Last ned dokumentet

Policy for informasjonssikkerhet
2.0
ROLLER OG ANSVARSOMRÅDER
2.1
Roller og ansvarsområder
Styret har det overordnete ansvaret for at UiS sine verdier forvaltes på en effektiv og betryggende
måte i henhold til gjeldende lover, forskrifter og avtaler.
Universitetsdirektøren har det daglige ansvar for sikkerheten ved UiS, herunder fysisk sikkerhet,
personalsikkerhet og informasjonssikkerhet.
Eier av sikkerhetspolicy
2.1.1 Universitetsdirektøren er eier av sikkerhetspolicyen (dette dokumentet).
Universitetsdirektøren delegerer sikkerhetsrelatert dokumentasjon og signaturrettigheter til
sikkerhetsansvarlig (CISO, Chief Information Security Officer). Alle endringer i dokumentet
skal dokumenteres og signeres av sikkerhetsansvarlig.
Sikkerhetsansvarlig
2.1.2 Sikkerhetsansvarlig (CSO, Chief Security Officer) er hovedansvarlig for informasjonssikkerhet
ved UiS. IT direktør har denne rollen (ref. kapittel 3.2.1).
Systemeier
2.1.3 Systemeier, i samråd med IT avdelingen, er ansvarlig for krav til anskaffelse, utvikling og
vedlikehold av informasjon og relaterte informasjonssystemer. Alle typer informasjon skal
ha en definert eier. Eier definerer hvilke brukere eller brukergrupper som skal ha tilgang til
informasjonen og hva som er autorisert bruk av informasjonen.
Systemansvarlig (IT-avdelingen)
2.1.4 Systemansvarlige er ansvarlig for spesifikke områder av IT ved universitetet.
Systemansvarlige er personer som forvalter UiS sine informasjonssystemer eller informasjon
som er betrodd UiS fra andre parter. Hver enkelt type informasjon og systemer kan ha en
eller flere dedikerte systemansvarlige. Disse er ansvarlige for å beskytte informasjonen,
inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å foreta
backup slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder
dessuten sikkerhetsmekanismer i tråd med intensjonen. Systemansvarlig er synonymt med
tjeneste koordinator.
Brukere
2.1.5 Ansatte og studenter er ansvarlige for å gjøre seg kjent med og rette seg etter UiS sitt ITreglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av
den aktuelle informasjonen, eventuelt systemansvarlig.
Konsulenter og kontraktspartnere
2.1.6 Kontraktspartnere og innleide konsulenter skal skrive under taushetserklæring ved innsyn i
sensitive forhold.
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
8 av 22
Policy for informasjonssikkerhet
3.0
STYRINGSSYSTEM FOR INFORMASJONSSIKKERHET VED UIS
3.1
Policy for informasjonssikkerhet
3.1.1
3.1.2
3.2
Policy for informasjonssikkerhet (dette dokumentet) skal godkjennes og følges opp av
Universitetsdirektøren, publiseres og formidles til ansatte og relevante eksterne aktører.
Sikkerhetspolicyen skal gjennomgås og oppdateres årlig eller ved behov etter prinsipper for
ISMS (information security management system), som beskrevet i ISO/IEC 27001:2013.
Organisering av informasjonssikkerhet
UiS sin sikkerhetsorganisasjon
3.2.1 Alt ansvar relatert til informasjonssikkerhet skal defineres og fordeles.
3.2.2 Ansvaret innenfor sikkerhetsområdet er fordelt som følger:
•
•
•
•
•
•
•
•
•
•
•
•
•
Det overordnede sikkerhetsansvaret ligger hos Universitetsdirektøren.
IT direktør er delegert ansvaret for sikkerhet ved UiS, inkludert informasjonssikkerhet og ITsikkerhet. IT direktør dermed CSO (Chief Security Officer, dvs. hoved sikkerhetsansvarlig) ved
UiS.
Den enkelte avdeling og seksjon er ansvarlig for å implementere informasjonssikkerhet ved
enheten. Lederne ved resultatenhetene skal utnevne egne IT-sikkerhetsansvarlige.
HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til personaldata i
henhold til personopplysningsloven.
Utdanningsdirektøren har det utførende ansvar for informasjonssikkerhet knyttet til
studentregisteret og annen studentrelatert informasjon.
IT direktør har det utførende ansvaret for informasjonssikkerhet knyttet til IT-systemer og ITinfrastruktur.
Driftssjef har det utførende ansvar for informasjonssikkerhet knyttet til bygningsmessig
infrastruktur.
