3.1 M?l
Det overordnede m?let for arbeidet med ? sikre IT-tjenestene og informasjonsressursene er:
?? sikre rett niv? p? sikkerhet, stabilitet, tilgjengelighet og kvalitet av IT-tjenester og IT-ressurser slik at prim?rvirksomheten og st?ttetjenestene kan utf?res mest mulig problem- og avbruddsfritt. Samtidig skal personopplysninger v?re tilstrekkelig godt ivaretatt, slik at dataene har god tilgjengelighet, konfidensialitet og integritet. I tillegg skal dette arbeidet balanseres mot hensynet til studenters og ansattes personvern.?
3.2 Hovedstrategier for ? oppn? m?let
Arbeidet er fundert p? to grunnprinsipper. Den viktigste sikringen gj?res ved ? basere seg p? en god grunnsikring som et fundament i infrastruktur og rutiner. Denne inneb?rer sikkerhet i dybden som kan s?rge for beskyttelse mot trusler. I tillegg til dette benyttes utstrakt risikostyring, der alle st?rre prosjekter og systemer skal gj?re egne risikoanalyser og iverksette n?dvendige tiltak for ? h?ndtere risikoene.
3.2.1 Bevisstgj?ring av brukerne
Spre bevissthet om IT-sikkerhet og informasjonssikkerhet blant brukerne.
3.2.2 Riktig kompetanse i alle ledd
Gi alle ledere, ansatte og studenter ved universitetet n?dvendig kompetanse og oppl?ring for ? ivareta sine oppgaver og forvalte informasjon p? en sikker m?te.
3.2.3 Beskyttelse og sikring
Beskytte og sikre utstyr, tjenester, systemer, ressurser og annet mot avbrudd, feil, innbrudd, misbruk, ?deleggelse eller andre trusler mot sikkerheten, tilgjengeligheten, stabiliteten og kvaliteten i IT-tjenestene og IT-systemene
3.2.4 Kontroll og overv?king
Kontrollere og verifisere at sikringstiltakene fungerer for ? fange opp unormale situasjoner og omstendigheter som kan representere en trussel. For de systemene som USIT ikke kan sikre p? ?nsket vis, kreves det st?rre grad av overv?kning og reaktive tiltak, eventuelt med etterkontroll.
3.2.5 Reaksjon og oppf?lging
Identifisere og eliminere ?rsaker og f?lge opp sikkerhetsbrudd for ? hindre at hendelsen inntrer p? nytt, eventuelt med sanksjoner mot dem som m?tte ha for?rsaket dem
3.2.6 Et kompetent responsmilj?
Universitetet skal ha et responsmilj? (UiO-CERT) som f?lger opp hendelser som kan eksponere universitetets IT-ressurser for s?rbarheter med p?f?lgende misbruk, ?deleggelse, tap av data, anseelse eller lignende, og som gjennomf?rer tiltak for ? avverge eller redusere skadevirkningene.
3.2.7 Kartlagte og klassifiserte IT-tjenester
Ha dokumentert oversikt over universitetets IT-tjenester og IT-systemer. I denne oversikten skal tjenestene og systemene klassifiseres i forhold til viktighet, og klassifiseringen skal danne grunnlag for tiltak knyttet til sikring av tjenester og systemer.
3.2.8 Strukturerte og ryddige informasjonsressurser
Ha dokumentert oversikt over universitetets ulike typer informasjonsressurser som brukes til forskning, undervisning, formidling og administrasjon. I denne oversikten skal ulike typer data og informasjon klassifiseres i forhold til viktighet og sikkerhetsbehov. Denne klassifiseringen skal danne grunnlag for tiltak knyttet til lagring og sikring av ulike typer data.
3.2.9 Identifiserbare brukere og prosesser
Ha autoritative systemer for personinformasjon om brukere som grunnlag for identifikasjon, autentisering og autorisering. Det skal eksistere retningslinjer for etablering og avvikling av brukernavn med tilh?rende rettigheter og tjenester.
3.2.10 Anskaffelse, utvikling og vedlikehold av IT-systemer
Det skal v?re spesifisert hva slags krav til IT-sikkerhet som skal legges til grunn ved anskaffelse, utvikling, oppgradering og vedlikehold av IT-systemer. Det skal finnes et regime for testing av ny programvare og nye systemer, samt oppgradering av eksisterende f?r dette settes i produksjon. Prinsippet med ?innebygd personvern? skal f?lges.
3.2.11 S?rskilt kontroll p? administrative IT-systemer
Administrative IT-systemer skal h?ndteres spesielt og forvaltes i et eget veikart. Slike systemer har ofte behov for egen sikring og egen oppmerksomhet fra IT-organisasjonen, samtidig som man kan stille st?rre krav til standardisering enn for andre systemer.