Wikier

Politikk for informasjonssikkerhet

Detaljer Skriv ut

På denne siden finner du NTNUs politikk for informasjonssikkerhet.

Engelsk versjon: Policy for information security

Temaside om informasjonssikkerhet | Sider merket med informasjonssikkerhet

Innholdsfortegnelse [-]

  1. Om Politikk for informasjonssikkerhet
  2. Formål
  3. Gjelder for
  4. Definisjoner
  5. Overordnede prinsipper
  6. Sikkerhetsmål
  7. Strategi for informasjonssikkerhet
    1. Oppfølging av digital sikkerhetskultur, opplæring og kompetanseheving innen informasjonssikkerhet og personvern
  8. Roller og ansvar
    1. Styret
    2. Rektor
    3. Direktør for organisasjon og infrastruktur
    4. Sikkerhets- og beredskapssjef (CSO)
    5. Informasjonssikkerhetsleder (CISO)
    6. Linjeledere
    7. Leder av Avdeling for utvikling og virksomhetsstyring 
    8. Leder av HR- og HMS-avdelingen
    9. Leder av Økonomiavdelingen
    10. Leder av Seksjon for anskaffelser og innkjøp
    11. Leder av IT-avdelingen 
    12. Leder av Seksjon for digital sikkerhet
    13. Leder av Seksjon for IT-infrastruktur
    14. Leder av seksjon for IT-FOKUS
    15. Leder av Seksjon for IT-brukerstøtte
    16. Systemeier 
    17. Systemforvalter
    18. Systemutvikler
    19. Prosesseier
    20. Leder av forskningsprosjekt/prosjektleder
    21. Veileder for studenter og stipendiater
    22. Personvernombudet 
    23. Forskningsdatahjelpen/Research Data @NTNU
    24. Personvernrådgiver for forskning (Sikt personverntjenester) 
    25. Alle brukere av NTNUs infrastruktur
    26. Sentrale lover og forskrifter

Om Politikk for informasjonssikkerhet

  • Type dokument: Politikk
  • Forvaltes av: Seksjon for digital sikkerhet
  • Godkjent av: Direktør for organisasjon og infrastruktur
  • Klassifisering: Åpen
  • Gjelder fra: 01.10.2025
  • Neste revisjon innen: 01.10.2027
  • Referanse ISO: 27002:2022; 5.1, 5.2, 5.31, 5.35, 5.36
  • Referanse Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning (F-04-20): Pkt 1-2
  • Referanse NSMs grunnprinsipper for IKT-sikkerhet: 1.1.1, 1.1.2, 1.3.3a
  • Referanse LOV/Regel: eForvaltningsforskriften §15 og § 20, personvernforordningen artikkel 5, 24, 32
  • Referanse interne dokumenter: Styringsdokument for sikkerhet og beredskap, IKT-reglementet, retningslinjer på informasjonssikkerhetsområdet.

Formål

Formålet med politikk for informasjonssikkerhet og personvern er å sette rammene for arbeidet med informasjonssikkerhet og digital sikkerhet ved NTNU. Politikken skal legge til rette for at arbeidet med å ivareta NTNUs informasjonsverdier overholder sentrale lover og forskrifter, samt relevante føringer fra myndigheter. Politikken definerer også rammen for arbeidet med informasjonssikkerhet ved NTNU, inkludert overordnede prinsipper, sikkerhetsmål og strategi. Arbeidet med informasjonssikkerhet og digital sikkerhet skal muliggjøre at NTNU kan løse sitt samfunnsoppdrag på en måte som opprettholder tillit fra ansatte, studenter, partnere og samfunnet for øvrig.

Informasjonssikkerhetsarbeidet ved NTNU overlapper i stor grad arbeidet med digital sikkerhet. Store deler av verdiene som behandles og oppbevares ved NTNU er informasjon, eller områder, systemer og mennesker som oppbevarer eller behandler informasjon. Disse struktureres som enten primærverdi eller sekundærverdi.

Primærverdien omhandler informasjon som behandles og forvaltes gjennom NTNUs forskning, utdanning, nyskaping og administrasjon. Sekundærverdier handler om de verktøyene vi benytter, og kompetansen til de som benytter verktøyene. Dette innbefatter ansatte, studenter, lokasjoner, organisasjonsstrukturer, maskinvare, programvare og nettverk.

Politikk for informasjonssikkerhet og personvern er underlagt IKT-reglementet og overordnet retningslinjer for informasjonssikkerhet. Sammen utgjør dette styringssystemet for informasjonssikkerhet, som danner grunnlaget for NTNUs arbeid med informasjonssikkerhet, og er en integrert del av NTNUs helhetlige virksomhetsstyring. Styringssystemet gir rammene for en systematisk og helhetlig praksis mellom styrende, gjennomførende og kontrollerende del av arbeidet med informasjonssikkerhet.

Gjelder for

NTNUs politikk for informasjonssikkerhet og personvern gjelder for alle som har tilgang til, lagrer, bearbeider eller overfører informasjonsverdier gjennom NTNU eller tilhørende NTNUs virke.

Definisjoner

En informasjonsverdi er informasjon som er definert som noe vi som enkeltpersoner, NTNU, eller samfunnet ønsker å beskytte. Informasjonsverdier er informasjon som kan påføre personer, organisasjoner eller samfunnet skade hvis det kommer på avveie, blir borte eller blir endret på.

