Styringssystem for informasjonssikkerhet - Gjennomførende del

1. Styringssystem for informasjonssikkerhet (SIS) ved Universitetet i Bergen - Gjennomførende del

1.1. Styringssystemts oppbygging

I. Styrende del
II. Gjennomførende del
III. Kontrollerende del

Den styrende delen består av to dokumenter Styringsdokument og IKT-reglementet ved UiB. Disse to besluttes av universitetsstyret. I Styringsdokumentet beskrives virkeområdet for styringssystemet, sikkerhetsmål, sikkerhetsstrategi og fordeling av ansvar og arbeidsoppgaver. IKT-reglementet regulerer bruken av UiBs IT-systemer, IT-utstyr og IT-anlegg.

Dette dokumentet beskriver de aktiviteter med resultater som inngår i gjennomførende del. Beskrivelsene av aktivitetene som gitt i dette dokumentet med vedlegg godkjennes av universitetsdirektør.

Styringssystemet for informasjonssikkerhet gjelder alle IT-systemer ved UiB.

1.2 Gjennomførende aktiviteter og dokumenter

Gjennomførende del i styringssystemet for informasjonssikkerhet ved UiB omfatter følgende aktiviteter:

  1. Utarbeidelse av årsplan for informasjonssikkerhet og gjennomføringen av denne.
    Ansvarlig: IT-direktør samt de som blir tildelt oppgaver i årsplan.
    Retningslinjer og rutiner for denne aktiviteten beskrives i «Retningslinjer for årsplan, IT-direktør» og «Mal for årsplan, IT-direktør.»
  2. Systemeiere gjør seg kjent med sitt sikkerhetsansvar og sikkerhetsoppgaver, og ivaretar og gjennomfører disse. Ansvars- og oppgavefordelingen beskrives i styrende del punkt 4.5 og i «Retningslinjer for systemeiere ved UiB.»
  3. Systemeiere kartlegger og klassifiserer informasjon i IKT-systemer og -tjenester som de er ansvarlige for.
    Retningslinjer for denne aktiviteten beskrives i «Retningslinjer for kartlegging og klassifisering av informasjon ved UiB.»
  4. Systemeiere gjennomfører risikovurderinger av informasjonssikkerheten i IKT-systemer og -tjenester som de er ansvarlige for.
    Retningslinjer og rutiner for denne aktiviteten beskrives i «Retningslinjer for risikovurdering av informasjonssikkerheten ved UiB» og «Mal for risikovurderinger av informasjonssikkerheten ved UiB.»
  5. Systemeiere etablerer nødvendige sikringstiltak for å ivareta informasjonssikkerheten i IKT-systemer og -tjenester de er ansvarlige for.
    Retningslinjer for denne aktiviteten beskrives i «Retningslinjer for etablering av sikringstiltak ved UiB (risikohåndtering).»
  6. IT-direktør vedlikeholder en oversikt over etablerte sikringstiltak ved UiB.
    Rutiner for denne aktiviteten beskrives i «Oversikt over etablerte sikringstiltak ved UiB.»
1.3 Operativ sikkerhetsdokumentasjon

Gjennomførende del omfatter også all sikkerhetsdokumentasjon knyttet til UiBs informasjonssystemer. Dette omfatter
• Retningslinjer og rutiner for gjennomføring av konkrete sikringstiltak og andre sikkerhetsrelaterte oppgaver for ivaretakelse av informasjonssikkerheten i hele informasjonssystemets livssyklus
• Resultater av gjennomførte aktiviteter knyttet til informasjonssikkerhet som for eksempel risikovurderinger, kartlegginger og rapporter.

Sikkerhetsdokumentasjon skal arkiveres i UiBs offisielle arkiv eller i annet relevant dokumentasjonssystem. Systemeier er ansvarlig for arkivering og tilgjengeliggjøring av denne samt å holde oversikt. Dokumentasjonen skal kunne framlegges for revisjon.
Sikkerhetsdokumentasjon for IKT-systemer eller -tjenester hvor personopplysninger behandles, skal oppbevares i fem år etter at dokumentasjonen er erstattet av nye versjoner.

