Kapittel 4: Sikkerhetsorganisasjon og ledelse

Universitetet skal ha en IT-sikkerhetsorganisasjon der roller, beslutnings- og rapporteringslinjer er klart definert og der myndighet og fullmakter på de ulike nivåene er like klart definert.

4.1 Informasjonssikkerhetsarbeidet på universitetet

Ansvaret for informasjonssikkerhetsarbeidet følger styringslinja fra universitetsdirektøren til grunnenhetene. Det operative ansvaret for informasjonssikkerheten er delegert til fagavdelingen USIT ved IT-direktøren og følger linja i IT-organisasjonen ned til den enkelte IT-tilsatte, inkludert lokale IT-tilsatte.

Informasjonssikkerhet utgjør sammen med fysisk sikkerhet og HMS (Helse, miljø og sikkerhet) de tre delene av sikkerhetsarbeidet ved universitetet. Universitetsdirektøren er øverste ansvarlig for sikkerhetsarbeidet:

  • Ansvar for at det er utformet rutiner, prosedyrer, organisatoriske og praktiske tiltak som sikrer at virksomheten kan foregå i tråd med gitte retningslinjer og ivaretar universitetets krav til sikringsnivå:
    • På informasjonssikkerhetsområdet er dette ansvaret delegert til IT-direktøren. Derfor utøver IT-direktøren myndighet for informasjonssikkerhet på vegne av universitetsdirektøren på hele universitetet. Dette gjøres gjennom IT-sikkerhetssjefen og UiOs utøvere av behandleransvaret.
  • Ansvar for at disse bestemmelsene etterleves i den ordinære virksomheten:
    • Dette ansvaret følger linja fra universitetsdirektøren via fakultetsledelsen til ledelsen ved grunnenhetene (institutt, avdeling, randsoneenhet etc)

Utover dette kommer roller og funksjoner med spesielle oppgaver av betydning for informasjonssikkerheten:

  • Strategisk systemeier
  • Tjeneste-eiere og systemeiere, oftest ved USIT
  • Behandlingsansvarlig
  • Kommunikasjonsdirektør
  • Personvernombud
  • Prosesseier

Enhet for intern revisjon (EIR) er tillagt ansvar for å etterse at internkontroll er tilfredsstillende etablert for all virksomhet på universitetet, inkludert de ulike områdene av sikkerhetsarbeidet.

4.1.1. Beslutnings- og rapporteringslinje

Beslutnings- og rapporteringslinja i informasjonssikkerhetsarbeidet følger styringslinja i universitetets organisasjon.

4.1.2. Annen delegering av fullmakter, autorisering

Delegering av fullmakter og myndighet på IT-sikkerhetsområdet utover det som er beskrevet i disse dokumentene, følger linja i universitetets organisasjon. All delegering skal være dokumentert og bekjentgjort på hensiktsmessig måte.

4.2. Roller i IT-organisasjonen

Universitetsdirektøren er øverste ansvarlig for IT- og informasjonssikkerheten ved Universitetet i Oslo.

4.2.1 IT-direktøren

IT-direktøren er delegert myndighet og har ansvar for IT- og informasjonssikkerheten på universitetet, – jf “IT-direktørens ansvar og oppgaver”. Dette innebærer blant annet ansvar for:

  • At disse dokumentene gjennomgår en årlig revisjon og at denne godkjennes av universitetsdirektøren
  • At det foreligger rutiner og prosedyrer som sikrer oppfølging av retningslinjene i disse dokumentene
  • At det foreligger årsplan for IT- og informasjonssikkerhetsarbeidet og at status på området rapporteres i tråd med rutinene for virksomhetsrapportering på universitetet

4.2.2 IT-sikkerhetssjefen

IT-sikkerhetssjefen er av IT-direktøren tildelt ansvar og myndighet innen informasjonssikkerhetsområdet og rapporterer til denne, ‑ jf stillingsbeskrivelsen for denne stillingen.

4.2.3 Leder av UiO-CERT

Leder av UiO-CERT-gruppa er av IT-direktøren tildelt ansvar og myndighet for daglig oppfølging av sikkerhetshendelser i tråd med retningslinjene i “Håndtering av sikkerhetshendelser”. Leder av UiO-CERT rapporterer til IT-sikkerhetssjefen.

4.2.4 Behandlingsansvarlig

Rollen til behandlingsansvarlig er beskrevet i et eget dokument.

4.2.5 Underdirektører og seksjons- og gruppeledere ved USIT

Underdirektører, seksjons- og gruppeledere på USIT har ansvar for USITs tjenesteleveranser og at disse følger retningslinjene i disse dokumentene, – jf ansvar og oppgaver tillagt linjeledere på USIT i “Funksjons- og bemanningsplan for USIT”.

4.2.6 Tjenesteeiere på USIT

For hver av IT-tjenestene er det en tjenesteeier som er ansvarlig for at tjenesten som leveres følger retningslinjene i ledelsessystemet. Denne rollen kalles også applikasjonsforvalter.

4.2.8 Lokale IT-ansvarlige

Lokale IT-ansvarlige er ansvarlig for at lokal IT-virksomhet skjer i tråd med gjeldende bestemmelser.

4.2.9 Strategisk systemeier

Strategisk systemeier er overordnet ansvarlig for at informasjonssikkerheten er ivaretatt i universitetets administrative IT-systemer og IT-tjenester.

4.2.10 Systemeiere

Systemeier er ansvarlig for å:

  1. kjenne til og dokumentere informasjonsressursene som forvaltes av systemet
  2. påse at disse er sikret i tråd med bestemmelsene i ledelsessystemet.
  3. sikre at dette følges opp av drifts- og utviklingsorganisasjonen.

Rollen «systemeier» er tradisjonelt mest brukt om administrative IT-systemer. Systemeierskap for systemer innenfor undervisning, forskning og formidling er lagt til fakultets- eller instituttledelsen med mindre annet er bestemt og dokumentert.

4.3 Administrativ IT

Systemer for administrativ IT er behandlet og beskrevet spesielt i “Styring og forvaltning av administrativ IT”. Det kreves blant annet.

  • Et entydig definert systemeierskap
  • Et entydig ansvars- og myndighetskart
  • Et veikart for administrative IT-systemer
  • En strategisk koordineringsgruppe
  • En rådgivnings- og sekretariatsfunksjon

4.4 Beskrivelse av ansvar og oppgaver for den enkelte rolle

I den utførende delen av ledelsessystemet finnes det utførlige beskrivelser av hva som er forventet av den enkelte rolle.

Publisert 19. okt. 2016 14:06 - Sist endret 11. okt. 2017 12:59