Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (it-sikkerhedspolitik)

Transkript

1 Dokumentdato: 11. maj 2015 Dokumentansvarlig: PHK Sagsnr.: Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (it-sikkerhedspolitik) Indholdsfortegnelse 1 Målsætninger og forankring Omfang Gyldighedsområde Organisation og ansvar Udvalget for it-sikkerhed (it-sikkerhedsudvalg) It-Sikkerhedsfunktionen (it-sikkerhedskoordinator) Ledelsen Systemejere Dataejere Ejere af fysiske aktiver Medarbejdere, studerende og øvrige brugere Eksterne samarbejdspartnere Sanktionering Adgang til data og systemer Dokumentation Beredskabsplanlægning Lovgivning Godkendelse og revision af it-sikkerhedspolitikken Målsætninger og forankring Politikken til sikring af UCN s digitale og papirbaserede informationsaktiver (fremover også benævnt itsikkerhedspolitikken 1 ) skal understøtte UCN s værdigrundlag og vision samt de til enhver tid gældende strategiske målsætninger. Hensigten med it-sikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til UCN, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer. For at fastholde UCN s legalitet og troværdighed skal det sikres, at information behandles med fornøden fortrolighed og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. UCN 1 Benævnelsen anvendes, da opbevaring og anvendelse af informationer i overvejende grad digitaliseres. University College Nordjylland 1/9

2 ønsker derfor, med udgangspunkt i en systematisk afdækning og vurdering af risici, at opretholde og løbende udbygge et it-sikkerhedsniveau på højde med de krav, som de er struktureret i ISO 27001, og tilpasset de særlige forhold og risici, der er gældende ved UCN. It-systemer betragtes som værende en af UCN s mest kritiske ressourcer. Der lægges derfor vægt på driftsikkerhed, kvalitet, kompetenceudvikling, overholdelse af lovgivningskrav og på at systemerne er brugervenlige, dvs. uden unødigt besværlige sikringsforanstaltninger. Der skal skabes et effektivt værn mod it-sikkerhedsmæssige trusler, således at UCN s image samt studerendes, medarbejdernes tryghed og studie-/arbejdsvilkår sikres bedst muligt. Beskyttelsen skal imødegå såvel naturgivne som tekniske og menneskeskabte trusler. Ingen persongruppe skal være hævet over itsikkerhedsbestemmelserne. Målene er at: opnå høj driftsikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab - TILGÆNGELIGHED opnå korrekt funktion af systemerne med minimeret risiko for utilsigtet manipulation af og fejl i såvel data som systemer INTEGRITET opnå fortrolig behandling, transmission og opbevaring af data FORTROLIGHED Ovenstående mål konkretiseres kontinuerligt i sikkerhedsbeskrivelser og aftaler overfor interne og eksterne samarbejdspartnere. Regler og retningslinjer fra informationssikkerhedspolitikken skal løbende indarbejdes i de relevante gældende regler på personalepolitikkens område. It-sikkerhedspolitikken vil blive iværksættes ud fra konkrete behovs- og risikoanalyser. Ansvaret for iværksættelsen er placeret hos it-sikkerhedsorganisationen (jf. afsnit 4), der i forbindelse hermed har ansvar for at oversætte og omsætte politikkens overordnede principper til konkret handling. Samtidig vil der blive foretaget en nærmere konkretisering af ansvaret for UCN s respektive systemer, der vil blive indarbejdet i it-sikkerhedshåndbogen (beskrivelse følger). Det skal indledningsvis bemærkes, at politikkens læsevenlighed er påvirket af de noget tekniske og komplekse krav inden for området. Da politikken samtidig befinder sig på målsætnings- og principniveau er det kun i et begrænset omfang muligt at få et billede af politikkens direkte betydning for de enkelte medarbejdere og medarbejdergrupper ved institutionen. Politikken indeholder i alt 10 kapitler, der overordnet er inddelt i tre dele. Del 1 omfattende kapitel 1-3, der vedrører målsætninger, omfang og gyldighedsområde. Del 2 omfattende kapitel 4 vedrørende itsikkerhedsarbejdets organisering og del 3, der omfatter en række mere konkrete forhold vedrørende bl.a. sanktionering, adgange til systemer og beredskabsplanlægning mv. University College Nordjylland 2/9