HR direktøren har det utførende ansvar for informasjonssikkerhet knyttet til HMS-systemer.
Universitetsdirektøren er behandlingsansvarlig for de ansattes personopplysninger. Den
daglige behandlingsansvarlige er HR direktøren, som ivaretar myndighetskontakt i forhold til
Datatilsynet.
Norsk samfunnsvitenskapelig datatjeneste er personvernombud for forskningsrelaterte
personopplysninger.
Universitetsdirektøren har det overordnede ansvar for kvalitetsarbeidet, mens det
operasjonelle ansvaret er delegert iht. ledelsesstrukturen.
Prosjekter skal organiseres iht. prosjekthåndbok, der informasjonssikkerheten skal være
definert.
UiS sin informasjonssikkerhet vil jevnlig bli revidert gjennom internkontroll og ved behov
med bistand fra UNINETT eller ekstern IT-revisor.
UiS har et informasjonssikkerhetsforum som består av fakultetsdirektørene, IT-direktør og
eventuelt IT revisor og andre ved behov. Sikkerhetsforumet skal gi universitetsdirektøren råd
om tiltak som fremmer operasjonell informasjonssikkerhet i virksomheten gjennom
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
9 av 22
Policy for informasjonssikkerhet
nødvendig engasjement og tilstrekkelig ressursbruk. Sikkerhetsforumet skal ha følgende
oppgaver:
o
o
o
o
3.2.3
3.2.4
3.2.5
3.2.6
Gjennomgå og godkjenne policy for informasjonssikkerhet med tilhørende dokumenter
og generelle ansvarsforhold.
Overvåke vesentlige endringer i truslene mot virksomhetens informasjonsaktiva.
Gjennomgå og overvåke innrapporterte sikkerhetshendelser.
Godkjenne større initiativ for å styrke informasjonssikkerheten.
Motstridende oppgaver og ansvarsområder skal segregeres for å redusere muligheter for
uautorisert eller utilsiktet endring eller misbruk av virksomhetens eiendeler.
Formell kontakt med relevante myndigheter som har ansvar innenfor personvern og
informasjonssikkerhet skal opprettholdes, slik som Datatilsynet og NORSIS mv.
Relevant kontakt med spesielle interessegrupper eller andre spesialistsikkerhets fora og
yrkesorganisasjoner skal opprettholdes.
Informasjonssikkerhet skal hensyn tas og inkluderes i prosjektledelse, uavhengig av type av
prosjektet.
Mobile enheter og fjernarbeid
3.2.7 Retningslinjer og understøttende sikkerhetstiltak skal vedtas for å håndtere risiko ved bruk
av mobile enheter.
3.2.8 Retningslinjer og understøttende sikkerhetstiltak skal iverksettes for å beskytte informasjon
som behandles eller lagres på fjern arbeids plasser.
3.3
Informasjonssikkerhet knyttet til personalet
Før ansettelse
3.3.1 Sjekk av bakgrunnen til alle som innstilles til stillinger ved UiS skal foretas iht.
virksomhetsmessige krav og relevante lover og regler.
3.3.2 Kontrakter med ansatte og eksternt personell skal beskrive ansvar for informasjonssikkerhet.
For ansatte gjelder
3.3.3 Ledelsen skal kreve at alle ansatte og tredjeparts brukere pålegges krav til
informasjonssikkerhet i henhold til etablerte retningslinjer (policy) og prosedyrer ved UiS.
Dette gjelder blant annet taushetserklæring og IT reglement.
3.3.4 Alle ansatte og tredjepartsbrukere skal få tilstrekkelig opplæring og oppdatering i policy for
informasjonssikkerhet og relevante retningslinjer og prosedyrer. Kravet til opplæring vil
variere.
3.3.5 Brudd på policy for informasjonssikkerhet og retningslinjer vil normalt medføre sanksjoner.
Det henvises til Tjenestemannsloven og gjeldende regler ved UiS.
3.3.6 UiS sin informasjon, informasjonssystemer og andre verdier (f.eks. telefon), skal kun
benyttes til de formål de er bestemt for. Nødvendig privat bruk tillates.
3.3.7 Bruk av UiS sin IT-infrastruktur i egen næringsvirksomhet er under ingen omstendighet
tillatt.
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
10 av 22
Policy for informasjonssikkerhet
Avslutning eller endring av tilsetting
3.3.8 Informasjonssikkerhet ansvar og plikter som forblir gyldig etter opphør eller endring av
ansettelsesforholdet skal defineres, formidles til den ansatte eller tredjeparts brukere og
håndheves.
