3.1 Mål
Det overordnede målet for arbeidet med å sikre IT-tjenestene og informasjonsressursene er:
«Å sikre rett nivå på sikkerhet, stabilitet, tilgjengelighet og kvalitet av IT-tjenester og IT-ressurser slik at primærvirksomheten og støttetjenestene kan utføres mest mulig problem- og avbruddsfritt. Samtidig skal personopplysninger være tilstrekkelig godt ivaretatt, slik at dataene har god tilgjengelighet, konfidensialitet og integritet. I tillegg skal dette arbeidet balanseres mot hensynet til studenters og ansattes personvern.»
3.2 Hovedstrategier for å oppnå målet
Arbeidet er fundert på to grunnprinsipper. Den viktigste sikringen gjøres ved å basere seg på en god grunnsikring som et fundament i infrastruktur og rutiner. Denne innebærer sikkerhet i dybden som kan sørge for beskyttelse mot trusler. I tillegg til dette benyttes utstrakt risikostyring, der alle større prosjekter og systemer skal gjøre egne risikoanalyser og iverksette nødvendige tiltak for å håndtere risikoene.
3.2.1 Bevisstgjøring av brukerne
Spre bevissthet om IT-sikkerhet og informasjonssikkerhet blant brukerne.
3.2.2 Riktig kompetanse i alle ledd
Gi alle ledere, ansatte og studenter ved universitetet nødvendig kompetanse og opplæring for å ivareta sine oppgaver og forvalte informasjon på en sikker måte.
3.2.3 Beskyttelse og sikring
Beskytte og sikre utstyr, tjenester, systemer, ressurser og annet mot avbrudd, feil, innbrudd, misbruk, ødeleggelse eller andre trusler mot sikkerheten, tilgjengeligheten, stabiliteten og kvaliteten i IT-tjenestene og IT-systemene
3.2.4 Kontroll og overvåking
Kontrollere og verifisere at sikringstiltakene fungerer for å fange opp unormale situasjoner og omstendigheter som kan representere en trussel. For de systemene som USIT ikke kan sikre på ønsket vis, kreves det større grad av overvåkning og reaktive tiltak, eventuelt med etterkontroll.
3.2.5 Reaksjon og oppfølging
Identifisere og eliminere årsaker og følge opp sikkerhetsbrudd for å hindre at hendelsen inntrer på nytt, eventuelt med sanksjoner mot dem som måtte ha forårsaket dem
3.2.6 Et kompetent responsmiljø
Universitetet skal ha et responsmiljø (UiO-CERT) som følger opp hendelser som kan eksponere universitetets IT-ressurser for sårbarheter med påfølgende misbruk, ødeleggelse, tap av data, anseelse eller lignende, og som gjennomfører tiltak for å avverge eller redusere skadevirkningene.
3.2.7 Kartlagte og klassifiserte IT-tjenester
Ha dokumentert oversikt over universitetets IT-tjenester og IT-systemer. I denne oversikten skal tjenestene og systemene klassifiseres i forhold til viktighet, og klassifiseringen skal danne grunnlag for tiltak knyttet til sikring av tjenester og systemer.
3.2.8 Strukturerte og ryddige informasjonsressurser
Ha dokumentert oversikt over universitetets ulike typer informasjonsressurser som brukes til forskning, undervisning, formidling og administrasjon. I denne oversikten skal ulike typer data og informasjon klassifiseres i forhold til viktighet og sikkerhetsbehov. Denne klassifiseringen skal danne grunnlag for tiltak knyttet til lagring og sikring av ulike typer data.
3.2.9 Identifiserbare brukere og prosesser
Ha autoritative systemer for personinformasjon om brukere som grunnlag for identifikasjon, autentisering og autorisering. Det skal eksistere retningslinjer for etablering og avvikling av brukernavn med tilhørende rettigheter og tjenester.
3.2.10 Anskaffelse, utvikling og vedlikehold av IT-systemer
Det skal være spesifisert hva slags krav til IT-sikkerhet som skal legges til grunn ved anskaffelse, utvikling, oppgradering og vedlikehold av IT-systemer. Det skal finnes et regime for testing av ny programvare og nye systemer, samt oppgradering av eksisterende før dette settes i produksjon. Prinsippet med «innebygd personvern» skal følges.
3.2.11 Særskilt kontroll på administrative IT-systemer
Administrative IT-systemer skal håndteres spesielt og forvaltes i et eget veikart. Slike systemer har ofte behov for egen sikring og egen oppmerksomhet fra IT-organisasjonen, samtidig som man kan stille større krav til standardisering enn for andre systemer.