2. Retningslinjer for årsplan, IT-direktør

IT-direktør skal utarbeide en årsplan for arbeidet med informasjonssikkerhet. (Vedlegg 3). Planen skal utarbeides før årsskifte og gjelde for neste kalenderår. Planen godkjennes av universitetsdirektør.
Årsplanen skal inneholde følgende:
1. Oversikt over neste års målsettinger og fokusområder for arbeidet med informasjonssikkerhet ved UiB, samt tiltak og aktiviteter for å understøtte disse.
2. Risikovurderinger: Oversikt over hvilke IT-systemer/tjenester (grupper eller kategorier) som skal vurderes i løpet av året.
3. Opplæringstiltak: Oversikt over tiltak for å tilføre ledere og ansatte kompetanse slik at de kan ivareta sitt sikkerhetsansvar
4. Informasjonstiltak: Oversikt over planlagte informasjonstiltak om relevante sikkerhetsutfordringer og annen relevant informasjon
5. Sikkerhetsrevisjoner: Planlagte sikkerhetsrevisjoner og avgjøre hvilke sikkerhetsområder som skal revideres.

Årsplanen skal bygge ledelsens årlige gjennomgang av informasjonssikkerheten. IT-direktør er ansvarlig for tilrettelegge for ledelsens gjennomgang samt utarbeide forslag til årsplan.
Ledelsens gjennomgang skal inneholde status på tiltak identifisert i forbindelse med risikovurderinger og resultater avKari årets aktiviteter.
IT-direktør vedlikeholder en overordnet oversikt over hvilke sikringstiltak som er etablert ved UiB. Oversikten skal basere seg på anbefalte sikringstiltak i ISO/IEC 27001: 2013, se vedlegg 2.
Systemeiere skal rapporterer etablerte sikringstiltak for sine systemer/tjenester til IT-direktør basert på oversikten. Systemeiere oversender plan for risikohåndtering (tiltaksplan) til IT-direktør etter at risikovurderinger av systemer/tjenester er gjennomført.

2.1 Malverk

I vedlegg 2 til dette dokumentet følger mal for oversikt over etablerte sikringstiltak ved UiB. I vedlegg 3 til dette dokumentet følger mal for IT-direktørs årsplan

3. Retningslinjer for systemeiere ved UiB

Denne retningslinjen beskriver fordelingen av ansvar og oppgaver mht. sikkerhet, drift, forvaltning og videreutvikling av administrative IKT-systemer og -tjenester ved UiB. Retningslinjen gjelder for de IKT-systemer eller -tjenester hvor det er utpekt systemeiere.

3.1 Systemeieres ansvar og oppgaver

Alle beslutninger om anskaffelse og innføring av større IT-systemer, felles administrative IT-systemer/tjenester samt systemer som er av prinsipiell betydning og/eller som har vesentlige økonomiske konsekvenser skal fattes av universitetsledelsen. Universitetsdirektøren er ansvarlig for de administrative fellessystemene og tjenestene ved UiB.

Avdelingsdirektørene er delegert rolle som systemeiere med ansvar for administrative IKT-systemer eller -tjenester innenfor sine ansvarsområder.

