Informasjonssikkerhetspolicy for NMBU

Policy

for

informasjonssikkerhet

ved

NMBU

Ver: 1.01

Vedtatt: 25. april 2013

Oppdatert: 26. januar 2014

Informasjonssikkerhet for NMBU – ver. 1.01 Generelt - Side 1 av 2

Innholdsfortegnelse

NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1

1 INNLEDNING ..................................................................................................................................................................... 1 1.1 Bakgrunn .................................................................................................................................................................... 1 1.2 Hjemmelsgrunnlag ....................................................................................................................................................... 1

2 DOKUMENTSTRUKTUR I INFORMASJONSSIKKERHETSPOLICYEN ............................................................................. 1 3 FORMELL TILKNYTNING.................................................................................................................................................. 2 4 BEGREPER OG DEFINISJONER ........................................................................................................................................ 2

STYRINGSDOKUMENT 1: POLICY FOR INFORMASJONSSIKKERHET 1

1 INTERNKONTROLL OG PERSONOPPLYSNINGER ......................................................................................................... 1 1.1 Rutine for registrering og oversikt over personopplysninger, POF § 2-4 ........................................................................ 1 1.2 Oversikt over personopplysninger .................................................................................................................................. 1 1.3 Overordnet begrunnelse for behandling av personopplysninger ........................................................................................ 1 1.4 Krav og plikter som følge av behandling ....................................................................................................................... 1

STYRINGSDOKUMENT 2: SIKKERHETSREVISJON – LEDELSENS GJENNOMGANG 1

1 OM SIKKERHETSREVISJON .............................................................................................................................................. 1 1.1 Formål ........................................................................................................................................................................ 1 1.2 Ansvarsforhold ............................................................................................................................................................ 1

2 UTFØRELSE ........................................................................................................................................................................ 1 2.1 Revisjon ....................................................................................................................................................................... 1 2.2 Sikkerhetsmål ............................................................................................................................................................. 2 2.3 Gjennomgang av avvik og hendelser ............................................................................................................................. 2 2.4 Forbedringstiltak ......................................................................................................................................................... 2 2.5 Oppfølging ................................................................................................................................................................... 2

3 RAPPORT ............................................................................................................................................................................. 2

STYRINGSDOKUMENT 3: MÅL OG STRATEGI FOR INFORMASJONSSIKKERHET 1

1 INNLEDNING ..................................................................................................................................................................... 1 2 SIKKERHETSMÅL ............................................................................................................................................................... 1 3 SIKKERHETSSTRATEGI ..................................................................................................................................................... 1

3.1 Organisering av sikkerheten ......................................................................................................................................... 1 3.1.1 Roller og ansvarsområder ....................................................................................................................................................... 1 3.1.2 Organisering .............................................................................................................................................................................. 2 3.1.3 Kontrakter med leverandører av informasjonssystemtjenester ....................................................................................... 2 3.1.4 Egenkontroll .............................................................................................................................................................................. 2

3.2 Risikostyring ............................................................................................................................................................... 2 3.2.1 Risikovurdering ......................................................................................................................................................................... 2

3.3 Personell og sikkerhet .................................................................................................................................................. 2 3.3.1 IKT-reglement .......................................................................................................................................................................... 2 3.3.2 Generell taushetserklæring for fortrolig informasjon........................................................................................................ 3


3.3.3 Kompetanse i informasjonssikkerhet ................................................................................................................................... 3 3.3.4 Konsekvenser ved sikkerhetsbrudd ...................................................................................................................................... 3

3.4 Dokumentsikkerhet - Klassifisering og kontroll av informasjon og informasjonssystemer ............................................... 3 3.5 Fysisk sikkerhet .......................................................................................................................................................... 3

3.5.1 Sikkerhetsområder .................................................................................................................................................................... 3 3.6 Tilgangskontroll........................................................................................................................................................... 4

3.6.1 Autorisasjon av brukere og roller .......................................................................................................................................... 4 3.6.2 Autentiseringsprinsipper for brukere ................................................................................................................................... 5 3.6.3 Brukeradministrering i informasjonssystemer .................................................................................................................... 5 3.6.4 Kontroll med nettverkstilgang ............................................................................................................................................... 5

3.7 Kommunikasjon og bærbare enheter ............................................................................................................................. 5 3.8 Skytjenester og sosiale medier ....................................................................................................................................... 5 3.9 Systemteknisk sikkerhet .............................................................................................................................................. 6

3.9.1 Nødvendig sikkerhetsnivå – høy, middels, lav ................................................................................................................... 6 3.9.2 Retningslinjer for systemteknisk sikkerhet .......................................................................................................................... 6

4 OPPFØLGING OG KONTROLL ......................................................................................................................................... 6 4.1 Konfigurasjonskontroll ................................................................................................................................................. 6 4.2 Endringskontroll ......................................................................................................................................................... 6 4.3 Hendelseshåndtering .................................................................................................................................................... 7 4.4 Beredskap .................................................................................................................................................................... 7

STYRINGSDOKUMENT 4: NMBUS SIKKERHETSORGANISASJON 1

1 ROLLER OG ANSVARSOMRÅDER ..................................................................................................................................... 1 2 ORGANISASJON FOR INFORMASJONSSIKKERHET ........................................................................................................ 1


NMBUs policy for informasjonssikkerhet - generelt

1 Innledning

1.1 Bakgrunn Informasjonsbehandling og informasjonssikkerhet er kritisk for NMBUs virksomhet innenfor utdanning,

forskning, formidling og forvaltning. Systemer og infrastruktur for behandling av informasjon skal være

pålitelige i bruk og sikre at tilgangen til informasjon følger NMBUs regler.

