Informasjonssikkerhetsprinsipper

Like dokumenter
3.1 Prosedyremal. Omfang

Overordnede retningslinjer for Informasjonssikkerhet. Nord-Trøndelag fylkeskommune

Overordnet IT beredskapsplan

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Revisjon av informasjonssikkerhet

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Høgskolen i Telemark. Policy for informasjonssikkerhet ved

Styringssystem for informasjonssikkerhet i Arbeidstilsynet

Risikovurdering av cxstafettloggen

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Sikkerhetspolicy for informasjonssikkerhet ved

Policy. for. informasjonssikkerhet. ved NMBU

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Avvikshåndtering og egenkontroll

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

Internkontroll og informasjonssikkerhet lover og standarder

Retningslinje for risikostyring for informasjonssikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Risikovurdering av Public 360

Internkontroll i praksis (styringssystem/isms)

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Personvern - sjekkliste for databehandleravtale

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Politikk for informasjonssikkerhet

Policy for informasjonssikkerhet ved HSN

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Høgskolen i Telemark Styret

Sikkerhetsmål og -strategi

Kommunens Internkontroll

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Policy for informasjonssikkerhet ved U1S

RETNINGSLINJE for klassifisering av informasjon

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Databehandleravtale etter personopplysningsloven

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

VI BYGGER NORGE MED IT.

Revisjon av IT-sikkerhetshåndboka

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

HVEM ER JEG OG HVOR «BOR» JEG?

NTNU Retningslinje for klassifisering av informasjon

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Kvalitetssikring av arkivene

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Informasjonssikkerhetspolitikk. ved

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Informasjonssikkerhet i UH-sektoren

GDPR - Personvern

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Bilag 14 Databehandleravtale

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Informasjonssikkerhet i Norge digitalt Teknologiforum


Personopplysninger og opplæring i kriminalomsorgen

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Avito Bridging the gap

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtaler

Underbygger lovverket kravene til en digital offentlighet

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Har du kontroll på verdiene dine

Styringssystem for informasjonssikkerhet ved Høgskulen i Volda

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Søknadsskjema etter finansforetaksforskriften 3-2

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Veileder: Risikovurdering av informasjonssikkerhet

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Databehandleravtale for NLF-medlemmer

Hver dag jobber vi for å holde HiOA

NTNU Retningslinje for operativ sikkerhet

Policy for personvern

Internkontroll i mindre virksomheter - introduksjon

Difis veiledningsmateriell, ISO og Normen

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Transkript:

Ver. 1.0 Mai 2012

Versjonskontroll og godkjenning Dokumenthistorie Versjon Dato Forfatter Endringsbeskrivelse 0.1 (UTKAST-1) 10.07.2010 Christoffer Hallstensen Opprettelse 0.1 (UTKAST-2) 12.07.2010 Christoffer Hallstensen Generalisering 0.2 (UTKAST-1) 27.10.2010 Christoffer Hallstensen Rettet diverse feil 0.3 (UTKAST-1) 29.11.2011 Christoffer Hallstensen Lagt til Roller og ansvarsområder" 0.4 04.01.2012 Christoffer Hallstensen Lagt til "Akademiske data" 0.5 11.02.2012 Christoffer Hallstensen Lagt til Sikkerhetsorganisasjon" 0.6 13.03.2012 Christoffer Hallstensen Endret til ny struktur 0.7 20.03.2012 Christoffer Hallstensen Skrevet om sanksjoner og fjernet redundante punkter 0.8 23.05.2012 Christoffer Hallstensen Høgskoleledelsen er byttet ut med rektor 1.0 29.05.2012 Christoffer Hallstensen Policy og prinsipper splittet i to dokumenter. Godkjennelse Versjon Navn Dato Rolle i

Versjonskontroll......................................... i Innhold.............................................. ii 1 Prinsipper for Informasjonssikkerhet........................... 1 1.1 Begreper og definisjoner................................ 1 1.2 Oppfølging og revisjon................................. 3 1.3 Sikkerhetsorganisasjon................................. 3 1.4 Klassifisering og informasjonskontroll......................... 3 1.5 Akademiske data.................................... 4 1.6 Personell og studenter................................. 4 1.7 Fysisk sikkerhet..................................... 4 1.8 Tilgangskontroll.................................... 5 1.9 Kommunikasjon og driftsadministrasjon....................... 5 1.10 Systemutvikling og vedlikehold............................ 5 1.11 Risikostyring...................................... 6 1.12 Hendelseshåndtering og beredskap.......................... 6 1.13 Kontinuitet....................................... 7 1.14 Samsvar......................................... 7 1.15 Konsekvenser og sanksjoner.............................. 7 2 Roller og ansvarsområder................................. 8 2.1 Sikkerhetsansvarlige.................................. 8 2.2 Systemansvarlige.................................... 8 ii

