4.1 Informasjonssikkerhetsarbeidet på universitetet
Ansvaret for informasjonssikkerhetsarbeidet følger styringslinja fra universitetsdirektøren til grunnenhetene. Det operative ansvaret for informasjonssikkerheten er delegert til fagavdelingen USIT ved IT-direktøren og følger linja i IT-organisasjonen ned til den enkelte IT-tilsatte, inkludert lokale IT-tilsatte.
Informasjonssikkerhet utgjør sammen med fysisk sikkerhet og HMS (Helse, miljø og sikkerhet) de tre delene av sikkerhetsarbeidet ved universitetet. Universitetsdirektøren er øverste ansvarlig for sikkerhetsarbeidet:
- Ansvar for at det er utformet rutiner, prosedyrer, organisatoriske og praktiske tiltak som sikrer at virksomheten kan foregå i tråd med gitte retningslinjer og ivaretar universitetets krav til sikringsnivå:
- På informasjonssikkerhetsområdet er dette ansvaret delegert til IT-direktøren. Derfor utøver IT-direktøren myndighet for informasjonssikkerhet på vegne av universitetsdirektøren på hele universitetet. Dette gjøres gjennom IT-sikkerhetssjefen og UiOs utøvere av behandleransvaret.
- Ansvar for at disse bestemmelsene etterleves i den ordinære virksomheten:
- Dette ansvaret følger linja fra universitetsdirektøren via fakultetsledelsen til ledelsen ved grunnenhetene (institutt, avdeling, randsoneenhet etc)
Utover dette kommer roller og funksjoner med spesielle oppgaver av betydning for informasjonssikkerheten:
- Strategisk systemeier
- Tjeneste-eiere og systemeiere, oftest ved USIT
- Behandlingsansvarlig
- Kommunikasjonsdirektør
- Personvernombud
- Prosesseier
Enhet for intern revisjon (EIR) er tillagt ansvar for å etterse at internkontroll er tilfredsstillende etablert for all virksomhet på universitetet, inkludert de ulike områdene av sikkerhetsarbeidet.
4.1.1. Beslutnings- og rapporteringslinje
Beslutnings- og rapporteringslinja i informasjonssikkerhetsarbeidet følger styringslinja i universitetets organisasjon.
4.1.2. Annen delegering av fullmakter, autorisering
Delegering av fullmakter og myndighet på IT-sikkerhetsområdet utover det som er beskrevet i disse dokumentene, følger linja i universitetets organisasjon. All delegering skal være dokumentert og bekjentgjort på hensiktsmessig måte.
4.2. Roller i IT-organisasjonen
Universitetsdirektøren er øverste ansvarlig for IT- og informasjonssikkerheten ved Universitetet i Oslo.
4.2.1 IT-direktøren
IT-direktøren er delegert myndighet og har ansvar for IT- og informasjonssikkerheten på universitetet, – jf “IT-direktørens ansvar og oppgaver”. Dette innebærer blant annet ansvar for:
- At disse dokumentene gjennomgår en årlig revisjon og at denne godkjennes av universitetsdirektøren
- At det foreligger rutiner og prosedyrer som sikrer oppfølging av retningslinjene i disse dokumentene
- At det foreligger årsplan for IT- og informasjonssikkerhetsarbeidet og at status på området rapporteres i tråd med rutinene for virksomhetsrapportering på universitetet
4.2.2 IT-sikkerhetssjefen
IT-sikkerhetssjefen er av IT-direktøren tildelt ansvar og myndighet innen informasjonssikkerhetsområdet og rapporterer til denne, ‑ jf stillingsbeskrivelsen for denne stillingen. IT-sikkerhetssjef har fagansvar for IT-sikkerhetsgruppa.
4.2.3 Leder av UiO-CERT
Leder av UiO-CERT-gruppa er av IT-direktøren tildelt ansvar og myndighet for daglig oppfølging av sikkerhetshendelser i tråd med retningslinjene i “Håndtering av sikkerhetshendelser”. Leder av UiO-CERT rapporterer til IT-sikkerhetssjefen.
4.2.4 IT-juridisk ansvarlig
IT-juridisk ansvarlig er av IT-direktøren tildelt ansvar og myndighet for oppfølging av lov- og regelverk på informasjonssikkerhetsområdet og rapporterer til denne.
IT-juridisk ansvarlig har fagansvar for IT-juridisk gruppe. Denne gruppen er tildelt rollen som utøver av behandleransvaret. Rollen er beskrevet i et eget dokument.
4.2.5 Underdirektører og seksjons- og gruppeledere ved USIT
Underdirektører, seksjons- og gruppeledere på USIT har ansvar for USITs tjenesteleveranser og at disse følger retningslinjene i disse dokumentene, – jf ansvar og oppgaver tillagt linjeledere på USIT i «Funksjons- og bemanningsplan for USIT».
4.2.6 Tjenesteeiere på USIT
For hver av IT-tjenestene er det en tjenesteeier som er ansvarlig for at tjenesten som leveres følger retningslinjene i ledelsessystemet. Denne rollen kalles også applikasjonsforvalter.
4.2.8 Lokale IT-ansvarlige
Lokale IT-ansvarlige er ansvarlig for at lokal IT-virksomhet skjer i tråd med gjeldende bestemmelser.
4.2.9 Strategisk systemeier
Strategisk systemeier er overordnet ansvarlig for at informasjonssikkerheten er ivaretatt i universitetets administrative IT-systemer og IT-tjenester.
4.2.10 Systemeiere
Systemeier er ansvarlig for å:
- kjenne til og dokumentere informasjonsressursene som forvaltes av systemet
- påse at disse er sikret i tråd med bestemmelsene i ledelsessystemet.
- sikre at dette følges opp av drifts- og utviklingsorganisasjonen.
Rollen «systemeier» er tradisjonelt mest brukt om administrative IT-systemer. Systemeierskap for systemer innenfor undervisning, forskning og formidling er lagt til fakultets- eller instituttledelsen med mindre annet er bestemt og dokumentert.
4.3 Administrativ IT
Systemer for administrativ IT er behandlet og beskrevet spesielt i «Styring og forvaltning av administrativ IT». Det kreves blant annet:
- Et entydig definert systemeierskap
- Et entydig ansvars- og myndighetskart
- Et veikart for administrative IT-systemer
- En strategisk koordineringsgruppe
- En rådgivnings- og sekretariatsfunksjon
4.4 Beskrivelse av ansvar og oppgaver for den enkelte rolle
I den utførende delen av ledelsessystemet finnes det utførlige beskrivelser av hva som er forventet av den enkelte rolle.