Kapittel 6: Sikkerhetsplan

Det skal utarbeides ?rlige handlingsplaner med tiltak for ? redusere s?rbarhet og bedre IT- og informasjonssikkerheten.

6.1 ?rsplan

Det utarbeides ?rsplaner for IT- og informasjonssikkerhetsarbeidet p? linje med andre deler av IT-virksomheten. ?rsplanene redegj?r for prioriterte tiltak p? omr?det. ?rsplanene godkjennes av IT-direkt?ren og legges fram for universitetsdirekt?ren til orientering.

Det rapporteres tertialvis p? ?rsplanene.

6.2 ?rsrapport fra informasjonssikkerhets-arbeidet

Denne gjennomgangen avholdes en gang i ?ret. USIT holder en lengre presentasjon for universitetsledelsen. Deltagere er:

  • Universitetsdirekt?ren
  • IT-direkt?ren
  • Behandlingsansvarlig ved USIT
  • IT-sikkerhetssjefen
  • Universitetsstyret

Presentasjonen inneholder blant annet

  • Et overordnet situasjonsbilde om informasjonssikkerheten
  • Status p? vedtatte m?l, krav og styringsparametere
  • Brudd p? lover og regler
  • Status p? vedtatte planer og st?rre tiltak
  • I hvilken grad aktivitetene i internkontrollarbeidet?????:
  • blir gjennomf?rt systematisk og slik de skal i de ulike delene av organisasjonen
  • oppleves som fornuftige av de som skal utf?re dem
  • medf?rer kontinuerlig forbedring
  • I hvilken grad kulturen underst?tter informasjonssikkerhetsm?lene, eksempelvis
  • har de ansatte forventet kunnskap
  • etterleves etablerte sikringstiltak i form krav, prosedyrer og rutiner
  • rapporteres sikkerhetshendelser og avvik
  • Trender i relevante endringer i trusler, farer og risikoer
  • Trender fra gjennomf?rte risikovurderinger
  • Indikatorer p? informasjonssikkerhetsniv?et, slik som:
  • hendelser, avvik og korrigerende tiltak
  • resultater fra m?ling og overv?kning
  • resultater fra evalueringer og revisjoner
  • Resultater fra brukerunders?kelser hos ansatte og innbyggere om konfidensialitet, integritet og tilgjengelighet i virksomhetens systemer og digitale tjenester
  • Eventuelle merknader fra KD om universitetets informasjonssikkerhetsarbeide
  • En vurdering av om overordnede styrende dokumenter b?r justeres
  • En vurdering av om f?ringer for akseptabel risiko b?r justeress
  • En vurdering av om ?rlige m?l, krav og styringsparametere b?r justeres (inng?r i den p?f?lgende aktiviteten ?oppdatere ?rlige m?l, krav og styringsparametere?)

En mulig f?lge av presentasjonen, gjennomgangen og rapporten er en revisjon og mulig endring av dokumentene som utgj?r ledelsessystemet.

Publisert 28. feb. 2017 13:17 - Sist endret 5. apr. 2022 09:57
Del p? e-post