1 Prinsipper for Informasjonssikkerhet 1.1 Begreper og definisjoner Autentisering: Bevis for at en person eller program er den/det man utgir seg for å være. Autorisasjon: Bemyndiggjørelse, godkjenning eller innen sikkerhet; tillatelse til å utføre visse oppgaver og/eller få tilgang til visse informasjonsressurser. Behandlingsansvarlig: Person eller avdeling som formelt er ansvarlig for et informasjonssystem og/eller at informasjon behandles og forvaltes iht. lover og forskrifter. Beredskap: Evne til å håndtere og redusere skadevirkninger av uønskede hendelser som kan føre til skade eller tap av eiendeler. Data: Meningsnøytrale forekomster av tekst, tall eller lignende bærere av verdier som kan inngå i eller bidra til å forme informasjon. Endringshåndtering: (ref: ISO 20000) En strukturert prosess som sikrer at ingen uautoriserte eller dårlig testede endringer gjøres på produksjonsystemer. Hendelse: en tilstand som er et avvik i fra normalen. Hendelseshåndtering: (ref: ISO 20000) En strukturert prosess for å respondere på en hendelse og gjenopprette normal drift. Informasjonsressurs: Enhver avgrenset mengde informasjon som er tilgjengelig i en hvilken som helst form av eller for HiG, kan også være klassifisert informasjon. Informasjonssikkerhet: Beskytte konfidensialitet, integritet og tilgjengelighet for all informasjon på alle informasjonsressurser under prosessering, transport og lagring. Infrastruktur: En infrastruktur er en kombinasjon av administrative og organisatoriske tiltak, samt teknisk anlegg og utstyr, som skal til for at en organisasjon skal fungere på en tilfredstillende måte. IKT-infrastruktur: Omfatter maskinvare, programvare, nettverk, telefoni, lokaler, omgivelser og andre spesielle forhold som inngår i utvikling, forvaltning og drift av IKT-systemer. Integritet: Sikre at informasjon er riktig, nøyaktig og gyldig, og at databehandling som utføres er fullstendig. Katastrofe: En hendelse eller en serie av hendelser som setter organisasjonen ut av stand til å utføre virksomhetskritiske oppgaver i en gitt periode, som fører til stor skade og/eller tap. Konfidensialitet: Sikkerhet om at kun autoriserte personer har tilgang til informasjonen og at den ikke er tilgjengelig for uvedkommende. Kritikalitet: En skala som indikerer viktigheten av informasjon eller informasjonssystemer for organisasjonen basert på konsekvenser ved brudd på konfidensialitet, integritet eller tilgjengelighet. Policy: Formaliserte overordnede mål og prinsipper. Retningslinje: Pekepinn på hvordan en skal rette seg etter policy for at mål skal kunne nås. Risiko: Innen informasjonssikkerhet er risiko en funksjon av sannsynligheten eller muligheten for at en sikkerhetshendelse/trussel inntreffer og hvor mye skade dette vil medføre. 1

Sikkerhetsorganisasjon: Hvordan sikkerheten skal organiseres innen organisasjonen. Sikkerhetshendelse: En tilstand som avviker fra normalen hvor konfidensialitet, integritet eller tilgjengelighet svekkes. Systemeier: Juridisk eier av et informasjonssystem. Tilgjengelighet: At informasjon og informasjonssystemer altid er tilgjengelige og operasjonelle ved behov. LMS: Learning Management System (elæringsplattform). 2

