Informasjonssikkerhetspolitikk. ved



Like dokumenter
Sikkerhetspolicy for informasjonssikkerhet ved

Høgskolen i Telemark. Policy for informasjonssikkerhet ved

Policy for informasjonssikkerhet ved U1S

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Informasjonssikkerhetsprinsipper

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Universitetet i Agder. Policy for informasjonssikkerhet ved


Policy. for. informasjonssikkerhet. ved NMBU

SIKKERHETSINSTRUKS - Informasjonssikkerhet

IKT-reglement for Norges musikkhøgskole

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

3.1 Prosedyremal. Omfang

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Sikkerhetsmål og -strategi

IKT-reglement for NMBU

Revisjon av informasjonssikkerhet

Kommunens Internkontroll

Avvikshåndtering og egenkontroll

Høgskolen i Telemark Styret

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Internkontroll og informasjonssikkerhet lover og standarder

Informasjonssikkerhet i UH-sektoren

Prinsipper for informasjonssikkerhet ved NTNU

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Overordnet IT beredskapsplan

Foretakets navn : Dato: Underskrift :

Revisjon av IT-sikkerhetshåndboka

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Risikoanalysemetodikk

Egenevalueringsskjema

Retningslinje for risikostyring for informasjonssikkerhet

2.4 Bruk av datautstyr, databehandling

Personvern - sjekkliste for databehandleravtale

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Bilag 14 Databehandleravtale

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

autentiseringsdata 1.3 Forhold til andre retningslinjer og policyer ved NTNU

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Hva er et styringssystem?

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Databehandleravtale mellom Oslo universitetssykehus HF (org nr ) ved MBT-Kvalitetslaboratorium og [Sett inn foretak]

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

4.2 Sikkerhetsinstruks bruker

Databehandleravtale. Denne avtalen er inngått mellom

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Politikk for informasjonssikkerhet

RETNINGSLINJE for klassifisering av informasjon

Kvalitetssikring av arkivene

IT-reglement Aurskog-Høland kommune for ansatte og politikere

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Sikkerhetsinstruks bruker

BILAG 1 DATABEHANDLERAVTALE

Policy for personvern

Risikovurdering av Public 360

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Sikkerhetskrav for systemer

BILAG 5. Sikkerhetsvedlegg

BILAG 1 PRINSIPPSKISSE FOR TJENESTEN. Bilag til Tilslutningsavtale for Mediasite

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Avito Bridging the gap

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Lagring av forskningsdata i Tjeneste for Sensitive Data

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Har du kontroll på verdiene dine

S T Y R E S A K # 22/13 STYREMØTET DEN Vedrørende: IKT-STRATEGI FOR PERIODEN

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Retningslinjer for databehandleravtaler

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Transkript:

ved Dato: 15.oktober 2009

Versjonskontroll (ifm prosjektarbeidet) Versjon Dato Endringsbeskrivelse 0.7 13.02.2008 Initiell versjon 0.8 22.10.2008 Bearbeidet versjon etter diverse høringer på e-post 0.81 11.12.2008 Justert etter siste tilbakemeldinger fra Høstland/UNINETT 0.82 07.04.2009 Justert etter ver. 1.0 forslag på Wiki 0.85 15.10.2009 Justert etter møte i sikkerhetsforumet 13. oktober 2009 0.86 10.04.2010 Justert etter ledermøtet 29. mars 2010 Forfatter og distribusjon Forfatter Dato Rolle Kenneth Høstland, Uninett Utkast Ekstern Konsulent Gigacampus Odd Arne Hauge 10.04.2009 IT-sjef Distribusjonsliste Paul Steinar Valle Randi Gammelsæter / Tone Myklebust Odd Arne Hauge Jørn R. Gustad Steinar Melsæter Sissel A. Waagbø Rolle Høgskoledirektør Personal- og økonomidirektør (CSO) IT-sjef (Security Manager) Personalrådgiver Overingeniør Studiesjef Gjennomgang og godkjenning Dato Navn Rolle Initialer Paul Steinar Valle Høgskoledirektør PSV Dato: 10. april 2010 Ver. 0.86 Side 2 av 17

Innholdsfortegnelse Informasjonssikkerhetspolitikk 1 INFORMASJONSSIKKERHETSPOLITIKK... 4 LEDELSENS FORMÅL MED INFORMASJONSSIKKERHET... 4 2 ROLLER OG ANSVARSOMRÅDER... 5 2.1 ROLLER OG ANSVARSOMRÅDER... 5 3 PRINSIPPER FOR INFORMASJONSSIKKERHET VED HIMOLDE... 6 3.1 RISIKOSTYRING... 6 3.2 INFORMASJONSSIKKERHETSPOLITIKK... 6 3.3 SIKKERHETSORGANISASJON... 6 3.4 KLASSIFISERING OG KONTROLL... 7 3.5 INFORMASJONSSIKKERHET KNYTTET TIL PERSONALET... 8 3.6 INFORMASJONSSIKKERHET KNYTTET TIL FYSISKE FORHOLD... 9 3.7 KOMMUNIKASJON OG DRIFTSADMINISTRASJON... 9 3.8 TILGANGSKONTROLL... 11 3.9 SYSTEMUTVIKLING OG VEDLIKEHOLD... 12 3.10 HENDELSESHÅNDTERING... 13 3.11 KONTINUITETSPLANLEGGING... 13 3.12 SAMSVAR... 13 4 STYRENDE DOKUMENTER FOR SIKKERHETSARBEIDET... 15 4.1 FORMÅL MED STYRENDE DOKUMENTER... 15 4.2 DOKUMENTSTRUKTUR... 15 5 REFERANSER... 16 5.1 INTERNE REFERANSER... 16 5.2 EKSTERNE REFERANSER... 17 Dato: 10. april 2010 Ver. 0.86 Side 3 av 17

