Strategi for informasjonssikkerhet

Like dokumenter
Universitetsstyret behandlet den 13. mars 2019 i sak S 8/19 Årsrapport for informasjonssikkerhet for 2018, og fattet følgende enstemmige vedtak:

Ny styringsmodell for informasjonssikkerhet og personvern

Strategi for Informasjonssikkerhet

Retningslinje for risikostyring for informasjonssikkerhet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

RETNINGSLINJE for klassifisering av informasjon

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning

Informasjonssikkerhet

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Hva er sikkerhet for deg?

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Risikovurdering for folk og ledere Normkonferansen 2018

Foto: Colourbox.com HELSE, MILJØ OG SIKKERHET HANDLINGSPLAN // UNIVERSITETET I BERGEN

Avito Bridging the gap

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

Oppfølging av informasjonssikkerheten i UH-sektoren

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Risikostyring Intern veiledning

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Risikovurdering av Public 360

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Politikk for informasjonssikkerhet

Direktiv Krav til sikkerhetsstyring i Forsvaret

Referansearkitektur sikkerhet

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Internkontroll i Gjerdrum kommune

Aggregering av risiko - behov og utfordringer i risikostyringen

Sikkert nok - Informasjonssikkerhet som strategi

Risikoanalysemetodikk

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Virksomhetsstrategi Justis- og beredskapsdepartementet

Revisjon av informasjonssikkerhet

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Internkontroll og informasjonssikkerhet lover og standarder

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Digitalisering former samfunnet

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Digitaliseringsstrategi for UiT Norges arktiske universitet

IKT-STRATEGI

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Internkontroll i praksis (styringssystem/isms)

Databehandleravtale for NLF-medlemmer

STYRESAK. DATO: SAKSBEHANDLER: Brad Folsom SAKEN GJELDER: Informasjonssikkerhet i Helse Stavanger HF ARKIVSAK: 18/2 STYRESAK: 52/18

Hva er et styringssystem?

Fra sikkerhetsledelse til handling ambisjoner og forventninger

D IGITA L ISER I N GSSTRATEGI F OR FORSK N I N GSRÅDET

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Etiske retningslinjer

Digitaliseringsstrategi

Samarbeidsforum internkontroll

Har du kontroll på verdiene dine

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Raskere digitalisering med god sikkerhet. Evry

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Krav til informasjonssikkerhet i nytt personvernregelverk

HVORDAN SØRGE FOR ETTERLEVELSE AV SIKKERHETSKRAVENE I GDPR?

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Satsingsområdene synliggjør samtidig verdier og holdninger som alle medarbeidere i direktoratet har ansvar for å stå for i sitt arbeid.

ANSKAFFELSESSTRATEGI. FOR Vigo IKS

Kunnskapsdepartementets tjenesteorgan

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

DIGITALISERING FORMER SAMFUNNET

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

DIGITALISERING FORMER SAMFUNNET

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

NASJONAL SIKKERHETSMYNDIGHET

SIKRING i et helhetsperspektiv

Revisjon av IT-sikkerhetshåndboka

Spørreundersøkelse om informasjonssikkerhet

Prinsipper for virksomhetsstyring i Oslo kommune

Digitalisering og moderne kommunikasjonsteknologi endrer verktøyene og påvirker metodene.

Personopplysninger og opplæring i kriminalomsorgen

Vi prioriterer næringslivet, bekjempelse av svart økonomi og sikker ID-forvaltning

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Programmandat. Versjon Program for administrativ forbedring og digitalisering

Ny personvernforordning Er vi alle forberedt?