Informasjonsverdier struktureres som enten primærverdi eller sekundærverdi. Primærverdien omhandler informasjon som behandles og forvaltes gjennom NTNUs forskning, utdanning, nyskaping og administrasjon. Sekundærverdier handler om de verktøyene vi benytter, og kompetansen til de som benytter verktøyene. Dette innbefatter ansatte, studenter, lokasjoner, organisasjonsstrukturer, maskinvare, programvare og nettverk.

Med informasjonssikkerhet mener vi at informasjonen er beskyttet mot uønsket innsyn, at den er tilgjengelig når den trengs, og at den er beskyttet mot uønskede endringer. Informasjonssikkerhet handler om hvordan informasjonens konfidensialitet, integritet og tilgjengelighet blir ivaretatt.

Konfidensialitet - Sikkerhet for at nærmere angitt informasjon ikke avsløres for uvedkommende, og at kun autoriserte personer får tilgang til denne.

Integritet - Sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter

Tilgjengelighet - Sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov

(Dette er samme definisjoner av KIT som brukes i «Nasjonal Strategi for informasjonssikkerhet».)

Overordnede prinsipper

Overordnede prinsipper definerer rammen for alt arbeid med informasjonssikkerhet, digital sikkerhet og personvern ved NTNU. Ved å vedta denne politikken har ledelsen gitt følgende overordnede prinsipper:

  • Arbeidet med informasjonssikkerhet skal ligge til grunn for at NTNU kan løse sitt samfunnsoppdrag og opprettholde tilliten i samfunnet.
  • NTNU skal arbeide systematisk, metodisk og målrettet med informasjonssikkerhet for å balansere risiko med åpenhet.
  • NTNU skal beskytte sine informasjonsverdier og digital infrastruktur ved komplementerende sikkerhetstiltak i flere lag som hindrer, eller begrenser skade ved uønskede hendelser for NTNU, partnere, individ eller samfunnet.
  • NTNU skal ivareta konfidensialitet, integritet og tilgjengelighet gjennom sikkerhetstiltak der verdi og tiltak er i balanse ved å være så åpen som mulig, men så lukket som nødvendig.
  • En risikoeier kan ikke akseptere risiko som går utenfor eget risikodomene eller som kan påføre NTNU, individer, samfunnet, partnere eller andre skade.

Sikkerhetsmål

Ledelsen ved NTNU har vedtatt følgende mål og prioriteringer for arbeidet med informasjonssikkerhet:

  • NTNU skal ha oversikt over informasjonsverdier som behandles og forvaltes, samt risikoreduserende tiltak iverksatt for å beskytte disse.
  • NTNU skal ha en motstandsdyktig og forsvarbar digital infrastruktur, rigget for å tilstrekkelig beskytte informasjon og infrastruktur, samt oppdage, håndtere og begrense skade ved uønskede hendelser.
  • Alle som har en brukerkonto tilknyttet NTNU skal ha et bevisst forhold til informasjonssikkerhet og personvern, samt bidra til å sikre NTNUs informasjonsverdier gjennom å etterleve prinsipper og krav til informasjonssikkerhet.
  • NTNU skal benytte sikkerhetshendelser, avvik og revisjon til systematisk og kontinuerlig læring, forbedring og målrettede tiltak slik at organisasjonen best kan adressere risiko og det gjeldende trusselbilde.

Strategi for informasjonssikkerhet

Strategi beskriver hvordan NTNU skal nå sine mål for informasjonssikkerhet ved å fokusere på tre kjerneområder. Det første er virksomhetens, og lederes implementering av risikostyring i enhetene, det andre er utvikling av sikkerhetskultur, kompetanse og holdninger og det tredje er å opprettholde en robust infrastruktur som ivaretar den digitale sikkerheten:

  • Risikostyring og kontroll med informasjonssikkerheten er et lederansvar og en del av den ordinære virksomhetsstyring og internkontrollen. Ledere skal ha en god risikoforståelse og oversikt over de informasjonsverdier som en er ansvarlig for, slik at de er i stand til å ta informerte valg og gjøre prioriteringer ved innføring av sikkerhetstiltak.
  • Arbeidet med sikkerhetskultur og opplæring skal være en systematisk og kontinuerlig forbedringsprosess. Økt kompetanse skal gjøre ansatte og studenter i stand til å sikre NTNUs informasjonsverdier gjennom en risikobasert tilnærming.
  • NTNU skal sikre informasjonsverdier gjennom en systematisk implementering av kravene i retningslinjene som er utformet iht. kontrollpunkter i ISO 27002:2022. Krav til informasjonssikkerhet og personvern skal ivaretas i design, anskaffelse, utvikling, forvaltning og avhending av informasjonssystemer og digital infrastruktur. NSMs Grunnprinsipper for IKT-sikkerhet versjon 2 brukes som mål for laveste akseptable nivå for grunnsikring av digital infrastruktur. I tillegg brukes hendelser og avvik aktivt for å måle oppnåelse innenfor de ulike kravene.

Arbeidet med informasjonssikkerhet er en kontinuerlig prosess og kan deles i tre deler;

  • Styrende del angir prinsipper og mål, retningslinjer, og delegert ansvar innen arbeidet med informasjonssikkerhet. Dette er presisert gjennom styringssystemet for informasjonssikkerhet.
  • Gjennomførende del består av opplæring, samt å iverksette kravene i styringssystemet for informasjonssikkerhet. På et overordnet nivå handler dette om å ha oversikt over informasjonsverdier, utføre verdivurdering og etablere eierskap til disse, identifisere risiko for informasjonsverdien og iverksette risikoreduserende tiltak til et akseptert nivå av risiko.
  • Kontrollerende del består av hendelseshåndtering, avvikshåndtering, rapportering, revisjon og ledelsens gjennomgang.

Som et breddeuniversitet med teknisk-naturvitenskaplig hovedprofil bidrar NTNU til å utvikle Norge ved å skape verdier og danne det teknologiske grunnlaget for fremtidens verdenssamfunn. NTNUs langsiktige forskningsoppdrag krever tillit til at integriteten av forskningsdata og resultater er ivaretattog kan etterprøves og bygges videre på i fremtiden. Arbeidet med informasjonssikkerhet skal understøtte dette ved å sørge for at integriteten ivaretas, at informasjon som skal være åpen er tilgjengelig, og informasjon som må være konfidensiell er sikret.

For å oppnå gode og bærekraftige løsninger for arbeidsplasser, læringsarealer, laboratorier og infrastruktur må man oppnå tillitt hos de som skal benytte løsningene. Informasjonssikkerhet og personvern må være en integrert del i tjenesteutvikling, arealutvikling og digitalisering for å oppnå dette. Det er også nødvendig for å lykkes med å ta i bruk ny muliggjørende teknologi som effektiviserer undervisning, forskning og administrasjon.

Oppfølging av digital sikkerhetskultur, opplæring og kompetanseheving innen informasjonssikkerhet og personvern

NTNU skal ha en systematisk oppfølging av digital sikkerhetskultur, og gjennomføre målrettede, risikobaserte tiltak. Arbeidet skal dokumenteres og følge en transparent metodikk som er tilpasset til NTNU som virksomhet. 

Sikkerhetskultur kan defineres som de verdier, holdninger, kunnskap og normer som er relatert til informasjonssikkerhet hos studentene og de ansatte i virksomheten (https://snl.no/sikkerhetskultur). Begrepet omfatter også personvern i digitale kontekster.

Tiltakene skal gi ansatte og studenter god, tilpasset opplæring og kompetanseheving, samt tilbud om andre bevissthetsfremmende tiltak. NTNU skal:

  • tilby grunnleggende opplæring i informasjonssikkerhet og personvern til samtlige studenter og ansatte
  • øke bevissthet om, og forståelsen av, risiko- og trusselbildet (ved NTNU, samt nasjonalt og internasjonalt)
  • gi medarbeidere, ledere og studenter kompetanse til å ivareta informasjonssikkerhet og personvern i egen arbeids- og studiehverdag, ut fra den enkeltes rolle og funksjon ved NTNU
  • ved målrettet opplæring for ledere og andre nøkkelfunksjoner øke bevissthet rundt informasjonssikkerhet og sørge for riktig kompetanse i støttefunksjoner

Roller og ansvar

Arbeidet med informasjonssikkerhet berører virksomheten på alle nivå. Ansvar og myndighet for informasjonssikkerhet følger det ordinære linjeansvaret. 

Ledere som har ansvar for mål, arbeidsoppgaver, tjenester og prosesser, har også ansvaret for tilhørende informasjonsbehandling og informasjonssikkerhet.   Noen roller er presisert gjennom styringssystemet for informasjonssikkerhet og er gitt særskilt ansvar for definerte områder.

Styret

  • er øverste ansvarlig for informasjonssikkerhet og personvern og skal årlig orienteres om arbeidet med informasjonssikkerhet og personvern
  • er ansvarlig for at det gjennomføres internrevisjon av informasjonssikkerhet og personvern ved NTNU 

Rektor

  • er overordnet behandlingsansvarlig for behandling av personopplysninger ved NTNU
  • Er overordnet forskningsansvarlig (gjelder i helseforskning) ved NTNU
  • har overordnet ansvar for at informasjonssikkerhet og personvern er integrert i strategiske beslutninger 
  • skal årlig orientere styret om arbeidet med informasjonssikkerhet og personvern  

Direktør for organisasjon og infrastruktur

  • er delegert ansvar for det daglige behandleransvaret jf. personvernforordningen (GDPR) artikkel 4 nr. 7 og artikkel 24
  • er lokal beredskapsansvarlig for fellesadministrasjonen
  • har ansvar for å godkjenne, koordinere og iverksette nødvendige tiltak for å sikre at behandlingen av personopplysninger skjer i henhold til NTNUs mål, retningslinjer og lovkrav.
  • kan pålegge fakultetene plikter for å sikre tilfredsstillende informasjonssikkerhet
  • er ansvarlig for at kravene i politikk for informasjonssikkerhet blir implementert i virksomheten gjennom et fungerende styringssystem for informasjonssikkerhet
  • skal sørge for tilstrekkelig finansiering av arbeidet med informasjonssikkerhet 
  • skal sørge for at personvernombudet regelmessig blir invitert til å delta i møter med rektor og dekanmøtene
  • skal sørge for at informasjonssikkerhetsleder regelmessig blir invitert til å delta i møter med rektor og dekanmøtene
  • godkjenner revisjon av styringssystemet for informasjonssikkerhet

Sikkerhets- og beredskapssjef (CSO)

