Informasjonssikkerhet for Lokal IT

Ledelsessystem for informasjonssikkerhet (LSIS)

Du må sette deg inn i LSIS, spesielt USITs tekniske krav til drift av infrastrukturen, men også delene som omhandler lagring. Brukerne dine trenger hjelpen din.

• Klassifiseringen – hvilke typer data finnes?
• Lagringsguiden – hvor kan man lagre hvilke typer data?

Du må ta en aktiv rolle for å sørge for at brukerne dine har de lagringstjenestene de trenger, og at maskinene til brukerne er satt opp slik at det er lett å lagre og behandle data rett sted.

Brukerne trenger ikke kjenne innholdet i LSIS, men de trenger å vite hvor de kan lagre og behandle data. Du kan imidlertid gjerne nevne at LSIS finnes, spesielt for ledelsen din og forskerne dine.

IT-reglementet

Dette reglementet skal både Lokal IT og alle brukerne kjenne til, og følge.

Generelle regler

• Vit hvilke IT-systemer som brukes av ansatte og studenter der du er ansatt.
• Hold en oppdatert oversikt over lokale IT-systemer
• Følg jevnlig opp innføring og utfasing av lokale IT-systemer.
• Vit hvilke administrative og tekniske krav USIT stiller til IT-systemer, maskiner og brukere.
• Hold oversikt over enhetens subnett, og del inn subnettet i samarbeid med nett-drift
• Sørg for at du vet hvilke maskiner som bruker ditt lokale subnett
• Vit hvilke enheter på nettet ditt som ikke er vanlige klientmaskiner
• Sikre at maskiner som skal på fastnett installereres i henhold til USITs anvisninger og rutiner
• Sikre at systemene ikke har lokale eller upersonlige brukere med mindre det er særskilte grunner til det.
• Sikre at brukere som ikke lenger er ansatt eller tilknyttet, mister tilgangen til interne IT-systemer eller får kontoen sin slettet.
• Gjør deg kjent med miljøenes behov for lagring av ulike typer data.
• Gjør deg kjent med studentenes og de ansattes forskningsområder, og hvem de samarbeider med.
• Sørg for at brukerne er kjent med USITs ulike tilbud om lagring.
• Sett deg inn i den delen av LSIS som handler om klassifisering av informasjon.
• Hjelp de ansatte med ROS-analyser (risiko- og sårbarhetsanalyser) når IT-systemer innføres eller endres.
• Sørg for at tjenermaskiner er driftet av, og plassert på USIT med mindre unntak er avtalt.
• Sørg for at de ansatte ikke kjøper inn maskinvare uten at du er involvert. Dette gjelder i særdeleshet tjenermaskiner.
• Sørg for at bruken av enhetens tjenermaskiner revideres jevnlig, og gjenspeiler enhetens faktiske behov.
• Sikre at du får beskjed ved innkjøp av nye arbeidsstasjoner og bærbart utstyr
• Sikre at dette utstyret blir driftet av USIT, og at USIT har nødvendig tilgang.
• Sørg for nødvendig opplæring av studenter og ansatte.
• Sørg for at viktige beskjeder fra USIT blir kommunisert til relevante mottagere.
• Sikre at USIT involveres ved innkjøp av IT-infrastruktur og andre større relevante innkjøp eller endringer.
• Pass på at private maskiner ikke gis mer tilgang enn nødvendig.
• Pass på at bærbart utstyr som skal inneholde røde data er tilstrekkelig sikret
• Bruk driftsbrukere, og bare driftsbrukere, til driftsoppgaver.
• Vit hvilke Cerebrum-grupper som brukes av din enhet, og til hva:
  • Sikre at rett personer er med i riktige grupper.
  • Sikre at man ikke har mer enn én gruppe til ett formål.
  • Sikre at gruppene er eid av riktige personer.
  • Sikre at gruppene har rett navn og beskrivelse.
  • Sikre at grupper som ikke er i bruk, blir avviklet.