Upload
vuongkien
View
229
Download
2
Embed Size (px)
Citation preview
Policy
for
informasjonssikkerhet
ved
NMBU
Ver: 1.01
Vedtatt: 25. april 2013
Oppdatert: 26. januar 2014
Informasjonssikkerhet for NMBU – ver. 1.01 Generelt - Side 1 av 2
Innholdsfortegnelse
NMBUS POLICY FOR INFORMASJONSSIKKERHET - GENERELT 1
1 INNLEDNING ..................................................................................................................................................................... 1 1.1 Bakgrunn .................................................................................................................................................................... 1 1.2 Hjemmelsgrunnlag ....................................................................................................................................................... 1
2 DOKUMENTSTRUKTUR I INFORMASJONSSIKKERHETSPOLICYEN ............................................................................. 1 3 FORMELL TILKNYTNING.................................................................................................................................................. 2 4 BEGREPER OG DEFINISJONER ........................................................................................................................................ 2
STYRINGSDOKUMENT 1: POLICY FOR INFORMASJONSSIKKERHET 1
1 INTERNKONTROLL OG PERSONOPPLYSNINGER ......................................................................................................... 1 1.1 Rutine for registrering og oversikt over personopplysninger, POF § 2-4 ........................................................................ 1 1.2 Oversikt over personopplysninger .................................................................................................................................. 1 1.3 Overordnet begrunnelse for behandling av personopplysninger ........................................................................................ 1 1.4 Krav og plikter som følge av behandling ....................................................................................................................... 1
STYRINGSDOKUMENT 2: SIKKERHETSREVISJON – LEDELSENS GJENNOMGANG 1
1 OM SIKKERHETSREVISJON .............................................................................................................................................. 1 1.1 Formål ........................................................................................................................................................................ 1 1.2 Ansvarsforhold ............................................................................................................................................................ 1
2 UTFØRELSE ........................................................................................................................................................................ 1 2.1 Revisjon ....................................................................................................................................................................... 1 2.2 Sikkerhetsmål ............................................................................................................................................................. 2 2.3 Gjennomgang av avvik og hendelser ............................................................................................................................. 2 2.4 Forbedringstiltak ......................................................................................................................................................... 2 2.5 Oppfølging ................................................................................................................................................................... 2
3 RAPPORT ............................................................................................................................................................................. 2
STYRINGSDOKUMENT 3: MÅL OG STRATEGI FOR INFORMASJONSSIKKERHET 1
1 INNLEDNING ..................................................................................................................................................................... 1 2 SIKKERHETSMÅL ............................................................................................................................................................... 1 3 SIKKERHETSSTRATEGI ..................................................................................................................................................... 1
3.1 Organisering av sikkerheten ......................................................................................................................................... 1 3.1.1 Roller og ansvarsområder ....................................................................................................................................................... 1 3.1.2 Organisering .............................................................................................................................................................................. 2 3.1.3 Kontrakter med leverandører av informasjonssystemtjenester ....................................................................................... 2 3.1.4 Egenkontroll .............................................................................................................................................................................. 2
3.2 Risikostyring ............................................................................................................................................................... 2 3.2.1 Risikovurdering ......................................................................................................................................................................... 2
3.3 Personell og sikkerhet .................................................................................................................................................. 2 3.3.1 IKT-reglement .......................................................................................................................................................................... 2 3.3.2 Generell taushetserklæring for fortrolig informasjon........................................................................................................ 3
Informasjonssikkerhet for NMBU – ver. 1.01 Generelt - Side 2 av 2
3.3.3 Kompetanse i informasjonssikkerhet ................................................................................................................................... 3 3.3.4 Konsekvenser ved sikkerhetsbrudd ...................................................................................................................................... 3
3.4 Dokumentsikkerhet - Klassifisering og kontroll av informasjon og informasjonssystemer ............................................... 3 3.5 Fysisk sikkerhet .......................................................................................................................................................... 3
3.5.1 Sikkerhetsområder .................................................................................................................................................................... 3 3.6 Tilgangskontroll........................................................................................................................................................... 4
3.6.1 Autorisasjon av brukere og roller .......................................................................................................................................... 4 3.6.2 Autentiseringsprinsipper for brukere ................................................................................................................................... 5 3.6.3 Brukeradministrering i informasjonssystemer .................................................................................................................... 5 3.6.4 Kontroll med nettverkstilgang ............................................................................................................................................... 5
3.7 Kommunikasjon og bærbare enheter ............................................................................................................................. 5 3.8 Skytjenester og sosiale medier ....................................................................................................................................... 5 3.9 Systemteknisk sikkerhet .............................................................................................................................................. 6
3.9.1 Nødvendig sikkerhetsnivå – høy, middels, lav ................................................................................................................... 6 3.9.2 Retningslinjer for systemteknisk sikkerhet .......................................................................................................................... 6
4 OPPFØLGING OG KONTROLL ......................................................................................................................................... 6 4.1 Konfigurasjonskontroll ................................................................................................................................................. 6 4.2 Endringskontroll ......................................................................................................................................................... 6 4.3 Hendelseshåndtering .................................................................................................................................................... 7 4.4 Beredskap .................................................................................................................................................................... 7
STYRINGSDOKUMENT 4: NMBUS SIKKERHETSORGANISASJON 1
1 ROLLER OG ANSVARSOMRÅDER ..................................................................................................................................... 1 2 ORGANISASJON FOR INFORMASJONSSIKKERHET ........................................................................................................ 1
Informasjonssikkerhet for NMBU – ver. 1.01 Generelt - Side 1 av 2
NMBUs policy for informasjonssikkerhet - generelt
1 Innledning
1.1 Bakgrunn Informasjonsbehandling og informasjonssikkerhet er kritisk for NMBUs virksomhet innenfor utdanning,
forskning, formidling og forvaltning. Systemer og infrastruktur for behandling av informasjon skal være
pålitelige i bruk og sikre at tilgangen til informasjon følger NMBUs regler.