  • er delegert det koordinerende ansvaret for arbeidet med sikkerhet og beredskap ved NTNU av direktør for organisasjon og infrastruktur
  • skal strukturere det helhetlige sikkerhetsarbeidet i henhold til lov- og myndighetskrav, og i tråd med ambisjonen om Ett NTNU
  • har ansvar for faglig koordinering av, og støtte til, lokale/stedlige sikkerhetsressurser i sikkerhetsorganisasjonen
  • Som følge av det overordnede koordinerende ansvaret som ligger til rollen skal sikkerhets- og beredskapssjef konsulteres ved endringer i styringssystemet for informasjonssikkerhet

Informasjonssikkerhetsleder (CISO)

Ansvar og ledelse:

  • er delegert ansvar for informasjonssikkerhet av direktør for organisasjon og infrastruktur
  • er en rådgiver for rektor og organisasjonen innen informasjonssikkerhet
  • har ansvar for å lede det overordnede arbeidet med informasjonssikkerhet i organisasjonen ved å utvikle, iverksette og følge opp strategi, politikk, retningslinjer og tiltak for å beskytte virksomhetens data, systemer og informasjonsressurser mot fysiske og digitale trusler
  • informasjonssikkerhetsleder leder også Seksjon for digital sikkerhet i IT-avdelingen

Tiltak og implementering:

  • har ansvar for digital beredskap som innebærer det å oppdage, håndtere, analysere og etterforske sikkerhetshendelser og utføre uten opphold skadebegrensende tiltak, samt avvikshåndtering innen informasjonssikkerhet og personvern
  • har ansvar for å utvikle og implementere strategier innen informasjonssikkerhet
  • har ansvar for det systematiske forebyggende arbeidet innen informasjonssikkerhet rettet mot studenter, ansatte og ledere
  • skal påse at relevante parter blir varslet ved alvorlige brudd på informasjonssikkerheten
  • er ansvarlig for å iverksette nødvendige tiltak for å sikre en forsvarlig avviksbehandling ved brudd på informasjonssikkerheten
  • er ansvarlig for at styringssystemet for informasjonssikkerhet revideres minimum hvert andre år for å sikre ønsket effekt og effektivitet i arbeidet med informasjonssikkerhet

Rapportering og autorisasjon:

  • har ansvar for innsamling og rapportering til ledelsens årlige gjennomgang av arbeidet med informasjonssikkerhet til styret herunder rapportering av; avvik, hendelser, risiko og sårbarhet, etterlevelse av styringssystem for informasjonssikkerhet og det digitale trusselbildet
  • bistår Sikkerhets- og beredskapssjef med den årlige rapporteringen av det overordnede sikkerhetsarbeidet i NTNU
  • er autorisasjonsansvarlig for brukere på ulike systemer, oppdaterer nødvendig instruksverk, gir føringer for informasjonssikkerhet, samt forbereder og deltar i møter innenfor informasjonssikkerhet med eksterne myndigheter

Linjeledere

Linjeledere er ansvarlig for at egen enhet følger bestemmelsene i styringssystemet for informasjonssikkerhet. Dette gjelder ledere på alle nivåer (prorektorer, direktører, avdelingsledere, dekan, museumsdirektør, instituttledere, seksjonsledere, faggruppeledere), i vitenskapelig- og teknisk/administrativ linje. Linjeledere har etter delegasjon fra rektor ansvar og myndighet for sikkerhetsarbeid innenfor sitt eget ansvars- og arbeidsområde, slik det fremgår av delegasjonsreglementet.

Linjeledere har følgende ansvar:

Informasjonssikkerhet og personvern:

  • er ansvarlig for etterlevelsen av kravene til informasjonssikkerhet, herunder behandlingen av personopplysninger i egen enhet
  • skal være kjent med informasjonsklassifisering ved NTNU, og hvilken informasjon som behandles av egen enhet
  • skal påse at enheten har rutiner som sikrer at digital og analog informasjon behandles, bearbeides og lagres i IKT-systemer som er godkjent for å benytte, transportere eller lagre informasjonen iht. Informasjonsklassifiseringen
  • er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes ved egen enhet og som ikke er en del av IT-avdelingens tjenestekatalog. Samt oversikt over behandlinger av personopplysninger ved egen enhet. (utenom IT-avdelingen)
  • skal sørge for at det blir ført oversikt (protokoll) over behandling av personopplysninger som utføres i sin enhet og har også ansvar for at oversikten blir oppdatert og vedlikeholdt
  • er pliktig til å sørge for at det gjennomføres en risikovurdering før behandlingen av personopplysninger kan starte
  • skal sørge for at det blir utført en DPIA der det er krav om dette, i samråd med personvernombud. Linjeleder er risikoeier for tiltak i DPIA på egen enhet.
  • har ansvar for å inngå skriftlig databehandleravtale hvis eksterne (en virksomhet eller fysisk person) skal behandle personopplysninger på vegne av NTNU
  • er ansvarlig for at databehandleravtale blir gjennomgått hvert andre år og revidert hvis det er behov for det, samt innhente dokumentasjon fra databehandlers sikkerhetsrevisjon
  • er ansvarlig for at personopplysninger som skal overføres til land eller internasjonale organisasjoner utenfor EU/EØS, bare overføres dersom kravene etter EUs personvernforordning kap. V (artikkel 44 flg.) er oppfylt
  • skal sørge for at den det samles inn opplysninger om, blir informert og at henvendelser fra den registrerte blir fulgt opp i samsvar med kravene etter EUs personvernforordning
  • er ansvarlig for at behandlingen (bruk, lagring, sletting, utlevering mm.) av bilde, video-, og lydopptak, skjer i samsvar med personvernregelverket og i tråd med NTNUs prosesser, rutiner og valgte verktøy/systemer
  • har ansvar for å sørge for at de fysiske rammebetingelsene ligger til rette for sikker behandling av personopplysninger i enheten
  • har ansvar for å utarbeide rutiner for å minimalisere sikkerhetsrisikoen ved behandling av personopplysninger i enheten, dette innebærer også rutiner for sletting
  • er ansvarlig for at personopplysninger blir slettet på fellesområder i sin enhet
  • skal sørge for fortløpende sletting / opprydding av unødvendige personopplysninger – innen 6 måneder – etter at en ansatt slutter eller en student er uteksaminert eller har sluttet