SIKRING i et helhetsperspektiv

OVERSIKT SIKKERHETSARBEIDET I UDI

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

SAK 14/18 VEDLEGG A SATSINGSFORSLAG 2020

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Behandlet dato Behandlet av Utarbeidet av

Transkript:

Strategi for informasjonssikkerhet 2019 2021 UiT Norges arktiske universitet Foto: 2018 Gartner. All rights reserved. Versjon: v 1.1

Innholdsfortegnelse 1. INNLEDNING... 3 2. MÅLBILDE... 4 3. MÅLBILDETS BETYDNING... 5 4. OPPNÅELSE AV MÅLBILDE... 9 5. STYRENDE PRINSIPPER... 10 2

Strategi for informasjonssikkerhet 1. INNLEDNING UiT er et breddeuniversitet som på grunn av beliggenhet og forskningsprofil kan være spesielt utsatt for trusler og angrep knyttet til informasjonssikkerhet. Aktivister, kriminelle og statlig etterretning forsøker å oppnå økonomisk vinning, politiske mål eller andre fordeler gjennom manipulasjon, sabotasje og spionasje. Internt ved UiT har vi en sikkerhetskultur som ikke sammenfaller med risikonivået. Uten å gjennomføre tilstrekkelige tiltak for å sikre UiTs informasjonsverdier vil sannsynligheten for et større sikkerhetsbrudd være uakseptabelt høy. Slike brudd kan medføre at legitimiteten og omdømmet til UiT svekkes. Både Kunnskapsdepartementet og UiT har utarbeidet ambisiøse digitaliseringsstrategier som vil kreve store endringer for hvordan UiT håndterer informasjonssikkerhet. Disse endringene må gjennomføres for å sikre universitetets kritiske informasjonsverdier. Denne strategien angir mål og prioriteringer for å sikre UiTs informasjonsverdier, slik at tilliten til universitetets utdanning, forskning og formidling ivaretas. Informasjonssikkerhet handler om å sikre informasjonens konfidensialitet, integritet og tilgjengelighet. Informasjonsverdi er et samlebegrep som inkluderer både informasjon og tilhørende støtteverdier som IKT-system, digitale tjenester, datautstyr av ulike varianter mv. Flere begreper defineres i vedlegg 3 Figur 1 - Visjon for informasjonssikkerhet Visjon UiT skal etablere en forsvarlig sikring av sine informasjonsverdier for å ivareta samfunnets tillit til universitetets utdanning, forskning og formidling. UiT skal: arbeide målrettet og risikobasert med informasjonssikkerhet ivareta informasjonssikkerhet på en helhetlig og systematisk måte og sørge for en felles tilnærming til informasjonssikkerhet redusere sårbarhetene til UiTs informasjonsverdier inkludere informasjonssikkerhet i universitetets beslutningsprosesser forenkle og forbedre universitetets retningslinjer og prosesser for informasjonssikkerhet 3

2. MÅLBILDE Figur 2 - Målbilde for informasjonssikkerhet i 2021 Effektiv sikkerhetsstyring Helhetlig oversikt og kontroll Overvåking og hendelsesstyring Ansvarsbevisst sikkerhetskultur Godt sektorsamarbeid: delingskultur og samhandling Effektiv sikkerhetsstyring UiT skal implementere en helhetlig sikkerhetsstyring av universitetets informasjonsverdier. Målet realiseres bl.a. gjennom: god forankring hos ledelsen tilfredsstillende sikkerhetsdokumentasjon tydelig ansvarsfordeling og organisering i sikkerhetsarbeidet å etablere og kontinuerlig følge opp konkrete mål for sikkerhetsarbeidet strukturerte styringsmetoder som inkluderer: planlegging, risikovurderinger, tiltak, oppfølging og kontroll, og rapportering Helhetlig oversikt og kontroll Modernisere sikkerhetsarkitekturen ved å implementere sikkerhetsaktiviteter og rutiner som integreres i UiTs arbeidsprosesser og IT systemer. Målet realiseres bl.a. gjennom: kontinuerlig kontroll av sikkerhetsrutiner samarbeid med systemeiere om langsiktige forbedringstiltak å sikre at IT-drift er tilpasset UiTs aksepterte risikonivå at kontrollaktiviteter og avvik er beskrevet og klassifisert å tilpasse seg anerkjente standarder (ISO/IEC 27001) i henhold til føringer fra KD Overvåking og hendelsesstyring 1 Etablere en mer systematisk overvåkingstjeneste for raskere å identifisere, følge opp og lære av uønskede hendelser. Målet realiseres bl.a. gjennom: å innføre mekanismer og prosesser som reduserer tiden fra en sikkerhetshendelse oppstår til den oppdages og stoppes automatisk og manuell analyse av data, samt hendelsesinformasjon og rapporter oppdatert og testet kontinuitets- og beredskapsplan kontinuerlig overvåking av tjenester, systemer og IKT-infrastruktur Ansvarsbevisst sikkerhetskultur Gjennomføre opplæring slik at alle ved UiT har nødvendig kunnskap om informasjonssikkerhet, og er bevisst sitt ansvar i sikringen av UiTs informasjonsverdier. Målet realiseres bl.a. gjennom: å bevisstgjøre studenter og ansatte om hvilke risikoer de må være oppmerksomme på når de håndterer informasjonsverdier på vegne av UiT å overføre kunnskap og motivere for god sikkerhetsatferd å etablere et sikkerhetsutvalg 1 Overvåking her referer til monitorering av fysiske områder, teknisk komponenter, logger, mv, avhengig av eksponert nivå for risiko. Hva som skal overvåkes og hvordan det skal skje er en del av tiltakets utforming. 4