Systemeierne skal:
a) Sørge for at systemene og tjenestene er hensiktsmessige i forhold til de behov de skal dekke og i tråd med gjeldende beslutninger, retningslinjer og policyer ved UiB.
b) Sørge for at systemene og tjenestene ivaretar informasjonssikkerhet og personvern på en adekvat måte og etterlever alle relevante lover, forskrifter og regelverk.
c) Gjennomføre risikovurderinger og etablere nødvendige sikringstiltak av det enkelte system/tjeneste. Vurdere behovet for revisjoner av risikovurderingen årlig og gjennomføre en slik revisjon. Den årlige vurderingen skal dokumenteres og begrunnes kortfattet.
d) Sørge for at systemene er robuste med hensyn på videreutvikling, forvaltning, drift informasjonssikkerhet og at informasjonssikkerhet.
e) Sørge for at systemene til enhver tid er oppdaterte med hensyn på sikkerhetsoppdateringer fra leverandører.
f) Drøfte og samordne etablering av nødvendige sikringstiltak i tilfeller hvor sikkerheten i egne systemer eller tjenester også har betydning for sikkerheten i systemer eller tjenester som andre er eiere av.
g) Ivareta leverandør- og brukerkontakt.
h) Delta i internkontrollarbeidet og bidra til at dette følges opp i alle ledd.
i) Årlig levere en kortfattet rapport til Universitetsdirektøren om status for det aktuelle IKT-systemet eller –tjenesten, inkludert vurdering av behov for revisjon av risikovurdering.
j) Rapporterer etablerte sikringstiltak for sine systemer/tjenester til IT-direktør, op oppdatere oversikt over gjennomførte risikovurderinger.

3.2 Malverk

I vedlegg 1 til dette dokumentet følger mal for risikovurdering av informasjonssikkerhet ved UiB.

3.3 Ansvars- og oppgavefordeling

Nedenfor følger en detaljert oversikt over ansvars- og oppgavefordeling mht. sikkerhet, drift, forvaltning og videreutvikling av administrative IT-tjenester og systemer ved UiB.

Oppgave

Universitetsdirektør/ Tjenesteeierforum

Systemeier

IT avdelingen (ITA)

Overordnet

Universitetsdirektør er ansvarlig for tjenesten.

Ansvar for sikkerheten i og forvaltningen av systemet/tjenesten i henhold til styringssystem for informasjonssikkerhet.

Sørge for at systemet forvaltes etter gjeldende lover og regler og for øvrig etter beste praksis.

Ansvarlig for tjenestens funksjonelle kvalitet overfor sluttbrukerne.

For systemer som ITA drifter:

  • Sikre at systemet/tjenesten kjører med tilstrekkelig tilgjengelighet og kapasitet.

For systemer/tjenester som andre drifter:

  • Dialog med leverandør om tekniske forhold ved behov initiert av systemeier.
  • Bistå systemeier ved behov.

Organisering

Tjenesteeierforum skal sikre god koordinering og ansvarsfordeling mellom systemeiere og tjenesteeiere.

Organisere arbeidet med forvaltning av systemet/tjenesten på egen avdeling.

Dokumentere hvilke eksterne bestemmelser og krav som er retningsgivende for informasjonssystemet.

Etterleve prosesser og metoder som er etablert ved systemeiers organisatoriske enhet, IT-avdelingen og UiB ellers.

For systemer som utvikles/vedlikeholdes/driftes av ekstern leverandør:

  • Hovedansvar for kontakt med ekstern leverandør.
  • Ansvarlig for avtaleverk med eventuell ekstern leverandør (driftsavtale, databehandleravtaler, o.l.)

Etterleve prosesser og metoder som er etablert ved systemeieravdeling, IT-avdelingen og UiB ellers.

Forholde seg til roller og arbeidsgang som er beskrevet i evt. prosjektplan.

For systemer/tjenester som utvikles/vedlikeholdes/driftes av ekstern leverandør:

  • Bistå og kvalitetssikre ved avtaleinngåelse, forhandlinger.
  • Skrive og kvalitetssikre tekniske underlag, vedlegg for avtaler.
  • For systemer/tjenester som utvikles/vedlikeholdes/driftes ved UiB:
  • Vurdere og godkjenne at produkter passer inn i UiBs systemportefølje og driftsmiljø.

Personvern

Universitetsdirektøren er behandlingsansvarlig for personopplysninger i administrative systemer/tjenester

Kartlegge eventuelle personopplysninger i systemer/tjenester og klassifisere disse.

Ansvarlig for at eventuelle sensitive personopplysninger i systemer/tjenester håndteres i henhold til gjeldende lover og regler, herunder krav til personvern i personopplysningsloven, helseregisterloven, helseforskningsloven med flere.

Gjennomføre risikovurderinger og etablere nødvendige sikringstiltak for systemet/tjenesten.

Ansvarlig for å søke Datatilsynet om konsesjon ved behandling av sensitive personopplysninger.

Inngå databehandleravtaler med eksterne leverandører.

Ivareta fastsatte sikkerhetsbehov for systemet/tjenesten.

Økonomi

Universitetsdirektøren beslutter investeringer

Dekke alle direkte kostnader med systemet/tjenesten, for eksempel lisenser, driftsavtale, serviceavtale, konsulentbistand, kurs/opplæring o.l.

Dekke kostnaden for ITAs leveranser i henhold til avtale eller prisliste når dette er avtalt.

Opplyse om kostnader, forhold som vil påvirke kostnader osv.

Dekke kostnaden ved egen innsats som det ikke er avtalt at systemeier skal dekke.

Utvikling, endringer, test og vedlikehold

Tjenesteeierforum skal sørge for felles prioritering ved videreutvikling og digitalisering av systemer/tjenester.

Ansvar for å etablere gode og effektive arbeidsprosesser for de ulike systemene/tjenestene.

Ansvar for utarbeidelse av kravspesifikasjoner i samarbeid med ITA.

Vurdere forslag til nyutvikling og videreutvikling.

Prioritere oppgaver og innstille til tjenesteierforum. Overordnet ansvar for test og aksept av endret funksjonalitet.

Ansvarlig for akseptansetest før produksjonssetting; herunder utarbeidelse av kriterier, testplan og gjennomføring av akseptansetest.

Opplæring og informasjon til brukere ved ny funksjonalitet.

Foreta bestillinger til ekstern leverandør. Bestillinger av teknisk karakter skal gjøres i forståelse med/etter godkjenning fra ITA.

Delta i å skrive og kvalitetssikre utredninger og beslutningsunderlag for endringer og IKT- investeringer. For systemer som ITA utvikler/vedlikeholder:

  • Vurdere forslag til videreutvikling. Foreta videreutvikling på oppdrag fra systemeier. Gjennomføre funksjonell og teknisk testing.
  • Sikkerhetstesting av endringer og nye versjoner.
  • Produksjonssetting av nye versjoner.
  • Endringshåndtering og implementering av mindre rettelser
  • Konfigurasjonsstyring.

For systemer som utvikles/vedlikeholdes av ekstern leverandør:

− Gi råd ved bestilling av nyutvikling, systemendringer, feilretting og vedlikeholdsoppgaver fra ekstern leverandør.

4. Retningslinjer for kartlegging og klassifisering av informasjon ved UiB

Det skal foreligge oversikter over hvem som er eiere av IKT-systemer og -tjenester som UiB er ansvarlig for. Det skal også foreligge oversikter over hvilke typer informasjon som behandles i systemene eller tjenestene.
Informasjonen som behandles i IKT-systemer eller -tjenester skal klassifiseres i henhold til kategoriene gitt i denne klassifiseringen. Informasjonen skal videre sikres i henhold til retningslinjer for akseptabel risiko som gjelder for hver av kategoriene.
Kartlegginger og klassifiseringer skal oppdateres ved behov, for eksempel dersom systemet eller tjenesten anvendes til å behandle nye typer informasjon.
Det er systemeierne ved UiB som er ansvarlige for å kartlegge, klassifisere og sikre informasjon som behandles i egne IKT-systemer og -tjenester.

4.1 Klassifisering av informasjon og akseptabel risiko
4.1.1 Åpen informasjon

Åpen informasjon er informasjon som er eller kan gjøres tilgjengelig for eksterne brukere uten særskilte begrensinger. Dette omfatter åpne data, informasjon om studier og studieplaner, og publisert informasjon på uib.no.
Retningslinjer for akseptabel risiko: det stilles ingen krav til sikring av åpen informasjon mot uautorisert tilgang eller spredning (konfidensialitetssikring). Åpen informasjon skal sikres mot uautorisert endring, sletting eller skade (integritetssikring), og at informasjonen er tilgjengelig (tilgjengelighetssikring).