NMBU behandler personopplysninger i forhold til ansatte, studenter og andre som har relasjoner til

NMBUs virksomhet. Grunnleggende personvernhensyn skal være førende for all behandling av slike

opplysninger og behandlingen skal være lovlig, sikker og skje med tilfredsstillende beskyttelse.

Foreliggende policy dokumenterer de systematiske tiltak som NMBU har innført for å sikre at lover

og tilhørende regelverk er kjent og følges.

1.2 Hjemmelsgrunnlag Behandling og beskyttelse av personopplysninger og NMBUs informasjonssystemer skal skje i samsvar

med lovpålagte bestemmelser. Personopplysningsloven (POL) med forskrift (POF) stiller krav til NMBUs

behandling av personopplysninger. Foreliggende dokument er utarbeidet i henhold til de krav som er stilt

i personopplysningslovens §§13 og 14, jf personopplysningsforskriftens kap2, §§ 2-1 flg.

Også metoder fra internasjonale standarder for informasjonssikkerhet er lagt til grunn for utarbeidelsen av

policyen. (ISO/IEC 27001: ”Information technology – Security techniques – Information security

management systems – Requirements” / ISO/IEC 27002: ”Information technology – Security

techniques – Code of practice for information security management ).

Kunnskapsdepartementet har fra og med 2013 lagt spesielt vekt på informasjonssikkerhet i sitt

tildelingsbrev til UH-institusjonene.

2 Dokumentstruktur i informasjonssikkerhetspolicyen POL § 13 stiller krav om at internkontrollsystemet skal dokumenteres. NMBU har inndelt

dokumentasjonen av systemet i tre emner:

Styrende dokumentasjon: Dokumentasjonen gir uttrykk for ledelsens styring av

sikkerhetsområdet, herunder valgte sikkerhetsmål, sikkerhetsstrategier, NMBUs

sikkerhetsorganisasjon samt kvalitetsprosesser for internkontrollsystemet. Dokumentasjonen

skal bidra til å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser

NMBU står overfor.

Gjennomførende dokumentasjon: Utgjør brukertilpassede sikkerhetsrutiner og tiltak, maler og

metoder for daglig drift. Gjennomførende dokumentasjon er delt i følgende kategorier:

Retningslinjer

Oversikter og deskriptiv dokumentasjon av NMBUs informasjonssystemer

Prosedyredokumenter

Ulike maler/ skjema


Kontrollerende dokumentasjon: Utgjør rutiner for oppfølging, korrigering og forbedring av

internkontroll og informasjonssikkerhet.

Den styrende dokumentasjonen ligger i denne dokumentsamlingen, mens gjennomførende dokumenter

og kontrollerende dokumenter ligger i NMBUs internkontrollsystem på internkontroll.nmbu.no.

3 Formell tilknytning Foreliggende policy er godkjent av Fellesstyret for NVH og UMB den 25.04.2013 og trer i kraft fra

01.01.2014. I tråd med de krav som stilles i POL § 13 vil informasjonssikkerhetspolicyen bli implementert

ut i linjen slik at alle medarbeidere gjøres kjent med NMBUs sikkerhetssystem, roller og ansvar.

4 Begreper og definisjoner Behandlingsansvarlig Den som bestemmer formålet med behandlingen av personopplysninger og

hvilke hjelpemidler som skal brukes, POL § 2 nr. 4.

Informasjonssikkerhet Iverksettelse av tiltak for å skape et tilfredsstillende sikkerhetsnivå for

beskyttelse av informasjonsverdier, for eksempel personopplysninger.

Beskyttelse av informasjonens tilgjengelighet, integritet og konfidensialitet.

Informasjonssystem Elektronisk eller papirbasert system for lagring og behandling av

informasjon.

Personopplysning og

Sensitiv personopplysning

(SPO):

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til

en enkeltperson for eksempel navn, adresseinformasjon, lønn,

referanseuttalelser, oppgavebesvarelser mv., jf. POL § 2 nr. 1. SPO er

opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk

eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller

dømt for en straffbar handling, helseforhold, seksuelle forhold,

medlemskap i fagforeninger, jf. POL § 2 nr. 8.

Sikkerhetsansvarlig (CSO)

Chief Security Officer – Overordnet sikkerhetsansvarlig ved NMBU.

Overordnet ansvarlig for all sikkerhet ved NMBU, herunder informasjons-

sikkerhet og det ansvar som tillegges behandlingsansvarlig iht POL.

Sikkerhetsorganisasjon Dokumentert beskrivelse av ansvars- og myndighetsforhold for bruk og

drift av informasjonssystemet samt ansvar - og myndighetsforhold i

forbindelse med oppfølging av sikkerhetsarbeidet (sikkerhetsledelse), jf.

POF § 2-7.