3 2 Omfang It-sikkerhedskonceptet omfatter følgende: En it-sikkerhedspolitik, der godkendes af rektoratet på baggrund af indstilling fra it-sikkerhedsudvalget. En it-sikkerhedshåndbog, der konkretiserer it-sikkerhedspolitikken, fastlægges af it-sikkerhedsudvalget. It-sikkerhedsinstrukser og -procedurer, som formuleres af it-sikkerhedsudvalg (jf. afsnit 4.1) i samarbejde med de relevante systemejere og øvrige risikoejere (jf. afsnit 4.4) ud fra en konkret risikovurdering 2 samt krav og retningslinjer i it-sikkerhedshåndbogen. 3 3 Gyldighedsområde Politikken er gældende for alle UCN s anvendte it-systemer og øvrige informationsrelaterede aktiviteter (herunder papirbaserede), uanset om disse udføres af ansatte og studerende i UCN eller af samarbejdspartnere. Udmøntningen af it-sikkerhedspolitikken skal afspejle de forskellige sikkerhedsniveauer og risici, der er knyttet til de forskellige aktiviteter i UCN. Der er eksempelvis forskelle i sikkerhedskrav til hhv. de studerendes anvendelse af it og administrative medarbejderes anvendelse af it. 4 Organisation og ansvar Det delegerede it-sikkerhedsrelaterede ansvar er fremstillet i de følgende underafsnit 4.1 Udvalget for it-sikkerhed (it-sikkerhedsudvalg) Udvalget er et stående udvalg under rektoratet. Udvalget har en størrelse på 5-6 personer, hvor ressourcedirektør, it- & digitaliseringschef og it-sikkerhedskoordinator er fødte medlemmer. Øvrige medlemmer af udvalget er som udgangspunkt på chef-/lederniveau og udpeges af rektorat ud fra hensynet om at dække UCN s forskellige forretningsområder. Ressourcedirektør er formand for udvalget. Udvalget er normgivende og fastsætter på grundlag af den vedtagne it-sikkerhedspolitik de principper og retningslinjer, der skal sikre målopfyldelsen. Udvalget kan træffe beslutning om afvigelse fra de fastsatte principper og retningslinjer. 2 Ved en risikovurdering forstås en vurdering af a) risiko for tab af data, datafortrolighed eller datatilgængelighed b) konsekvens af tab af data og c) modforanstaltninger til imødegå risici. Der udformes en procedure og skabelon for udarbejdelse af risikovurderinger. 3 Omfatter tillige brugererklæringer. University College Nordjylland 3/9

4 Udvalget behandler alle it-sikkerhedsspørgsmål af principiel karakter og øvrige sikkerhedsspørgsmål, som udvalget finder relevante for institutionens informationssikkerhed. Udvalget foretager mindst hvert andet år en vurdering af it-sikkerhedspolitikken og de tilknyttede retningslinjer herunder at disse lever op til de eksterne forpligtelser udtrykt i lovgivning og kontrakter/aftaler. Udvalget vurderer samtidigt, om der er behov for fornyet risikovurdering/ konsekvensanalyse. Udvalget kan ad hoc lade sig supplere med faglig assistance. 4.2 It-Sikkerhedsfunktionen (it-sikkerhedskoordinator) På vegne af it-sikkerhedsudvalget varetager it-sikkerhedskoordinatoren det daglige sikkerhedsarbejde i samarbejde med IT-afdeling, system- og dataejere. It-sikkerhedskoordinatoren har i øvrigt ansvar for: at udarbejde og vedligeholde it-sikkerhedshåndbogen samt de til sikkerhedsarbejdet tilknyttede værktøjer (f.eks. Control Manager) at udarbejde udkast til relevante it-sikkerhedskrav, der operationaliserer it-sikkerhedspolitikken m.h.p. behandling i it-sikkerhedsudvalget at foretage opfølgning og rapportering af brud på it-sikkerheden til it-sikkerhedsudvalget evt. videredelegeret, hvor dette kan ske betryggende at behandle dispensationsansøgninger for begrundede afvigelser i forhold til retningslinjerne og rapportere disse til it-sikkerhedsudvalget at holde sig ajour med den generelle udvikling på det it-sikkerhedsmæssige område. at koordinere relevante initiativer med de øvrige aktører i koncernsamarbejdet, herunder system- og dataejere (jf. de kommende afsnit) 4.3 Ledelsen Den enkelte leder herunder rektorat har ansvar for 4 : at de relevante retningslinjer og regler er kendte og efterleves. at medarbejderne gennem uddannelse og udvikling opnår bevidsthed om nødvendigheden af at overholde de relevante sikkerhedsmæssige retningslinjer. at der, efter behov, udarbejdes yderligere dokumentation vedr. it-sikkerhed for afdelingens område. at bistå med opklaringsarbejdet ved konstateret eller begrundet mistanke om brud på it-sikkerheden. Resultatet rapporteres til it-sikkerhedsfunktionen. 4 Jf. det til enhver tid gældende organisationsdiagram. Som udgangspunkt varetages opgaverne på konkret foranledning af it-sikkerhedsudvalg eller it-sikkerhedskoordinator. University College Nordjylland 4/9