4.1.2 Intern informasjon

Intern informasjon er informasjon som er tilgjengelig for brukere i virksomheten med kontrollerte tilgangsrettigheter. For intern informasjon eksisterer det verken pålegg om åpen tilgang eller hjemmel for begrenset tilgang i relevante lover, forskrifter, reglementer eller annet regelverk. Dette kan for eksempel være informasjon som kun har relevans for eller er innrettet mot en begrenset brukergruppe, slik som informasjon i fagsystemer for utdanning, forskning og administrasjon.
Retningslinjer for akseptabel risiko: Intern informasjon skal sikres mot uautorisert tilgang eller spredning (konfidensialitetssikring). Sikring av intern informasjon mot uautorisert endring, sletting eller skade (integritetssikring) og at informasjonen er tilgjengelig (tilgjengelighetssikring) skal prioriteres foran hensynet til å unngå uautorisert tilgang eller spredning.

4.1.3 Konfidensiell informasjon

Konfidensiell informasjon er informasjon som kun skal være tilgjengelig for brukere med tjenstlig behov og med strengt kontrollerte rettigheter. Dette omfatter informasjon som universitetet er pålagt å begrense tilgangen til i henhold til lov, forskrift, regelverk og avtaler. Konfidensiell informasjon omfatter ikke sensitive personopplysninger eller annen informasjon med særlig sterke sikkerhetsbehov.

Retningslinjer for akseptabel risiko: Sikring av konfidensiell informasjon mot uautorisert tilgang eller spredning skal vektlegges (konfidensialitetssikring). Konfidensiell informasjon skal også sikres mot uautorisert endring/sletting eller skade (integritetssikring). Kortere avbrudd i informasjonens tilgjengelighet kan aksepteres (tilgjengelighetssikring). Dette gjelder i første rekke for konfidensiell informasjon som ikke er tidskritisk (autoriserte brukere er ikke avhengig av øyeblikkelig eller relativt rask informasjonstilgang).

4.1.4 Sensitiv informasjon

Sensitiv informasjon er informasjon som kun skal være tilgjengelig for brukere med tjenstlig behov og med strengt kontrollerte rettigheter. Sensitiv informasjon omfatter sensitive personopplysninger som definert i lov- og regelverk, virksomhetskritisk informasjon, taushetsbelagt informasjon, sensitive forskningsdata og informasjon av stor kommersiell verdi. For deler av denne informasjonen foreligger det strenge lovpålagte krav til sikkerhet. Høyere krav til sikring enn for informasjon klassifisert som konfidensiell.

Retningslinjer for akseptabel risiko: Sikring av sensitiv informasjonen mot uautorisert tilgang eller spredning skal vektlegges i betydelig grad (konfidensialitetssikring). Sensitiv informasjon skal også sikres særskilt mot uautorisert endring/sletting eller skade (integritetssikring). Kortere avbrudd i informasjonens tilgjengelighet kan aksepteres (tilgjengelighetssikring). Dette gjelder i første rekke for sensitiv informasjon som ikke er tidskritisk (autoriserte brukere er ikke avhengig av øyeblikkelig eller relativt rask informasjonstilgang).

5. Retningslinjer for risikovurdering av informasjonssikkerheten ved UiB

5.1 Ansvar

Det er eiere av IKT-systemer eller -tjenester ved UiB som har ansvaret for å gjennomføre og oppdatere risikovurderinger av informasjonssikkerheten i sine systemer/tjenester.
Risikovurderinger skal gjennomføres før et IKT-system eller -tjeneste tas i bruk, og ved vesentlige endringer i funksjonaliteten til eller bruken av systemet/tjenesten.
For prosjekter ved UiB er det prosjektleder som har ansvaret for å gjennomføre risikovurderinger av informasjonssikkerheten i prosjektene.
I vedlegg 1 følger mal for risikovurderinger av informasjonssikkerheten ved UiB.