Systemansvarlig Overordnet teknisk ansvarlig for forvaltningen av et informasjonssystem

etter fullmakt fra systemeier.

Systemeier Den som har det formelle ansvaret for et informasjonssystem, herunder

ivaretakelse av sikkerheten.

Informasjonssikkerhet ved NMBU – Ver. 1.0 Styringsdokument 1: Internkontroll - Side 1 av 2

Styringsdokument 1: Policy for informasjonssikkerhet

1 Internkontroll og personopplysninger

1.1 Rutine for registrering og oversikt over personopplysninger, POF §

2-4 Formålet med kartlegging og beskrivelse av de personopplysninger som behandles ved NMBU er å få en

totaloversikt for hele virksomheten slik at NMBU på en best mulig måte skal være i stand til å ivareta sine

plikter iht gjeldende lovverk. Oversikten danner grunnlag for ledelsens utarbeidelse av sikkerhetsmål og

sikkerhetsstrategi og er grunnlaget for risikovurderinger.

Kartleggingen skal gjøres iht følgende rutine:

1. Sikkerhetsansvarlig (CSO) er ansvarlig for at det utarbeides en total oversikt over alle typer personopplysninger som behandles ved NMBU og at ledelsen er kjent med og har tilgang til denne.

2. Oversikten skal gi en kortfattet informasjon om: o hvilke opplysninger som behandles, o formålet med behandlingen, o hjemmelsgrunnlaget for å behandle opplysningene, o klassifikasjon iht sensitivitet, o teknologiske sikkerhetstiltak med angivelse av sone eller nettverk, o lagring og om de overføres via eksterne media, o opplysningenes omfang, o aktuell avdeling som behandler opplysningene, o systemeier og/eller dataeier.

3. Sikkerhetsansvarlig (CSO) skal holde oversikten fortløpende oppdatert ved jevnlig å forespørre de øvrige enhetsledere om å melde inn evt. endringer, minimum kvartalsvis.

4. Sikkerhetsansvarlig (CSO) skal sette en frist for innrapporteringen og rapporteringen skal skje skriftlig.

5. De enkelte enhetsledere har et selvstendig ansvar for å melde til sikkerhetsansvarlig (CSO) dersom det igangsettes behandling av nye typer personopplysninger.

6. Sikkerhetsansvarlig (CSO) skal fremlegge en oppdatert oversikt i forkant av ledelsens årlige gjennomgang.

1.2 Oversikt over personopplysninger Oversikt over personopplysninger som behandles ved NMBU ligger i NMBUs internkontrollsystem.

1.3 Overordnet begrunnelse for behandling av personopplysninger For NMBU er det nødvendig å innhente og lagre informasjon om studentenes obligatoriske

oppgaveinnleveringer og andre resultater for å styre undervisningen og gi karakterer. Det er også

nødvendig å lagre informasjon om oppnådde karakterer gjennom studiet for å kunne gi vitnemål (POF

§7-20).

Det er også nødvendig å innhente og lagre personopplysninger om de ansatte(faste og midlertidige) for å

utbetale korrekt lønn, registrere arbeidstid og gi oppfølging av den enkelte ved sykefravær (POF §7-16).

1.4 Krav og plikter som følge av behandling Som følge av at NMBU behandler personopplysninger er Universitetet pålagt plikter og krav i henhold til

følgende regelverk:

Informasjonssikkerhet ved NMBU – Ver. 1.0 Styringsdokument 1: Internkontroll - Side 2 av 2

Lov om behandling av personopplysninger (personopplysningsloven)

Personopplysningsforskriften

Lov om arkiv

Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven).

Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova).

Lov om universiteter og høyskoler (universitets- og høyskoleloven).

Lov om statens tjenestemenn m.m. (tjenestemannsloven)

Informasjonssikkerhet ved NMBU – Ver. 1.01 (2) Sikkerhetsrevisjon - Side 1 av 2

Styringsdokument 2: Sikkerhetsrevisjon – ledelsens gjennomgang

1 Om sikkerhetsrevisjon NMBUs ledelse skal årlig gjennomgå NMBUs internkontroll og styringssystem for informasjonssikkerhet.

Sikkerhetsrevisjonen skal utføres i løpet av årets første tre måneder.

1.1 Formål Formålet med den årlige revisjonen er å:

Følge opp de fastsatte sikkerhetsmålene

Iverksette korrigerende tiltak dersom det er behov for det.

Vurdere oppfølging av korrigerende tiltak

Endring av mål for prosess

Sørge for at internkontroll og styringssystem for informasjonssikkerhet er hensiktsmessige, tilstrekkelig og effektive og at det tilfredsstiller relevante krav i personopplysningsloven og -forskriften.

Det er utarbeidet sikkerhetsmål for NMBU, se styringsdokument nr. 3. Med bakgrunn i sikkerhetsmålene

skal det utarbeides planer med forbedringstiltak for å nå disse målene.

Oppfølging av forbedringstiltak og korrigerende tiltak gjøres ved at resultatene fra egenkontroll og

avviksbehandling gjennomgås og sammenlignes med de korrigerende tiltakene.