NMBU behandler personopplysninger i forhold til ansatte, studenter og andre som har relasjoner til
NMBUs virksomhet. Grunnleggende personvernhensyn skal være førende for all behandling av slike
opplysninger og behandlingen skal være lovlig, sikker og skje med tilfredsstillende beskyttelse.
Foreliggende policy dokumenterer de systematiske tiltak som NMBU har innført for å sikre at lover
og tilhørende regelverk er kjent og følges.
1.2 Hjemmelsgrunnlag Behandling og beskyttelse av personopplysninger og NMBUs informasjonssystemer skal skje i samsvar
med lovpålagte bestemmelser. Personopplysningsloven (POL) med forskrift (POF) stiller krav til NMBUs
behandling av personopplysninger. Foreliggende dokument er utarbeidet i henhold til de krav som er stilt
i personopplysningslovens §§13 og 14, jf personopplysningsforskriftens kap2, §§ 2-1 flg.
Også metoder fra internasjonale standarder for informasjonssikkerhet er lagt til grunn for utarbeidelsen av
policyen. (ISO/IEC 27001: ”Information technology – Security techniques – Information security
management systems – Requirements” / ISO/IEC 27002: ”Information technology – Security
techniques – Code of practice for information security management ).
Kunnskapsdepartementet har fra og med 2013 lagt spesielt vekt på informasjonssikkerhet i sitt
tildelingsbrev til UH-institusjonene.
2 Dokumentstruktur i informasjonssikkerhetspolicyen POL § 13 stiller krav om at internkontrollsystemet skal dokumenteres. NMBU har inndelt
dokumentasjonen av systemet i tre emner:
Styrende dokumentasjon: Dokumentasjonen gir uttrykk for ledelsens styring av
sikkerhetsområdet, herunder valgte sikkerhetsmål, sikkerhetsstrategier, NMBUs
sikkerhetsorganisasjon samt kvalitetsprosesser for internkontrollsystemet. Dokumentasjonen
skal bidra til å oppnå et balansert nivå på tiltak i forhold til den risiko og de rammebetingelser
NMBU står overfor.
Gjennomførende dokumentasjon: Utgjør brukertilpassede sikkerhetsrutiner og tiltak, maler og
metoder for daglig drift. Gjennomførende dokumentasjon er delt i følgende kategorier:
Retningslinjer
Oversikter og deskriptiv dokumentasjon av NMBUs informasjonssystemer
Prosedyredokumenter
Ulike maler/ skjema
Informasjonssikkerhet for NMBU – ver. 1.01 Generelt - Side 2 av 2
Kontrollerende dokumentasjon: Utgjør rutiner for oppfølging, korrigering og forbedring av
internkontroll og informasjonssikkerhet.
Den styrende dokumentasjonen ligger i denne dokumentsamlingen, mens gjennomførende dokumenter
og kontrollerende dokumenter ligger i NMBUs internkontrollsystem på internkontroll.nmbu.no.
3 Formell tilknytning Foreliggende policy er godkjent av Fellesstyret for NVH og UMB den 25.04.2013 og trer i kraft fra
01.01.2014. I tråd med de krav som stilles i POL § 13 vil informasjonssikkerhetspolicyen bli implementert
ut i linjen slik at alle medarbeidere gjøres kjent med NMBUs sikkerhetssystem, roller og ansvar.
4 Begreper og definisjoner Behandlingsansvarlig Den som bestemmer formålet med behandlingen av personopplysninger og
hvilke hjelpemidler som skal brukes, POL § 2 nr. 4.
Informasjonssikkerhet Iverksettelse av tiltak for å skape et tilfredsstillende sikkerhetsnivå for
beskyttelse av informasjonsverdier, for eksempel personopplysninger.
Beskyttelse av informasjonens tilgjengelighet, integritet og konfidensialitet.
Informasjonssystem Elektronisk eller papirbasert system for lagring og behandling av
informasjon.
Personopplysning og
Sensitiv personopplysning
(SPO):
Personopplysninger er alle opplysninger og vurderinger som kan knyttes til
en enkeltperson for eksempel navn, adresseinformasjon, lønn,
referanseuttalelser, oppgavebesvarelser mv., jf. POL § 2 nr. 1. SPO er
opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk
eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller
dømt for en straffbar handling, helseforhold, seksuelle forhold,
medlemskap i fagforeninger, jf. POL § 2 nr. 8.
Sikkerhetsansvarlig (CSO)
Chief Security Officer – Overordnet sikkerhetsansvarlig ved NMBU.
Overordnet ansvarlig for all sikkerhet ved NMBU, herunder informasjons-
sikkerhet og det ansvar som tillegges behandlingsansvarlig iht POL.
Sikkerhetsorganisasjon Dokumentert beskrivelse av ansvars- og myndighetsforhold for bruk og
drift av informasjonssystemet samt ansvar - og myndighetsforhold i
forbindelse med oppfølging av sikkerhetsarbeidet (sikkerhetsledelse), jf.
