1.1 Om dokumentet
1.1.1 Om begrepet informasjonssikkerhet
Informasjonssikkerhet har med sikring av informasjon ? gj?re, uavhengig av om den er lagret digitalt eller ikke. IT-sikkerhet har med sikring av Informasjons- og kommunikasjonsteknologi ? gj?re – alts? maskinvare og programvare. Grunnen til at IT-sikkerhet og informasjonssikkerhet ofte blir brukt om hverandre, er at mye informasjon er lagret og formidlet ved hjelp av IT. For ? beskytte slik informasjon, m? man beskytte teknologien den er lagret og formidlet p?.
1.1.2 Om ledelsessystemet
Personopplysnings– og forvaltningsloven med tilh?rende forskrifter stiller krav om innf?ring av ledelsessystem for informasjonssikkerhet (LSIS). Dette dokumentet beskriver Universitetet i Oslos ledelsessystem for informasjonssikkerhet. I beskrivelsen er det ogs? tatt hensyn til annet lov- og regelverk (offentlighetsloven, arkivloven, ?konomireglement med mer) som har betydning for arbeidet med sikring av universitetets informasjon.
Behovet for en systematisk oversikt og samling av retningslinjer og rutiner som ligger til grunn for arbeidet med IT- og informasjonssikkerhet springer ut av universitetets avhengighet av IT og IT-ressurser i sin daglige og langsiktige virksomhet.
Trusler som i sin konsekvens svekker eller hindrer universitetets og den enkelte brukers tilgang til IT-ressursene eller ?pner disse for misbruk, er ikke bare en trussel mot universitetets og brukernes mulighet til ? l?se sine oppgaver og n? sine m?l.
Truet er ogs? de store materielle og immaterielle verdier som universitetet forvalter og den store mengden av informasjon som er gitt i fortrolighet eller samlet inn p? en slik m?te at de omfattes av lov om personopplysninger. I tillegg kommer den ?deleggende virkning ulike sikkerhetshendelser kan f? for omd?mmet til Universitetet i Oslo.
Spesifikt for informasjonssikkerheten inneb?rer dette tiltak som sikrer alle parter f?lgende:
- Tilgjengelighet: Sikrer mot tap av eller avbrudd i tilgangen til informasjon og data
- Konfidensialitet: Sikrer mot ikke-autorisert innsyn i, endring av eller offentliggj?ring av informasjon og data
- Integritet: Sikrer informasjonens og dataenes n?yaktighet, fullstendighet og opprinnelighet
Dette er samme definisjon som brukes i ?Nasjonal Strategi for informasjonssikkerhet?.
1.2 Oversikt over universitetets ledelsessystem for informasjonssikkerhet
Ledelsessystemet for informasjonssikkerhet ved UiO best?r av en styrende, en gjennomf?rende og en kontrollerende del, og erstatter UiOs IT-sikkerhetsh?ndbok.
1.2.1 Styrende del
Styrende del av ledelsessystemet inneholder den ?verste ledelsens overordnede retningslinjer for arbeidet med informasjonssikkerhet ved UiO:
- Beskrivelse av hvilke deler av UiOs virksomhet som omfattes av ledelsessystemet (avgrensning)
- Ledelsens sikkerhetsm?l og –strategi, inkludert kriterier for akseptabel risiko
- Organiseringen av arbeidet med informasjonssikkerhet (sikkerhetsorganisering).
Revisjonshistorikk
Revisjonshistorikken gir oversikt over behandling, godkjenning og revisjon av ledelsessystemet:
- Versjon 1.0
1.2.2 Gjennomf?rende og kontrollerende del
Gjennomf?rende og kontrollerende del best?r av rutiner og arbeidsdokumenter som ligger til grunn for det operative IT- og informasjonssikkerhetsarbeidet. Dette omfatter blant annet rutiner og verkt?y for gjennomf?ring av risikovurderinger, avviksh?ndtering, sikkerhetsrevisjoner, tilgangsstyring, fysisk sikring av infrastruktur og utstyr, monitorering og skanning av nettverk eller systemer og kontinuitets- og beredskapsplaner.
1.2.3 IT-sikkerhetsh?ndbok for Universitetet i Oslo
Disse tre delene av ledelsessystem for informasjonssikkerhet erstatter ?IT-sikkerhetsh?ndbok for Universitetet i Oslo?.
1.3 Virkeomr?de
Systemet samler retningslinjer for alle deler av IT-sikkerhetsarbeidet, inkludert informasjonssikkerheten. Den gjelder for all IT-virksomhet p? universitetet enten den skjer i regi av USIT eller av andre enheter ved universitetet. Den er s?ledes styrende for:
- Sentral og lokal IT p? universitetet
- System- og tjenesteeiere
- Samarbeidstiltak, inkludert §1.4.4-tiltak som universitetet er vertskap for
- Institusjoner i universitetets randsone som benytter seg av universitetets IT-tjenester og IT-infrastruktur, for eksempel stiftelser. Noen randsoneenheter er selv behandlingsansvarlige for personopplysninger. Disse kan bruke eget ledelsessystem eller v?re en del av dette etter n?rmere avtale med UiO.
I tillegg vil relevante deler av ledelsessystemet gj?res gjeldende for USITs oppdragsvirksomhet.
Ledelsessystemet inng?r som en del av dokumentasjonen av sikkerhetsarbeidet p? universitetet.
1.3.1 M?lgrupper
IT- og informasjonssikkerhetsarbeid omfatter hele organisasjonen, og disse dokumentene har flere m?lgrupper:
- Universitetets ledelse og ledelsen ved fakulteter og andre enheter
- IT-tilsatte i sentral og lokal IT-organisasjon
- System- og tjenesteeiere
- Universitetets IT-brukere (ansatte, studenter og andre tilknyttede brukere)
1.4 Eierskap, godkjenning og revisjon
Universitetsdirekt?ren er ?verste ansvarlig for IT- og informasjonssikkerheten p? universitetet og eier ?Ledelsessystem for informasjonssikkerhet (LSIS)?. Dokumentene skal gjennomg?s og revideres ?rlig. IT-direkt?ren koordinerer arbeidet med revisjonen og legger forslag til endringer fram for universitetsdirekt?ren. Universitetsdirekt?ren avgj?r om endringene er av en slik karakter at de skal legges fram for godkjenning av rektor eller universitetsstyret.
Den styrende delen av ledelsessystemet godkjennes av universitetsdirekt?ren. Den gjennomf?rende delen og den kontrollerende delen godkjennes av IT-direkt?ren. Godkjente versjoner av den styrende delen skal arkiveres i UiOs arkivsystem.
Dokumentene er til enhver tid tilgjengelige p? UiOs nettsider, under ?IT-tjenester?.
1.5 Grunnlaget for arbeidet
Dokumentene er basert p? UNINETTs retningslinjer for UH-sektoren, og Direktoratet for forvaltning og IKT (DIFI) sine tilsvarende retningslinjer for offentlige virksomheter.
Arbeidet bygger p? den internasjonale standarden p? omr?det, ISO/IEC 27002:2013, som DIFI ogs? anbefaler.