3.4
Forvaltning av eiendeler
Ansvar for eiendeler
3.4.1 Oversikt over alle informasjonsaktiva skal utarbeides og vedlikeholdes der det blant annet
skal fremgå (ikke avgrenset til); informasjonens art (personopplysninger, sensitive
personopplysninger, annen informasjon med betydning for informasjonssikkerheten),
systemeier, hjemmel, hvor lagret og hvordan sikret.
3.4.2 Alle informasjonsaktiva skal ha entydig eierskap
3.4.3 Retningslinjer for akseptabel bruk av informasjonsaktiva og IT systemer skal identifiseres,
dokumenteres og implementeres.
3.4.4 Ansatte og tredjeparts brukere skal tilbakelevere virksomhetens eiendeler ved avslutning av
arbeidsforholdet.
Klassifikasjon av informasjon
3.4.5 Informasjon skal klassifiseres med hensyn til regulatoriske krav, verdi, kritikalitet og
konfidensialitet.
•
Følgende kategorier for konfidensialitet gjelder:
Sensitiv
Informasjon av sensitiv art hvor uautorisert tilgang (også internt) kan medføre betydelig skade for
enkeltpersoner, universitetet eller deres interesser. Sensitiv informasjon er her synonymt med
forvaltningslovens «Unntatt Offentlighet» og sensitive personopplysninger iht.
personopplysningslovens § 2-8. Slik informasjon skal sikres i «røde» soner, ref. kapittel 3.6.27.
Intern
Informasjon som kan skade UiS eller være upassende at tredjepart får kjennskap til. Systemeier avgjør
tilgangs- og delingsmåte.
Åpen
Annen informasjon er åpen.
3.4.6
3.4.7
UiS skal ha prosedyrer for merking av informasjon og som er i tråd med klassifikasjonen.
Det skal utarbeides og implementeres prosedyrer for håndtering av eiendeler og som er i
samsvar med virksomhetens klassifiseringssystem.
Håndtering av lagringsmedier
3.4.8 Det skal implementeres prosedyrer for administrasjon og håndtering av flyttbare
lagringsmedier og som er i henhold til virksomhetens klassifikasjonssystem.
3.4.9 Lagringsmedier skal avhendes på en sikker måte når disse ikke lenger skal brukes og ved
bruk av skriftlig prosedyre.
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
11 av 22
Policy for informasjonssikkerhet
3.4.10 Når lagringsmedier transporteres skal dette skje slik at lagringsmediet og informasjonen er
beskyttet mot uautorisert tilgang, misbruk eller annen type skade.
3.5
Tilgangskontroll
Virksomhetsmessige krav
3.5.1 Virksomheten skal ha en skriftlig tilgangs- og passordpolicy som er basert på virksomhets- og
sikkerhetsmessige krav og behov. Tilgangspolicyen skal revideres regelmessig.
• Tilgangspolicyen skal inneholde retningslinjer for endringsfrekvens, passordregler
(minimumslengde, type karakterer som kan/skal benyttes mv.) og hvordan passordet kan
lagres.
3.5.2 Brukere skal bare gis tilgang til nettverk og nettverks tjenester som de har blitt autorisert til
å bruke.
Tilgangskontroll for brukere
3.5.3 Det skal benyttes en formell registrerings- og av-registreingsprosedyre for registrering av
bruker tilganger.
3.5.4 Det skal benyttes en formell prosess for tilordning, endring og fjerning av brukertilganger for
alle typer systemer og tilganger.
3.5.5 Tildeling og bruk av privilegerte tilgangsrettigheter skal være begrenset og kontrollert.
3.5.6 Tildeling av autentiseringsinformasjon som skal holdes skjult skal styres gjennom en formell
prosess.
3.5.7 Eiere av informasjonsaktiva skal gjennomgå brukernes tilgangsrettigheter med jevne
mellomrom.
3.5.8 Tilgangsrettighetene til virksomhetens informasjon for alle ansatte og tredjeparts brukere til
skal fjernes ved opphør av arbeidsforholdet, kontrakt eller avtale, eller justeres ved endring.
Brukernes ansvar
3.5.9 Det skal kreves at brukere følger virksomhetens praksis for behandling av informasjon med
beskyttelsesbehov.
System og applikasjonstilgang
3.5.10 Tilgang til informasjon og funksjoner i applikasjoner skal være begrenset i samsvar med
retningslinjer for tilgangskontroll.
3.5.11 Der det følger av retningslinjer for tilgangskontroll, skal tilgang til systemer og programmer
styres av en sikker påloggingsprosedyre.