3. MÅLBILDETS BETYDNING Utdanning I dagens høyere utdanning er det stort fokus på bruk av læringsfremmende teknologi og digitale eksamensformer. Det kan gjøre det vanskeligere å balansere behovet for hyppig å ta i bruk nye tjenester, og samtidig ivareta informasjonssikkerheten. UiT skal jobbe aktivt for å balansere disse behovene og sikre at teknologiløsningene gir tilstrekkelig beskyttelse av informasjonsverdiene til studenter og ansatte. Figur 3 - Målbildets betydning for utdanning: Effektiv sikkerhetsstyring Sikre at studenters og ansattes informasjonsverdier ivaretas på en forsvarlig måte. Helhetlig oversikt og kontroll Sikre at teknisk utstyr og utdanningstjenester ivaretar studenters og ansattes behov for informasjonssikkerhet. Overvåking og hendelsesstyring Sikre at studenter og ansatte har en hverdag uten alvorlige avvik og sikkerhetshendelser. Eventuelle avvik og hendelser skal håndteres systematisk og effektivt. Ansvarsbevisst sikkerhetskultur Opplæring og bevisstgjøring skal gjøre ansatte og studenter i stand til å hindre, oppdage og rapportere sikkerhetshendelser. Foto: Lars Nordmo Copyright: UiT Norges arktiske universitet The Arctic University of Norway 5

Forskning og utviklingsarbeid (FoU) UiTs forskningsdata kan være spesielt utsatt for informasjonssikkerhetsbrudd ved eksempelvis sabotasje og/eller spionasje. UiT skal opptre som en tillitsverdig aktør og sikre integriteten til forskningen ved å prioritere tiltak som aktivt forhindrer brudd på informasjonssikkerheten. UiT skal tilby opplæring til forskere slik at de er bevisst sin rolle i sikring av egne forskningsdata. UiT skal sikre at forskningsdata blir beskyttet og forvaltet på en forsvarlig måte. Figur 4 - Målbildets betydning for FoU: Effektiv sikkerhetsstyring Tilby tjenester som sikrer evnen til å bevare integritet, konfidensialitet og tilgjengelighet til forskningsdata i åpne og selvstendige forskningsmiljø. Helhetlig oversikt og kontroll Forbedre beskyttelsesevnen til IT-infrastruktur, teknologi og løsninger som understøtter forskeres behov for autonomi. Overvåking og hendelsesstyring Forbedre evnen til å oppdage og håndtere hendelser, avvik og brudd raskt slik at eventuelle konsekvenser for forskningen blir minimale. Ansvarsbevisst sikkerhetskultur Gi faglige enheter og forskere kompetanse til å oppdage mulige sikkerhetsavvik i sitt arbeid. Foto: 2018 Gartner. All rights reserved. 6