1 Informasjonssikkerhetspolitikk Ledelsens formål med informasjonssikkerhet Informasjon, informasjonsbehandling og informasjonssikkerhet er kritiske faktorer i Høgskolen i Moldes (HiMolde) virksomhet innenfor læring forskning, formidling og forvaltning. Det stilles derfor strenge krav til at informasjonssikkerheten blir tilstrekkelig ivaretatt. Systemer og infrastruktur skal være pålitelige i bruk, samtidig som informasjon skal være korrekt og beskyttet mot uautorisert tilgang. Behandling og beskyttelse av informasjon og informasjonssystemer skal skje i samsvar med personopplysningsloven og andre lovpålagte bestemmelser, samt etter metoder fra internasjonale standarder for informasjonssikkerhet (se ISO/IEC 27001/2). Det er vedtatt at informasjonssikkerheten skal ivaretas av informasjonssikkerhetspolitikken (dette dokumentet) og et sett av underliggende og komplimenterende dokumenter. Begrepet informasjonssikkerhet er knyttet til ytelse, konsistens, pålitelighet, nøyaktighet og tilgjengelighet. Sikkerhetsbrudd er forbundet med brudd på konfidensialitet; sikkerhet for at kun autoriserte personer har tilgang til informasjonen, og at den ikke avsløres til uvedkommende. integritet; sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. tilgjengelighet; sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig for autoriserte ved behov. Infrastruktur for informasjonsbehandling omfatter i dette dokumentet alle former for utstyr som benyttes til elektronisk eller papirbasert bearbeiding og lagring av informasjon, og de metoder som gjør slik informasjon tilgjengelig. Konkrete mål for sikkerheten Det overordnede mål for informasjonssikkerheten ved HiMolde er å: ivareta HiMoldes, studentenes og andre brukeres krav til konfidensialitet, integritet og tilgjengelighet. etablere kontroller for å beskytte HiMoldes informasjon og informasjonssystemer mot tyveri, misbruk og andre former for skade og tap. sørge for samsvar med gjeldende lover, forskrifter og retningslinjer. etablere ansvar og eierskap for informasjonssikkerhet ved HiMolde motivere ledelse, tilsatte og studenter til å opprettholde kunnskap og kompetanse om informasjonssikkerhet slik at frekvens og skadenivå av sikkerhetshendelser kan minimaliseres. sikre at HiMolde er i stand til å fortsette sine tjenester også dersom større sikkerhetshendelser skulle inntreffe. sikre at personvernet ivaretas Dette dokumentet oppfyller kvalitetshåndbokens føringer for kvalitetsarbeidet ved HiMolde ift informasjonssikkerhet. Brukerne skal derfor forstå kravene i dette dokumentet, og bidra til at fornuftige sikkerhetskontroller er implementert og vedlikeholdt i henhold til HiMolde sine retningslinjer og standarder. Overtredelse av denne informasjonssikkerhetspolitikken og vedtatte sikkerhetskrav vil være et tillitsbrudd mellom brukeren og HiMolde, og kan i alvorlige tilfeller medføre sanksjoner. Paul Steinar Valle høyskoledirektør Dato: 10. april 2010 Ver. 0.86 Side 4 av 17

2 Roller og ansvarsområder 2.1 Roller og ansvarsområder Styret har det overordnete ansvaret for at HiMolde sine verdier forvaltes på en effektiv og betryggende måte i henhold til gjeldende lover, forskrifter og avtaler. Høgskoledirektøren har det overordnede ansvar for sikkerheten ved HiMolde. Informasjonssikkerhetspolitikk - eier 2.1.1 Høgskoledirektøren er informasjonssikkerhetspolitikkens (dette dokumentet) eier. Høgskoledirektøren delegerer sikkerhetspolitisk dokumentasjon og signaturrettigheter til sikkerhetsansvarlig (CSO). Alle endringer i dokumentet skal dokumenteres og signeres av sikkerhetsansvarlig. Sikkerhetsansvarlige 2.1.2 Sikkerhetsansvarlig (CSO, Chief Security Officer) er hovedansvarlig for informasjonssikkerhet ved HiMolde. Personal- og økonomidirektøren har denne rollen (se pkt. 3.3.1). Se egen funksjonsbeskrivelse (per 2009). Sikkerhet for IT og fysisk infrastruktur er delegert til IT-sjef (Security Manager)(se pkt 3.3.1). Systemeiere 2.1.3 Systemeier, i samråd med IT-senteret, er ansvarlig for krav til anskaffelse, utvikling og vedlikehold av informasjon og relaterte informasjonssystemer. Alle typer informasjon skal ha en definert eier. For hver type informasjon skal eiere definere hvilke brukere (brukergrupper) som skal ha tilgang til denne, og definere hva som er autorisert bruk av informasjonen (se IKT-200). Systemansvarlige Våre brukere Systemansvarlige forvalter informasjonssystemer eller informasjon som er betrodd høgskolen fra andre parter. Hver enkelt type informasjon og systemer kan ha en eller flere systemansvarlige. Disse er ansvarlige for å beskytte informasjonen, inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å sørge for sikkerhetskopiering slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder sikkerhetsmekanismer i tråd med intensjonen. 2.1.4 Ansatte og studenter er ansvarlige for å gjøre seg kjent med og rette seg etter HiMoldes IT-reglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av den aktuelle informasjonen, eventuelt systemansvarlig. Andres brukere 2.1.5 Ansatte ved andre virksomheter som er tilknyttet HiMoldes datanett skal gjøre seg kjent med og rette seg etter HiMoldes IT-reglement: - Høgskolesenteret i Kristiansund - Møreforsking Molde - Studentsamskipnaden for Romsdal og Nordmøre - Statsbygg - Studentorganisasjonene ved HiMolde (Samfunnet, Tinget mv) Spørsmål om håndtering av forskjellig type informasjon skal stilles til aktuell systemeier, eventuelt systemansvarlig. Fortrolige opplysninger og undertegning av taushetserklæring 2.1.6 Andres brukere, herunder konsulenter og kontraktspartnere, som kommer i kontakt med fortrolige opplysninger skal undertegne taushetserklæring (se IKT-007). Dato: 10. april 2010 Ver. 0.86 Side 5 av 17

