig for at systemer forvaltes i henhold til kravene i retningslinjene 5.7 Systemeier er ansvarlig for at systemer og tjenester leveres i henhold til kravene i retningslinjen

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding