Kapittel 4: Sikkerhetsorganisasjon og ledelse

Universitetet skal ha en IT-sikkerhetsorganisasjon der roller, beslutnings- og rapporteringslinjer er klart definert og der myndighet og fullmakter p? de ulike niv?ene er like klart definert.

4.1 Informasjonssikkerhetsarbeidet p? universitetet

Ansvaret for informasjonssikkerhetsarbeidet f?lger styringslinja fra universitetsdirekt?ren til grunnenhetene. Det operative ansvaret for informasjonssikkerheten er delegert til fagavdelingen USIT ved IT-direkt?ren og f?lger linja i IT-organisasjonen ned til den enkelte IT-tilsatte, inkludert lokale IT-tilsatte.

Informasjonssikkerhet utgj?r sammen med fysisk sikkerhet og HMS (Helse, milj? og sikkerhet) de tre delene av sikkerhetsarbeidet ved universitetet. Universitetsdirekt?ren er ?verste ansvarlig for sikkerhetsarbeidet:

  • Ansvar for at det er utformet rutiner, prosedyrer, organisatoriske og praktiske tiltak som sikrer at virksomheten kan foreg? i tr?d med gitte retningslinjer og ivaretar universitetets krav til sikringsniv?:
    • P? informasjonssikkerhetsomr?det er dette ansvaret delegert til IT-direkt?ren. Derfor ut?ver IT-direkt?ren myndighet for informasjonssikkerhet p? vegne av universitetsdirekt?ren p? hele universitetet. Dette gj?res gjennom IT-sikkerhetssjefen og UiOs ut?vere av behandleransvaret.
  • Ansvar for at disse bestemmelsene etterleves i den ordin?re virksomheten:
    • Dette ansvaret f?lger linja fra universitetsdirekt?ren via fakultetsledelsen til ledelsen ved grunnenhetene (institutt, avdeling, randsoneenhet etc)

Utover dette kommer roller og funksjoner med spesielle oppgaver av betydning for informasjonssikkerheten:

  • Strategisk systemeier
  • Tjeneste-eiere og systemeiere, oftest ved USIT
  • Behandlingsansvarlig
  • Kommunikasjonsdirekt?r
  • Personvernombud
  • Prosesseier

Enhet for intern revisjon (EIR) er tillagt ansvar for ? etterse at internkontroll er tilfredsstillende etablert for all virksomhet p? universitetet, inkludert de ulike omr?dene av sikkerhetsarbeidet.

4.1.1. Beslutnings- og rapporteringslinje

Beslutnings- og rapporteringslinja i informasjonssikkerhetsarbeidet f?lger styringslinja i universitetets organisasjon.

4.1.2. Annen delegering av fullmakter, autorisering

Delegering av fullmakter og myndighet p? IT-sikkerhetsomr?det utover det som er beskrevet i disse dokumentene, f?lger linja i universitetets organisasjon. All delegering skal v?re dokumentert og bekjentgjort p? hensiktsmessig m?te.

4.2. Roller i IT-organisasjonen

Universitetsdirekt?ren er ?verste ansvarlig for IT- og informasjonssikkerheten ved Universitetet i Oslo.

4.2.1 IT-direkt?ren

IT-direkt?ren er delegert myndighet og har ansvar for IT- og informasjonssikkerheten p? universitetet, – jf “IT-direkt?rens ansvar og oppgaver”. Dette inneb?rer blant annet ansvar for:

  • At disse dokumentene gjennomg?r en ?rlig revisjon og at denne godkjennes av universitetsdirekt?ren
  • At det foreligger rutiner og prosedyrer som sikrer oppf?lging av retningslinjene i disse dokumentene
  • At det foreligger ?rsplan for IT- og informasjonssikkerhetsarbeidet og at status p? omr?det rapporteres i tr?d med rutinene for virksomhetsrapportering p? universitetet

4.2.2 IT-sikkerhetssjefen

IT-sikkerhetssjefen er av IT-direkt?ren tildelt ansvar og myndighet innen informasjonssikkerhetsomr?det og rapporterer til denne, ? jf stillingsbeskrivelsen for denne stillingen. IT-sikkerhetssjef har fagansvar for IT-sikkerhetsgruppa.

4.2.3 Leder av UiO-CERT

Leder av UiO-CERT-gruppa er av IT-direkt?ren tildelt ansvar og myndighet for daglig oppf?lging av sikkerhetshendelser i tr?d med retningslinjene i “H?ndtering av sikkerhetshendelser”. Leder av UiO-CERT rapporterer til IT-sikkerhetssjefen.

4.2.4 IT-juridisk ansvarlig

IT-juridisk ansvarlig er av IT-direkt?ren tildelt ansvar og myndighet for oppf?lging av lov- og regelverk p? informasjonssikkerhetsomr?det og rapporterer til denne.

IT-juridisk ansvarlig har fagansvar for IT-juridisk gruppe. Denne gruppen er tildelt rollen som ut?ver av behandleransvaret. Rollen er beskrevet i et eget dokument.

4.2.5 Underdirekt?rer og seksjons- og gruppeledere ved USIT

Underdirekt?rer, seksjons- og gruppeledere p? USIT har ansvar for USITs tjenesteleveranser og at disse f?lger retningslinjene i disse dokumentene, – jf ansvar og oppgaver tillagt linjeledere p? USIT i ?Funksjons- og bemanningsplan for USIT?.

4.2.6 Tjenesteeiere p? USIT

For hver av IT-tjenestene er det en tjenesteeier som er ansvarlig for at tjenesten som leveres f?lger retningslinjene i ledelsessystemet. Denne rollen kalles ogs? applikasjonsforvalter.

4.2.8 Lokale IT-ansvarlige

Lokale IT-ansvarlige er ansvarlig for at lokal IT-virksomhet skjer i tr?d med gjeldende bestemmelser.

4.2.9 Strategisk systemeier

Strategisk systemeier er overordnet ansvarlig for at informasjonssikkerheten er ivaretatt i universitetets administrative IT-systemer og IT-tjenester.

4.2.10 Systemeiere

Systemeier er ansvarlig for ?:

  1. kjenne til og dokumentere informasjonsressursene som forvaltes av systemet
  2. p?se at disse er sikret i tr?d med bestemmelsene i ledelsessystemet.
  3. sikre at dette f?lges opp av drifts- og utviklingsorganisasjonen.

Rollen ?systemeier? er tradisjonelt mest brukt om administrative IT-systemer. Systemeierskap for systemer innenfor undervisning, forskning og formidling er lagt til fakultets- eller instituttledelsen med mindre annet er bestemt og dokumentert.

4.3 Administrativ IT

Systemer for administrativ IT er behandlet og beskrevet spesielt i ?Styring og forvaltning av administrativ IT?. Det kreves blant annet:

  • Et entydig definert systemeierskap
  • Et entydig ansvars- og myndighetskart
  • Et veikart for administrative IT-systemer
  • En strategisk koordineringsgruppe
  • En r?dgivnings- og sekretariatsfunksjon

4.4 Beskrivelse av ansvar og oppgaver for den enkelte rolle

I den utf?rende delen av ledelsessystemet finnes det utf?rlige beskrivelser av hva som er forventet av den enkelte rolle.

Publisert 19. okt. 2016 14:06 - Sist endret 8. juli 2023 04:57
Del p? e-post