3 Prinsipper for informasjonssikkerhet ved HiMolde 3.1 Risikostyring Risikovurdering 3.1.1 HiMolde skal ha en tilnærming til sikkerhet som er basert på risikovurderinger. 3.1.2 HiMolde skal løpende analysere risikoer og vurdere behovet for beskyttelsestiltak. Tiltak skal vurderes med hensyn til effektivitet, kostnad, praktisk gjennomførbarhet og med utgangspunkt i HiMoldes rolle som utdannings- og forskningsinstitusjon. 3.1.3 Risikovurdering skal identifisere, kvantifisere og prioritere risiko i forhold til kriterier for akseptabel risiko som er relevant for HiMolde. 3.1.4 Det skal gjennomføres overordnet risikovurdering i forhold til informasjonssystemer. 3.1.5 Risikovurdering gjennomføres ved endring som har betydning for informasjonssikkerheten. HiMoldes risikostyringssystem benyttes. Håndtering av risiko 3.1.6 Håndtering av risiko skal foretas i forhold til kriterier ledelsen har akseptert. 3.1.7 Risikovurderinger skal godkjennes av HiMoldes ledelse og / eller systemeiere. 3.1.8 Ved identifisering av uakseptabel risiko iverksettes tiltak for å redusere risiko til et akseptabelt nivå. Relaterte prosedyrer og rammeverk: Se rutine for risikovurdering (IKT-100). 3.2 Informasjonssikkerhetspolitikk 3.2.1 HiMoldes ledelse (høgskoledirektør og rektor) skal sørge for at Informasjonssikkerhetspolitikk, retningslinjer og standarder blir benyttet og fulgt opp. 3.2.2 HiMoldes ledelse skal sørge for at det tilrettelegges for alle brukere slik at de får nødvendig opplæring og materiell, slik at brukerne kan beskytte HiMoldes informasjon og informasjonssystemer. 3.2.3 Informasjonssikkerhetspolitikken skal gjennomgås og oppdateres ved på årlig basis eller ved behov etter prinsipper fra ISMS beskrevet i ISO/IEC 27001 (PDCA-modellen). 3.2.4 Alle viktige endringer mht. HiMoldes aktivitet, eller andre endringer som vil påvirke dagens trusselbilde, skal føre til en revidering av politikken og retningslinjer som angår sikkerhet. 3.3 Sikkerhetsorganisasjon HiMoldes sikkerhetsorganisasjon 3.3.1 Ansvaret innefor sikkerhetsområdet er som følger: Det overordnede sikkerhetsansvaret ligger hos høgskoledirektøren. Personal- og økonomidirektøren er sikkerhetsansvarlig (CSO) for HiMolde og ufører sikkerhetsoppgavene på oppdrag fra høgskoledirektøren. Personal- og økonomidirektøren har et overordnet ansvar for informasjonssikkerhet knyttet til personaldata i henhold til personopplysningsloven. Studiesjefen har et overordnet ansvar for studentregisteret og annen studentrelatert informasjon. Systemansvarlige har det utførende ansvar for informasjonssikkerhet. Sikkerheten for IT og fysisk infrastruktur er delegert til IT-sjef (Security Manager). Ansvar for personellsikkerhet er plassert hos CSO. HMS-ansvaret ligger til høgskoledirektøren, mens det operasjonelle ansvaret er delegert til CSO. Dato: 10. april 2010 Ver. 0.86 Side 6 av 17