1.2 Ansvarsforhold Sikkerhetsansvarlig (CSO) ved NMBU tar initiativ til og tilrettelegger for ledelsens årlige gjennomgang av

NMBUs internkontroll og styringssystem for informasjonssikkerhet. Det skal i forbindelse med den årlige

gjennomgangen fremlegges:

En oppdatert oversikt over personopplysninger iht. styringsdokument nr. 1.

Samlet oversikt over de alvorligste hendelsene og avvikene som har vært registrert gjennom året.

2 Utførelse

2.1 Revisjon Sikkerhetsrevisjon skal omfatte de elementer som er styrende for informasjonssikkerhet, som:

Internkontroll o Vurdere endringer i omfang av dagens internkontroll

Sikkerhetsmål og -strategi o Vurdere eventuelle forslag til endringer i sikkerhetsmål og sikkerhetsstrategi, dersom

endringene i vesentlig grad har økonomiske eller andre virksomhetsmessige konsekvenser

Risiko- og sårbarhetsanalyser o Overordnet ROS-vurdering utføres for NMBUs informasjonssystemer o ROS-vurdering utføres ved ønske om ny funksjonalitet som medfører vesentlige

investeringer eller endringer i eksisterende sikkerhetskonsept

Virksomhetskritisk informasjon og/eller system

Informasjonssikkerhet ved NMBU – Ver. 1.01 (2) Sikkerhetsrevisjon - Side 2 av 2

o Vurdering av endringer i hvilken informasjon eller hvilke systemer som er virksomhetskritisk for virksomheten

2.2 Sikkerhetsmål De fastsatte sikkerhetsmålene for NMBU skal gjennomgås og vurderes i forhold til resultater og hovedkonklusjoner fra risikoanalyser og egenkontroll og evt. endringer i offentlige sikkerhetskrav, som kan medføre vesentlig endringer for virksomheten. Ledelsen skal også foreta en vurdering av om tilstrekkelige ressurser er tilgjengelige for å ivareta internkontroll og informasjonssikkerhet slik den er lagt opp ved NMBU.

2.3 Gjennomgang av avvik og hendelser En samlet oversikt over de sikkerhetshendelser og avvik som har vært gjennom året skal gjennomgås og

behandles. Gjennomgangen skal ha fokus på årsaker til hendelser og avvik i vid forstand og hvordan

hendelser og avvik er håndtert. De alvorligste sikkerhetshendelsene bør medføre en grundigere

gjennomgang.

2.4 Forbedringstiltak Forbedringstiltak, gjennomføring av tiltak til fastsatte tidspunkter, utarbeides av sikkerhetsansvarlig (CSO)

på bakgrunn av oppsatte mål, innen områdene:

Organisering av sikkerheten

Partnere og leverandører

Personell og sikkerhet

Fysisk sikkerhet

Systemteknisk sikkerhet

Dokumentsikkerhet

Beredskap

Listen er ikke uttømmende.

Forbedringstiltakene skal godkjennes av administrerende direktør.

2.5 Oppfølging Sikkerhetsansvarlig (CSO) skal sette opp en oversikt over de vedtatte forbedringstiltak og gi en vurdering

av om disse har virket etter sin hensikt. Dette gjøres i forkant av ledelsens årlige gjennomgang.

Oppfølging av sikkerhetsmål for å se om de nås og om forbedringstiltak og korrigerende tiltak virker,

gjøres blant annet gjennom egenkontroll. En plan for egenkontroll skal utarbeides og dokumenteres i

NMBUs informasjonssikkerhetspolicy.

3 Rapport Sikkerhetsansvarlig (CSO) skriver rapport fra ledelsens årlige gjennomgang av NMBUs internkontroll og

styringssystem for informasjonssikkerhet.

Rapporten skal distribueres til den øvrige ledelsen ved NMBU. Rapporten skal inngå i den årlige

rapporteringen om internkontrollen til universitetsstyret.

I rapporten skal det tydelig fremgå de avgjørelser og aksjoner som er bestemt og med hvilken

begrunnelse. Den øvrige ledelse skal uten ugrunnet opphold gi sikkerhetsansvarlig (CSO) en rask

tilbakemelding på referatet dersom dette ikke gjengir avgjørelser og aksjoner på en korrekt måte.

Informasjonssikkerhet ved NMBU – Ver. 1.01 (3) Mål og strategi for informasjonssikkerhet - Side 1 av 7

Styringsdokument 3: Mål og strategi for informasjonssikkerhet

1 Innledning Mål og strategi for informasjonssikkerhet er NMBUs overordnede styrende dokument for

informasjonssikkerhet.

Ledelsen ved NMBU har det overordnede ansvaret for all informasjonssikkerhet ved universitetet og har

ansvaret for utarbeidelse av mål og strategi for informasjonssikkerhet, utarbeidelse av rutiner samt

kontroll med at rutinene følges.

Sikkerhetsmålene beskriver ønsket sikkerhetsnivå og sikkerhetsstrategien beskriver de tiltak NMBU gjennomfører for å oppnå sikkerhetsmålene.

2 Sikkerhetsmål Sikkerhetsmålene skal understøtte og sikre virksomhetens drift, allmenne tillit og omdømme i det

offentlige rom, ved å forebygge og begrense konsekvensene av uønskede hendelser. Sikkerhetsmålene

beskriver NMBUs overordnete mål for beskyttelse av virksomhetens informasjonsbehandling mot interne

og eksterne trusler av tilsiktet og utilsiktet art.