3.5.12 Passord styringssystemer skal være interaktiv og skal sikre kvalitets passord.
3.5.13 Bruken av hjelpeprogrammer som kan være i stand til å overstyre systemet og
applikasjonskontroller skal begrenses og kontrolleres.
3.5.14 Tilgang til kildekode til programmer skal begrenses.
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
12 av 22
Policy for informasjonssikkerhet
3.6
Kryptering
Bruk av kryptering
3.6.1 Virksomheten skal ha retningslinjer og prosedyrer for bruk av kryptering for beskyttelse av
informasjon.
3.6.2 Virksomheten skal ha retningslinjer og prosedyrer for håndtering av kryptografiske nøkler og
som varer i hele livssyklusen.
3.7
Informasjonssikkerhet knyttet til fysiske forhold
Sikkerhetsområder
3.7.1 Sikkerhets soner skal defineres og brukes for å beskytte områder som inneholder enten
sensitive eller kritisk informasjon og informasjon prosessanlegg.
3.7.2 Sikre områder skal beskyttes med passende oppføring kontroller for å sikre at kun autorisert
personell får tilgang.
Følgende soneinndeling skal benyttes:
Sikringsnivå
Område
Sikring
Grønn
Alt er i utgangspunktet
tilgjengelig.
Studentområder og kantine.
Ingen adgangskontroll.
All utskrift skal beskyttes med «Follow me»funksjonalitet.
Områder hvor det
arbeidstiden kan forefinnes
intern informasjon.
Kontorlokaler, møterom,
noen arkiver, noen tekniske
rom slik som koblingsrom,
skriverrom.
All utskrift skal beskyttes med «Follow me»funksjonalitet.
Adgangskontroll:
Hovednøkkel/nøkkelkort
Avgrensede områder hvor
spesiell autorisasjon kreves.
Datarom/serverrom/arkiver
o.l. med sensitiv informasjon.
All utskrift skal beskyttes med «Follow me»funksjonalitet.
Adgangskontroll: Hovednøkkel/nøkkelkort
Gul
Rød
3.7.3
3.7.4
3.7.5
3.7.6
Versjon:
1.3
Fysisk sikring av kontorer, rom og fasiliteter skal utformes og iverksettes
Fysisk beskyttelse mot naturkatastrofer, ondsinnet angrep eller ulykker skal utformes og
anvendes.
Prosedyrer for å arbeide i sikre områder skal utformes og anvendes.
Tilgangspunkter for eksempel leverings og lasteområder og andre steder hvor
uvedkommende kan komme inn i lokalene skal kontrolleres og om mulig, isolert fra
informasjon prosessanlegg for å unngå uautorisert tilgang
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
13 av 22
Policy for informasjonssikkerhet
Sikring av utstyr
3.7.7 Utstyr skal plasseres og beskyttes for å redusere risikoen fra miljøtrusler og farer, og
muligheter for uautorisert tilgang.
3.7.8 Utstyr skal beskyttes mot strømbrudd og andre avbrudd grunnet svikt i fysiske
rammebetingelser.
3.7.9 Strøm og telekommunikasjon kabling bærer data eller en fokusert satsing
informasjonstjenester skal beskyttes mot avlytting, forstyrrelser eller skade.
3.7.10 Utstyr skal være riktig vedlikeholdt for å sikre dens fortsatte tilgjengelighet og integritet.
3.7.11 Utstyr, informasjon eller programvare skal ikke tas ut av virksomheten uten
forhåndsgodkjennelse.
3.7.12 Ved anvendelse av virksomhetens verdier utenfor virksomheten skal det tas hensyn til de
ulike risikoene ved å arbeide utenfor virksomhetens lokaler. Jf. POF § 2-10.
•
Informasjon klassifisert som «Sensitiv» skal i prinsippet ikke lagres på bærbart datautstyr
(f.eks. laptop, mobiltelefon eller minnepinner). Dersom det er nødvendig å lagre slik
informasjon på bærbart utstyr, skal informasjonen passord beskyttes og / eller krypteres
iht. IT-avdelingens retningslinjer.
3.7.13 Ved avhending eller omdisponering av IT utstyr skal alle sensitive data og programmer
slettes.
3.7.14 Brukere skal sørge for at ubetjent utstyr har relevant beskyttelse.
3.7.15 Virksomheten skal ha en «Clear desk» policy for papirer flyttbare medier og «Clear screen»
policy.