Behandlingsansvarlig for de ansattes personopplysninger er CSO, som ivaretar myndighetskontakt ift Datatilsynet. Norsk samfunnsvitenskapelig datatjeneste er personvernombud for forskningsrelaterte personopplysninger. Studiesjefen har utførende ansvar. Den ansvarlige for kvalitetsarbeidet er høgskoledirektøren, mens det operasjonelle ansvaret er delegert til studiesjefen. 3.3.2 HiMolde har etablert et sikkerhetsforum som består av Høgskoledirektøren Personal- og økonomidirektør (CSO) IT-sjef (Security Manager) Studiesjef HMS-koordinator Sikkerhetsforumet har møte minst en gang pr halvår eller oftere når det er påkrevet. IT-sjef er sekretær i forumet. Virksomhetens administrative ledelse har hovedansvaret for informasjonssikkerheten. Forumet skal fremme operasjonell sikkerhet i organisasjonen gjennom nødvendig engasjement og tilstrekkelig ressursbruk. Beslutninger samstemmes/koordineres med den faglige ledelse (rektor) i ledermøte. Sikkerhetsforumet skal ha følgende oppgaver: gjennomgå / godkjenne retningslinjer for informasjonssikkerhet og generelle ansvarsforhold, overvåke vesentlige endringer i truslene mot organisasjonens informasjonsaktiva, gjennomgå / overvåke sikkerhetshendelser, godkjenne større initiativ for å styrke sikkerheten, HiMolde blir revidert ved internkontroll og ekstern revisjon. 3.4 Klassifisering og kontroll 3.4.1 Vesentlig informasjon skal ha eierskap og klassifiseres med sikkerhetsnivå og tilgangsbegrensning i en av følgende kategorier: Fortrolig Informasjon hvor uautorisert tilgang (også internt) kan medføre betydelig skade for enkeltpersoner, HiMolde eller disses interesser. Fortrolig informasjon er her synonymt med forvaltningslovens/offentleglovas «unntatt offentlighet» og personopplysningslovens «sensitive personopplysninger». Slik informasjon skal sikres i «røde» områder (se kap 3.6), når informasjonen oppbevares utenfor sikre elektroniske systemer. Intern Informasjon som kan skade HiMolde eller være upassende at tredjepart får kjennskap til. Systemeier avgjør lagrings- og delingsmåte. Åpen All annen informasjon er åpen. 3.4.2 HiMolde gjennomfører risikoanalyser for å klassifisere informasjon ut fra hvor virksomhetskritisk den er, iht til risikovurderingssystemet (se IKT-100). 3.4.3 Brukere som forvalter informasjon på HiMoldes vegne skal behandle denne i henhold til klassifiseringen. 3.4.4 Fortrolige dokumenter skal være tydelig merket. For klassifisering innen fysisk sikkerhet, se pkt 3.6. For utstyrsklassifisering i forhold til kritikalitet, se pkt 3.11 Dato: 10. april 2010 Ver. 0.86 Side 7 av 17

3.5 Informasjonssikkerhet knyttet til brukere Ved bruksstart 3.5.1 Sikkerhetsansvar og -roller for relevant personell, både ansatte og innleide, beskrives i systemoversikten. 3.5.2 Ansatte har forpliktet seg til taushet jf forvaltningslovens 13 ved undertegnelse av arbeidsavtalen. Taushetserklæring aksepteres av oppdragstakere eller andre som kan få kjennskap til fortrolig og/eller intern informasjon (se IKT-006 og IKT-007). 3.5.3 IT-reglementet ligger til grunn for alle ansettelsesforhold og forpliktes ved systemtilganger for tredjepart. I brukerperioden gjelder 3.5.4 IT-reglementet referer til HiMoldes krav til informasjonssikkerhet, og brukerens ansvar for å oppfylle disse (se IKT-005). 3.5.5 Ansatte og tredjepartsbrukere skal gjøres kjent med den til hver tid gjeldende Informasjonssikkerhetspolitikk, retningslinjer og prosedyrer. Det vil være varierende grad av krav til opplæring (se rutine for introduksjon av nye medarbeidere). 3.5.6 Brudd på informasjonssikkerhetspolitikken og taushetsplikt vil i grove tilfeller normalt medføre sanksjoner. Sanksjonsalternativer fremgår av tjenestemannslovens 14-16 og straffelovens 121. 3.5.7 HiMoldes informasjon, informasjonssystemer og andre verdier, for eksempel telefoni, skal kun benyttes til de formål de er bestemt for. Nødvendig privat bruk tillates. 3.5.8 Iht personopplysningsforskriften 1 har arbeidsgiver rett til innsyn i ansattes e-post når det er nødvendig for å ivareta virksomhetens daglige drift, eller andre berettigede interesser, eller når det er begrunnet mistanke om at e-post brukes på en måte som innebærer grovt brudd på arbeidsforholdet. Den ansatte skal om mulig ha informasjon om og adgang til å delta ved gjennomføring ved innsynet, eller å la seg representere av en tillitsvalgt eller annen representant. 3.5.9 Bruk av HiMoldes IKT-infrastruktur i egen næringsvirksomhet er under ingen omstendigheter tillatt. Avslutning eller endring av bruk 3.5.10 Ansvar for endring av ansettelsesforhold skal være klart definert i egen rutine. 3.5.11 HiMoldes eiendeler leveres inn ved opphør av behov for bruk av eiendelene. (se IKT-321) 3.5.12 HiMolde endrer eller stenger tilgangsrettigheter ved endring av arbeidsforhold (se IKT-320). For studenter 3.5.13 IT-reglementet godkjennes elektronisk. Studenter bør samle personlig e-post og personlige datafiler i egne mapper merket privat. Dersom noe uforutsett (ulykke eller lignende) gjør det nødvendig å gå inn på en students personlige e-post eller lagringsområde uten at studenten kan være tilstede gjøres dette av kontorsjef sammen med en av studentenes representanter i Tinget. 1 http://www.regjeringen.no/upload/fad/vedlegg/statsforvaltning/epostforskrift.pdf Dato: 10. april 2010 Ver. 0.86 Side 8 av 17