Følgende sikkerhetsmål er definert:

1. NMBU skal sikre at informasjon behandles iht krav i lover og forskrifter.

2. Informasjonssikkerheten ved NMBU skal ha forankring i ledelsen.

3. Informasjonssikkerheten skal være en integrert del av hele NMBUs virksomhet.

4. Ansvars- og rollebeskrivelser i sikkerhetsarbeidet skal være klart definert og kjent i NMBUs

organisasjon.

5. Alle brukere av NMBUs informasjonssystemer skal ha tilstrekkelig kompetanse for å ivareta

NMBUs sikkerhetsbehov.

6. Tilgang til informasjonssystemer og informasjon gis kun til medarbeidere etter tjenestlig behov.

7. NMBU skal ivareta hensynet til konfidensialitet og integritet og tilgjengelighet i behandlingen av

ansattes, studenters og andre registrerte personopplysninger.

8. NMBU skal ha dokumenterte og utprøvde rutiner og metoder for å håndtere hendelser.

3 Sikkerhetsstrategi

3.1 Organisering av sikkerheten

3.1.1 Roller og ansvarsområder


Sikkerhetsansvarlig ved NMBU har et overordnet ansvar for informasjonssikkerheten. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. Systemeier

Alle informasjonssystem skal ha en definert eier. Systemeier er ansvarlig for informasjonssystemet og dets

innhold og rapporterer til sikkerhetsansvarlig. Systemeier er ansvarlig for krav til anskaffelse, utvikling og


vedlikehold av informasjon og relaterte informasjonssystemer i samråd med IT-avdelingen. For hver type

informasjon skal systemeier definere hvilke brukere (brukergrupper) som skal ha tilgang til denne, og

definere hva som er autorisert bruk av informasjonen. Oversikt over systemer med tilhørende

systemeiere skal foreligge som dokument i NMBUs informasjonssikkerhetspolicy.

3.1.2 Organisering Sikkerhetsorganiseringen med roller og personer skal til enhver tid være beskrevet i styringsdokument 4 – Sikkerhetsorganisasjon.

3.1.3 Kontrakter med leverandører av informasjonssystemtjenester Alle formaliteter mellom NMBU og leverandører skal være formulert i formelle kontrakter (SLA - Service

Level Agreement) og skal inkludere relevante sikkerhetskrav. NMBU skal alltid ha rett til innsyn og

måling av hvorvidt sikkerhetskrav etterleves av en leverandør.

3.1.4 Egenkontroll Egenkontroll/måling av sikkerhetsnivå ved NMBU skal utføres regelmessig iht. systematiserte rutiner for risikostyring. Retningslinjer for egenkontroll skal foreligge i NMBUs internkontrollsystem.

3.2 Risikostyring

3.2.1 Risikovurdering

NMBUs tilnærming til informasjonssikkerhet skal være basert på risikovurderinger.

NMBU skal løpende analysere risikoer og derigjennom vurdere behovet for tiltak. Tiltak skal vurderes

med hensyn til effektivitet, kostnad og praktisk gjennomførbarhet med utgangspunkt i NMBUs rolle som

undervisnings- og forskningsinstitusjon. Prinsipper og rutiner for risikovurderinger skal være

dokumentert i NMBUs internkontrollsystem.

Det skal gjennomføres en årlig overordnet risikovurdering av NMBUs informasjonssystemer i forbindelse

med sikkerhetsrevisjonen (Ledelsens gjennomgang). Risikovurdering skal også utføres ved ønske om ny

funksjonalitet som medfører vesentlige investeringer eller endringer som har betydning for

informasjonssikkerheten.

Overordnede risikovurderinger skal godkjennes av NMBUs ledelse. Risikovurderinger på lavere nivå

godkjennes av systemeier for de vurderte informasjonssystem.

Ved identifisering av uakseptabel risiko skal det iverksettes tiltak for å redusere risiko til akseptabelt nivå.

Risikovurderinger med oppfølging skal som hovedprinsipp gjennomføres på lavest mulig nivå.

3.3 Personell og sikkerhet

3.3.1 IKT-reglement

IKT-reglementet refererer til NMBUs krav til informasjonssikkerhet og den ansattes ansvar for å oppfylle

disse. Alle brukere av NMBUs informasjonssystemer må signere IKT-reglement:

Ansatte: signerer sammen med ansettelseskontrakt

Studenter: signerer / aksepterer IKT-reglement ved utlevering av brukernavn

Andre brukere signerer egen kontrakt.


3.3.2 Generell taushetserklæring for fortrolig informasjon

Alle som skal gis tilgang til fortrolige opplysninger ved NMBU skal underskrive en taushetserklæring.

Dette gjelder NMBUs ansatte, studenter og leverandørers ansatte eller andre som måtte komme i kontakt

med slik informasjon.

3.3.3 Kompetanse i informasjonssikkerhet

Ansatte hos NMBU skal gjennom opplæring og rutiner oppnå tilstrekkelig kunnskap til å forvalte

informasjon og systemer på en sikker måte. Endringer i konfigurasjon av systemer og nettverk skal bare

utføres av kvalifisert personell, og etter godkjenning fra NMBU.