3.8
Sikkerhet knyttet til drift
Operasjonelle prosedyrer og ansvarsområder
3.8.1 Driftsprosedyrer skal dokumenteres og gjøres tilgjengelig for alle som trenger dem.
3.8.2 Endringer i virksomheten, forretningsprosesser eller informasjons prosessering og systemer
med betydning for informasjonssikkerhet skal bli kontrollert.
3.8.3 Ressursbruken skal overvåkes, tunes og det skal gjennomføres kapasitetsplanlegging som
hensyn tar fremtidige ytelseskrav.
3.8.4 Utvikling, test og vedlikehold skal separeres for å redusere risikoen for uautorisert tilgang
eller uautoriserte endringer og for å redusere risikoen for feilsituasjoner.
3.8.5 Lokale IT løsninger ved fakultetene skal være rettet mot spesielle behov ved den enkelte
enhet. Det skal legges til rette for at lokale IT løsninger ved UiS kan dra nytte av
fellestjenester som tilbys via den sentrale IT tjenesten uavhengig av hvilken teknologi som
benyttes lokalt og uavhengig av organisatorisk tilhørighet v/UiS.
Beskyttelse mot skadelig kode
3.8.6 Tiltak for å beskytte mot ondsinnet og/eller skadelig kode skal inkludere deteksjon,
forebygging og gjenoppretting.
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
14 av 22
Policy for informasjonssikkerhet
Sikkerhetskopiering
3.8.7 Sikkerhetskopiering av informasjon, programvare og system «images» skal gjennomføres og
testes regelmessig i henhold til de krav som foreligger for dette.
Logging og overvåkning
3.8.8 Logging av all autorisert bruk, forsøk på uautorisert bruk, feilsituasjoner og sikkerhets
hendelser for øvrig skal logges. Loggene skal lagres i minst 3 måneder, Jf. POF 2- 16.
3.8.9 Loggene skal være beskyttet mot manipulering og uautorisert tilgang.
3.8.10 Aktivitetene til systemadministratorer og systemoperatører skal loggføres og loggene skal
beskyttes og gjennomgås periodisk.
3.8.11 Systemklokkene til alle relevante systemer skal synkroniseres til den samme referansekilden.
Kontroll av programvarer
3.8.12 Virksomheten skal ha prosedyrer på plass for kontrollere installasjon av programvarer.
Kontroll av sårbarheter
3.8.13 Sårbarheter i relevante systemer skal kartlegges jevnlig og risikoreduserende tiltak
implementeres.
3.8.14 Det skal være retningslinjer som regulerer brukernes installasjon av programvarer.
Informasjonssystemer og revisjonshensyn
3.8.15 Krav til revisjon og verifikasjon av systemer skal være planlagt for å minimalisere
driftsforstyrrelser.
3.9
Kommunikasjons sikkerhet
Nettverksstyring
3.9.1 Nett skal administreres og kontrolleres slik at informasjon i systemer og applikasjoner
beskyttes.
3.9.2 Sikkerhetsmekanismer, tjeneste nivåer (SLA) og ledelsens krav til alle nettverkstjenester skal
identifiseres og inngå i tjeneste avtaler, enten disse tjenestene er levert internt eller
eksternt.
3.9.3 Informasjon, systemer, og brukere skal segregeres i henhold til klassifikasjon i klassemodell /
soneforskrift.
Utveksling av informasjon
3.9.4 Virksomheten skal ha retningslinjer for utveksling av informasjon slik at dette skjer med
tilstrekkelig sikkerhet.
3.9.5 Utveksling av informasjon med eksterne parter skal reguleres i egne avtaler
3.9.6 Informasjon involvert i elektronisk meldingsformidling skal være tilstrekkelig beskyttet.
3.9.7 Krav til konfidensialitet og taushetserklæring skal identifiseres, beskrives og gjennomgås
regelmessig.
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
15 av 22
Policy for informasjonssikkerhet
3.10
Systemutvikling og vedlikehold
Sikkerhetskrav til informasjonssystemer
3.10.1 Krav til Informasjonssikkerhet skal beskrives for nye informasjonssystemer og endringer i /
videreutvikling av eksisterende.
3.10.2 Informasjon som sendes over offentlige nettverk skal beskyttes mot svindelforsøk,
kontraktsbrudd og uautorisert innsyn eller modifikasjon.
3.10.3 Informasjon involvert i programtjenestetransaksjoner skal være beskyttet for å hindre
ufullstendig overføring, feilsending, samt uautorisert endring, utlevering, uautorisert
melding duplisering eller kopiering.