Opplæring og kompetanse:

  • er ansvarlig for at ansatte får nødvendig opplæring i de bestemmelser som gjelder for behandling av personopplysninger
  • er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring innen informasjonssikkerhet, og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og behandlinger, samt melde avvik ved brudd på informasjonssikkerheten
  • er ansvarlig for at medarbeidere har tilstrekkelig kompetanse til å behandle personlig IKT-utstyr som benyttes til å aksessere, transportere og/eller lagre informasjonsverdiene ved NTNU

Rutiner og internkontroll:

  • er ansvarlig for å fastsette nødvendige lokale rutiner ved behov
  • er ansvarlig for å følge opp at lovverk og rutiner og godkjenninger følges, og at avvik lukkes
  • er ansvarlig for at internkontrollen i informasjonssikkerhetsarbeidet fungerer ved egen enhet
  • skal påse at avdelingen har rutiner som sikrer at bruk av personlig IKT-utstyr som blir brukt til å behandle, bearbeide og lagre informasjon er i henhold til retningslinje for sikring av personlig IKT-utstyr
  • er ansvarlig for at egen enhet etterlever rutiner for leverandører og leverandøravtaler
  • skal sørge for at det utføres korrekt registrering og forvaltning av roller og identiteter innenfor sitt ansvarsområde
  • skal sørge for at det utføres korrigeringer og fjerning av tilgang etter prinsipper og krav nedsatt i Retningslinje for tilgangskontroll innenfor sitt ansvarsområde
  • skal sørge for at tilgang til beskyttelsesverdig informasjon forvaltes etter prinsipper og krav nedsatt i styringssystemet innenfor sitt ansvarsområde

Avvikshåndtering og forbedringsarbeid:

  • er ansvarlig for at avvikshåndtering er en del av forbedringsarbeidet ved egen enhet
  • er ansvarlig for å gjennomføre dialog med respektive underliggende enheter om informasjonssikkerhetsarbeidet, herunder oppfølgingen av rutiner og avvik, på minimum årlig basis

Administrasjon og dokumentasjon:

  • Er delegert myndighet som forskningsansvarlig etter helseforskningsloven for egen enhet og skal ha oversikt over helseforskningsporteføljen ved enheten
  • Er delegert myndighet som behandlingsansvarlig for egen enhet og skal ha oversikt over forskningsporteføljen ved enheten
  • er ansvarlig for at alle ansatte innen enheten har tilgang til tjenester og materiell slik at brukerne kan beskytte NTNUs informasjon og informasjonssystemer
  • er ansvarlig for at taushetserklæringer benyttes i sin enhet i henhold til kravene i styringssystemet for informasjonssikkerhet

Leder av Avdeling for utvikling og virksomhetsstyring 

  • er ansvarlig for at informasjonssikkerhet og personvern som en av flere virksomhetsområder inngår i en helhetlig internkontroll  
  • er ansvarlig for at arbeidet med tilgangskontroll er underlagt intern/ekstern revisjon for å sikre at det oppnås ønsket effekt med riktig bruk av ressurser

Leder av HR- og HMS-avdelingen

  • er ansvarlig for at ledere er kjent med, og har tilstrekkelig kompetanse, til å ivareta sitt ansvar i henhold til styringssystemet for informasjonssikkerhet
  • er ansvarlig for at NTNU har etablert tilfredsstillende taushetserklæringer som ivaretar krav til informasjonssikkerhet i henhold til styringssystemet for informasjonssikkerhet
  • skal sørge for gode rutiner for forvaltning av roller og identitet samt at dette er innarbeidet i relevante prosesser

Leder av Økonomiavdelingen

  • er ansvarlig for at NTNU har en oversikt over leverandøravtaler
  • er ansvarlig for at NTNU har en rutine for leverandøroppfølging

Leder av Seksjon for anskaffelser og innkjøp

  • er i samarbeid med leder av IT-avdelingen, ansvarlig for utarbeidelse av rutiner for som ivaretar krav til informasjonssikkerheten ved inngåelse leverandøravtaler og i avtaleforvaltning

Leder av IT-avdelingen 

IKT-infrastruktur og informasjonssikkerhet:

