Kapittel 6: Sikkerhetsplan

Det skal utarbeides årlige handlingsplaner med tiltak for å redusere sårbarhet og bedre IT- og informasjonssikkerheten.

6.1 Årsplan

Det utarbeides årsplaner for IT- og informasjonssikkerhetsarbeidet på linje med andre deler av IT-virksomheten. Årsplanene redegjør for prioriterte tiltak på området. Årsplanene godkjennes av IT-direktøren og legges fram for universitetsdirektøren til orientering.

Det rapporteres tertialvis på årsplanene.

6.2 Årsrapport fra informasjonssikkerhets-arbeidet

Denne gjennomgangen avholdes en gang i året. USIT holder en lengre presentasjon for universitetsledelsen. Deltagere er:

  • Universitetsdirektøren
  • IT-direktøren
  • Behandlingsansvarlig ved USIT
  • IT-sikkerhetssjefen
  • Universitetsstyret

Presentasjonen inneholder blant annet

  • Et overordnet situasjonsbilde om informasjonssikkerheten
  • Status på vedtatte mål, krav og styringsparametere
  • Brudd på lover og regler
  • Status på vedtatte planer og større tiltak
  • I hvilken grad aktivitetene i internkontrollarbeidet​​​​​:
o    blir gjennomført systematisk og slik de skal i de ulike delene av organisasjonen
o    oppleves som fornuftige av de som skal utføre dem
o    medfører kontinuerlig forbedring
  • I hvilken grad kulturen understøtter informasjonssikkerhetsmålene, eksempelvis
o    har de ansatte forventet kunnskap
o    etterleves etablerte sikringstiltak i form krav, prosedyrer og rutiner
o    rapporteres sikkerhetshendelser og avvik
  • Trender i relevante endringer i trusler, farer og risikoer
  • Trender fra gjennomførte risikovurderinger
  • Indikatorer på informasjonssikkerhetsnivået, slik som:
o    hendelser, avvik og korrigerende tiltak
o    resultater fra måling og overvåkning
o    resultater fra evalueringer og revisjoner
  • Resultater fra brukerundersøkelser hos ansatte og innbyggere om konfidensialitet, integritet og tilgjengelighet i virksomhetens systemer og digitale tjenester
  • Eventuelle merknader fra KD om universitetets informasjonssikkerhetsarbeide
  • En vurdering av om overordnede styrende dokumenter bør justeres
  • En vurdering av om føringer for akseptabel risiko bør justeress
  • En vurdering av om årlige mål, krav og styringsparametere bør justeres (inngår i den påfølgende aktiviteten «oppdatere årlige mål, krav og styringsparametere»)

En mulig følge av presentasjonen, gjennomgangen og rapporten er en revisjon og mulig endring av dokumentene som utgjør ledelsessystemet.

Publisert 28. feb. 2017 13:17 - Sist endret 27. nov. 2017 12:49