POF § 2-7.
Systemansvarlig Overordnet teknisk ansvarlig for forvaltningen av et informasjonssystem
etter fullmakt fra systemeier.
Systemeier Den som har det formelle ansvaret for et informasjonssystem, herunder
ivaretakelse av sikkerheten.
Informasjonssikkerhet ved NMBU – Ver. 1.0 Styringsdokument 1: Internkontroll - Side 1 av 2
Styringsdokument 1: Policy for informasjonssikkerhet
1 Internkontroll og personopplysninger
1.1 Rutine for registrering og oversikt over personopplysninger, POF §
2-4 Formålet med kartlegging og beskrivelse av de personopplysninger som behandles ved NMBU er å få en
totaloversikt for hele virksomheten slik at NMBU på en best mulig måte skal være i stand til å ivareta sine
plikter iht gjeldende lovverk. Oversikten danner grunnlag for ledelsens utarbeidelse av sikkerhetsmål og
sikkerhetsstrategi og er grunnlaget for risikovurderinger.
Kartleggingen skal gjøres iht følgende rutine:
1. Sikkerhetsansvarlig (CSO) er ansvarlig for at det utarbeides en total oversikt over alle typer personopplysninger som behandles ved NMBU og at ledelsen er kjent med og har tilgang til denne.
2. Oversikten skal gi en kortfattet informasjon om: o hvilke opplysninger som behandles, o formålet med behandlingen, o hjemmelsgrunnlaget for å behandle opplysningene, o klassifikasjon iht sensitivitet, o teknologiske sikkerhetstiltak med angivelse av sone eller nettverk, o lagring og om de overføres via eksterne media, o opplysningenes omfang, o aktuell avdeling som behandler opplysningene, o systemeier og/eller dataeier.
3. Sikkerhetsansvarlig (CSO) skal holde oversikten fortløpende oppdatert ved jevnlig å forespørre de øvrige enhetsledere om å melde inn evt. endringer, minimum kvartalsvis.
4. Sikkerhetsansvarlig (CSO) skal sette en frist for innrapporteringen og rapporteringen skal skje skriftlig.
5. De enkelte enhetsledere har et selvstendig ansvar for å melde til sikkerhetsansvarlig (CSO) dersom det igangsettes behandling av nye typer personopplysninger.
6. Sikkerhetsansvarlig (CSO) skal fremlegge en oppdatert oversikt i forkant av ledelsens årlige gjennomgang.
1.2 Oversikt over personopplysninger Oversikt over personopplysninger som behandles ved NMBU ligger i NMBUs internkontrollsystem.
1.3 Overordnet begrunnelse for behandling av personopplysninger For NMBU er det nødvendig å innhente og lagre informasjon om studentenes obligatoriske
oppgaveinnleveringer og andre resultater for å styre undervisningen og gi karakterer. Det er også
nødvendig å lagre informasjon om oppnådde karakterer gjennom studiet for å kunne gi vitnemål (POF
§7-20).
Det er også nødvendig å innhente og lagre personopplysninger om de ansatte(faste og midlertidige) for å
utbetale korrekt lønn, registrere arbeidstid og gi oppfølging av den enkelte ved sykefravær (POF §7-16).
1.4 Krav og plikter som følge av behandling Som følge av at NMBU behandler personopplysninger er Universitetet pålagt plikter og krav i henhold til
følgende regelverk:
Informasjonssikkerhet ved NMBU – Ver. 1.0 Styringsdokument 1: Internkontroll - Side 2 av 2
Lov om behandling av personopplysninger (personopplysningsloven)
Personopplysningsforskriften
Lov om arkiv
Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven).
Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova).
Lov om universiteter og høyskoler (universitets- og høyskoleloven).
Lov om statens tjenestemenn m.m. (tjenestemannsloven)
Informasjonssikkerhet ved NMBU – Ver. 1.01 (2) Sikkerhetsrevisjon - Side 1 av 2
Styringsdokument 2: Sikkerhetsrevisjon – ledelsens gjennomgang
1 Om sikkerhetsrevisjon NMBUs ledelse skal årlig gjennomgå NMBUs internkontroll og styringssystem for informasjonssikkerhet.
Sikkerhetsrevisjonen skal utføres i løpet av årets første tre måneder.
1.1 Formål Formålet med den årlige revisjonen er å:
Følge opp de fastsatte sikkerhetsmålene
Iverksette korrigerende tiltak dersom det er behov for det.
Vurdere oppfølging av korrigerende tiltak
Endring av mål for prosess
Sørge for at internkontroll og styringssystem for informasjonssikkerhet er hensiktsmessige, tilstrekkelig og effektive og at det tilfredsstiller relevante krav i personopplysningsloven og -forskriften.
Det er utarbeidet sikkerhetsmål for NMBU, se styringsdokument nr. 3. Med bakgrunn i sikkerhetsmålene
skal det utarbeides planer med forbedringstiltak for å nå disse målene.
Oppfølging av forbedringstiltak og korrigerende tiltak gjøres ved at resultatene fra egenkontroll og
avviksbehandling gjennomgås og sammenlignes med de korrigerende tiltakene.
1.2 Ansvarsforhold Sikkerhetsansvarlig (CSO) ved NMBU tar initiativ til og tilrettelegger for ledelsens årlige gjennomgang av
NMBUs internkontroll og styringssystem for informasjonssikkerhet. Det skal i forbindelse med den årlige
gjennomgangen fremlegges:
En oppdatert oversikt over personopplysninger iht. styringsdokument nr. 1.