  • er ansvarlig for å holde en løpende og oppdatert oversikt over NTNUs IKT-infrastruktur, og at informasjonssikkerhet og personvern i og mellom systemene ivaretas
  • er ansvarlig for å føre protokoll over IKT-verktøy (jf personopplysningsloven)
  • er ansvarlig for gjennomføring av sikkerhetskrav til NTNUs IKT-infrastruktur
  • er ansvarlig for at kravene i «Retningslinje for nettverk og informasjonsoverføring» blir implementert i virksomheten
  • er ansvarlig for at kravene i «Retningslinje for operativ sikkerhet» blir implementert i virksomheten
  • er ansvarlig for at kravene i «Retningslinje for sikring av personlig IKT-utstyr» blir implementert i virksomheten
  • er ansvarlig for at prinsipper og krav definert i retningslinje for tilgangskontroll etterleves i IT-avdelingen
  • er ansvarlig for utarbeidelse av rutiner som ivaretar informasjonssikkerheten i alle faser av IKT-forvaltning

Beredskap og hendelseshåndtering:

  • er beredskapsansvarlig for IT-avdelingen
  • er ansvarlig for hendelse og krisehåndtering i IT-avdelingen
  • godkjenner plan for hendelseshåndtering
  • godkjenner plan for krisehåndtering

Tilgang og kompetanse:

  • er ansvarlig for at alle ansatte og studenter ved NTNU har tilgang til tjenester og materiell slik at brukerne kan beskytte NTNUs informasjon og informasjonssystemer
  • er ansvarlig for forvaltningen av NTNUs elektroniske virksomhetssertifikat
  • er ansvarlig for å rapportere på gjennomføringsgrad, effekt og effektivitet i arbeidet med sikker utvikling
  • er ansvarlig for at medarbeidere har kompetanse til å møte kravene til sikker utvikling

Leder av Seksjon for digital sikkerhet

Hendelseshåndtering og sikkerhet:

  • er ansvarlig for å implementere plan for hendelseshåndtering
  • er ansvarlig for å implementere plan for krisehåndtering
  • er ansvarlig for å detektere, koordinere og håndtere sikkerhetshendelser
  • er ansvarlig for å detektere, koordinere og håndtere sårbarheter
  • er ansvarlig for prosedyre for triage av sikkerhetshendelser
  • skal påse at plan for hendelseshåndtering følges i seksjon for digital sikkerhet
  • er ansvarlig for anskaffelse, behandling av søknader og kontraktinngåelse av virksomhetssertifikat samt avvikling av virksomhetssertifikat
  • er ansvarlig for å stille krav til sikring av informasjon i nettverket eller informasjon som overføres til andre
  • er ansvarlig for å legge føringer for å sikre nettverket
  • er ansvarlig for komme med tiltak for å redusere sårbarheten i nettverket
  • er ansvarlig for systemer og rutiner for teknisk sårbarhetsstyring i virksomheten
  • er ansvarlig for å opprette et sentralt loggsystem i virksomheten
  • er ansvarlig for å tilby sentrale løsninger for skadevarebeskyttelse i virksomheten
  • er ansvarlig for sentral sikkerhetsmonitorering og analyse
  • er ansvarlig for å godkjenne endringer som kan påvirke sikkerheten til NTNU
  • kan pålegge organisasjonen ytterlige sikkerhetstiltak utenom det som er nevnt i denne retningslinjen basert på trussel og risikovurdering

Tilgangskontroll og rapportering:

  • er ansvarlig for at enheten har tilstrekkelig med kompetanse og verktøy for å ivareta kravene i «Retningslinje for operativ sikkerhet»
  • er ansvarlig for at retningslinje for tilgangskontroll er i samsvar med nødvendige krav til å ivareta sikker aksess til NTNUs IKT-infrastruktur
  • er ansvarlig for å midlertidig overstyre tildelte aksessrettigheter i situasjoner hvor dette er nødvendig for å ivareta sikkerheten i NTNUs IKT infrastruktur
  • er ansvarlig for å rapportere på effekt og effektivitet knyttet til tiltak som gjennomføres for å beskytte mot uautorisert tilgang til, angrep og/eller trusler mot NTNUs IKT-infrastruktur

Leder av Seksjon for IT-infrastruktur

Driftshåndtering og beredskap:

  • er beredskapsleder for IT-avdelingen
  • er ansvarlig for å detektere, koordinere og håndtere driftshendelser
  • er ansvarlig for klassifisering av driftshendelser
  • er ansvarlig for prosedyre for triage av driftshendelser
  • skal konsulteres angående plan for hendelseshåndtering
  • skal konsulteres angående plan for krisehåndtering
  • skal påse at plan for hendelseshåndtering følges i seksjon for IT-infrastruktur
  • er ansvarlig for sentral driftsmonitorering for virksomheten
  • er ansvarlig for sikkerhetskopiering av fellessystemer og infrastruktur

Informasjonssikkerhet og sertifikater:

  • er ansvarlig for å distribuere virksomhetssertifikat samt oppbevare virksomhetssertifikat på et trygt område
  • er ansvarlig for utarbeidelse av rutiner for som ivaretar informasjonssikkerheten i alle faser av IKT-drift
  • er ansvarlig for at systemene driftes og avvikles i henhold til styringssystemet for informasjonssikkerhet
  • er ansvarlig for at enheten har tilstrekkelig med kompetanse og verktøy for å ivareta kravene i «Retningslinje for operativ sikkerhet»
  • er ansvarlig for å implementere pålagte sikkerhetskontroller i infrastrukturen innen rimelig tid og uten ubegrunnet opphold