3.6 Informasjonssikkerhet knyttet til fysiske forhold Sikkerhetsområder 3.6.1 Sikre soner skal brukes for å beskytte områder som inneholder IKT-utstyr og informasjon som krever beskyttelse. Sikre soner skal beskyttes med hensiktsmessige adgangskontroller for å sikre at kun autorisert personell får adgang. Fortrolig informasjon som behandles vha datamaskin sikres ved låsing av datamaskin eller låsing av dør før brukeren forlater rommet. Følgende soneinndeling skal benyttes: Sikringsnivå Område Sikring Grønn Alt er i utgangspunktet Ingen. tilgjengelig. Studentområder og kantine. Gul Noen tekniske rom slik som koblingsrom, skriverrom, rom hvor det eksempelvis i arbeidstiden vil forefinnes skjermverdig / intern informasjon. Kontorlokaler, møterom, noen arkiver. Rød Avgrensede områder hvor spesiell autorisasjon kreves, datarom/serverom/arkiver med fortrolig informasjon og lignende. Utskrift av fortrolig informasjon gjøres på skrivere med begrenset tilgang eller «Follow me»- funksjonalitet. Fortrolig informasjon i disse sonene skal oppbevares i låste skap når det ikke er ansvarlige til stede. Adgangskort, hovednøkler eller annet sikret låssystem (dette må ROSvurderes). IT-systemer beskyttes med avbruddsfri strømforsyning til minst en time uavbrutt drift. Se oversikt over sikkerhetsområder og soneinndeling (IKT-201) 3.6.2 Systemeier er ansvarlig for godkjenning av medarbeidere med adgang til røde områder. 3.6.3 Alle HiMoldes lokaler skal sikres med tilstrekkelige sikringssystemer iht klassifisering, ref. tabell ovenfor, inkl. relevant sporbarhet/logging. 3.6.4 Sikkerhetsansvarlig sikrer at arbeid utført av tredjepart i sikre områder er ettersett. 3.6.5 Røde områder skal være forsvarlig sikret mot miljøskader forårsaket av brann, vann, støv og tilsvarende påvirkning. 3.6.6 Alle medarbeidere er ansvarlig for at dører og vinduer med adgang til/fra bygninger lukkes og låses ved arbeidsdagens slutt. Det skal gås kveldsrunder for å følge opp dette. 3.6.7 Besøkende i røde soner skal identifiseres og som hovedregel registreres i egen logg. 3.6.8 Adgangskort kan gis til håndverkere, teknikere og andre mot at det leveres ID-kort og utfylt taushetserklæring. Sikring av utstyr 3.6.9 IKT-utstyr klassifisert som vesentlig for virksomheten skal plasseres eller beskyttes slik at det reduserer risikoen for miljømessige trusler (brann, oversvømmelse, temperatursvingninger, fukt etc.). 3.6.10 Fortrolig informasjon på bærbare datamaskiner skal passordbeskyttes og krypteres. 3.6.11 Bærbar datamaskin håndteres som håndbagasje under reiser. 3.6.12 Stasjonært utstyr kan kun tas ut av lokalene etter godkjenning fra overordnede. 3.6.13 Områder klassifisert som «Rød» skal sikres med relevant brannslukkingsutstyr med relevant varsling. Det gjennomføres brannøvelser jevnlig (se Manual for internkontroll). 3.7 Kommunikasjon og driftsadministrasjon Dato: 10. april 2010 Ver. 0.86 Side 9 av 17

Operasjonelle prosedyrer og ansvarsområder 3.7.1 Installasjon av IT-utstyr inklusive ny programvare skal godkjennes av IT-senteret før installasjon. 3.7.2 IT-senteret sikrer dokumentasjon av egne systemer. 3.7.3 Endringer gjennomføres kun når det er forretnings- og sikkerhetsmessig begrunnet. 3.7.4 IT-senteret har ansvaret for at det foreligger en nødprosedyre for å minimalisere effekten av feilslåtte endringer. 3.7.5 Driftsprosedyrer dokumenteres fortløpende (se dokumentoversikt). 3.7.6 Før nye systemer settes i produksjon skal det planlegges og risikovurderes for å forhindre at feil oppstår, i tillegg til å ha rutiner for overvåking og håndtering av problemer. 3.7.7 Oppgaver og ansvar skal skilles på en slik måte at det reduserer muligheter uautorisert bruk eller misbruk av HiMoldes utstyr og/eller informasjon. 3.7.8 Utvikling og testing holdes i størst mulig grad atskilt fra ordinær drift for å redusere risikoen for uautorisert tilgang eller uautoriserte endringer og for å redusere risiko for feilsituasjoner. Ekstern serviceleverandør 3.7.9 Alle avtaler som angår utkontrakterte IT-systemer skal inneholde: krav til informasjonssikkerhet (Konfidensialitet, integritet og tilgjengelighet) beskrivelse av avtalt sikkerhetsnivå, krav til fortløpende rapportering av avvik fra leverandør beskrivelse av hvordan HiMolde kan etterprøve at driftsleverandørene oppfyller avtalene. rett til revisjon Systemplanlegging og aksept/godkjenning 3.7.10 Det tas hensyn til informasjons- og sikkerhetskrav når nye IT-systemer designes, testes, implementeres og oppgraderes, samt ved systemendringer. Det utarbeides rutine for endringshåndtering og systemutvikling/vedlikehold (se IKT-116). 3.7.11 IT-systemenes dimensjonering avpasses etter kapasitetskrav. Belastning overvåkes slik at oppgradering og tilpassning kan finne sted løpende. Dette gjelder særlig for virksomhetskritiske systemer. Beskyttelse mot skadelig kode 3.7.12 IT-utstyr sikres mot virus og annen ondsinnet og/eller skadelig kode. IT-senteret sørger for sikring av HiMoldes utstyr. Sikkerhetskopiering 3.7.13 IT-senteret er ansvarlig for regelmessig sikkerhetskopiering og testing av denne. Samt oppbevaring av alle data på HiMoldes IT-systemer. 3.7.14 Sikkerhetskopier oppbevares eksternt eller i egen relevant sikret brannsone. Nettverksstyring 3.7.15 IT-senteret skal sikre og beskytte virksomhetens nettverk. 3.7.16 Det skal føres oversikt over alt IKT-utstyr som kobles opp ved HiMolde nettverk (ikke for studentnettet og trådløst nett for gjester og studenter), samt mobile enheter. Se systemskisser og lignende i IKT-200, samt gjeldende driftsrutiner. Håndtering av datamedier og dokumenter Dato: 10. april 2010 Ver. 0.86 Side 10 av 17