Samlet oversikt over de alvorligste hendelsene og avvikene som har vært registrert gjennom året.
2 Utførelse
2.1 Revisjon Sikkerhetsrevisjon skal omfatte de elementer som er styrende for informasjonssikkerhet, som:
Internkontroll o Vurdere endringer i omfang av dagens internkontroll
Sikkerhetsmål og -strategi o Vurdere eventuelle forslag til endringer i sikkerhetsmål og sikkerhetsstrategi, dersom
endringene i vesentlig grad har økonomiske eller andre virksomhetsmessige konsekvenser
Risiko- og sårbarhetsanalyser o Overordnet ROS-vurdering utføres for NMBUs informasjonssystemer o ROS-vurdering utføres ved ønske om ny funksjonalitet som medfører vesentlige
investeringer eller endringer i eksisterende sikkerhetskonsept
Virksomhetskritisk informasjon og/eller system
Informasjonssikkerhet ved NMBU – Ver. 1.01 (2) Sikkerhetsrevisjon - Side 2 av 2
o Vurdering av endringer i hvilken informasjon eller hvilke systemer som er virksomhetskritisk for virksomheten
2.2 Sikkerhetsmål De fastsatte sikkerhetsmålene for NMBU skal gjennomgås og vurderes i forhold til resultater og hovedkonklusjoner fra risikoanalyser og egenkontroll og evt. endringer i offentlige sikkerhetskrav, som kan medføre vesentlig endringer for virksomheten. Ledelsen skal også foreta en vurdering av om tilstrekkelige ressurser er tilgjengelige for å ivareta internkontroll og informasjonssikkerhet slik den er lagt opp ved NMBU.
2.3 Gjennomgang av avvik og hendelser En samlet oversikt over de sikkerhetshendelser og avvik som har vært gjennom året skal gjennomgås og
behandles. Gjennomgangen skal ha fokus på årsaker til hendelser og avvik i vid forstand og hvordan
hendelser og avvik er håndtert. De alvorligste sikkerhetshendelsene bør medføre en grundigere
gjennomgang.
2.4 Forbedringstiltak Forbedringstiltak, gjennomføring av tiltak til fastsatte tidspunkter, utarbeides av sikkerhetsansvarlig (CSO)
på bakgrunn av oppsatte mål, innen områdene:
Organisering av sikkerheten
Partnere og leverandører
Personell og sikkerhet
Fysisk sikkerhet
Systemteknisk sikkerhet
Dokumentsikkerhet
Beredskap
Listen er ikke uttømmende.
Forbedringstiltakene skal godkjennes av administrerende direktør.
2.5 Oppfølging Sikkerhetsansvarlig (CSO) skal sette opp en oversikt over de vedtatte forbedringstiltak og gi en vurdering
av om disse har virket etter sin hensikt. Dette gjøres i forkant av ledelsens årlige gjennomgang.
Oppfølging av sikkerhetsmål for å se om de nås og om forbedringstiltak og korrigerende tiltak virker,
gjøres blant annet gjennom egenkontroll. En plan for egenkontroll skal utarbeides og dokumenteres i
NMBUs informasjonssikkerhetspolicy.
3 Rapport Sikkerhetsansvarlig (CSO) skriver rapport fra ledelsens årlige gjennomgang av NMBUs internkontroll og
styringssystem for informasjonssikkerhet.
Rapporten skal distribueres til den øvrige ledelsen ved NMBU. Rapporten skal inngå i den årlige
rapporteringen om internkontrollen til universitetsstyret.
I rapporten skal det tydelig fremgå de avgjørelser og aksjoner som er bestemt og med hvilken
begrunnelse. Den øvrige ledelse skal uten ugrunnet opphold gi sikkerhetsansvarlig (CSO) en rask
tilbakemelding på referatet dersom dette ikke gjengir avgjørelser og aksjoner på en korrekt måte.
Informasjonssikkerhet ved NMBU – Ver. 1.01 (3) Mål og strategi for informasjonssikkerhet - Side 1 av 7
Styringsdokument 3: Mål og strategi for informasjonssikkerhet
1 Innledning Mål og strategi for informasjonssikkerhet er NMBUs overordnede styrende dokument for
informasjonssikkerhet.
Ledelsen ved NMBU har det overordnede ansvaret for all informasjonssikkerhet ved universitetet og har
ansvaret for utarbeidelse av mål og strategi for informasjonssikkerhet, utarbeidelse av rutiner samt
kontroll med at rutinene følges.
Sikkerhetsmålene beskriver ønsket sikkerhetsnivå og sikkerhetsstrategien beskriver de tiltak NMBU gjennomfører for å oppnå sikkerhetsmålene.
2 Sikkerhetsmål Sikkerhetsmålene skal understøtte og sikre virksomhetens drift, allmenne tillit og omdømme i det
offentlige rom, ved å forebygge og begrense konsekvensene av uønskede hendelser. Sikkerhetsmålene
beskriver NMBUs overordnete mål for beskyttelse av virksomhetens informasjonsbehandling mot interne
og eksterne trusler av tilsiktet og utilsiktet art.
Følgende sikkerhetsmål er definert:
1. NMBU skal sikre at informasjon behandles iht krav i lover og forskrifter.
2. Informasjonssikkerheten ved NMBU skal ha forankring i ledelsen.
3. Informasjonssikkerheten skal være en integrert del av hele NMBUs virksomhet.
4. Ansvars- og rollebeskrivelser i sikkerhetsarbeidet skal være klart definert og kjent i NMBUs
organisasjon.