Sikkerhet i utvikling og drifts prosesser
3.10.4 Virksomheten skal ha retningslinjer for systemutvikling.
3.10.5 Endringer i utviklingsmiljøet skal følge gjeldende rutiner.
3.10.6 Ved endringer i driftsmiljøet skal virksomhetskritiske systemer gjennomgås og testes for å
sikre mot uheldige følger av endringene.
3.10.7 Modifikasjoner i programvarepakker og systemer skal begrenses til det nødvendige og nøye
kontrolleres.
3.10.8 Det skal etableres prinsipper for utvikling av sikre systemer og som dokumenteres,
vedlikeholdes og gjennomføres i implementasjonsfasen.
3.10.9 Virksomheten skal etablere og tilstrekkelig beskytte utviklingsmiljøet og
integrasjonsarbeidet og som dekker hele livssyklusen.
3.10.10 Virksomheten skal føre tilsyn med utviklingsarbeid som er utkontraktert
3.10.11 Det skal gjennomføres testing av sikkerhetsfunksjonalitet i utviklingsfasen.
3.10.12 Det skal etableres kriterier for akseptansetesting for nye systemer, oppgraderinger og nye
systemversjoner.
Test data
3.10.13
3.11
Test data skal velges med omhu, beskyttes og kontrolleres
Databehandlere
Informasjonssikkerhet hos Databehandlere
3.11.1 Krav til informasjonssikkerhet og tiltak for å redusere risiko forbundet med Databehandlers
tilgang til UiS sine verdier skal beskrives i Databehandleravtalen.
3.11.2 Avtaler med leverandører som lagrer, behandler, overfører informasjon eller leverer
infrastrukturtjenester, skal beskrive alle relevante krav til informasjonssikkerhet, herunder
(ikke avgrenset til)
o krav til konfidensialitet, integritet og tilgjengelighet,
o beskrivelse av avtalt sikkerhetsnivå,
o krav til fortløpende rapportering av avvik fra leverandør,
o beskrivelse av hvordan virksomheten kan etterprøve at leverandørene oppfyller
avtalene,
o beskrivelse av virksomhetens rett til revisjon
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
16 av 22
Policy for informasjonssikkerhet
Exit avtale inklusive sletting av data, bistand til eventuell overgang til annen
databehandler
3.11.3 Databehandleravtaler skal inneholde krav som adresserer risikostyring i forhold til
informasjonsbehandling og bruk av kommunikasjonstjenester.
o
Tjenesteleveranse
3.11.4 Virksomheten skal regelmessig overvåke, gjennomgå og revidere databehandlere /
leverandører
3.11.5 Endringer i tjenesteleveranser fra databehandlere og som inkluderer vedlikehold og
forbedring av eksisterende retningslinjer, prosedyrer og kontroller skal hensyn ta
kritikaliteten til informasjonen som behandles og systemene som benyttes. Det skal
gjennomføres risikovurderinger ved endringer som har betydning for
informasjonssikkerheten.
Håndtering av sikkerhetshendelser og avvik
3.11.6 Det skal etableres ansvar og prosedyrer for å sikre en rask, effektiv og ryddig respons til
sikkerhetshendelser.
3.11.7 Sikkerhetshendelser skal rapporteres gjennom hensiktsmessige kanaler så raskt som mulig.
Sikkerhetshendelser skal rapporteres til: [email protected] eller linjevei eller direkte til CSO.
3.11.8 Ansatte og databehandlere som bruker virksomhetens informasjonssystemer og tjenester
skal rapportere eventuelle observerte eller mistenkte sårbarheter i systemer eller tjenester.
3.11.9 Det skal vurderes om sikkerhets hendelser skal klassifiseres som avvik.
Bruk av informasjonssystemer i strid med fastlagte rutiner, og sikkerhetsbrudd, skal
behandles som avvik.
3.11.10 Informasjonssikkerhetshendelser skal håndteres i henhold til dokumenterte prosedyrer.
3.11.11 Kunnskap fra analyse og skadereduksjon/løsning skal beskrives og benyttes til å redusere
sannsynligheten eller konsekvensene av fremtidige hendelser.
3.11.12 Virksomheten skal ha prosedyre for bevis håndtering.
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
17 av 22
Policy for informasjonssikkerhet
3.12
Kontinuitetsplanlegging
3.12.1 Virksomheten skal fastsette sine krav til informasjonssikkerhet og kontinuitet i kriser og
katastrofer og som inkluderer sikkerhetsledelse.
Tabellen nedenfor gjenspeiler BIA (Business Impact Analysis) prosessen som ble gjennomført i 2011.