Formidling En av UiTs kjerneoppgaver er å formidle forskningsresultater til samfunnet. UiT skal sikre at informasjonen som formidles ikke har blitt endret utilsiktet eller av uvedkommende. Videre skal det jobbes aktivt med bevisstgjøring og opplæring slik at både forskere og formidlere er i stand til å identifisere mulige avvik før formidlingen skjer. Figur 5 Målbildets betydning for formidling: Effektiv sikkerhetsstyring Gi faglig rådgivning og støtte for å sikre at konfidensiell informasjon ikke formidles. Helhetlig oversikt og kontroll Sikre formidlingsplattformer og samhandlings- og publiseringsteknologi mot inntrengere eller avvik. Overvåking og hendelsesstyring Raskt identifisere hendelser, avvik og brudd for å hindre eller redusere sannsynligheten for at forskningens troverdighet eller legitimitet rammes. Ansvarsbevisst sikkerhetskultur Øke kompetansen og evnen til å oppdage eventuelle avvik før forskningen formidles. Foto: Edvard Kristiansen-Edvardk.com; Copyright: UiT Norges arktiske universitet The Arctic University of Norway 7

Administrasjon Administrasjonen ved UiT skal legge til rette for høy kvalitet i utdanning, forskning og formidling. Dette inkluderer å tilby løsninger som tilrettelegger for deling av data, bruk av fellestjenester, samt standardiserte og effektive administrative arbeidsprosesser. Det skal jobbes på tvers av enhetene slik at informasjonsverdiene blir tilstrekkelig sikret, særlig med tanke på ivaretakelse av personvernet. Figur 6 - Målbildets betydning for administrasjon: Effektiv sikkerhetsstyring Øke evnen til å systematisere sikkerhetsarbeidet, samt klargjøre roller og ansvar for risikostyring. Helhetlig oversikt og kontroll Alle tjenester, data og systemer skal kartlegges og sikres mot uautorisert tilgang eller uaktsomhet, slik at man forhindrer at informasjon kommer på avveie eller blir endret. Overvåking og hendelsesstyring Øke evnen til å identifisere mulige brudd på kritiske tjenester for å kunne forhindre avvik. Ansvarsbevisst sikkerhetskultur Økt ressursbruk og utvikling av sikkerhetskompetanse forbedrer UiTs evne til å sikre tjenestene i administrasjonen. Foto: 2018 Gartner. All rights reserved. 8

DE 4. OPPNÅELSE AV MÅLBILDE Det finnes mange trusselaktører med vilje og evne til å utføre angrep mot UiTs informasjonsverdier. Nye metoder må derfor tas i bruk for å forebygge, oppdage, håndtere og styre hendelser. Dette for å beskytte informasjonsverdiene og ivareta samfunnsoppdraget og tilliten til UiT. Risiko og tiltak må kontinuerlig vurderes, forankres, besluttes og gjennomføres. Prioriteringen og omfanget av arbeidet må styres av sikkerhetsrisikoen UiT til enhver tid er eksponert for, og det akseptable risikonivået som gjelder for den enkelte informasjonsverdien. For å lykkes er det nødvendig med kompetanse, kulturendring, bevisstgjøring og mer systematikk i informasjonssikkerhetsarbeidet ved UiT. Tiltakene må vurderes opp mot evnen til å redusere risiko og ivaretakelse av informasjonsverdienes konfidensialitet, integritet og tilgjengelighet. Figur 7 - Tiltak for oppnåelse av målbilde 9

5. STYRENDE PRINSIPPER Styrende prinsipper for informasjonssikkerhet er definert som en del av strategien og gir retning for løpende prioriteringer, beslutninger og ønsket atferd i strategiperioden. Prinsippene uttrykker mål, prioriteringer og strategiske føringer for UiT. Disse kan fravikes, men det skal i så fall dokumenteres og godkjennes. Tabell 1 Styrende prinsipper for informasjonssikkerhet ved UiT 1 Alle har et personlig ansvar for informasjonssikkerheten. 2 Alle brukere skal gjennomføre nødvendig opplæring i informasjonssikkerhet 3 Informasjon skal sikres slik at personvernet ikke krenkes. 4 5 6 7 Informasjonsverdier skal ivaretas i henhold til gjeldende lover, forskrifter, interne retningslinjer og føringer fra myndighetene. Klassifisering og ha ndtering av data skal vurderes i alle tjeneste-, systemog teknologivalg. Informasjonssikkerhet skal ivaretas i virksomhetsstyring og kvalitetsarbeid. Informasjonsobjekter skal kontinuerlig kartlegges og behandlingen risikovurderes. Foto: 2018 Gartner. All rights reserved. 8 Aktiviteter og prosjekter skal styres innenfor akseptabelt risikoniva. 10