5 Der skal i øvrigt tilstræbes uafhængighed af enkeltpersoner gennem etablering af personbackup for de medarbejdere, der er alene om at dække specialer eller systemer af væsentlig betydning for UCN. Som supplement hertil skal dokumentationen hørende til disse områder også holdes ajourført og evt. udbygges. 4.4 Systemejere Ved systemejer forstås den organisatoriske enhed (som udgangspunkt den organisatoriske enheds leder), der har ansvaret for anvendelsen af et system ved UCN (f.eks. er Økonomiafdelingen systemejer af regnskabssystemet Navision, Personaleafdelingen er systemejer af lønsystemet SLS osv.). Det påhviler it- & digitaliseringschefen at sikre, at der entydigt udpeges systemejere til samtlige væsentlige systemer. Systemejere har ansvar for: at der identificeres sikkerhedskrav, som tager eksplicit hensyn til det pågældende system, herunder spørgsmålet om funktionsadskillelse. at der udarbejdes en risikovurdering i henhold til kravene hertil. at der ved idriftsætning af systemet foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene og at disse er i overensstemmelse med de principielle krav hertil. at autorisere adgangen til systemet i henhold til retningslinjerne herfor. at tilse, at de fastlagte sikkerhedskrav i øvrigt overholdes i samarbejde med den øvrige sikkerhedsorganisation. at foretage opfølgning og rapportering af brud på it-sikkerheden til it-sikkerhedsudvalget. 4.5 Dataejere Dataejere er den organisatoriske enhed (normalt enhedens leder), der har et ejerskab til data. Hvis der er tale om it-systemer vil dataejer ofte være den samme som systemejer (f.eks. tilfældet for regnskabsdata, hvor økonomiafdelingen både er systemejer og dataansvarlig). Dataejeren har ansvar for: at der udarbejdes en risikovurdering i henhold til kravene hertil for systemtilknyttede data i samarbejde med systemejeren. at der inden indrapportering af data i systemer foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene. at autorisere adgangen til data i samarbejde med systemejere i henhold til retningslinjerne herfor at foretage opfølgning og rapportering af sikkerhedsbrud til it-sikkerhedsudvalget. University College Nordjylland 5/9

6 4.6 Ejere af fysiske aktiver Med fysiske aktiver forstås medier, installationer, udstyr mv., der anvendes til opbevaring og/eller behandling af information (f.eks. servere, kabler, diske, arkivskabe). Alle fysiske aktiver får tildelt en ejer, der som hovedregel følger budgetansvar eller alternativt brugsretten. 5 Såfremt aktivet er omfattet af en outsourcingaftale, tages der hensyn hertil i aftalegrundlaget med samarbejdspartneren, f.eks. ved at pålægge samarbejdspartneren at foretage forskellige former for kontrol og opfølgning og rapportere herom. Ejeren af det fysiske aktiv har ansvar for: at der udarbejdes en kravspecifikation ved placering, indretning, forandring m.v. som tager eksplicit hensyn til it-sikkerhedsmæssige forhold. at der udarbejdes en risikovurdering i henhold til kravene hertil. at der ved ibrugtagning af lokaler/udstyr foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene og at disse er i overensstemmelse med de principielle krav hertil. at autorisere adgangen til lokalerne/udstyret i henhold til retningslinjerne herfor. at foretage opfølgning og rapportering af sikkerhedsbrud til it-sikkerhedsudvalget. 4.7 Medarbejdere, studerende og øvrige brugere Den enkelte bruger har ansvar for: at overholde it-sikkerhedspolitikken og de regler, der er relevante for den enkeltes arbejdsopgaver. 6 at rapportere om eventuelle brud på it-sikkerheden eller mistanke herom til nærmeste leder og til itsikkerhedsfunktionen. 4.8 Eksterne samarbejdspartnere UCN s eksterne samarbejdspartnere har ansvar for: at UCN s it-sikkerhedspolitik og de regler, der er relevante for deres ansvarsområde, er kendte og efterleves. at der, efter behov, udarbejdes yderligere dokumentation vedr. it-sikkerhed for samarbejdspartnerens område. 5 De påhviler it-sikkerhedskoordinatoren at sikre, at der entydigt er udpeget ejere af alle væsentlige fysiske aktiver. 6 Dette tilkendegives af brugeren ved accept/underskrift af en til formålet udarbejdet brugererklæring. University College Nordjylland 6/9