1.2 Oppfølging og revisjon 1.2.1 Høgskoleledelsen skal aktivt sørge for at policy, retningslinjer og prosedyrer blir opprettet, fulgt opp og benyttet. 1.2.2 Høgskoleledelsen skal tilrettelegge for at ansatte og studenter får riktig materiell og opplæring i å beskytte høgskolens eiendeler og informasjon. 1.2.3 Informasjonssikkerhetspolicy og prinsipper skal revideres minimum hvert 2. år for å sikre relevans overfor dagens trusselbilde og dekke Høgskolen i Gjøviks mål innen informasjonssikkerhet. 1.3 Sikkerhetsorganisasjon 1.3.1 Høgskolen i Gjøvik skal ha et informasjonssikkerhetsråd, en arbeidsgruppe som består av personer med ulik erfaring fra forskjellige deler av organisasjonen. 1.3.2 Informasjonssikkerhetsrådet har i ansvar å revidere, vedlikeholde og videreutvikle informasjonssikkerhetspolicyen og prinsipper med tilhørende retningslinjer, samt arbeide med andre sikkerhetsrelaterte oppgaver gitt av rektor. 1.4 Klassifisering og informasjonskontroll 1.4.1 Informasjon, infrastruktur og rutiner skal tilpasses og klassifiseres i henhold til nødvendig sikkerhetsnivå og behov for tilgang. 1.4.2 Klassifiserte eiendeler og informasjon skal merkes tydelig og om nødvendig forsegles av behandlingsansvarlig. 1.4.3 Høgskolen i Gjøvik skal ha retningslinjer og standarder for informasjonsklassifisering. Det er rektor sitt ansvar at dette er på plass. 1.4.4 Høgskolen i Gjøvik skal ha retningslinjer og prosedyrer for lagring, transport, behandling og tilgang til klassifisert informasjon og eiendeler av typen begrenset eller konfidensiell. Alle eiendeler og informasjon som er uklassifisert regnes som åpen. 1.4.5 Informasjonsressurser som behandles av høgskolen skal ha en behandlingsansvarlig. 1.4.6 Informasjonsressurser som behandles på oppdrag fra høgskolen av en tredjepart skal ha en ansvarlig som er tilsatt ved høgskolen. 1.4.7 Informasjon skal klassifiseres i tre kategorier: ÅPEN: Informasjon som ikke inneholder intern eller sensitive opplysninger. BEGRENSET: Informasjon som regnes som intern og kan være skadende for Høgskolen i Gjøviks omdømme eller ikke er passende for en tredjepart. Systemeier avgjør behandling og lagring. KONFIDENSIELL: Sensitiv informasjon hvor uautorisert tilgang kan medføre betydelig skade for enkeltpersoner, høgskolen eller deres interesser. Konfidensiell er synonymt med forvaltningslovens Unntatt offentlighet. 3

1.5 Akademiske data 1.5.1 Høgskolen i Gjøvik skal ha klare retningslinjer for lagring, behandling og transportering av forskningsdata i henhold til konfidensialitet, integeritet, tilgjengelighet og gjeldende lovverk der dette er nødvendig. 1.5.2 Høgskolen i Gjøvik skal ha adekvate retningslinjer for behandlig, lagring og transportering av studentprodusert data. 1.6 Personell og studenter 1.6.1 Høgskolen i Gjøvik skal ha klare retningslinjer og prosedyrer for tilsettelse, avgang og ved endring av arbeidsforhold. 1.6.2 Høgskolen i Gjøvik skal ha klare retningslinjer og prosedyrer for opptak, endring, avgang og behandling av studentrelatert informasjon. 1.6.3 Ansatte og studenter ved Høgskolen i Gjøvik skal til enhver tid kunne legitimere seg med ansatt-/studentkort ved ferdsel på området og ved bruk av høgskolens informasjonssystemer og andre eiendeler. 1.6.4 Nødvendig informasjon om vilkår og bruk av Høgskolen i Gjøviks IT-infrastruktur, samt sikkerhetspolicy og retningslinjer, skal finnes tilgjengelig på Internett, Fronter eller andre relevante informasjonskanaler. 1.6.5 Høgskolen i Gjøvik skal ha retningslinjer for utlevering av informasjon om studenter og ansatte til en tredjepart. 1.7 Fysisk sikkerhet 1.7.1 Alt fysisk utstyr høgskolen enten eier eller er forvalter for skal merkes og registreres av hver avdeling etter egne retningslinjer. Det er avdelingsleder sitt ansvar at dette er på plass. 1.7.2 Høgskolen i Gjøvik skal ha hensiktsmessige retningslinjer for sikring av alle lokaler og fysiske soner etter klassifisering og kritikalitet. 1.7.3 Hensiktmessige lokaler og infrastruktur skal benyttes for å redusere risiko for hendelser som brann, vannlekkasjer, tyveri, strømbrudd ol. 4

1.8 Tilgangskontroll 1.8.1 Informasjonssystemer skal ha retningslinjer for tilgangskontroll med adekvat loggføring. 1.8.2 Autentisering skal, hvis ikke avvik er nødvendig, utføres via sentrale fellessystemer for administrasjon, autentisering og autorisasjon av brukere og tjenester. 1.8.3 Systemeiere har ansvar for at systemet konfigureres med adekvat tilgangskontroll og loggføring etter retningslinjer godkjent av rektor. 1.8.4 Infrastruktur skal settes opp på en hensiktsmessig måte slik at forskjellige fysiske og logiske sikkerhetsnivå er adskilt. pkt. 2.7.2. 1.9 Kommunikasjon og driftsadministrasjon 1.9.1 Systemeier er ansvarlig for at systemer dokumenteres og at dokumentasjon oppdateres ved endringer etter høgskolens definerte standard. 1.9.2 Hver avdeling har i ansvar å utvikle egne skriftlige retningslinjer og rutiner for å oppfylle krav nedfelt i policy og prinsipper. 1.9.3 Retningslinjer for overvåkning av IKT-infrastruktur skal være definert. 1.9.4 Arbeidsoppgaver og ansvar skal fordeles på en måte som forebygger muligheter for uautorisert tilgang og misbruk av høgskolens eiendeler. 1.9.5 Systemeier er ansvarlig for at det eksisterer retningslinjer og adekvate prosedyrer for sikkerhetskopiering av egne systemer der dette er nødvendig. Systemeier eller behandlingsansvarlig må ta stilling til dette. 1.10 Systemutvikling og vedlikehold 1.10.1 Kravspesifikasjoner på systemer og tjenester skal inneholde krav til informasjonssikkerhet der det tas høyde for risikoer ved implementasjon og utvikling. 1.10.2 Det skal finnes retningslinjer for loggføring og endringshåndtering av alle systemer i produksjon. 1.10.3 Utvikling, test og vedlikehold/drift skal separeres for å forhindre uønskede feilsituasjoner. 5

