Retningslinje for sikring av personlig IKT-utstyr.

English version - Policy for Securing Personal ICT Equipment

• Type dokument: Retningslinje
• Forvaltes av: Seksjon for digital sikkerhet
• Godkjent av: Direktør for Organisasjon og infrastruktur
• Gjelder fra: 01.10.2025
• Neste revisjon innen: 01.10.2027
• Klassifisering: Åpen
• Referanse ISO: ISO27002:2022 5.10, 5.11, 7.9, 7.10, 7.14, 8.1
• Referanse Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning (F-04-20): Pkt 3
• Referanse interne dokumenter: Politikk for informasjonssikkerhet ved NTNU

Formål

Formålet med retningslinjen er å sikre kontroll av personlig IKT-utstyr som benyttes til å aksessere, transportere og/eller lagre informasjonsverdiene ved NTNU. Personlig IKT-utstyr omfatter, men er ikke begrenset til, datamaskiner, nettbrett, mobiltelefoner, smartklokker, samt bærbare lagringsmedium.

Gjelder for

Retningslinje for sikring av personlig IKT-utstyr gjelder for alle ansatte og studenter ved NTNU, samt alle som har tilgang til, eller bearbeider og forvalter informasjon gjennom NTNUs IKT-infrastruktur.

Ansvar og roller

Arbeidet med informasjonssikkerhet berører virksomheten på alle nivå. Ansvar og myndighet for informasjonssikkerhet følger det ordinære linjeansvaret. Dette står detaljert i politikk for informasjonssikkerhet

For retningslinje for sikring av personlig IKT-utstyr har linjeledere en sentral rolle med tilhørende ansvar. 

Overordnede prinsipper

• All bruk av personlig IKT-utstyr skal til enhver tid følge reglene gitt i NTNUs IKT- reglement.
• Alt personlig IKT-utstyr som aksesserer, transporterer, behandler og/eller lagrer NTNUs informasjonsverdier skal tilgangsstyres i henhold til krav i «Retningslinje for tilgangskontroll».
• Personlig IKT-utstyr skal ikke brukes av andre enn de som er autorisert for å bruke utstyret.
• Informasjon som er klassifisert som Fortrolig eller Strengt Fortrolig skal ikke kunne sees av andre enn de som informasjonen er ment for. Dette betyr eksempelvis at en ikke skal vise Fortrolig eller Strengt Fortrolig informasjon om uvedkommende kan se skjermbildet eller lignende.
• Informasjon klassifisert som Strengt Fortrolig skal ikke lagres på bærbare maskiner, eller mobiltelefoner..
• Personlig IKT-utstyr og datamedier som inneholder informasjon klassifisert som Intern, Fortrolig eller Strengt fortrolig skal ikke være ubevoktet på offentlige steder. Ved reiser skal utstyr som inneholder informasjon klassifisert som fortrolig håndteres som håndbagasje.
• Ved reiser utenlands må en være oppmerksom på at enkelte land vil kunne kreve at utstyr som er kryptert skal dekrypteres for å kunne utføre kontroll. I slike tilfeller skal ikke kryptert materiale tas med til land som kan kreve å kunne kontrollere innhold.
• Ved reise til andre land skal informasjonsverdier omfattet av eksportkontrolloven ikke medbringes.
• Ved reise til land definert som risikoland av PST, skal det gjøres en ekstra vurdering før IKT-utstyr brukt i jobbsammenheng medbringes. Vurderingen gjøres i henhold til gjeldende reiserutine.
• Ved avhending av personlig IKT-utstyr skal utstyret returneres i henhold til rutiner beskrevet på siden “Retur av brukt IT-utstyr” https://i.ntnu.no/wiki/-/wiki/Norsk/Retur+av+brukt+IT-utstyr
• Når personlig IKT-utstyr benyttes for å få tilgang til NTNUs informasjon gjennom offentlige eller private datanett skal kommunikasjonen skje på en sikker måte, definert i «Retningslinje for nettverk og informasjonsoverføring» og «Retningslinje for bruk av kryptografiske kontroller».