5. Alle brukere av NMBUs informasjonssystemer skal ha tilstrekkelig kompetanse for å ivareta
NMBUs sikkerhetsbehov.
6. Tilgang til informasjonssystemer og informasjon gis kun til medarbeidere etter tjenestlig behov.
7. NMBU skal ivareta hensynet til konfidensialitet og integritet og tilgjengelighet i behandlingen av
ansattes, studenters og andre registrerte personopplysninger.
8. NMBU skal ha dokumenterte og utprøvde rutiner og metoder for å håndtere hendelser.
3 Sikkerhetsstrategi
3.1 Organisering av sikkerheten
3.1.1 Roller og ansvarsområder
Sikkerhetsansvarlig (CSO)
Sikkerhetsansvarlig ved NMBU har et overordnet ansvar for informasjonssikkerheten. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. Systemeier
Alle informasjonssystem skal ha en definert eier. Systemeier er ansvarlig for informasjonssystemet og dets
innhold og rapporterer til sikkerhetsansvarlig. Systemeier er ansvarlig for krav til anskaffelse, utvikling og
Informasjonssikkerhet ved NMBU – Ver. 1.01 (3) Mål og strategi for informasjonssikkerhet - Side 2 av 7
vedlikehold av informasjon og relaterte informasjonssystemer i samråd med IT-avdelingen. For hver type
informasjon skal systemeier definere hvilke brukere (brukergrupper) som skal ha tilgang til denne, og
definere hva som er autorisert bruk av informasjonen. Oversikt over systemer med tilhørende
systemeiere skal foreligge som dokument i NMBUs informasjonssikkerhetspolicy.
3.1.2 Organisering Sikkerhetsorganiseringen med roller og personer skal til enhver tid være beskrevet i styringsdokument 4 – Sikkerhetsorganisasjon.
3.1.3 Kontrakter med leverandører av informasjonssystemtjenester Alle formaliteter mellom NMBU og leverandører skal være formulert i formelle kontrakter (SLA - Service
Level Agreement) og skal inkludere relevante sikkerhetskrav. NMBU skal alltid ha rett til innsyn og
måling av hvorvidt sikkerhetskrav etterleves av en leverandør.
3.1.4 Egenkontroll Egenkontroll/måling av sikkerhetsnivå ved NMBU skal utføres regelmessig iht. systematiserte rutiner for risikostyring. Retningslinjer for egenkontroll skal foreligge i NMBUs internkontrollsystem.
3.2 Risikostyring
3.2.1 Risikovurdering
NMBUs tilnærming til informasjonssikkerhet skal være basert på risikovurderinger.
NMBU skal løpende analysere risikoer og derigjennom vurdere behovet for tiltak. Tiltak skal vurderes
med hensyn til effektivitet, kostnad og praktisk gjennomførbarhet med utgangspunkt i NMBUs rolle som
undervisnings- og forskningsinstitusjon. Prinsipper og rutiner for risikovurderinger skal være
dokumentert i NMBUs internkontrollsystem.
Det skal gjennomføres en årlig overordnet risikovurdering av NMBUs informasjonssystemer i forbindelse
med sikkerhetsrevisjonen (Ledelsens gjennomgang). Risikovurdering skal også utføres ved ønske om ny
funksjonalitet som medfører vesentlige investeringer eller endringer som har betydning for
informasjonssikkerheten.
Overordnede risikovurderinger skal godkjennes av NMBUs ledelse. Risikovurderinger på lavere nivå
godkjennes av systemeier for de vurderte informasjonssystem.
Ved identifisering av uakseptabel risiko skal det iverksettes tiltak for å redusere risiko til akseptabelt nivå.
Risikovurderinger med oppfølging skal som hovedprinsipp gjennomføres på lavest mulig nivå.
3.3 Personell og sikkerhet
3.3.1 IKT-reglement
IKT-reglementet refererer til NMBUs krav til informasjonssikkerhet og den ansattes ansvar for å oppfylle
disse. Alle brukere av NMBUs informasjonssystemer må signere IKT-reglement:
Ansatte: signerer sammen med ansettelseskontrakt
Studenter: signerer / aksepterer IKT-reglement ved utlevering av brukernavn
Andre brukere signerer egen kontrakt.
Informasjonssikkerhet ved NMBU – Ver. 1.01 (3) Mål og strategi for informasjonssikkerhet - Side 3 av 7
3.3.2 Generell taushetserklæring for fortrolig informasjon
Alle som skal gis tilgang til fortrolige opplysninger ved NMBU skal underskrive en taushetserklæring.
Dette gjelder NMBUs ansatte, studenter og leverandørers ansatte eller andre som måtte komme i kontakt
med slik informasjon.
3.3.3 Kompetanse i informasjonssikkerhet
Ansatte hos NMBU skal gjennom opplæring og rutiner oppnå tilstrekkelig kunnskap til å forvalte
informasjon og systemer på en sikker måte. Endringer i konfigurasjon av systemer og nettverk skal bare
utføres av kvalifisert personell, og etter godkjenning fra NMBU.
3.3.4 Konsekvenser ved sikkerhetsbrudd
Brudd på sikkerhetsreglene beskrevet i sikkerhetsinstrukser, taushetserklæring og eventuell
konfidensialitetserklæring kan få følger for ansettelsesforhold/brukertilknytning.