ADM. FORMIDLING FoU UTDANNING Vedlegg 1: Akseptabel risiko Risikobildet til UiT er dynamisk og vil variere over tid, derfor er det nødvendig å jobbe systematisk med risikostyring og akseptabel risiko. En effektiv risikostyring skal gi studenter og ansatte best mulig grunnlag til å forstå hvor stor risiko UiT er villig til å akseptere i prosessen med å skape verdier. Akseptabel risiko erstatter ikke behovet for risikovurderinger, men skal sikre god balanse mellom de målene UiT ønsker å oppnå og kravene til formasjonssikkerhet. Følgende tabell gir et utgangspunkt for bruk av akseptabel risiko i risikovurderingsarbeidet. For mer informasjon om hvordan en selv kan foreta en risikovurdering mtp. akseptabel risiko ta kontakt med en av UiTs informasjonssikkerhetsrådgivere. Akseptabel risiko: Risikoen UiT er villig til å godta. Konfidensialitet: Uvedkommende skal ikke få kjennskap til informasjon/data Integritet: Informasjon må være sikret mot utilsiktet eller uautorisert endring eller sletting Tilgjengelighet: Dataene er tilgjengelig ved behov Figur 8 - Akseptabel risiko innen utdanning, FoU, formidling og administrasjon Et sikkerhetsbrudd kan medføre at: Akseptabel risiko UiT rekrutterer færre studenter, som igjen kan føre til økonomiske konsekvenser for universitetet. I tillegg kan et brudd føre til personlige og/eller psykologiske konsekvenser for studenter. UiT aksepterer et høyt risikonivå der det er nødvendig for å kunne tilby tilstrekkelig kvalitet i utdanningene. Dette skal ikke gå på bekostning av integriteten til eksamensresultater og kvalifikasjonene som studentene har oppnådd. UiT har lav toleranse for brudd som medfører personlige konsekvenser for studenter eller økonomisk tap for universitetet. UiTs samfunnsbidrag reduseres, tap av økonomisk støtte, legitimitet og omdømme, og/eller brudd på lover og regler. I ytterste konsekvens kan det også være fare for liv og helse som følge av manipulering og forfalskning av forskningsdata/resultater. UiT aksepterer et middels til høyt risikonivå ved FoU-aktiviteter. Aktivitetene må likevel ikke være i strid med UiTs etiske retningslinjer eller forårsake brudd på lover og regler. UiT aksepterer ikke risiko forbundet med tap av integritet i forskningen. Troverdigheten til og legitimiteten av verdiene som skapes ved UiT trekkes i tvil. Tap av troverdighet og legitimitet kan medføre økonomiske konsekvenser. UiT er ikke villig til å akseptere risiko som medfører at universitetets omdømme, troverdighet og legitimitet settes i fare. UiT utsettes for økonomisk tap grunnet brudd på lov (f.eks. GDPR), søksmål eller ikke planlagt nedetid. Dårlig sikring av miljø eller systemer kan i ytterste konsekvens være en fare for liv og helse. For å nå de strategiske målene er UiT villig til å akseptere et middels til høyt risikonivå. UiT aksepterer imidlertid ikke risiko som er i strid med universitetets verdier, medfører lovbrudd eller er forbundet med fare for liv og helse. 11

