Informasjonssikkerhet - styrende dokumenter

(Videresendt fra Informasjonssikkerhet)

Informasjonssikkerhet omfatter sikkerhet ved all behandling av informasjonsverdier, uavhengig av verktøy og metoder.

In English: Information security

Temaside om IT-hjelp | Sider merket med IT-sikkerhet

Hva er informasjonssikkerhet? #

Informasjonssikkerhet handler om å håndtere risikoen som kan oppstå når informasjon, f.eks. personopplysninger, ikke er forsvarlig sikret. Informasjonssikkerhet handler også om sikring av konfidensialitet, integritet og tilgjengelighet.

Konfidensialitet #

At noe er konfidensielt betyr at det er krav til tilgangsstyring; dette betyr i praksis å sikre at informasjon og informasjonssystemer bare er tilgjengelig for de som har et tjenstlig behov.

Integritet #

Integritet betyr å sikre at informasjon er korrekt, gyldig og fullstendig og ikke kan endres utilsiktet eller av uvedkommende.

Tilgjengelighet #

Å sikre tilgjengelighet betyr at informasjon og informasjonssystemer er tilgjengelig innenfor de tilgjengelighetskrav som er satt.

Styringssystem for informasjonssikkerhet #

NTNU har vedtatt nytt IKT-reglement og en politikk for informasjonssikkerhet. Dokumentene utgjør rammen for et styringssystem for informasjonssikkerhet. Styringssystemet er et nytt sett med vedtatte og forankrede dokumenter som beskriver lover, regler og rutiner for informasjonssikkerhet. 

Alle ledere ved NTNU har et særskilt ansvar for å forvalte og sikre den informasjon som skapes, brukes og lagres. Ansatte og studenter har også et ansvar for å være sikre på at informasjon håndteres på riktig måte, og at IKT-infrastrukturen ved NTNU benyttes i overenstemmelse med NTNUs verdier, rutiner og samfunnsoppdrag. 

Styrende dokumenter og ansvar i ISMS

Figuren viser den overordnede ansvarsfordelingen i styringssystemet. Ledere er ansvarlige risiko innenfor sine ansvarsområder og bestemmer om en risiko skal aksepteres eller ikke. Hvis kritisk risiko blir avdekket og lederen mener at han ikke har myndighet til å akseptere, så skal den eskaleres til nærmeste overordnede. Ansvar for å utføre risikovurdering, og oppfølging av tiltak fra både risikovurdering og sikkerhetsavvik ligger hos prosses-/tjeneste-/system-eiere. Virksomhetsstyring har ansvaret for kontinuerlig forbedring, revisjon og rapportering. Seksjon for Digital sikkerhet har ansvaret for den operative sikkerheten, risikovurderingsmetodeverk, koordinering av avviksoppfølging, og oppfølging av tiltak. Sikkerhet og beredskap er ansvarlige for at sikkerheten ivaretas i Organisasjonsutviklingsarbeid og endringsledelse. 

NTNUs IKT-reglement #

Formålet med IKT-reglementet er å regulere bruken av NTNUs informasjons- og kommunikasjonsinfrastruktur (IKT-infrastruktur). Privateid utstyr som koples til datanettet er også omfattet av reglementet. Når programvare eller informasjon som eies av NTNU installeres på privat utstyr, er også dette omfattet av reglementet.

Politikk for informasjonssikkerhet #

Formålet med politikk for informasjonssikkerhet er å ivareta de informasjonsverdier som utvikles, behandles og forvaltes gjennom NTNUs forskning, utdanning, herunder kunstnerisk utviklingsarbeid, formidling, nyskaping og administrasjon, og overholdelse av gjeldende lover og regler. Politikk for informasjonssikkerhet stadfester mål og strategi for informasjonssikkerhet i virksomheten, og setter rammer for arbeidet med ivaretakelse av NTNUs informasjonsverdier og for den digitale sikkerheten i NTNUs IKT-infrastruktur. 

Et styringssystem for informasjonssikkerhet skal danne grunnlaget for NTNUs arbeid med informasjonssikkerhet og være en integrert del av NTNUs helhetlige styringssystem.
Styringssystemet skal gi rammene for en systematisk og helhetlig praksis mellom styrende, gjennomførende og kontrollerende del av arbeidet med informasjonssikkerhet.

Retningslinjer for informasjonssikkerhet #

I forbindlese med etableringen av styringsystemet ble de laget et sett med rettningslinjer. Dokumentene er vedtatt av Organisasjonsdirektør den 20.08.2018. 

Retningslinje for arbeid med sikkerhetskultur og opplæring

Retningslinje for avviksmelding og avvikshåndtering innen informasjonssikkerhet og personvern

Retningslinje for behandling av personopplysninger

Retningslinje for fysisk sikring av IKT-infrastruktur

Retningslinje for hendelse og krisehåndtering IKT

Retningslinje for informasjonssikkerhet i leverandørforhold

Retningslinje for klassifisering av informasjon

Retningslinje for nettverk og informasjonsoverføring

Retningslinje for operativ sikkerhet

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinje for sikker utvikling

Retningslinje for sikring av personlig IKT-utstyr

Retningslinje for systemeier

Retningslinje for tilgangskontroll

Retningslinje for kryptografiske kontroller (Under utvikling, ikke godkjent)

Se også #

Kontakt #

Generelle spørsmål og henvendelser: Seksjon for digital sikkerhet

6 Vedlegg
32536 Visninger
Gjennomsnitt (4 Stemmer)