5.2 Sikkerhetshendelser

Risikovurderinger skal avdekke hvilke hendelser som kan føre til:
• Brudd på konfidensialiteten, det vil si at uvedkommende får tilgang til informasjonen i UiBs IKT-systemer eller –tjenester.
• Brudd på integriteten, det vil si at uvedkommende endrer/sletter eller skader informasjon registrert i UiBs IKT-systemer eller –tjenester.
• Brudd på tilgjengeligheten, det vil si at informasjon registrert i UiBs IKT-systemer eller -tjenester ikke er tilgjengelig for brukere som har rettmessige behov for tilgang til den.
For hver sikkerhetshendelse vurderes sannsynligheten for at den inntreffer og konsekvensen dersom den skulle inntreffe.

5.2.1 Sannsynlighetsvurdering

Sannsynlighet for at hendelsen inntreffer skal vurderes ut i fra følgende skala:
Liten sannsynlighet: Hendelsen kan inntreffe én gang per 10 år eller sjeldnere.
Medium sannsynlighet: Hendelsen kan inntreffe én gang per år eller sjeldnere, men oftere enn hvert 10 år.
Stor sannsynlighet: Hendelsen kan inntreffe flere ganger i året, for eksempel månedlig.
Veldig stor sannsynlighet: Hendelsen kan inntreffe daglig, én eller flere ganger i uken.

5.2.2 Konsekvensvurdering

Konsekvensen dersom hendelsen skulle inntreffe skal vurderes ut i fra følgende skala:
Lav konsekvens: hendelsen fører til at kritiske IKT-systemer/-tjenester er utilgjengelige noen få timer. Mindre kritiske IKT-systemer/-tjenester er utilgjengelige i mindre enn ett døgn og at hendelsen ikke medfører brudd på integriteten og konfidensialiteten til informasjonen.
Moderat konsekvens: hendelsen fører til at kritiske IKT-systemer/-tjenester er utilgjengelige mindre enn ett døgn. Mindre kritiske IKT-systemer/-tjenester er utilgjengelige i 1-3 døgn og at hendelsen ikke medfører brudd på integriteten og konfidensialiteten til informasjonen.
Høy konsekvens: hendelsen fører til at kritiske IKT-systemer/-tjenester er utilgjengelige i 1-3 døgn. Mindre kritiske IKT-systemer/-tjenester er utilgjengelige i 1-3 døgn og at hendelsen medfører brudd på integriteten og konfidensialiteten til informasjonen.
Svært høy konsekvens: hendelsen fører til at kritiske IKT-systemer/-tjenester er utilgjengelige mer enn 3 døgn. Mindre kritiske IKT-systemer/-tjenester er utilgjengelige i mer enn 3 døgn og at hendelsen medfører brudd på integriteten og konfidensialiteten til sensitiv informasjon.

5.2.3 Kategorisering av hendelser

Når hver hendelse som kan føre til brudd på informasjonens konfidensialitet, integritet eller tilgjengelighet er vurdert med hensyn til sannsynlighet og konsekvens, kan hendelsen plasseres inn i risikomatrisen nedenfor.
For hendelser som havner i de røde feltene, er risikoen såpass stor at systemeier skal iverksette sikringstiltak for å unngå at hendelsene skjer.
For hendelser som havner i de gule feltene, er risikoen relativt stor slik at systemeier må vurdere nærmere om det skal iverksettes sikringstiltak.
For hendelser som havner i de grønne feltene, er risikoen såpass lav at systemeier ikke trenger å iverksette sikringstiltak.
Øvrige føringer for håndtering av risiko og etablering av sikringstiltak finnes i «Retningslinjer for etablering av sikringstiltak ved UiB (risikohåndtering).»

Figur 1: Kategorisering av risiko

Matrise risiko

5.3 Praktisk gjennomføring

Risikovurderinger bør gjennomføres av en arbeidsgruppe som består av sikkerhetsansvarlig, systemeier, utvikler og andre personer som har god kjennskap til det aktuelle IKT-systemet eller
-tjenesten, for eksempel superbrukere eller vanlige brukere.