Leder av seksjon for IT-FOKUS

  • skal påse at plan for hendelseshåndtering følges i seksjon for IT-utvikling
  • er ansvarlig for utarbeidelse av rutiner for som ivaretar informasjonssikkerheten i alle faser av IKT-utvikling
  • er ansvarlig for at medarbeidere har kompetanse til å møte kravene til sikker utvikling og innebygd personvern

Leder av Seksjon for IT-brukerstøtte

  • skal påse at plan for hendelseshåndtering følges i seksjon for IT-brukerstøtte
  • er ansvarlig for at enheten har tilstrekkelig med kompetanse og verktøy for å ivareta kravene i «Retningslinje for operativ sikkerhet»

Systemeier 

Systemadministrasjon og vedlikehold:

  • alle informasjonssystemer ved NTNU skal ha en systemeier
  • har ansvar for at systemets utvikling, forvaltning og drift møter kravene til informasjonssikkerhet og personvern
  • skal sikre at systemer utvikles, implementeres, driftes og avvikles i henhold til styringssystemet
  • skal sørge for at systemer og tjenester leveres i henhold til retningslinjene
  • skal registrere systemet i NTNUs Tjenesteportefølje
  • ansvar for å holde dokumentasjonen oppdatert og korrekt
  • sikre at funksjonalitet og brukergrensesnitt ikke bryter med informasjonssikkerhetskrav
  • tilby relevant opplæringsmateriale for sikker bruk av systemet
  • sørge for internkontroll av IT-systemer
  • implementere tilgangskontroll i henhold til retningslinjene
  • definere roller med tilgang til systemet

Informasjonssikkerhet og klassifisering:

  • Angi hvilke klassifiseringer av informasjon et IKT-system kan benytte, transportere og lagre
  • Gjennomføre risikovurdering av systemet
  • Sikre regelmessig kvalitetssikring av informasjonssikkerheten gjennom hele systemets livssyklus

Systemforvalter

  • er ansvarlig for å følge opp systemeiers interesser iht avtalen(es) innhold er ivaretatt overfor leverandøren(e)  
  • skal foreta interne og eksterne bestillinger iht kontrakt(er) ved behov. 
  • skal varsle systemeier om behov for endringer i kontrakt(er) 
  • er ansvarlig for at systemet blir forvaltet iht. de krav til informasjonssikkerhet som systemeier har dokumentert og i annen tilgjengelig dokumentasjon knyttet til utvikling, drift og forvaltning
  • skal bistå med råd og innhold til opplæring, samt sørge for at denne er tilgjengelig der relevant
  • skal påse at all utvikling, drift og forvaltning skjer i henhold til gjeldende retningslinjer for disse områdene
  • ansvarlig for akseptansetest før IT-systemet settes i produksjon, herunder utarbeidelse av kriterier, testplan og gjennomføring av akseptansetest

Systemutvikler

  • er ansvarlig for sikker koding, med et særlig ansvar for å sørge for innebygget personvern i løsninger, samt teste, avdekke og rapportere avvik eller mistenkt sårbarhet

Prosesseier

En prosesseier er en leder i fellesadministrasjonen, som er ansvarlig for gjennomgående administrative prosesser ved NTNU. Prosesseier har i mange tilfeller overlappende ansvar som linjeleder. Prosesseier har ansvar for felles prosedyrer og retningslinjer samt til enhver tid, styre, forbedre og følge opp de gjennomgående prosessene innen sitt ansvarsområde.

  • er ansvarlig for gjennomgående administrative prosesser ved NTNU
  • skal føre oversikt over behandling av personopplysninger (protokoll) for gjennomgående administrative prosesser og har også ansvar for at oversikten blir oppdatert og vedlikeholdt
  • har ansvar for felles prosedyrer og retningslinjer og skal til enhver tid styre, forbedre og følge opp de gjennomgående prosessene slik at de ivaretar kravene til behandling av personopplysninger
  • skal foreta en overordnet risikovurdering av prosesser som behandler personopplysninger
  • har ansvar for å inngå skriftlig databehandleravtale hvis eksterne (en virksomhet eller fysisk person) skal behandle personopplysninger på vegne av NTNU
  • er ansvarlig for at databehandleravtale blir gjennomgått minimum hvert andre år, revideres ved behov, samt innhente dokumentasjon fra databehandlers sikkerhetsrevisjon
  • er ansvarlig for at personopplysninger som skal overføres til land eller internasjonale organisasjoner utenfor EU/EØS, bare overføres dersom kravene etter EUs personvernforordning kap. V (artikkel 44 flg.) er oppfylt
  • har ansvar for å utarbeide rutiner for å minimalisere sikkerhetsrisikoen ved behandling av personopplysninger i gjennomgående administrative prosessorer, dette innebærer også rutiner for sletting
  • skal sørge for fortløpende sletting / opprydding av unødvendige personopplysninger – innen 6 måneder – etter at en ansatt slutter eller en student er uteksaminert eller har sluttet