7 at der ved installation af nye og modifikation af eksisterende interne systemer og komponenter med påvirkningsmulighed til UCN s informationsaktiver gennemføres en forudgående risikovurdering. at bidrag til opklaringsarbejdet ved konstateret eller begrundet mistanke om brud på it-sikkerheden. Hændelsen og resultatet rapporteres via samarbejdspartneren egen it sikkerhedsorganisation til UCN s it-sikkerhedsfunktion. at i fornøden omfang at levere revisionserklæring i henhold til gældende standarder. Hvor det af praktiske eller formelle årsager ikke er muligt for eksterne samarbejdspartnere at overholde itsikkerhedspolitikken, kan it-sikkerheds-koordinatoren dispensere herfra ud fra en konkret vurdering af sikkerhedsrisikoen. I forbindelse hermed kan der eventuelt udarbejdes it revisionserklæringer. 5 Sanktionering Medarbejdere og øvrige brugere, der bryder de gældende it-sikkerhedsbestemmelser i UCN som beskrevet i brugererklæringerne, kan sanktioneres. I regi af it-sikkerhedspolitikken vil en fratagelse af adgangen til institutionens systemer, data og udstyr være den mest vidtgående sanktion. Øvrige foranstaltninger over for medarbejdere vil kunne iværksættes som led i udøvelsen af ledelsesretten. De nærmere regler om dette fastsættes inden for rammerne af den gældende personalepolitik og lovgivning. 6 Adgang til data og systemer Databehandling skal logges og der foretages central overvågning og registrering af databehandling skal følge de fastsatte standarder. Adgangskontrolsystemer skal logge og give mulighed for kontrol. Adgangsprocedure for logisk adgang skal omfatte: Hvem kan disponere over it-aktiver (ejer, administrator) Regler for tildeling og tilbagetrækning af adgangstilladelser. Regler for sikkerhedsovervågning, logning, efterkontrol, ledelsesrapportering og opfølgning. Systemejeren har ansvaret for at definere adgang til systemet Ved tilrettelæggelse af adgang til data vil funktionsadskillelse (udførende og kontrollerende funktion må ikke forankres hos en og samme person) være et bærende princip. Data skal klassificeres ud fra en vurdering af konsekvenserne ved tab af fortrolighed, integritet og tilgængelighed. Sikkerhedsforanstaltningerne skal afspejle den fastsatte klassifikation. Der kan om nødvendigt blive dispenseret fra sikkerhedsforanstaltningerne, hvis særlige forhold taler herfor f,eks. i forbindelse med tilrettelæggelse af undervisning. University College Nordjylland 7/9

8 7 Dokumentation Systemejere har ansvar for at sikre opbevaring og tilgængelighed af dokumentation for anvendelse af de respektive systemer. IT-afdelingen har ansvar for opbevaring og tilgængelighed af dokumentation vedrørende it-driftsmæssige forhold. IT-sikkerhedskoordinatoren har ansvar for opbevaring og tilgængelighed af dokumentation udarbejdet under it-sikkerhedskonceptet. Dokumentationen skal beskyttes, så fortrolighed, integritet og tilgængelighed sikres. 8 Beredskabsplanlægning Katastrofer søges undgået gennem en veltilrettelagt og proaktiv fysisk sikring og overvågning af bygninger, tekniske installationer og it-udstyr. Omfanget af disse foranstaltninger besluttes ud fra en afvejning af risici imod sikringsomkostninger. UCN s it-beredskabsplan aftales med UCN s IT-afdeling og indarbejdes i dennes overordnede beredskabsplan. Heri skal hhv. UCN s og partnernes ansvar for sikkerhedskopiering og nødplaner entydigt præciseres. Beredskabsplanerne skal omfatte: Skadebegrænsende tiltag Aktivering af nødplaner Genetablering af permanent løsning Information og kommunikation til samarbejdspartnere og brugere Beredskabsplanerne skal ajourføres og testes løbende ud fra en konkret vurdering. 9 Lovgivning Som en selvfølge skal dansk og international lovgivning, licensaftaler og lignende respekteres og overholdes. Af særlig relevans skal fremhæves lov om ophavsret, persondataloven, arkiveringsloven samt lovgivning om ejendomsret skal sikres i forbindelse med udvikling og overdragelse af software og systemer. 10 Godkendelse og revision af it-sikkerhedspolitikken It-sikkerhedspolitikken er godkendt på møde i rektoratet den 11. maj 2015 efter forudgående behandling på møde i IT-sikkerhedsudvalget den 9. april Politikken erstatter den hidtil gældende itsikkerhedspolitik godkendt på møde i UCN s direktion den 29. november University College Nordjylland 8/9

9 Politikken, der er gældende fra tidspunktet for rektoratets godkendelse, tages op til revision mindst hver andet år. Ændringsforslag vurderes af IT-sikkerhedsudvalget. Forslag til ny it-sikkerhedspolitik indstilles til rektoratet til godkendelse. University College Nordjylland 9/9