1.1 Om dokumentet
1.1.1 Om begrepet informasjonssikkerhet
Informasjonssikkerhet har med sikring av informasjon å gjøre, uavhengig av om den er lagret digitalt eller ikke. IT-sikkerhet har med sikring av Informasjons- og kommunikasjonsteknologi å gjøre – altså maskinvare og programvare. Grunnen til at IT-sikkerhet og informasjonssikkerhet ofte blir brukt om hverandre, er at mye informasjon er lagret og formidlet ved hjelp av IT. For å beskytte slik informasjon, må man beskytte teknologien den er lagret og formidlet på.
1.1.2 Om ledelsessystemet
Personopplysnings– og forvaltningsloven med tilhørende forskrifter stiller krav om innføring av ledelsessystem for informasjonssikkerhet (LSIS). Dette dokumentet beskriver Universitetet i Oslos ledelsessystem for informasjonssikkerhet. I beskrivelsen er det også tatt hensyn til annet lov- og regelverk (offentlighetsloven, arkivloven, økonomireglement med mer) som har betydning for arbeidet med sikring av universitetets informasjon.
Behovet for en systematisk oversikt og samling av retningslinjer og rutiner som ligger til grunn for arbeidet med IT- og informasjonssikkerhet springer ut av universitetets avhengighet av IT og IT-ressurser i sin daglige og langsiktige virksomhet.
Trusler som i sin konsekvens svekker eller hindrer universitetets og den enkelte brukers tilgang til IT-ressursene eller åpner disse for misbruk, er ikke bare en trussel mot universitetets og brukernes mulighet til å løse sine oppgaver og nå sine mål.
Truet er også de store materielle og immaterielle verdier som universitetet forvalter og den store mengden av informasjon som er gitt i fortrolighet eller samlet inn på en slik måte at de omfattes av lov om personopplysninger. I tillegg kommer den ødeleggende virkning ulike sikkerhetshendelser kan få for omdømmet til Universitetet i Oslo.
Spesifikt for informasjonssikkerheten innebærer dette tiltak som sikrer alle parter følgende:
- Tilgjengelighet: Sikrer mot tap av eller avbrudd i tilgangen til informasjon og data
- Konfidensialitet: Sikrer mot ikke-autorisert innsyn i, endring av eller offentliggjøring av informasjon og data
- Integritet: Sikrer informasjonens og dataenes nøyaktighet, fullstendighet og opprinnelighet
Dette er samme definisjon som brukes i «Nasjonal Strategi for informasjonssikkerhet».
1.2 Oversikt over universitetets ledelsessystem for informasjonssikkerhet
Ledelsessystemet for informasjonssikkerhet ved UiO består av en styrende, en gjennomførende og en kontrollerende del, og erstatter UiOs IT-sikkerhetshåndbok.
1.2.1 Styrende del
Styrende del av ledelsessystemet inneholder den øverste ledelsens overordnede retningslinjer for arbeidet med informasjonssikkerhet ved UiO:
- Beskrivelse av hvilke deler av UiOs virksomhet som omfattes av ledelsessystemet (avgrensning)
- Ledelsens sikkerhetsmål og –strategi, inkludert kriterier for akseptabel risiko
- Organiseringen av arbeidet med informasjonssikkerhet (sikkerhetsorganisering).
Revisjonshistorikk
Revisjonshistorikken gir oversikt over behandling, godkjenning og revisjon av ledelsessystemet:
- Versjon 1.0
1.2.2 Gjennomførende og kontrollerende del
Gjennomførende og kontrollerende del består av rutiner og arbeidsdokumenter som ligger til grunn for det operative IT- og informasjonssikkerhetsarbeidet. Dette omfatter blant annet rutiner og verktøy for gjennomføring av risikovurderinger, avvikshåndtering, sikkerhetsrevisjoner, tilgangsstyring, fysisk sikring av infrastruktur og utstyr, monitorering og skanning av nettverk eller systemer og kontinuitets- og beredskapsplaner.
1.2.3 IT-sikkerhetshåndbok for Universitetet i Oslo
Disse tre delene av ledelsessystem for informasjonssikkerhet erstatter «IT-sikkerhetshåndbok for Universitetet i Oslo».
1.3 Virkeområde
Systemet samler retningslinjer for alle deler av IT-sikkerhetsarbeidet, inkludert informasjonssikkerheten. Den gjelder for all IT-virksomhet på universitetet enten den skjer i regi av USIT eller av andre enheter ved universitetet. Den er således styrende for:
- Sentral og lokal IT på universitetet
- System- og tjenesteeiere
- Samarbeidstiltak, inkludert §1.4.4-tiltak som universitetet er vertskap for
- Institusjoner i universitetets randsone som benytter seg av universitetets IT-tjenester og IT-infrastruktur, for eksempel stiftelser. Noen randsoneenheter er selv behandlingsansvarlige for personopplysninger. Disse kan bruke eget ledelsessystem eller være en del av dette etter nærmere avtale med UiO.
I tillegg vil relevante deler av ledelsessystemet gjøres gjeldende for USITs oppdragsvirksomhet.
Ledelsessystemet inngår som en del av dokumentasjonen av sikkerhetsarbeidet på universitetet.
1.3.1 Målgrupper
IT- og informasjonssikkerhetsarbeid omfatter hele organisasjonen, og disse dokumentene har flere målgrupper:
- Universitetets ledelse og ledelsen ved fakulteter og andre enheter
- IT-tilsatte i sentral og lokal IT-organisasjon
- System- og tjenesteeiere
- Universitetets IT-brukere (ansatte, studenter og andre tilknyttede brukere)
1.4 Eierskap, godkjenning og revisjon
Universitetsdirektøren er øverste ansvarlig for IT- og informasjonssikkerheten på universitetet og eier «Ledelsessystem for informasjonssikkerhet (LSIS)». Dokumentene skal gjennomgås og revideres årlig. IT-direktøren koordinerer arbeidet med revisjonen og legger forslag til endringer fram for universitetsdirektøren. Universitetsdirektøren avgjør om endringene er av en slik karakter at de skal legges fram for godkjenning av rektor eller universitetsstyret.
Den styrende delen av ledelsessystemet godkjennes av universitetsdirektøren. Den gjennomførende delen og den kontrollerende delen godkjennes av IT-direktøren. Godkjente versjoner av den styrende delen skal arkiveres i UiOs arkivsystem.
Dokumentene er til enhver tid tilgjengelige på UiOs nettsider, under «IT-tjenester».
1.5 Grunnlaget for arbeidet
Dokumentene er basert på UNINETTs retningslinjer for UH-sektoren, og Direktoratet for forvaltning og IKT (DIFI) sine tilsvarende retningslinjer for offentlige virksomheter.
Arbeidet bygger på den internasjonale standarden på området, ISO/IEC 27002:2013, som DIFI også anbefaler.