Klasse og
kritikalitet
A – Høy
B - Medium
Krise
Katastrofe
RTO
RPO
RTO
RPO
Innen 2 timer med full
funksjonalitet og kapasitet
2t
Med redusert drift innen 1 dag,
100% innen 7 dager.
2t
Inntil 8 timer med full
funksjonalitet og kapasitet
1 døgn
Innen 7 dager med full
funksjonalitet og kapasitet
1 døgn
Inntil 1 uke med full
funksjonalitet.
1 uke
Innen 3 uker med redusert drift
og innen 4 uker med full
funksjonalitet og kapasitet
1 uke
C - Lav
3.12.2 Virksomheten skal etablere, dokumentere, iverksette og vedlikeholde prosesser, prosedyrer
og kontroller for å sikre den nødvendige nivå av kontinuitet i ugunstige situasjoner.
3.12.3 Kontinuitetsplanen(e) skal testes periodisk for å sikre at den er dekkende, og sikre at ledelse
og ansatte forstår gjennomføringen.
Redundans
3.12.4 IT systemene skal tilstrekkelig redundans for å oppfylle kravene til tilgjengelighet.
3.13
Samsvar
Samsvar med juridiske krav
3.13.1 UiS skal følge gjeldende lovverk og kontrakter der virksomhetens tiltak for å etterleve disse
skal dokumenteres.
3.13.2 Hensiktsmessige prosedyrer skal iverksettes for å sikre samsvar med lover, forskrifter og
avtalefestede krav samt kravknyttet til åndsverk
3.13.3 Registre skal være beskyttet mot tap, ødeleggelse, forfalskning, uautorisert tilgang og
uautorisert utgivelse, i samsvar med regulatoriske, kontraktsmessige og forretningsmessige
krav.
3.13.4 Personopplysninger skal beskyttes i henhold til Personopplysningsloven (POL) med forskrift
(POF).
3.13.5 Kryptering skal benyttes i samsvar med alle relevante avtaler, lover og regler, Jf. POF § 2-11.
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
18 av 22
Policy for informasjonssikkerhet
Gjennomgang av informasjonssikkerheten
3.13.6 UiS sitt internkontrollsystem for informasjonssikkerhet (planlagte og systematiske tiltak (Jf
POL § 14) skal gjennomgås av ekstern IT revisor ved planlagte intervaller eller ved vesentlige
endringer.
3.13.7 Ledere skal jevnlig gjennomgå etterlevelse av informasjonsbehandling og prosedyrer
innenfor sitt ansvarsområde i forhold til sikkerhetsrutiner, standarder og eventuelle andre
krav til sikkerhet.
3.13.8 Informasjonssystemene skal jevnlig gjennomgås for samsvar med virksomhetens
informasjonssikkerhet retningslinjer og standarder.
4.0
STYRENDE DOKUMENTER FOR SIKKERHETSARBEIDET
4.1
Formål med styrende dokumenter
Styrende dokumenter for informasjonssikkerhet skal bidra til å oppnå et balansert nivå på tiltak i
forhold til den risiko og de rammebetingelser UiS står overfor.
Det skal eksistere dokumenterte krav og retningslinjer knyttet til informasjonssikkerhet basert på
oppdaterte risikoanalyser. De øvrige systemer og infrastruktur skal være dekket av gode basis
kontroller innen informasjonssikkerhet som til enhver tid skal etterleves.
4.2
Dokumentstruktur
Nivå 1: Sikkerhetspolicy definerer mål, hensikt, ansvar
og overordnede krav. I tillegg gir denne en oversikt over
de etablerte styrende dokumenter knyttet til
informasjonssikkerhet og hvorfor dette er viktig. Dette er
styrende dokumentasjon.
Nivå 2: Overordnede retningslinjer og prinsipper for
informasjonssikkerhet. Her defineres hva som må gjøres
for å etterleve den etablerte policy.
Dette er styrende dokumentasjon.
Hvorfor
Hva
Hvordan
Nivå 3: Standarder og prosedyrer for
informasjonssikkerhet. Inneholder detaljerte
retningslinjer for hvordan disse retningslinjer og
prinsipper (nivå 2) skal implementeres. Dette bør etter
hvert etableres for alle sentrale informasjonssystemer.
Dette er gjennomførende og kontrollerende
dokumentasjon.
4.2.1
Versjon:
1.3
UiS har organisert dokumentstrukturen for beskrivelse av sin sikkerhetsarkitektur i 3 nivåer.