Leder av forskningsprosjekt/prosjektleder

  • er ansvarlig for internkontroll i prosjektet og har det operative ansvaret ved gjennomføringen av forskningsprosjekt og andre prosjekter, fra planlegging til avslutning, herunder at krav i relevant lovverk og forskningsetiske og interne retningslinjer etterleves 
  • er ansvarlig for å sørge for nødvendige godkjenninger og meldinger, samt ansvar for at avtaler som er påkrevet for ivaretakelse av informasjonssikkerheten og personvernet, inngås 
  • er ansvarlig for å sørge for tilgangsstyring dersom det er behov for konfidensialitet, f.eks. ved behandling av personopplysninger, i prosjektet 
  • ansvarlig for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet 
  • skal sørge for at det gjennomføres tilstrekkelig risikovurdering av prosjektet
  • er ansvarlig for at taushetserklæringer benyttes i prosjektet i henhold til kravene i retningslinjene i styringssystemet
  • er ansvarlig for at informasjon som overføres i prosjektperioden er sikret i henhold til retningslinje for klassifisering av informasjon

Veileder for studenter og stipendiater

  • er ansvarlig for at studenter og stipendiater i studentprosjekt er gjort kjent med NTNUs rutiner og retningslinjer og overordnet regelverk innen informasjonssikkerhet og behandling av personopplysninger 

Personvernombudet 

  • skal gi råd om hvordan NTNU som behandlingsansvarlige best mulig kan ivareta personverninteressene 
  • skal på anmodning gi råd om vurdering av mulige personvernkonsekvenser (DPIA)  
  • skal kontrollere gjennomføringen av personvernkonsekvensvurderinger 
  • skal kontrollere overholdelsen av regelverket  
  • skal bli/være informert om og følge opp avvik ved brudd på personvernet 
  • skal være kontaktpunkt for Datatilsynet og de registrerte 
  • skal påse at NTNUs retningslinje om avvikshåndtering følges
  • skal påse at NTNU overholder sine forpliktelser om å varsle Datatilsynet og de registrerte

Forskningsdatahjelpen/Research Data @NTNU

  • gir rådgivning og veiledning knyttet til behandling av personopplysninger i forskningsprosjekt
  • skal samarbeide med og være kontaktpunkt for Sikt for oppfølging av konkrete prosjekt
  • er en felles støttetjeneste for forskningsdata levert av Universitetsbiblioteket og NTNU IT

Personvernrådgiver for forskning (Sikt personverntjenester) 

  • skal gi råd om hvordan NTNU som behandlingsansvarlige best mulig kan ivareta personverninteressene i forskningsprosjekter 
  • skal motta meldinger om behandlinger av personopplysninger i forskningsprosjekter og føre protokoll/oversikt over slike behandlinger i et eget meldingsarkiv 

Alle brukere av NTNUs infrastruktur

  • er ansvarlig for å følge IKT-reglementet
  • er ansvarlige for å sette seg inn i relevant lovgivning for informasjonssikkerhet, herunder personopplysningsloven samt helseforskningsloven, åndsverksloven og eForvaltningsforskriften
  • er ansvarlige for å gjøre seg kjent med relevante retningslinjer for informasjons- sikkerhetsarbeidet ved bruk av NTNUs IKT-infrastruktur og i forskningsprosjekter og andre prosjekter
  • er pliktige til å melde avvik (uønsket hendelse) ved brudd på informasjonssikkerheten og behandling av personopplysninger i henhold til gjeldende retningslinje for avviksbehandling når de gjøres kjent med slikt
  • plikter å følge obligatorisk opplæring som NTNU tilbyr innen sikkerhet
  • plikter å etterleve sikkerhetskrav i daglige oppgaver ved NTNU

Sentrale lover og forskrifter

  • Personopplysningsloven (og personvernforordningen – GDPR) gir regler for vern av fysiske personer i forbindelse med behandling av personopplysninger, plikter for NTNU som behandlingsansvarlig, bruk av personvernombud og rettigheter for den registrerte 
  • Forvaltningsloven (og eForvaltningsforskriften) – krav til saksbehandling, dokumentasjon og forsvarlighet, også krav til internkontroll og informasjonssikkerhet 
  • Offentleglova – krav om at NTNU som offentlig virksomhet skal være åpen for innsyn, samtidig unnta for innsyn der loven åpner for eller krever det. 
  • Arkivloven - inneholder regler om hvilke dokumenter som skal arkiveres og krav til arkiveringen 
  • Helseforskningsloven – krav til organisering, roller og ansvar i helseforskning 
  • Helseregisterloven og helsepersonelloven – regler om behandling av pasientdata og taushetsplikt for helsepersonell 
  • Forskningsetikkloven – regler om at forskning skal skje i henhold til anerkjente forskningsetiske normer, for forsker og institusjon 
  • Åndsverkloven - inneholder regler om immaterielle rettigheter og bruk av bilder 
  • Beskyttelsesintruksen og sikkerhetsloven – stiller krav til klassifisering og håndtering av informasjon. 
  • Eksportkontrolloven – gir regler om kontroll med og forbud mot eksport av strategiske varer, tjenester og teknologi, herunder forbud mot ulovlig kunnskapsoverføring 

I tillegg kan andre lover og forskrifter være relevante: ekomloven, politiregisterloven, behandlingsbiobankloven, pasientjournalloven, mv.

13478 Visninger
IT-info: digital sikkerhet Målgruppe: Studenter Medarbeidere Tema: Informasjonssikkerhet
Tagger
informasjonssikkerhet reglement internkontroll verdier sikkerhetsloven risikostyring
Vedlegg
PDF
Politikk for informasjonssikkerhet og personvern.pdf