3.4 Dokumentsikkerhet - Klassifisering og kontroll av informasjon og
informasjonssystemer Informasjon og infrastruktur skal klassifiseres med hensyn til nødvendig sikkerhetsnivå og
tilgangsbegrensning.
Informasjon skal klassifiseres i en av tre følgende kategorier for konfidensialitet:
Åpen: All NMBUs informasjon er åpen med mindre den er klassifisert i en av de to øvrige
kategoriene.
Intern: Informasjon som er ment for intern bruk og som kan skade Universitetet eller være
upassende at tredjepart får kjennskap til og som kan unntas offentlighet i medhold av
Offentleglova. Systemeier avgjør lagrings- og delingsmåte.
Fortrolig: Informasjon av fortrolig art, og hvor uautorisert tilgang (også internt) kan medføre betydelig
skade for enkeltpersoner, Universitet eller deres interesser. Fortrolig informasjon er her
synonymt med forvaltningslovens ”Unntatt Offentlighet” og sensitive personopplysninger
iht Personopplysningslovens §2. Slik informasjon skal sikres i ”Røde” områder, ref. kap. 3.5.
Hver systemeier gjennomfører risikoanalyser på sine respektive systemer for å kunne klassifisere
informasjon ut fra hvor kritisk den er for virksomheten. Sikkerhetsansvarlig (CSO) er ansvarlig for
oppfølging i forbindelse med ledelsens gjennomgang.
Brukere som forvalter informasjon på NMBUs vegne skal behandle denne i henhold til klassifiseringen.
Fortrolige og interne dokumenter skal være tydelig merket.
3.5 Fysisk sikkerhet
3.5.1 Sikkerhetsområder
Sikre fysiske soner benyttes for å beskytte områder som inneholder IKT-utstyr og informasjon som krever beskyttelse. Sikre soner skal beskyttes med hensiktsmessige adgangskontroller for å sikre at kun autorisert personell får adgang.
Informasjonssikkerhet ved NMBU – Ver. 1.01 (3) Mål og strategi for informasjonssikkerhet - Side 4 av 7
Følgende soneinndeling skal benyttes
Sikringsnivå Område Sikring
Grønn Alt er i utgangspunktet tilgjengelig.
Studentområder og kantine.
Ingen
Gul
Noen tekniske rom slik som koblingsrom,
printerrom og rom hvor det f.eks. finnes
skjermingsverdig / intern informasjon.
Kontorlokaler, møterom, noen arkiver.
Utskrift beskyttes med ”Follow
me”- funksjonalitet der det skrives
ut fortrolig informasjon.
Adgangskort
Rød
Avgrensede områder hvor spesiell autorisasjon
kreves, datarom/serverrom/arkiver med fortrolig
informasjon og lignende.
Adgangskort.
Områdene skal avmerkes i bygningsplansjer eller eksplisitt beskrives i eget dokument NMBUs
internkontrollsystem. Alle NMBUs lokaler skal sikres med tilstrekkelige sikringssystemer iht klassifisering,
ref. tabell ovenfor, inkludert relevant sporbarhet/logging.
Systemeiere for informasjonssystemer er ansvarlig for godkjenning av medarbeidere som skal ha adgang
til sikre områder.
Besøkende i rød sone skal registreres inn (i resepsjonen) og de skal bære synlige gjestekort med
informasjon om hvem som er ansvarlig. Besøkende i rød sone skal ledsages.
Sikkerhetsansvarlig er ansvarlig for at arbeid utført av tredjepart i sikre områder er relevant overvåket og
dokumentert. Adgangskort kan gis til håndverkere, teknikere og andre mot at det leveres ID-kort og utfylt
taushetserklæring.
Røde områder skal være forsvarlig sikret mot miljøskader forårsaket av brann, vann, eksplosjon,
vibrasjoner mv.
3.6 Tilgangskontroll
3.6.1 Autorisasjon av brukere og roller
Alle brukere ved NMBUs informasjonssystemer og IT-systemer skal være administrert i et sentralt
brukeradministrativt system (BAS). NMBUs BAS skal regulere hvilke brukere som er autorisert i definerte
roller. Opprettelse av brukere skal utelukkende skje på bakgrunn av autoritative kilder. NMBUs viktigste
brukerroller er følgende:
brukerrolle Autoritativt system
Ansatt NMBUs personalsystem. Kun automatisk overføring fra autoritativ kilde.
Student NMBUs studentsystem. Kun automatisk overføring fra autoritativ kilde.
Øvrige roller Basert på kontrakt. Manuell eller automatisk registrering.
Detaljert oversikt skal være dokumentert i NMBUs internkontrollsystem
Informasjonssikkerhet ved NMBU – Ver. 1.01 (3) Mål og strategi for informasjonssikkerhet - Side 5 av 7
3.6.2 Autentiseringsprinsipper for brukere
Det skal finnes et retningslinjedokument for tilgangs- og autentiseringsprinsipper i NMBUs
internkontrollsystem. Dokumentet skal dekke alle benyttede autentiseringsmetoder som er i bruk ved
NMBU, herunder nøkkel basert på brukernavn/passord og/eller sertifikater. Dokumentet skal inneholde
retningslinjer for sikkerhetsstyrke, endringsfrekvens og kryptering samt hvor og hvordan nøkler skal
lagres.
Brukere skal ha unike kombinasjoner av brukernavn og passord – UID-nøkkel. UID-nøkkel skal ikke
overdras til andre brukere.