1.11 Risikostyring 1.11.1 Enhver behandlingsansvarlig skal ha foretatt en risikovurdering av informasjonsressurser vedkommende er ansvarlig for. 1.11.2 Risikohåndtering og vurdering skal foregå etter kriterier og retningslinjer godkjent av rektor. 1.11.3 Det skal utføres risikovurderinger hvert 2. år for å identifisere og prioritere risiko etter kriterier nedfelt i retningslinjer. 1.11.4 Behandlingsansvarlig skal vurdere behov for sikringstiltak i henhold til effektivitet, kostnad og praktisk gjennomførbarhet. 1.11.5 Risikovurderinger skal godkjennes av høgskolens ledelse, systemeier eller behandlingsansvarlig med fullmakt. 1.11.6 Ved uakseptabelt høy risiko skal det iverksettes tiltak som reduserer risiko til et akseptabelt nivå. 1.11.7 Dersom en avdeling er i besittelse av personopplysninger skal avdelingen ta høyde for dette ved risikovurdering, dette er behandlingsansvarlig sitt ansvar. 1.12 Hendelseshåndtering og beredskap 1.12.1 Høgskolen i Gjøvik skal ha beredskapsplaner og retningslinjer for hendelseshåndtering for alle informasjonssystemer kritisk for operativ drift, dette må være implementert på et organisatorisk nivå. 1.12.2 Høgskolen i Gjøvik skal ha retningslinjer og prosedyrer for rapportering av sikkerhetshendelser. Det er systemeier sin oppgave å sørge for at disse eksisterer og er implementert på egne systemer. 1.12.3 Høgskolen skal ha definert et eget beredskapsteam som skal kunne håndtere sikkerhetsrelaterte hendelser og andre kriser. 6

1.13 Kontinuitet 1.13.1 Høgskolen i Gjøvik skal ha planer for kontinuitet som dekker alle kritiske elementer for daglig operativ drift av bærende infrastruktur og informasjonssystemer. 1.13.2 Alle kontinuitetsplaner skal kvalitetssikres, oppdateres og testes minimum hvert 2. år. 1.14 Samsvar 1.14.1 Høgskolen i Gjøvik skal følge opp og leve opp til gjeldende lover, forskrifter og eksterne retningslinjer, deriblandt: Arbeidsmiljøloven Universitets og Høgskoleloven Internkontroll-forskriften Personopplysningsloven med forskrift Regnskapsloven Arkivloven med forskrifter Offentleglova med forskrifter Sikkerhetsloven med forskrifter Forvaltningsloven med forskrifter Helseforskningsloven Forskrift om utfyllende tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver Datatilsynets krav UNINETTs etiske retningslinjer 1.15 Konsekvenser og sanksjoner 1.15.1 Alle ansatte, studenter og eksterne oppdragsgivere er pålagt å forholde seg til og følge denne sikkerhetspolicyen, tilhørende retningslinjer og regler godkjent av rektor. 1.15.2 Ved brudd på sikkerhetspolicy og tilhørende retningslinjer kan det få konsekvenser definert av rektor iht. gjeldende regelverk. 7

2 Roller og ansvarsområder Sikkerhetspolicyeier: Inge Øystein Moen, Høgskoledirektør 2.1 Sikkerhetsansvarlige IKT-Sikkerhetsansvarlig: Stian Husemoen, IT-leder 2.2 Systemansvarlige Personalsystem: Jan Kåre Testad, personaldirektør Arkiv: Jan Kåre Testad, personaldirektør Studentsystem: Gunn Rognstad, studiedirektør Økonomisystem: Kai Jakobsen, økonomidirektør Web: Gunn Rognstad, studiedirektør LMS: Gunn Rognstad, studiedirektør (evt. Rigmor Øvstetun) Studiehåndbok: Gunn Rognstad, studiedirektør IKT-infrastruktur: Stian Husemoen, IT-leder Bibliotekssystemer: Klaus Jøran Tollan, Hovedbibliotekar 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding