5.1 IT-direktøren
IT-direktøren er delegert ansvar for informasjonssikkerhet av universitetsdirektøren.
5.2 IT-sikkerhetssjefen
IT-sikkerhetssjefen er delegert operativt ansvar for informasjonssikkerheten. Oppgaver som følger dette omfatter blant annet:
- Har ansvar for Ledelsessystem for informasjonssikkerhet
- Holde seg orientert om gjeldende trusselbilde og teknologiske endringer, og sørge for at dette gjenspeiles i regelverk og de operative systemene
- Ha overordnede ROS-analyser for hele IT-tjenesteområdet
- Bistå system- og tjenesteeiere ved ROS-analyser
- Har ansvar for gjennomføring av sikkerhetsrevisjoner
- Rådgiver overfor IT-direktøren i spørsmål om informasjonssikkerhet
- Rådgivende rolle ved anskaffelse og innføring av nye produkter og tjenester
5.3 IT-juridisk leder
IT-juridisk leder er delegert operativt ansvar for oppfølging av lov- og regelverk på informasjonssikkerhetsområdet. Oppgaver som følger dette omfatter blant annet:
- Utøve det daglige ansvaret for behandling av personopplysninger ved UiO.
- Bistå med rådgivning og juridiske avklaringer
5.4 Leder av UiO-CERT
CERT-leder er delegert ansvar for håndtering av sikkerhetshendelser. Oppgaver som følger dette omfatter blant annet:
- At rutiner for håndtering av sikkerhetshendelser eksisterer og er bekjentgjort
- Lede UiOs CERT-gruppe
- Sørge for håndtering av hendelser som har betydning for informasjonssikkerheten i henhold til etablerte rutiner
- Se ellers kapittel 13
5.5 Underdirektører og seksjons- og gruppeledere ved USIT
Linjeledere er ansvarlig for
- at egen virksomhet følger bestemmelsene i Ledelsessystem for informasjonssikkerhet, samt konkretiseringen av disse i relevant dokumentasjon
- fortløpende rapportering av sikkerhetshendelser til UiO-CERT
- rapportere inn behov for endringer i Ledelsessysstemet innen deres respektive fagfelt
- at nye tjenester, verktøy og systemer innføres i henhold til gjeldende rutiner
5.6 Tjenesteeiere ved USIT
Tjenesteeier er ansvarlig for at egne tjenester følger bestemmelsene i Ledelsessystem for informasjonssikkerhet og konkretiseringen av disse i relevant dokumentasjon.
- Har ansvar for forvaltning og grunnsikring for sine systemer og tjenester som beskrevet i Ledelsessystemet
- Er ansvarlig for inngåelse og forvaltning av avtaler med leverandører
- Gjennomføre ROS, herunder utarbeide og påse gjennomføring av tiltaksplan
- Dokumentere og melde om avvik og sikkerhetsbrudd
5.7 Systemeiere
Systemeier er ansvarlig for at egne systemer følger bestemmelsene i Ledelsessystem for informasjonssikkerhet og konkretiseringen av disse i relevant dokumentasjon.
- Påse at UiOs regler for grunnsikring følges opp
- Stille krav på vegne av UiO under anskaffelsen
- Håndtere systemet og dets sikkerhet under hele dets livsløp
- Gjennomføre ROS-analyser og utarbeide og påse gjennomføring av tiltaksplan
- Inngåelse og forvaltning av avtaler med leverandører
- Dokumentere og melde om avvik og sikkerhetsbrudd
5.8 Lokale IT-ansvarlige
Lokale IT-ansvarlige er ansvarlig for at lokal IT-virksomhet følger bestemmelsene i Ledelsessystem for informasjonssikkerhet og konkretiseringen av disse i relevant dokumentasjon.
- Melde om avvik og sikkerhetsbrudd
5.9 Linjeledere
Ledere på alle nivåer i både vitenskapelig linje og teknisk/administrativ linje har ansvar for at IT-systemer som brukes av ansatte og studenter i egen enhet følger bestemmelsene i disse dokumentene.
- Være kjent med UiOs klasser av informasjon, og hvilken informasjon som behandles av egen enhet
- Være kjent med enhetens egne IT-systemer og dataene de behandler
- Påse at enhetens rutiner for informasjonsbehandling følger reglene i ledelsessystemet
- Involvere Lokal IT og USIT i forbindelse med anskaffelser og utfasinger av systemer
- Sikre at ROS-analyser gjennomføres og at nødvendige avtaler er på plass
- Bistå Lokal IT med å sikre at UiOs regler for grunnsikring følges opp
- Melde om avvik og sikkerhetsbrudd
5.10 Brukerne av IT-systemene
IT-brukerne er ansvarlig for å følge IT-reglementet.