Det er en fordel at arbeidsgruppen ikke blir for stor (5-8 deltakere vil normalt være det mest hensiktsmessige).

Systemeier/tjenesteeier/prosjekteier kan være fasilitator for risikovurderingsmøtet i arbeidsgruppen. Møtet skal ledes av en møteleder. En sekretær noterer sikkerhetshendelser. Vurderinger av hendelsenes sannsynlighet og konsekvens kan enten gjøres av gruppen i fellesskap eller av hver enkelt deltaker.

Det er en fordel at det på forhånd sendes ut informasjon til deltakerne på risikovurderingen. Informasjonen bør si litt om hvordan vurderingen vil bli gjennomført og inneholde noe bakgrunnsinformasjon om det IKT-systemet eller -tjenesten som skal risikovurderes.

6. Retningslinjer for etablering av sikringstiltak ved UiB (risikohåndtering)

6.1 Ansvar

Systemeiere er ansvarlig for at informasjon som behandles i UiBs IKT-systemer og -tjenester er tilfredsstillende sikret mot brudd på konfidensialiteten, integriteten og tilgjengeligheten. Systemeiere har derfor ansvaret for å påse at gjennomførte risikovurderinger blir fulgt opp med etablering av nødvendige sikringstiltak (dersom vurderingene viser at det er nødvendig).

Dette ansvaret innebærer at systemeiere påser at det iverksettes tiltak for å unngå/forebygge sikkerhetshendelser med høy eller relativt høy risiko. Hendelser med lav risiko er det ikke nødvendig å etablere sikringstiltak for å unngå/forebygge (se «Kategorisering av risiko» i retningslinje for risikovurderinger av informasjonssikkerheten i IKT-systemer og -tjenester ved UiB).

6.2 Plan for risikohåndtering (tiltaksplan)

Systemeiere skal påse at det lages en plan for etablering av sikringstiltak som inneholder følgende elementer:
• oversikt over sikkerhetshendelser med så høy risiko at sikringstiltak må etableres for å unngå/forebygge hendelsene,
• oversikt over hvilke konkrete sikringstiltak som skal etableres for å unngå/forebygge hendelser med høy eller relativt høy risiko,
• frist for når de aktuelle sikringstiltakene skal være etablert,
• hvem systemeiere eventuelt har delegert arbeidet med etablering av sikringstiltak til.

6.3 Aktuelle sikringstiltak

Systemeiere kan velge å iverksette ulike typer sikringstiltak for å unngå/forebygge sikkerhetshendelser med høy eller relativt høy risiko.
Følgende hovedtyper sikringstiltak vil være aktuelle:
• Organisatoriske sikringstiltak, for eksempel operative rutiner for sikker håndtering av informasjon eller for sikker bruk av IKT-systemer/-tjenester,
• Tekniske sikringstiltak, for eksempel passordbeskyttet tilgang til IKT-systemer/-tjenester eller kryptering av informasjon,
• Personalmessige sikringstiltak, for eksempel opplæring av ansatte i rutiner for sikker håndtering av informasjon,
• Fysiske sikringstiltak, for eksempel låsing av dører til områder hvor sensitiv informasjon eller viktig datautstyr befinner seg,
• Juridiske sikringstiltak, for eksempel inngåelse av avtaler med eksterne leverandører hvor det stilles krav til informasjonssikkerheten.

6.4 Tiltaksrapportering

Systemeiere rapporterer plan for risikohåndtering (tiltaksplan) til IT-direktør.

7. Vedlegg

Vedlegg:
1: Mal for risikovurderinger av informasjonssikkerheten ved UiB
2: Oversikt over etablerte sikringstiltak ved UiB
3: Mal for årsplan, IT-direktør

Logo for Universitetet i Bergen

©2009 Universitetet i Bergen

Adresse: Postboks 7800 5020 Bergen

Besøksadresse: Nygårdsgaten 5

Telefon: (+47) 55584201 Faks: (+47) 55548299