Ledelsessystem for informasjonssikkerhet

Universiteter og høyskoler er pålagt å innføre et ledelssystem for informasjonssikkerhet (Note 1). Dette følger både av lovgivningen som gjelder i universitets- og høyskolesektoren og av nye krav som Kunnskapsdepartementet stiller til institusjonene i tildelingsbrevet.

Veilederen til ledelssystemet er utarbeidet av Sekretariatet for informasjonssikkerhet i samarbeid med Senter for rettsinformatikk, Universitetet i Oslo. Forslaget baserer seg på anerkjente standarder for statsforvaltningen (ISO/IEC 27001/02: 2013) og ivaretar de kravene som lovverket stiller til slike ledelsesystemer.  Det er kommet en 2017-versjon av ISO/IEC 27001. Denne inneholder mindre korrigeringer som ikke vil få noen praktisk betydning for arbeidet med informasjonssikkerhet. 

Formål og målgruppe

Denne veilederen inneholder versjon 2.2 av ledelssystem for informasjonssikkerhet i universiteter og høyskoler. Formålet med veilederen er å bidra til at institusjonene i universitets- og høyskolesektoren forvalter sine informasjonsverdier på en sikker og profesjonell måte. Veilederen retter seg mot ledere og ansatte med ansvar for informasjonssikkerhet.

Bakgrunn

Utformingen av ledelssystemet tar utgangspunkt i en kartlegging av erfaringer med informasjonssikkerhetsarbeid i universiteter og høyskoler. Kartleggingen ble gjennomført høsten 2013 og våren 2014. Den omfattet en gjennomgang av sikkerhetsdokumentasjon fra 20 utvalgte institusjoner og intervjuer med nøkkelpersonell i disse institusjonene. Forslaget er derfor tilpasset de særegne forholdene som gjør seg gjeldende i sektoren. Lenke til forskningsrapporten fra kartleggingen ligger nederst på denne siden.

Veilederen (versjon 2.2) er oppdatert i henhold til den nye personvernlovgivingen som trer i kraft i mai 2018.

Lokaltilpasning

Selv om ledelssystemet er spesielt tilpasset universiteter og høyskoler, er det viktig at institusjoner som baserer sitt arbeid med informasjonssikkerhet på veilederen, tilpasser ledelssystemet til lokale forhold. Uten lokaltilpasning er det sannsynlig at institusjonene ikke vil lykkes med å gjøre ledelssystemet til sitt eget. Dermed kan det også bli vanskelig å innføre og drifte ledelssystemet.

Oppbygging

Forslaget til ledelssystem er inndelt i følgende hoveddeler: en styrende del, en gjennomførende del og en kontrollerende del. Hoveddelene omhandler kjerneaktivitetene som et systematisk og planlagt informasjonssikkerhetsarbeid består av. Den inneholder også nærmere beskrivelser av de dokumenter og oppgaver som inngår i et ledelssystem for informasjonssikkerhet.          

Kurs og bistand 

Sekretariatet for informasjonssikkerhet vil tilby institusjonene bistand til innføring og revisjon av ledelssystemet. Det vil også bli utarbeidet og gjennomført kurs i innføring og drift av ledelssystemet. Kurset vil være spesielt tilpasset universiteter og høyskoler.

Ta gjerne kontakt med Rolf Sture Normann (rolfnor@uninett.no) eller Tommy Tranvik (tommy.tranvik@uninett.no) dersom du har spørsmål vedr. prosjektet eller styringssystemet.

Lenker

Veileder i ledelssystem for informasjonssikkerhet i UH-sektoren v 2.2 - (Word)

 

Maler

Styrende del

Innledning

Avgrensning

Avgrensning (kort)

Sikkerhetsmål

Akseptkriterier

Sikkerhetsstrategi

Sikkerhetsorganisasjon

 

Gjennomførende del

Kartlegging av informasjonsverdier

Årsplan

Rutiner for risikovurderinger

Forberedende informasjon for risikovurderinger

Risikovurderingsmatrise

Regnerark for gjennomføring av risikovurderinger

Forslag til risikovurderingsrapport

Risikohåndteringsprosedyre og plan

Stryringssystem - årsplan

 

Kontrollerende del

Avviksskjema

Rutine for varsling til Datatilsynet

Rutine for varsling til de registrerte

Revisjonsskjema

Rapport ledelsens gjennomgang

 

Ressurser

Mal for Statement of applicability (SOA) v 1.0 Norsk - (Excel)

Mal for Statement of applicability (SOA) v 1.1 Engelsk - (Excel)

Styring av informasjonssikkerheten i universiteter og høyskoler - Forskningsrapport - (PDF)

 

Note 1

Den norske oversettelsen av ISO 27001:2013 Information security management systems har valgt betegnelsen ledelsessystem for informasjonssikkerhet. Det er også vanlig å kalle dette et styringssystem eller internkontrollsystem.