En bruker er ansvarlig for enhver handling som er utført fra brukerens konto. Brukere holder brukernavn
og passord konfidensielle, og røper bare disse hvis det er spesifikt autorisert av sikkerhetsansvarlig.
3.6.3 Brukeradministrering i informasjonssystemer
System og systemaksess autentiseres minimum ved hjelp av personlige brukernavn og passord.
Tilgang til informasjonssystemer skal være autorisert av nærmeste leder. Tilgangsrettigheter, inkludert
tilhørende aksessrettigheter (privilegier), lagres i tilgangslister i NMBUs BAS. Autorisasjoner gis på
bakgrunn av tjenstlige behov, og reguleres av type rolle/stilling. Systemeier har ansvaret for godkjenning
av tilganger til egen forvaltet informasjon.
Brukerporteføljen på NMBUs informasjonssystemer skal administreres av NMBUs BAS – dette gjelder
både opprettelse og fjerning. Der automatisk administrering av brukere til et informasjonssystem ikke er
teknisk mulig, skal NMBUs BAS produsere oppfølgingslister som håndteres av informasjonssystemets
systemansvarlig.
3.6.4 Kontroll med nettverkstilgang
IT-avdelingen har ansvaret for at brukernes nettverkstilgang skjer i overensstemmelse med retningslinjene
for tilgang
Informasjonssystemene skal plasseres i nett med sikkerhetsklassifisering som tilsvarer informasjonens
klassifisering.
3.7 Kommunikasjon og bærbare enheter Arbeid utenfor NMBUs lokaler på NMBUs utstyr er tillatt dersom retningslinjer for
informasjonssikkerhet overholdes og IKT-reglement underskrives og overholdes. Fjerntilgang til NMBUs
nettverk skal kun skje gjennom sikkerhetsløsninger godkjent av IT-direktøren.
Beskyttelsesverdig informasjon skal krypteres i henhold til spesifikasjoner gitt i dokumentasjon i NMBUs
internkontrollsystem ved forsendelse med e-post eller annen kommunikasjon eksternt eller internt.
Mobile enheter sikres med tilstrekkelige sikkerhetsmekanismer.
Beskyttelsesverdig informasjon som oppbevares på bærbare enheter skal krypteres i henhold til
retningslinjer i NMBUs internkontroll. Fortrolig informasjon skal alltid krypteres når den oppbevares på
bærbare medier, slik som USB-pinne, smarttelefoner, CDer og lignende – dvs. oppfylle POF §2-11.
3.8 Skytjenester og sosiale medier Beskyttelsesverdig informasjon skal som hovedregel ikke distribueres til skytjenester eller sosiale medier
(med mindre disse er godkjent for slik bruk av NMBU).
Informasjonssikkerhet ved NMBU – Ver. 1.01 (3) Mål og strategi for informasjonssikkerhet - Side 6 av 7
Ved bruk av skytjenester og sosiale medier er det brukerens ansvar å påse at NMBUs
informasjonssikkerhetspolicy overholdes og at beskyttelsesverdig informasjon ikke spres via disse
tjenestene.
3.9 Systemteknisk sikkerhet
3.9.1 Nødvendig sikkerhetsnivå – høy, middels, lav
Følgende kategorisering benyttes for beskyttelsesbehov:
Høy - gis bare systemer og informasjon med virksomhetskritisk beskyttelsesbehov.
Middels - gis systemer og informasjon med beskyttelsesbehov.
Lav, (lave krav til sikkerhet) kan gjelde alle systemer og informasjon med lite eller ingen beskyttelsesbehov.
Ulike informasjonssystem og delsystemer kan ha ulike beskyttelsesbehov.
Krav til dokumentasjon av beskyttelsesbehov:
NMBU skal vedlikeholde en oversikt over personopplysninger og andre digitale verdier som informasjonssystemer og eksterne kommunikasjonsgrensesnitt med faktisk beskyttelsesbehov.
NMBU skal vedlikeholde kriterier for valg av beskyttelsesbehov.
Sikkerhetstiltak skal vurderes og iverksettes i henhold til definert beskyttelsesbehov.
Vurdering av beskyttelsesbehov skal inngå i alle system- eller infrastrukturendringer som kan påvirke informasjonssikkerheten.
3.9.2 Retningslinjer for systemteknisk sikkerhet
Detaljerte retningslinjer for systemteknisk sikkerhet skal være utarbeidet og vedlikeholdes i
dokumentasjon i NMBUs internkontrollsystem.
4 Oppfølging og kontroll
4.1 Konfigurasjonskontroll Oversikt over gyldig sikkerhetsdokumentasjon, utstyr, programvare og systemkonfigurasjon skal
utarbeides og vedlikeholdes.
Systemeier har ansvaret for å utarbeide og vedlikeholde oversikt over utstyr, programvare og systemkonfigurasjon i samråd med IT-avdelingen.
Sikkerhetsansvarlig har overordnet ansvar at sikkerhetsdokumentasjon blir utarbeidet og vedlikeholdt.
4.2 Endringskontroll Ved endringer i NMBUs informasjonssystemer skal alltid beskyttelsesbehov vurderes, og om endring
kan ha konsekvenser for sikkerheten.
Endringer som kan ha konsekvenser for informasjonssikkerheten, skal godkjennes av sikkerhetsansvarlig.
For endringer som kan ha sikkerhetsmessig konsekvens, skal systemeier i samråd med IT-avdelingen utarbeide en risikovurdering inkludert forslag til tiltak som oversendes sikkerhetsansvarlig som en del av endringsforespørsel.