3.3.4 Konsekvenser ved sikkerhetsbrudd

Brudd på sikkerhetsreglene beskrevet i sikkerhetsinstrukser, taushetserklæring og eventuell

konfidensialitetserklæring kan få følger for ansettelsesforhold/brukertilknytning.

3.4 Dokumentsikkerhet - Klassifisering og kontroll av informasjon og

informasjonssystemer Informasjon og infrastruktur skal klassifiseres med hensyn til nødvendig sikkerhetsnivå og

tilgangsbegrensning.

Informasjon skal klassifiseres i en av tre følgende kategorier for konfidensialitet:

Åpen: All NMBUs informasjon er åpen med mindre den er klassifisert i en av de to øvrige

kategoriene.

Intern: Informasjon som er ment for intern bruk og som kan skade Universitetet eller være

upassende at tredjepart får kjennskap til og som kan unntas offentlighet i medhold av

Offentleglova. Systemeier avgjør lagrings- og delingsmåte.

Fortrolig: Informasjon av fortrolig art, og hvor uautorisert tilgang (også internt) kan medføre betydelig

skade for enkeltpersoner, Universitet eller deres interesser. Fortrolig informasjon er her

synonymt med forvaltningslovens ”Unntatt Offentlighet” og sensitive personopplysninger

iht Personopplysningslovens §2. Slik informasjon skal sikres i ”Røde” områder, ref. kap. 3.5.

Hver systemeier gjennomfører risikoanalyser på sine respektive systemer for å kunne klassifisere

informasjon ut fra hvor kritisk den er for virksomheten. Sikkerhetsansvarlig (CSO) er ansvarlig for

oppfølging i forbindelse med ledelsens gjennomgang.

Brukere som forvalter informasjon på NMBUs vegne skal behandle denne i henhold til klassifiseringen.

Fortrolige og interne dokumenter skal være tydelig merket.

3.5 Fysisk sikkerhet

3.5.1 Sikkerhetsområder

Sikre fysiske soner benyttes for å beskytte områder som inneholder IKT-utstyr og informasjon som krever beskyttelse. Sikre soner skal beskyttes med hensiktsmessige adgangskontroller for å sikre at kun autorisert personell får adgang.


Følgende soneinndeling skal benyttes

Sikringsnivå Område Sikring

Grønn Alt er i utgangspunktet tilgjengelig.

Studentområder og kantine.

Ingen

Gul

Noen tekniske rom slik som koblingsrom,

printerrom og rom hvor det f.eks. finnes

skjermingsverdig / intern informasjon.

Kontorlokaler, møterom, noen arkiver.

Utskrift beskyttes med ”Follow

me”- funksjonalitet der det skrives

ut fortrolig informasjon.

Adgangskort

Rød

Avgrensede områder hvor spesiell autorisasjon

kreves, datarom/serverrom/arkiver med fortrolig

informasjon og lignende.

Adgangskort.

Områdene skal avmerkes i bygningsplansjer eller eksplisitt beskrives i eget dokument NMBUs

internkontrollsystem. Alle NMBUs lokaler skal sikres med tilstrekkelige sikringssystemer iht klassifisering,

ref. tabell ovenfor, inkludert relevant sporbarhet/logging.

Systemeiere for informasjonssystemer er ansvarlig for godkjenning av medarbeidere som skal ha adgang

til sikre områder.

Besøkende i rød sone skal registreres inn (i resepsjonen) og de skal bære synlige gjestekort med

informasjon om hvem som er ansvarlig. Besøkende i rød sone skal ledsages.

Sikkerhetsansvarlig er ansvarlig for at arbeid utført av tredjepart i sikre områder er relevant overvåket og

dokumentert. Adgangskort kan gis til håndverkere, teknikere og andre mot at det leveres ID-kort og utfylt

taushetserklæring.

Røde områder skal være forsvarlig sikret mot miljøskader forårsaket av brann, vann, eksplosjon,

vibrasjoner mv.

3.6 Tilgangskontroll

3.6.1 Autorisasjon av brukere og roller

Alle brukere ved NMBUs informasjonssystemer og IT-systemer skal være administrert i et sentralt

brukeradministrativt system (BAS). NMBUs BAS skal regulere hvilke brukere som er autorisert i definerte

roller. Opprettelse av brukere skal utelukkende skje på bakgrunn av autoritative kilder. NMBUs viktigste

brukerroller er følgende:

brukerrolle Autoritativt system

Ansatt NMBUs personalsystem. Kun automatisk overføring fra autoritativ kilde.

Student NMBUs studentsystem. Kun automatisk overføring fra autoritativ kilde.

Øvrige roller Basert på kontrakt. Manuell eller automatisk registrering.

Detaljert oversikt skal være dokumentert i NMBUs internkontrollsystem


3.6.2 Autentiseringsprinsipper for brukere

Det skal finnes et retningslinjedokument for tilgangs- og autentiseringsprinsipper i NMBUs

internkontrollsystem. Dokumentet skal dekke alle benyttede autentiseringsmetoder som er i bruk ved

NMBU, herunder nøkkel basert på brukernavn/passord og/eller sertifikater. Dokumentet skal inneholde

retningslinjer for sikkerhetsstyrke, endringsfrekvens og kryptering samt hvor og hvordan nøkler skal

lagres.