Den etablerte struktur for styrende dokumenter for IKT-sikkerhetsarbeidet er som følger:
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
19 av 22
Policy for informasjonssikkerhet
5.0
REFERANSER
5.1
Interne referanser – prosedyrer for IT avdelingen
Versjon
Versjon:
1.3
Dato
Dato:
05.02. 2015
Kontroller / kommentar
Ansvarlig
IT-reglement for UiS – ref. IT avdelingens intranett
side http://www.uis.no/it-avdelingen/
IT direktør
Risikostyrings rammeverk, ref. IT avdelingens
intranett side
Alle
For driftsdokumentasjon relatert til IT drift – ref.
egen Sharepoint site v/UiS-IT.
IT direktør
For åpne dokumenter, HR reglement,
Taushetserklæring, mv: http://www.uis.no/omuis/organisasjonen/administrasjon/hr-avdelingen/
Alle
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
20 av 22
Policy for informasjonssikkerhet
5.2
Eksterne referanser
Referanser
[1] ISO 27002 Informasjonsteknologi – Administrasjon av informasjonssikkerhet (ISO/IEC
17799:2005)
[2] ISO/IEC 27001: 2005 Information security – Security techniques – Information security
management systems – Requirements
[3] ISO/IEC 27002: 2005 Information security – Security techniques – Code of practice for
information security management.
[4] ISO/IEC 27005: 2008 Information security – Security techniques – Information security
risk management.
[5] Lov om personopplysninger: http://www.lovdata.no/all/hl-20000414-031.html
[6] Lov om arkiv (arkivlova): http://www.lovdata.no/all/nl-19921204-126.html
[7] Lov om årsregnskap m.v. (regnskapsloven): http://www.lovdata.no/all/nl-19980717056.html
[8] Lov om statens tjenestemenn m.m. (tjenestemannsloven): http://www.lovdata.no/all/nl19830304-003.html
[9] Lov om universiteter og høyskoler (universitetsloven): http://www.lovdata.no/all/hl20050401-015.html
[10] Lov om elektronisk signatur (esignaturloven): http://www.lovdata.no/all/hl20010615-081.html
[11] Lov om opphavsrett til åndsverk m.v. (åndsverkloven): http://www.lovdata.no/all/nl19610512-002.html
[12] ”Kommuneveiledningen” (Veiledning i informasjonssikkerhet for kommuner og
fylker"):
http://www.datatilsynet.no/upload/Dokumenter/infosik/veiledere/tv202_2005_1.pdf
[13] Datatilsynet: Veileder for bruk av tynne klienter:
http://www.datatilsynet.no/upload/Dokumenter/infosik/veiledere/Veileder_tynneklient
er.pdf
[14]
Datatilsynet: Kryptering: http://www.datatilsynet.no/templates/article____889.aspx
[15] Datatilsynet: Risikovurdering:
http://www.datatilsynet.no/upload/Dokumenter/infosik/veiledere/Risikovurdering_TV506_02.pdf
http://www.sfso.no/upload/forvaltning_og_analyse/risikostyring/NY_Metodedokument
_06012006.pdf
[16] OECDs retningslinjer - for sikkerhet i informasjonssystemer og nettverk - Mot en
sikkerhetskultur. http://www.oecd.org/dataoecd/16/5/15584616.pdf
[17] Nasjonal Sikkerhetsmyndighet (NSM): Veiledning i risiko- og sårbarhetsanalyse (ROS).
http://www.nsm.stat.no/Documents/Veiledninger/ROS_2004_veiledning.pdf
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
21 av 22
Policy for informasjonssikkerhet
[18] Senter for statlig økonomistyring: Risikostyring i staten – Håndtering av risiko i mål- og
resultatstyringen
http://www.sfso.no/upload/forvaltning_og_analyse/risikostyring/NY_Metodedokument
_06012006.pdf
[19] UFS 107: Krav til strømforsyning av IKT-rom. Fagspesifikasjon fra UNINETT.
https://ow.feide.no/_media/gigacampus:ufs103.pdf
[20] UFS 108: Krav til ventilasjon og kjøling i IKT-rom. Fagspesifikasjon fra UNINETT.
https://ow.feide.no/_media/gigacampus:ufs108.pdf
[21] UFS 122: Anbefalt IT-infrastruktur i UH-sektoren. Fagspesifikasjon fra
UNINETT.(Utkast).
https://ow.feide.no/_media/gigacampus:ufs:ufs_122_v1.0.pdf
Versjon:
1.3
Dato:
05.02. 2015
Forfatter:
Kenneth Høstland
Kontrollert:
Marina Davidian
Godkjent:
John Møst
Side:
22 av 22