Sikkerhet skal være et vurderingspunkt gjennom alle faser av en endring.
Krav til sikkerhet og overordnet vurdering av risiko skal inngå i eventuelle forprosjekt.
Ved en eventuell kontrakt med tredjepart skal krav til sikkerhet inngå i kontrakten.
Produksjonsdata som inneholder sensitive personopplysninger skal anonymiseres før de benyttes ved tester knyttet til endringer.
Informasjonssikkerhet ved NMBU – Ver. 1.01 (3) Mål og strategi for informasjonssikkerhet - Side 7 av 7
Sikkerhetsnivå skal verifiseres før endringer settes i drift.
4.3 Hendelseshåndtering Medarbeider og leder er ansvarlige for å rapportere hendelser/brudd og mulige brudd på
sikkerheten. Rapporteringen går linjevei, eventuelt direkte til sikkerhetsleder ved alvorlige hendelser.
Ved alvorlige hendelser skal sikkerhetsansvarlig involveres i oppfølging og beslutning av korrigerende tiltak knyttet til hendelsen.
Sikkerhetsansvarlig (CSO) har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser ved brudd på konfidensialitet eller integritet samt enkeltpersoners brudd på sikkerhetsreglene.
Hvis sensitive personopplysninger er kommet på avveie eller det er mistanke om det samme, skal Datatilsynet orienteres.
IT-direktør har ansvar for oppfølging og beslutning av korrigerende tiltak som gjelder hendelser relatert til tilgjengelighet på IT-systemer og -tjenester
4.4 Beredskap NMBU skal ha en beredskaps- og kontinuitetsplan for informasjonssystemer med tilhørende IT-
infrastruktur. Planen skal være dokumentert i NMBUs internkontrollsystem.
Informasjonssikkerhet ved NMBU – Ver. 1.01 (4) Mål og strategi for informasjonssikkerhet - Side 1 av 2
Styringsdokument 4: NMBUs sikkerhetsorganisasjon
1 Roller og ansvarsområder NMBUs ledelse
Med NMBUs ledelse forstås NMBUs rektor og direktører med deres ledelsesapparat.
Sikkerhetsansvarlig (CSO)
Sikkerhetsansvarlig ved NMBU har et overordnet ansvar for informasjonssikkerheten. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet, utarbeide retningslinjer, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. Sikkerhetsansvarlig har myndighet og ansvar til blant annet å kunne gjennomføre opplæring i informasjonssikkerhet, risikovurderinger, sikkerhetstester, avvikshåndtering, iverksette korrigerende og andre sikkerhetsrelaterte tiltak. Systemeier
Alle informasjonssystemer skal ha en definert eier. Systemeier er ansvarlig for informasjonssystemet og
dets innhold, og rapporterer til sikkerhetsansvarlig. Systemeier er ansvarlig for krav til anskaffelse,
utvikling og vedlikehold av informasjon og relaterte informasjonssystemer i samråd med IT-avdelingen.
For hver type informasjon skal eiere definere hvilke brukere (brukergrupper) som skal ha tilgang til denne,
og definere hva som er autorisert bruk av informasjonen.
Systemansvarlige
Systemansvarlige er teknisk ansvarlig for administrasjon av spesifikke IT-systemer ved Universitetet.
Systemansvarlige er personer som forvalter NMBUs informasjonssystemer eller informasjon som er
betrodd Universitetet fra andre parter på vegne av Systemeier. Hver enkelt type informasjon og systemer
kan ha en eller flere dedikerte systemansvarlige. Systemansvarlige er ansvarlige for å beskytte
informasjonen, inklusive å implementere aksesskontrollmekanismer for å sikre konfidensialitet, og å foreta
backup slik at kritisk informasjon ikke går tapt. De implementerer, drifter og vedlikeholder dessuten
sikkerhetsmekanismer i tråd med intensjonen.
Brukere
Alle brukere av NMBUs informasjonssystemer er ansvarlige for å gjøre seg kjent med og rette seg etter
NMBUs IKT-reglement. Spørsmål om håndtering av forskjellig type informasjon skal stilles til eieren av
den aktuelle informasjonen, eventuelt systemansvarlig.
2 Organisasjon for informasjonssikkerhet
Ansvarsområde Stilling Navn
Øverste ansvarlig for
sikkerhet ved NMBU
Rektor Mari Sundli Tveit
Sikkerhetsansvarlig (CSO) Økonomi- og eiendomsdirektør Siri Margrethe Løksa
Informasjonssikkerhet - Utførende ansvar for informasjonssikkerhet knyttet til persondata iht
Leder for Personal- og organisasjonsavdeling
Jan Olav Aarflot
Informasjonssikkerhet ved NMBU – Ver. 1.01 (4) Mål og strategi for informasjonssikkerhet - Side 2 av 2
Personopplysningsloven. Daglig (operasjonell) behandlingsansvarlig og ivaretar kontakt med Datatilsynet
Informasjonssikkerhet - Utøvende ansvar for informasjonssikkerhet knyttet til IT-systemene og IT-infrastruktur
Leder for IT-avdelingen Magnar Antonsen
Systemeierne er ansvarlig for persondata i egne systemer. Oversikt forefinnes i dokument i NMBUs
internkontrollsystem.
Lederne ved NMBUs organisatoriske enheter (institutter, avdelinger og sentre) er ansvarlige for å
implementere informasjonssikkerheten ved enheten.
NMBU skal utrede personvernombud (NSD har hatt denne rollen for NVH).