Brukere skal ha unike kombinasjoner av brukernavn og passord – UID-nøkkel. UID-nøkkel skal ikke

overdras til andre brukere.

En bruker er ansvarlig for enhver handling som er utført fra brukerens konto. Brukere holder brukernavn

og passord konfidensielle, og røper bare disse hvis det er spesifikt autorisert av sikkerhetsansvarlig.

3.6.3 Brukeradministrering i informasjonssystemer

System og systemaksess autentiseres minimum ved hjelp av personlige brukernavn og passord.

Tilgang til informasjonssystemer skal være autorisert av nærmeste leder. Tilgangsrettigheter, inkludert

tilhørende aksessrettigheter (privilegier), lagres i tilgangslister i NMBUs BAS. Autorisasjoner gis på

bakgrunn av tjenstlige behov, og reguleres av type rolle/stilling. Systemeier har ansvaret for godkjenning

av tilganger til egen forvaltet informasjon.

Brukerporteføljen på NMBUs informasjonssystemer skal administreres av NMBUs BAS – dette gjelder

både opprettelse og fjerning. Der automatisk administrering av brukere til et informasjonssystem ikke er

teknisk mulig, skal NMBUs BAS produsere oppfølgingslister som håndteres av informasjonssystemets

systemansvarlig.

3.6.4 Kontroll med nettverkstilgang

IT-avdelingen har ansvaret for at brukernes nettverkstilgang skjer i overensstemmelse med retningslinjene

for tilgang

Informasjonssystemene skal plasseres i nett med sikkerhetsklassifisering som tilsvarer informasjonens

klassifisering.

3.7 Kommunikasjon og bærbare enheter Arbeid utenfor NMBUs lokaler på NMBUs utstyr er tillatt dersom retningslinjer for

informasjonssikkerhet overholdes og IKT-reglement underskrives og overholdes. Fjerntilgang til NMBUs

nettverk skal kun skje gjennom sikkerhetsløsninger godkjent av IT-direktøren.

Beskyttelsesverdig informasjon skal krypteres i henhold til spesifikasjoner gitt i dokumentasjon i NMBUs

internkontrollsystem ved forsendelse med e-post eller annen kommunikasjon eksternt eller internt.

Mobile enheter sikres med tilstrekkelige sikkerhetsmekanismer.

Beskyttelsesverdig informasjon som oppbevares på bærbare enheter skal krypteres i henhold til

retningslinjer i NMBUs internkontroll. Fortrolig informasjon skal alltid krypteres når den oppbevares på

bærbare medier, slik som USB-pinne, smarttelefoner, CDer og lignende – dvs. oppfylle POF §2-11.

3.8 Skytjenester og sosiale medier Beskyttelsesverdig informasjon skal som hovedregel ikke distribueres til skytjenester eller sosiale medier

(med mindre disse er godkjent for slik bruk av NMBU).


Ved bruk av skytjenester og sosiale medier er det brukerens ansvar å påse at NMBUs

informasjonssikkerhetspolicy overholdes og at beskyttelsesverdig informasjon ikke spres via disse

tjenestene.

3.9 Systemteknisk sikkerhet

3.9.1 Nødvendig sikkerhetsnivå – høy, middels, lav

Følgende kategorisering benyttes for beskyttelsesbehov:

Høy - gis bare systemer og informasjon med virksomhetskritisk beskyttelsesbehov.

Middels - gis systemer og informasjon med beskyttelsesbehov.

Lav, (lave krav til sikkerhet) kan gjelde alle systemer og informasjon med lite eller ingen beskyttelsesbehov.

Ulike informasjonssystem og delsystemer kan ha ulike beskyttelsesbehov.

Krav til dokumentasjon av beskyttelsesbehov:

NMBU skal vedlikeholde en oversikt over personopplysninger og andre digitale verdier som informasjonssystemer og eksterne kommunikasjonsgrensesnitt med faktisk beskyttelsesbehov.

NMBU skal vedlikeholde kriterier for valg av beskyttelsesbehov.

Sikkerhetstiltak skal vurderes og iverksettes i henhold til definert beskyttelsesbehov.

Vurdering av beskyttelsesbehov skal inngå i alle system- eller infrastrukturendringer som kan påvirke informasjonssikkerheten.

3.9.2 Retningslinjer for systemteknisk sikkerhet

Detaljerte retningslinjer for systemteknisk sikkerhet skal være utarbeidet og vedlikeholdes i

dokumentasjon i NMBUs internkontrollsystem.

4 Oppfølging og kontroll

4.1 Konfigurasjonskontroll Oversikt over gyldig sikkerhetsdokumentasjon, utstyr, programvare og systemkonfigurasjon skal

utarbeides og vedlikeholdes.

Systemeier har ansvaret for å utarbeide og vedlikeholde oversikt over utstyr, programvare og systemkonfigurasjon i samråd med IT-avdelingen.

Sikkerhetsansvarlig har overordnet ansvar at sikkerhetsdokumentasjon blir utarbeidet og vedlikeholdt.

