Kapittel 5: Oppgavebeskrivelser

5.1 IT-direktøren

IT-direktøren er delegert ansvar for informasjonssikkerhet av universitetsdirektøren.

5.2 IT-sikkerhetssjefen

IT-sikkerhetssjefen er delegert operativt ansvar for informasjonssikkerheten. Oppgaver som følger dette omfatter blant annet:

  • Har ansvar for Ledelsessystem for informasjonssikkerhet
  • Holde seg orientert om gjeldende trusselbilde og teknologiske endringer, og sørge for at dette gjenspeiles i regelverk og de operative systemene
  • Ha overordnede ROS-analyser for hele IT-tjenesteområdet
  • Bistå system- og tjenesteeiere ved ROS-analyser
  • Har ansvar for gjennomføring av sikkerhetsrevisjoner
  • Rådgiver overfor IT-direktøren i spørsmål om informasjonssikkerhet
  • Rådgivende rolle ved anskaffelse og innføring av nye produkter og tjenester

5.3 IT-juridisk leder

IT-juridisk leder er delegert operativt ansvar for oppfølging av lov- og regelverk på informasjonssikkerhetsområdet. Oppgaver som følger dette omfatter blant annet:

  • Utøve det daglige ansvaret for behandling av personopplysninger ved UiO.
  • Bistå med rådgivning og juridiske avklaringer

5.4 Leder av UiO-CERT

CERT-leder er delegert ansvar for håndtering av sikkerhetshendelser. Oppgaver som følger dette omfatter blant annet:

  • At rutiner for håndtering av sikkerhetshendelser eksisterer og er bekjentgjort
  • Lede UiOs CERT-gruppe
  • Sørge for håndtering av hendelser som har betydning for informasjonssikkerheten i henhold til etablerte rutiner.
  • Se ellers kapittel 13.

5.5 Underdirektører og seksjons- og gruppeledere ved USIT

Linjeledere er ansvarlig for

  • at egen virksomhet følger bestemmelsene i Ledelsessystem for informasjonssikkerhet, samt konkretiseringen av disse i relevant dokumentasjon.
  • fortløpende rapportering av sikkerhetshendelser til UiO-CERT
  • rapportere inn behov for endringer i Ledelsessysstemet innen deres respektive fagfelt
  • at nye tjenester, verktøy og systemer innføres i henhold til gjeldende rutiner

5.6 Tjenesteeiere ved USIT

Tjenesteeier er ansvarlig for at egne tjenester følger bestemmelsene i Ledelsessystem for informasjonssikkerhet og konkretiseringen av disse i relevant dokumentasjon.

  • Har ansvar for forvaltning og grunnsikring for sine systemer og tjenester som beskrevet i Ledelsessystemet
  • Er ansvarlig for inngåelse og forvaltning av avtaler med leverandører
  • Gjennomføre ROS, herunder utarbeide og påse gjennomføring av tiltaksplan
  • Dokumentere og melde om avvik og sikkerhetsbrudd

5.7 Systemeiere

Systemeier er ansvarlig for at egne systemer følger bestemmelsene i Ledelsessystem for informasjonssikkerhet og konkretiseringen av disse i relevant dokumentasjon.

  • Påse at UiOs regler for grunnsikring følges opp
  • Stille krav på vegne av UiO under anskaffelsen
  • Håndtere systemet og dets sikkerhet under hele dets livsløp
  • Gjennomføre ROS-analyser og utarbeide og påse gjennomføring av tiltaksplan
  • Inngåelse og forvaltning av avtaler med leverandører
  • Dokumentere og melde om avvik og sikkerhetsbrudd

5.8 Lokale IT-ansvarlige

Lokale IT-ansvarlige er ansvarlig for at lokal IT-virksomhet følger bestemmelsene i Ledelsessystem for informasjonssikkerhet og konkretiseringen av disse i relevant dokumentasjon.

  • Melde om avvik og sikkerhetsbrudd

5.9 Linjeledere

Ledere på alle nivåer i både vitenskapelig linje og teknisk/administrativ linje har ansvar for at IT-systemer som brukes av ansatte og studenter i egen enhet følger bestemmelsene i disse dokumentene.

  • Være kjent med UiOs klasser av informasjon, og hvilken informasjon som behandles av egen enhet
  • Være kjent med enhetens egne IT-systemer og dataene de behandler
  • Påse at enhetens rutiner for informasjonsbehandling følger reglene i ledelsessystemet
  • Involvere Lokal IT og USIT i forbindelse med anskaffelser og utfasinger av systemer
  • Sikre at ROS-analyser gjennomføres og at nødvendige avtaler er på plass
  • Bistå Lokal IT med å sikre at UiOs regler for grunnsikring følges opp
  • Melde om avvik og sikkerhetsbrudd

5.10 Brukerne av IT-systemene

IT-brukerne er ansvarlig for å følge IT-reglementet.

Publisert 28. feb. 2017 13:17 - Sist endret 4. des. 2017 09:51