Vedlegg 2: Ansvarsfordeling For å ivareta effektiv styring av informasjonssikkerhet må ansvarsfordelingen i UiT tydeliggjøres. Følgende ansvar tilhører enhetene: Ivareta UiTs krav for informasjonssikkerhet og etterleve relevante lovverk Dette innebærer bl.a. at: Ansvaret for ivaretagelse av informasjonssikkerhet ligger hos enhetene Enhetene skal følge gjeldende retningslinjer, protokoller og rutiner utarbeidet av UiT Samarbeide med informasjonssikkerhetsrådgiver for å sikre effektiv avviks- og hendelseshåndtering Dette innebærer bl.a. å: Melde mulige avvik eller hendelser Informere underliggende enheter når det forekommer alvorlig avvik eller hendelser som kan medføre en konsekvens for flere Følge opp og implementere tiltak hvor nødvendig Implementere nødvendig risikostyring Dette innebærer bl.a. å: Gjennomføre risikovurderinger av prosjekter, aktiviteter og systemer enheten er ansvarlig for Holde oversikt over eventuelle egne løsninger som brukes for å lagre eller behandle fortrolig informasjon Sikre at studenter og ansatte tilhørende enheten gjennomfører nødvendig opplæring og etterlever de kravene UiT stiller Følgende ansvar tilhører informasjonssikkerhet sentralt: Forvaltning av informasjonssikkerhet Ansatte med tildelt ansvar for informasjonssikkerhet (bl.a. informasjonssikkerhetsrådgiver) skal være aktive tilretteleggere for enhetene. De skal utforme rutiner, prosedyrer, samt iverksette organisatoriske, operative og tekniske tiltak som sikrer UiT sine informasjonsverdier. Informasjonssikkerhetsrådgivere skal gi støtte til enhetene ved bl.a. kontinuerlig opplæring og veiledning. 12

Vedlegg 3: Begreper Begrep Beskrivelse UiT Akademisk frihet Akseptabel risiko Avvik Hendelse Informasjonssikkerhet Informasjonssikkerhetsbrudd/ sikkerhetsbrudd Informasjonsverdier Integritet Konfidensialitet Personvern Risiko Risikostyring Risikotoleranse Tilgjengelighet Trussel Uninett Unit Universitetet i Tromsø - Norges arktiske universitet Retten til fritt å kunne forske, undervise, uttale seg og publisere i tråd med anerkjente akademiske normer og standarder uten å bli utsatt for sanksjoner. Hva UiT er villig til å akseptere av risiko for måloppnåelse. Enhver håndtering av data/informasjon som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. Uønskede situasjoner som kan medføre eller kan ha medført et informasjonssikkerhetsbrudd. Informasjonssikkerhet handler om å sikre informasjonens konfidensialitet, integritet og tilgjengelighet. Brudd på konfidensialitet, integritet og/eller tilgjengelighet. Bruddet kan ha store, små eller ingen konsekvenser. Et samlebegrep som inkluderer både informasjon og tilhørende støtteverdier som IKT-system, digitale tjenester, datautstyr av ulike varianter mv. Informasjon må være sikret mot utilsiktet eller uautorisert endring eller sletting. Uvedkommende skal ikke få kjennskap til informasjon/data. Personopplysninger skal beskyttes i henhold til relevant lovgivning. Uttrykk for forholdet mellom trusselen mot en gitt verdi og denne verdiens sårbarhet overfor den spesifiserte trusselen. Et sett av aktiviteter for å styre og kontrollere risiko. Ekstra risiko UiT er villig til å ta i enkelte saker fordi gevinsten veier tyngre enn risikoen. Dataene er tilgjengelig ved behov. Begrepet benyttes om både aktører for villede handlinger og farekilder. Uninett-konsernet leverer nett og nettjenester til universiteter, høgskoler og forskningsinstitusjoner, samt håndterer andre nasjonale IKT-oppgaver. Uninett eies av Kunnskapsdepartementet Unit Direktoratet for IKT og fellestjenester i høyere utdanning og forskning. Direktoratet har ansvar for nasjonal samordning og forvaltning av IKT i universitets- og høyskolesektoren, og leverer allerede et bredt spekter av tjenester til forskning og høyere utdanning. 13

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding