Oppfølging av informasjonssikkerheten i UH-sektoren Gustav Birkeland SUHS-konferansen 4. november 2015
Mål s overordnede mål for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren er å forebygge uønskede hendelser og minske konsekvensene dersom de skulle oppstå. (Styringsdokument for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren)
Mål uttrykt i 1. Nasjonale strategier og handlingsplaner 2. Tildelingsbrev og styringsdokument 3. Den enkelte institusjons strategi og handlingsplan
Nasjonale strategier og handlingsplaner Tildelingsbrev Egen strategi og handlingsplan
Kunnskapsvirksomheter som forvalter eller foredler informasjon/data Det kan derfor hevdes at heller ikke i UH-sektoren er informasjonssikkerhet en "teknisk øvelse for spesielt interesserte". Isteden handler det om hvordan organiseringen og styringen av selve kjernevirksomheten kunnskapsproduksjon og formidling skal foregå. (Tranvik, 2014)
Nasjonal strategi og handlingsplan 2012: Ivareta informasjonssikkerheten på en mer helhetlig og systematisk måte Tiltak 1.1: Styringssystem for informasjonssikkerhet i statsforvaltningen basert på standarder
Nasjonal strategi og handlingsplan 2012 Tiltak 1.4: Organisasjonsmessige tiltak i universitets- og høyskolesektoren Bakgrunn: Det er viktig at sikkerhetsarbeidet ved den enkelte institusjon i universitets- og høyskolesektoren er tilstrekkelig robust. En forutsetning er en felles tilnærming til informasjonssikkerhet.
Tiltak har gitt UNINETT i oppgave å etablere og lede et sekretariat for informasjonssikkerhet i universitets- og høyskolesektoren. I tillegg til sekretariatet har UNINETT etablert et sikkerhetsforum for universiteter og høyskoler. Forumet skal være rådgivende innenfor området informasjonssikkerhet, beredskap og kontinuitet. Her skal sektoren kunne dele erfaringer og skaffe seg kunnskap om hvordan man kan jobbe effektivt og praktisk innenfor informasjonssikkerhet og beredskap/kontinuitet.
Nasjonal strategi og handlingsplan 2012: Styrke IKT-infrastrukturen Tiltak 2.7: IKT-infrastrukturen i universitets- og høyskolesektoren Bakgrunn: IKT-infrastrukturen i universitets- og høyskolesektoren er utviklet og driftet av UNINETT, i samarbeid med sektoren. Forskningsnettet er internettforbindelsen for forskning, undervisning og formidling i Norge og sikrer universitets- og høyskolesektoren høy kapasitet og stor driftssikkerhet. Dette gjelder også IKT-løsningene på campus som i stor grad ble standardisert gjennom Giga-Campusprosjektet.
Tiltak Forskningsnettet har meget god tilgjengelighet gjennom redundans. I det videre arbeidet med å styrke denne infrastrukturen vil i samarbeid med UNINETT vurdere hvordan integritet og konfidensialitet blir ivaretatt i bruken av forskningsnettet.
Handlingsplan for informasjonssikkerhet i statsforvaltningen 2015-2017 Lansert 17. september 2015 En sentral målsetning i Nasjonal strategi for informasjonssikkerhet er å sørge for at statsforvaltningen har en felles tilnærming til arbeidet med informasjonssikkerhet. Dette er Kommunal- og moderniseringsdepartementets (KMD) ansvar. Foruten å styrke informasjonssikkerheten i statsforvaltningen ønsker KMD at denne handlingsplanen skal bidra til å understøtte KMDs arbeid med å koordinere digitaliseringsarbeidet i offentlig sektor.
Handlingsplan for informasjonssikkerhet i statsforvaltningen
eforvaltningsforskriften eforvaltningsforskriften 15 som utgangspunkt for alt informasjonssikkerhetsarbeid i alle forvaltningsorgan Sjekke ut og eventuelt inkludere spesielle tilleggskrav i annet regelverk God og effektiv etterlevelse av 15 er målet for tiltaksområdet styring og kontroll i den nevnte handlingsplanen for statsforvaltningen Vil følges opp av Difi gjennom innhenting av statistikk og dialog med forvaltningsetatene Kilde: http://internkontroll.infosikkerhet.difi.n o/regelverkskrav
Tildelingsbrevet "Institusjonen skal påse at informasjonssikkerhetsarbeidet er i samsvar med eforvaltningsforskriften og den nasjonale strategien for informasjonssikkerhet med tilhørende handlingsplan." Institusjonen skal i årsrapporten for 2015 rapportere på følgende: ( ) Er styringssystem for informasjonssikkerhet innført?
Digital sårbarhet Regjeringens digitale sårbarhetsutvalg - Lysneutvalget Skal kartlegge samfunnets digitale sårbarhet Skal foreslå konkrete tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet Leverer sin utredning til Justis- og beredskapsdepartementet den 30. november 2015 Presenterer allerede nå hvordan Norge ligger på topp i digitaliseringen av samfunnet og vil møte utfordringene dette medfører først (presentert under partnerforums høstkonferanse "Store datamengder - store spørsmål")
KDs forståelse av risikobildet NSMs "Risiko 2015" PSTs "Åpen trusselvurdering" DSBs "Nasjonalt risikobilde" Sektorens egne ROS-analyser og vurderinger
Status for styring av informasjonssikkerheten Tommy Tranviks rapport "Styring av informasjonssikkerheten i universiteter og høyskoler Foreløpige resultater" Bildet departementet danner seg basert på årsrapporter, rapport fra sekretariatet og egne tilsyn samsvarer med det overordnede bildet i rapporten Rapporten er et viktig informasjonsgrunnlag Identifiserer viktige utfordringer Løfter frem kritiske suksessfaktorer
Styringsdialog i UH-sektoren Årlige etatsstyringsmøter mellom departementet og styret ved underliggende virksomheter Basert på årsrapport og resultatrapportering til DBH Sikkerhet og beredskap tas opp under møtet ved behov Følges opp av skriftlig tilbakemeldinger som f.eks: Departementet forutsetter at styringssystem for informasjonssikkerhet innføres og at det rapporteres på dette innen 1. januar 2016. Egen oppfølging av særskilte forhold Større hendelser Vesentlige mangler Særskilt risiko
Oppfølging av sikkerhet og beredskap i kunnskapssektoren Styringsdokument for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren Utredning av sektoransvaret Risiko og sårbarhetsanalyse av kunnskapssektoren Informasjonsarbeid og konferanser
Tilsyn KD fører tilsyn med statlige universiteter og høyskolers arbeid med samfunnssikkerhet og beredskap Tilsynsobjektene velges ut på grunnlag av risikovurderinger basert på den årlige rapporteringen, men også basert på geografisk spredning, institusjonsstørrelse og egenart Tilsynene foregår som et møte med hele beredskapsledelsen Skriftlig tilbakemelding som skal styrebehandles
Veiledning og støtte Sekretariat for informasjonssikkerhet Opprettet i 2013 for å møte noen av utfordringene Riksrevisjonen hadde identifisert i sin forvaltningsrevisjon av ivaretakelsen av informasjonssikkerheten i UH-sektoren Rapporterer årlig til KD Etablert som en fast fellesfunksjon i sektoren Referansegruppe etablert etter forslag fra UHR og IKTlederforum for å sikre god kommunikasjon og forankring. Sekretariatet skal evalueres i 2016