Informasjonssikkerhet - roller og ansvar - Kunnskapsbasen
Informasjonssikkerhet - roller og ansvar
Om informasjonssikkerhet - roller og ansvar.
Temaside Informasjonssikkerhet | Sider merket med informasjonssikkerhet
Hva er et styringssystem?
Styringssystemet beskriver vår sikkerhetsstrategi, og angir de vedtatte rammene for hvordan NTNU gjennom en systematisk og helhetlig praksis beveger seg i takt med strategien for å nå de satte sikkerhetsmålene. Styringssystemet er en kontinuerlig forbedringsprosess, og skal revideres hvert andre år. Uavhengig av om en kaller det ledelsessystem, internkontroll eller styringssystem, så består det av tre deler, som dekker de organsiatoriske, de menneskelige og de tekniske tiltaksområder.
Styrende del
Angir krav, føringer, organisering og roller for arbeidet med informasjonssikkerhet. Dette er presisert gjennom de styrende dokumenter for informasjonssikkerhet; IKT-reglementet, Politikk for informasjonssikkerhet og underliggende retningslinjer.
Styring og kontroll med informasjonssikkerheten følger linjen, og er et lederansvar. Ledere skal ha en god risikoforståelse og oversikt over de informasjonsverdier som enheten håndterer, slik at de er i stand til å ta informerte valg og gjøre prioriteringer ved innføring av sikkerhetstiltak. Gjennom NTNUs styrings- og delegasjonsreglement skal arbeidet med sikkerhet, herunder informasjonssikkerhet og personvern, synliggjøres på et strategisk og taktisk nivå. Videre må det operasjonelle nivået konkretiseres, slik at de interne ressursene som utgjør prosess- og lederstøtte i det systematiske kvalitetsarbeidet kommer på plass.
Gjennomførende del
Den gjennomførende delen består av linjelederes, prosesseieres, systemeieres og brukeres gjennomføring av kravene i de styrende dokumentene for informasjonssikkerhet. På et overordnet nivå handler dette om verdivurdering og klassifisering av informasjon, risikovurderinger og risikoreduserende tiltak innenfor de respektive ansvarsområder.
Arbeidet med sikkerhetskultur og opplæring skal være en systematisk og kontinuerlig forbedringsprosess. Økt kompetanse skal gjøre lederlinjen, prosesseiere, systemeiere og brukere i stand til å klassifisere informasjonen de behandler, gjennomføre risikovurderinger og velge nødvendige tiltak for å beskytte informasjonen i sin informasjonsbehandling.
NTNU skal sikre IKT-infrastrukturen gjennom en systematisk implementering av kravene i retningslinjene som er utformet iht. kontrollpunkter i ISO 27001, Tillegg A. Krav til informasjonssikkerhet skal ivaretas i design, anskaffelse, utvikling, forvaltning og avhending av IKT-systemer og infrastruktur.
Kontrollerende del
Består av avvikshåndtering, rapportering, intern/ekstern revisjon og ledelsens gjennomgang.
Fordeling av roller og ansvar
| Rektor | Har det overordnede ansvaret for informasjonssikkerheten ved NTNU. |
| Organisasjonsdirektør | Er ansvarlig for at kravene i politikk for informasjonssikkerhet blir implementert i virksomheten gjennom et fungerende styringssystm for informasjonssikkerhet, og for at det utvikles handlingsplaner som sørger for et systematisk og kontinuerlig arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet. |
| Avdelingsleder HR/HMS | Er ansvarlig for organisasjonsutvikling og endringsledelse i arbeidet med informasjonssikkerhet; herunder påse at ledere er kjent med, og har tilstrekkelig kompetanse og risikoforståelse, til å ivareta sitt ansvar for å utøve risikostyring innen området informasjonssikkerhet. |
| Avdelingsleder IT | Er ansvarlig for at alle ansatte og studenter ved NTNU har tilgang til tjenester og materiell slik at brukerne kan beskytte NTNUs informasjon og informasjonssystemer. |
| Leder Seksjon for digital sikkerhet | Skal konsulteres i arbeidet med utvikling av kommunikasjon og opplæringsmateriale for å sikre faglig relevant innhold og oppdatert risiko- og trusselbilde. |
| Leder Avdeling for virksomhetsstyring | Er ansvarlig for at informasjonssikkerhet som en av flere virksomhetsområder inngår i en helhetlig internkontroll. |
| Dekaner/museumsdirektør /instituttleder/avdelingsleder/ seksjonssjef | Er ansvarlig for etterlevelsen av krav til informasjonssikkerhet, herunder krav til behandling av personopplysninger ved enheten. Har ansvaret for at ansatte i enheten har tilstrekkelig opplæring innen informasjonssikkerhet, og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og ved all informasjonsbehandling, samt melde og håndtere avvik ved brudd på informasjonssikkerheten. |
| Systemeier | Er ansvarlig for at IT-systemenes utvikling, forvaltning og/eller drift møter kravene til informasjonssikkerhet. Er ansvarlig for at opplæringsmateriale knyttet til bruk av IKT-systemer utvikles og kommuniseres iht Retningslinje for arbeid med sikkerhetskultur og opplæring. |
| Prosesseier (Merk ift Retingslinje for behandling av personopplysninger) | En prosesseier er en leder i Fellesadministrasjonen, som er ansvarlig for gjennomgående administrative prosesser ved NTNU. Prosesseier har ansvar for felles prosedyrer og retningslinjer samt til enhver tid styre, forbedre og følge opp de gjennomgående prosessene innenfor sitt ansvarsområde. |
| Prosjektleder | Er ansvarlig for det operative ansvaret og internkontroll ved gjennomføringen av forskningsprosjekt og andre prosjekter, fra planlegging til avslutning, herunder at krav i relevant lovverk og forskningsetiske og interne retningslinjer, etterleves. |