4.2 Endringskontroll Ved endringer i NMBUs informasjonssystemer skal alltid beskyttelsesbehov vurderes, og om endring

kan ha konsekvenser for sikkerheten.

Endringer som kan ha konsekvenser for informasjonssikkerheten, skal godkjennes av sikkerhetsansvarlig.

For endringer som kan ha sikkerhetsmessig konsekvens, skal systemeier i samråd med IT-avdelingen utarbeide en risikovurdering inkludert forslag til tiltak som oversendes sikkerhetsansvarlig som en del av endringsforespørsel.

Sikkerhet skal være et vurderingspunkt gjennom alle faser av en endring.

Krav til sikkerhet og overordnet vurdering av risiko skal inngå i eventuelle forprosjekt.

Ved en eventuell kontrakt med tredjepart skal krav til sikkerhet inngå i kontrakten.

Produksjonsdata som inneholder sensitive personopplysninger skal anonymiseres før de benyttes ved tester knyttet til endringer.


Sikkerhetsnivå skal verifiseres før endringer settes i drift.

4.3 Hendelseshåndtering Medarbeider og leder er ansvarlige for å rapportere hendelser/brudd og mulige brudd på

sikkerheten. Rapporteringen går linjevei, eventuelt direkte til sikkerhetsleder ved alvorlige hendelser.

Ved alvorlige hendelser skal sikkerhetsansvarlig involveres i oppfølging og beslutning av korrigerende tiltak knyttet til hendelsen.

Sikkerhetsansvarlig (CSO) har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser ved brudd på konfidensialitet eller integritet samt enkeltpersoners brudd på sikkerhetsreglene.

Hvis sensitive personopplysninger er kommet på avveie eller det er mistanke om det samme, skal Datatilsynet orienteres.

IT-direktør har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser relatert til tilgjengelighet på IT-systemer og -tjenester

4.4 Beredskap NMBU skal ha en beredskaps- og kontinuitetsplan for informasjonssystemer med tilhørende IT-

infrastruktur. Planen skal være dokumentert i NMBUs internkontrollsystem.


Styringsdokument 4: NMBUs sikkerhetsorganisasjon

1 Roller og ansvarsområder NMBUs ledelse

Med NMBUs ledelse forstås NMBUs rektor og direktører med deres ledelsesapparat.


Sikkerhetsansvarlig ved NMBU har et overordnet ansvar for informasjonssikkerheten. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. Sikkerhetsansvarlig har myndighet og ansvar til blant annet å kunne gjennomføre opplæring i informasjonssikkerhet, risikovurderinger, sikkerhetstester, avvikshåndtering, iverksette korrigerende og andre sikkerhetsrelaterte tiltak. Systemeier

Alle informasjonssystemer skal ha en definert eier. Systemeier er ansvarlig for informasjonssystemet og

dets innhold, og rapporterer til sikkerhetsansvarlig. Systemeier er ansvarlig for krav til anskaffelse,

utvikling og vedlikehold av informasjon og relaterte informasjonssystemer i samråd med IT-avdelingen.

For hver type informasjon skal eiere definere hvilke brukere (brukergrupper) som skal ha tilgang til denne,

og definere hva som er autorisert bruk av informasjonen.

Systemansvarlige

Systemansvarlige er teknisk ansvarlig for administrasjon av spesifikke IT-systemer ved Universitetet.

Systemansvarlige er personer som forvalter NMBUs informasjonssystemer eller informasjon som er

betrodd Universitetet fra andre parter på vegne av Systemeier. Hver enkelt type informasjon og systemer

kan ha en eller flere dedikerte systemansvarlige. Systemansvarlige er ansvarlige for å beskytte

informasjonen, inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å foreta

backup slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder dessuten

sikkerhetsmekanismer i tråd med intensjonen.

Brukere

Alle brukere av NMBUs informasjonssystemer er ansvarlige for å gjøre seg kjent med og rette seg etter

NMBUs IKT-reglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av

den aktuelle informasjonen, eventuelt systemansvarlig.

2 Organisasjon for informasjonssikkerhet

Ansvarsområde Stilling Navn

Øverste ansvarlig for

sikkerhet ved NMBU

Rektor Mari Sundli Tveit

Sikkerhetsansvarlig (CSO) Økonomi- og eiendomsdirektør Siri Margrethe Løksa

Informasjonssikkerhet - Utførende ansvar for informasjonssikkerhet knyttet til persondata iht

Leder for Personal- og organisasjonsavdeling

Jan Olav Aarflot


Personopplysningsloven. Daglig (operasjonell) behandlingsansvarlig og ivaretar kontakt med Datatilsynet

Informasjonssikkerhet - Utøvende ansvar for informasjonssikkerhet knyttet til IT-systemene og IT-infrastruktur

Leder for IT-avdelingen Magnar Antonsen

Systemeierne er ansvarlig for persondata i egne systemer. Oversikt forefinnes i dokument i NMBUs

internkontrollsystem.

Lederne ved NMBUs organisatoriske enheter (institutter, avdelinger og sentre) er ansvarlige for å

implementere informasjonssikkerheten ved enheten.

NMBU skal utrede personvernombud (NSD har hatt denne rollen for NVH).

Documents

Informasjonssikkerhetspolicy for NMBU