3.7.17 Håndtering av flyttbare datamedia (bærbare PCer, DVDer, minnepinner, utskrifter mv) skal skje på en sikker måte. Det påhviler den enkelte bruker at dette gjennomføres. 3.7.18 Datamedier avhendes på sikker måte ved kassasjon. 3.7.19 Dokumenter med intern og/eller fortrolig informasjon makuleres i henhold til intern rutine (se IKT-119) Utveksling av informasjon 3.7.20 Utveksling av informasjon med tredjepart eller flytting av informasjon utenfor høyskolens område skal skje på en sikker måte. Ekstern serviceleverandør underlegges retningslinjene. Bruk av kryptografiske teknikker 3.7.21 Lagring og overføring av fortrolige opplysninger utenfor virksomheten (se Klassemodell i kap 3.4.1) krypteres eller beskyttes på annen måte (se IKT-113 (UFS 122)). Elektroniske forretningsytelser 3.7.22 Informasjon involvert i elektronisk handel over offentlige nettverk skal beskyttes mot svindel, kontraktsmessige uoverensstemmelser, uautorisert adgang og endringer. 3.7.23 IT-senteret har ansvar for at offentlig tilgjengelig informasjon, f eks på virksomhetens Web-tjenester, er tilstrekkelig beskyttet mot uautoriserte tilganger (se UFS 122). Overvåkning av systemtilgang og bruk 3.7.24 Tilgang til og bruk av systemer logges og overvåkes for å kunne identifisere potensielt misbruk. 3.7.25 Registrering av autorisert og forøk på uautorisert bruk av informasjonssystemer som behandler personopplysninger, lagres i minst tre måneder. 3.7.26 Bruk og beslutninger skal være sporbare til en spesifikk entitet (f eks person eller enkeltsystem). 3.7.27 IT-senteret med samarbeidspartner(e) registrerer vesentlige forstyrrelser og uregelmessigheter i driften av systemene, samt mulig årsak til feil. 3.7.28 IT-systemer og nettverk skal overvåkes i tilstrekkelig grad i forhold til kapasitet, oppetid og kvalitet for pålitelig drift og tilgjengelighet. 3.7.29 IT-senteret med samarbeidspartner(e) logger sikkerhetshendelser i alle virksomhetens vesentlige systemer 3.7.30 IT-senteret med samarbeidspartner(e) skal sikre at systemenes klokker jevnlig synkroniseres til korrekt tid. 3.8 Tilgangskontroll Forretningsmessige krav 3.8.1 Det skal finnes en skriftlig tilgangs- og passordpolitikk som er basert på forretnings- og sikkerhetsmessige krav og behov. Tilgangspolitikken revideres regelmessig. 3.8.2 Tilgangspolitikken inneholder retningslinjer for endringsfrekvens, passordregler (minimumslengde, type karakterer som kan/skal benyttes mv) og hvor passordet kan lagres. Brukeradministrering og ansvar 3.8.3 Systemtilgang og -aksess autentiseres minimum ved hjelp av personlige brukeridenter og passord. 3.8.4 Brukere skal ha unike kombinasjoner av brukeridenter og passord. 3.8.5 Brukere er ansvarlige for enhver bruk av brukeridenter og passord. Brukere holder brukeridenter og passord konfidensielle (se IKT-103). Tilgangskontroll/Autorisasjon Dato: 10. april 2010 Ver. 0.86 Side 11 av 17

3.8.6 Tilgang til informasjonssystemer skal være autorisert av systemeier. Autorisasjoner gis på bakgrunn av «Need to know»-prinsippet, og reguleres av type rolle/stilling. Kontroll med nettverkstilgang 3.8.7 IT-senteret har ansvar for at brukernes nettverkstilgang er i overensstemmelse med retningslinjene (se IKT-103). 3.8.8 Brukere skal kun ha tilgang til de tjenester de er autorisert for. Mobilt utstyr og fjernarbeidsplasser 3.8.9 IT-brukeres mobile enheter og fjernarbeidsplasser skal sikres med tilstrekkelige sikkerhetsmekanismer før tilkobling til HiMoldes nett. 3.8.10 Fjerntilgang til virksomhetens nettverk skal kun skje gjennom sikkerhetsløsninger godkjent av IT-senteret (se IKT-113). 3.8.11 Fortrolig informasjon krypteres når den oppbevares på bærbare medier, slik som USB-penner, PDAer, mobiltelefoner, CD/DVDer eller disketter ol. dvs. oppfyller POF 2-11. 3.8.12 Ved tap av mobiltelefon skal alle som har fått aktivert «pushmail» melde fra til sikkerhetsansvarlig som skal sørge for at telefonen blir slettet/«wipet». 3.9 Systemutvikling og vedlikehold Sikkerhetskrav til informasjonssystemer 3.9.1 Definisjon av forretningsmessige krav til nye systemer eller videreutvikling av systemer skal inneholde sikkerhetsmessige krav. Korrekt virkemåte i applikasjoner 3.9.2 Data inn til og ut av applikasjoner valideres for å sikre korrekthet og relevans. 3.9.3 Pålitelighet og integritet i meldinger defineres og relevante tiltak implementeres. Kryptografiske kontroller 3.9.4 Retningslinjer for administrasjon og bruk av kryptografiske kontroller for beskyttelse av informasjon, utvikles og implementeres. Sikkerhet i systemfiler 3.9.5 Endringer i produksjonsmiljø skal følge gjeldende rutiner (ref relevante driftsrutiner). 3.9.6 Implementering av endringer skal kontrolleres - gjennom bruk av formelle prosedyrer for endringskontroll - for å minimalisere mulighetene for skade på informasjon eller informasjonssystemer. Sikkerhet i utvikling og vedlikehold 3.9.7 De systemer som utvikles for ev. av HiMolde skal ha klare krav til sikkerhet, inkludert validering av data, sikring av koden før produksjonssetting (se IKT-101). Endringer i produksjonsmiljø skal følge gjeldende rutiner (se relevante driftsrutiner). 3.9.8 Programvare testes i størst mulig grad av driftsansvarlig og aksepteres formelt av systemeier/systemansvarlig før programvaren overføres til produksjonsmiljøet. Risikovurdering 3.9.9 Før innføring av/endring i programvare eller systemer som skal behandle persondata gjennomføres en sårbarhets- og risikovurdering (se IKT-100). Dato: 10. april 2010 Ver. 0.86 Side 12 av 17

3.10 Hendelseshåndtering Ansvar for rapportering 3.10.1 Leder og medarbeider er ansvarlig for å rapportere brudd og mulige brudd på sikkerheten. Rapporteringen går i linjen, eventuelt direkte til Security Manager/Sikkerhetssjef (CSO) Bevissikring 3.10.2 IT-senteret skal være kjent med enkle rutiner for bevissikring ved mistanke om sikkerhetshendelser 3.11 Kontinuitetsplanlegging Kontinuitetsplan 3.11.1 Det utarbeides kontinuitetsplaner som dekker kritiske/viktige informasjonssystemer og infrastruktur. 3.11.2 Kontinuitetsplanene utarbeides på bakgrunn av risiko og sårbarhetsanalyser som tar utgangspunkt i det som er kritisk for virksomheten. 3.11.3 Planene avstemmes med HiMoldes øvrige beredskap og katastrofeplanverk. 3.11.4 Kontinuitetsplanen skal testes periodisk for å sikre at den er dekkende, og sikre at ledelse og ansatte forstår hvordan den skal gjennomføres. 3.11.5 Produksjonssystemer og andre systemer klassifisert som «Høy», skal ha reserveløsninger. Tabellen settes etter at ROS/BIA er gjennomført. Verdi Tilgjengeligh Beskrivelse et 3 - Høy <8 timer Systemet kan være utilgjengelig opp til 8 timer 2 - Medium 24 timer Systemet kan være utilgjengelig opp til ett døgn 1 - Lav 3 dager Systemet kan være utilgjengelig opp til 3 dager Ref (Kontinuitetsplan som utarbeides) 3.12 Samsvar Samsvar med juridiske krav 3.12.1 HiMolde følger gjeldende lovverk, samt andre eksterne retningslinjer slik som: Lov om arbeidsmiljø, arbeidstid og stillingsvern mv. (arbeidsmiljøloven) Lov om arkiv (arkivlova) Lov om behandling av personopplysninger (personopplysningsloven) Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) Lov om elektronisk signatur (esignaturloven) Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) Lov om statens tjenestemenn m.m. (tjenestemannsloven) Lov om universiteter og høyskoler (universitets- og høyskoleloven) Lov om årsregnskap m.v. (regnskapsloven) Forskrift om systematisk helse-, miljø-, og sikkerhetsarbeid i virksomheter (internkontrollforskriften) Hovedtariffavtalen i staten Reglement for økonomistyring i staten Statens personalhåndbok Datatilsynets krav Datatilsynets «Veileder i informasjonssikkerhet for kommuner og fylker». Samsvar med Informasjonssikkerhetspolitikk Dato: 10. april 2010 Ver. 0.86 Side 13 av 17

3.12.2 Ansatte er pålagt å forholde seg i overensstemmelse med Informasjonssikkerhetspolitikken. Oppfølging av at dette er linjeledelsens ansvar. Studenter er pålagt å forholde seg til IT-reglementet. 3.12.3 Ansatte skal være klare over at bevis fra sikkerhetshendelser skal tas vare på (lagres) og overleveres ved rettslig krav. Kontroll og revisjon 3.12.4 Revisjonskrav og revisjonshandlinger planlegges og avtales med de involverte for å minimere risikoen for forstyrrelser av HiMoldes forretningsaktiviteter. Dato: 10. april 2010 Ver. 0.86 Side 14 av 17

4 Styrende dokumenter for sikkerhetsarbeidet 4.1 Formål med styrende dokumenter Styrende dokumenter for Informasjonssikkerhet skal bidra til å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser HiMolde står overfor. Det skal eksistere dokumenterte krav og retningslinjer knyttet til informasjonssikkerhet basert på oppdaterte risikoanalyser. De øvrige systemer og infrastruktur skal være dekket av gode basiskontroller innen informasjonssikkerhet som til en hver tid skal etterleves. 4.2 Dokumentstruktur 4.2.1 HiMolde har organisert dokumentstrukturen for beskrivelse av sin sikkerhetsarkitektur i tre nivåer. Den etablerte struktur for styrende dokumenter for IT-sikkerhetsarbeidet er som følger: Virksomhetsstrategi, KVASE, ITstrategi Definerer mål, strategi og tiltak innen IT og Informasjonssikkerhet Informasjonssikkerhetspolitikk definerer mål, hensikt, ansvar og overordnede krav. I tillegg gir denne en oversikt over de etablerte styrende dokumenter knyttet til informasjonssikkerhet og hvorfor dette er viktig. Overordnede retningslinjer/prinsipper for Informasjonssikkerhet. Her defineres hva som må gjøres for å etterleve den etablerte politikk. Standarder og prosedyrer for Informasjonssikkerhet med detaljerte retningslinjer for hvordan disse standardene skal implementeres. Dette bør etter hvert etableres for alle sentrale plattformer Dato: 10. april 2010 Ver. 0.86 Side 15 av 17

5 Referanser 5.1 Interne referanser Versjon Dato Kommentar Ansvarlig IT-reglementet Strategiplan for HiMolde Kvalitetssikringssystem for HiMolde IT strategi Risikoanalyse Introduksjonsprogram Rutine for risikovurdering, IKT-100. Taushetserklæring IKT 007 Retningslinjer for avhending av IT utstyr (IKT-117) Dato: 10. april 2010 Ver. 0.86 Side 16 av 17

5.2 Eksterne referanser Referanser [1] ISO 27002 Informasjonsteknologi Administrasjon av informasjonssikkerhet (ISO/IEC 17799:2005 [2] ISO/IEC 27001: 2005 Information security Security techniques Information security management systems Requirements [3] ISO/IEC 27002: 2005 Information security Security techniques Code of practice for information security management. [4] Lov om personopplysninger: http://www.lovdata.no/all/hl-20000414-031.html [5] Lov om arkiv (arkivlova): http://www.lovdata.no/all/nl-19921204-126.html [6] Lov om årsregnskap m.v. (regnskapsloven): http://www.lovdata.no/all/nl-19980717-056.html [7] Lov om statens tjenestemenn m.m. (tjenestemannsloven): http://www.lovdata.no/all/nl-19830304-003.html [8] Lov om universiteter og høyskoler (universitetsloven): http://www.lovdata.no/all/hl-20050401-015.html [9] Lov om elektronisk signatur (esignaturloven): http://www.lovdata.no/all/hl-20010615-081.html [10] Lov om opphavsrett til åndsverk m.v. (åndsverkloven): http://www.lovdata.no/all/nl-19610512-002.html [11] Kommuneveiledningen (Veiledning i informasjonssikkerhet for kommuner og fylker"): http://www.datatilsynet.no/upload/dokumenter/infosik/veiledere/tv202_2005_1.pdf [12] Datatilsynet: Veileder for bruk av tynne klienter: http://www.datatilsynet.no/upload/dokumenter/infosik/veiledere/veileder_tynneklienter.pdf [13] Datatilsynet: Kryptering: http://www.datatilsynet.no/templates/article 889.aspx [14] Datatilsynet: Risikovurdering: http://www.datatilsynet.no/upload/dokumenter/infosik/veiledere/risikovurdering_tv-506_02.pdf http://www.sfso.no/upload/forvaltning_og_analyse/risikostyring/ny_metodedokument_06012006.pdf [15] OECDs retningslinjer - for sikkerhet i informasjonssystemer og nettverk - Mot en sikkerhetskultur. http://www.oecd.org/dataoecd/16/5/15584616.pdf [16] Krav til strømforsyning av IKT-rom. Fagspesifikasjon fra UNINETT. UFS 107: https://ow.feide.no/_media/gigacampus:ufs103.pdf [17] Krav til ventilasjon og kjøling i IKT-rom. Fagspesifikasjon fra UNINETT. UFS 108: https://ow.feide.no/_media/gigacampus:ufs108.pdf Anbefalt IKT-infrastruktur i UH-sektoren. Fagspesifikasjon fra UNINETT. UFS 122 (Utkast) Dato: 10. april 2010 Ver. 0.86 Side 17 av 17

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding