Sikkerhet og vedlikehold
Informasjonssikkerheten hos NSD har blant annet som mål å sikre informasjonens konfidensialitet, integritet og tilgjengelighet. Konfidensialitet innebærer at informasjonen ikke er tilgjengelig for uautoriserte personer/systemer. Integritet innebærer at informasjonen ikke blir endret eller ødelagt på uautorisert måte. Tilgjengelighet innebærer at informasjonen eller dataressurser er anvendelig etter behov. For å oppfylle dette målet har NSD etablert flere sikkerhetsrutiner.
Tilgangskontroll
Tilgang til aktuelle IKT-systemer blir gitt ut fra rollebaserte tilgangskriterier. NSD har oppdatert oversikt over hvem som har tilgang til aktuelle IKT-system. NSD har effektive rutiner som fanger opp og korrigerer tilgangsrettigheter til ulike system i forbindelse med tildeling av nye roller, endringer i organisasjon/arbeidsoppgaver og avslutning av ansettelsesforhold.
Opplæring
NSD krever at alle ansatte/brukere må signere nødvendige erklæringer, samt innføring i NSDs sikkerhetsretningslinjer og konsekvenser ved brudd på disse før de får tilgang til en aktivert bruker-ID til NSDs IKT-systemer. Ansvarlig leder sikrer at brukere gis nødvendig opplæring og dokumentasjon på hvordan relevante IKT-systemer skal benyttes og hvordan NSDs informasjonsverdier skal behandles og sikres og at denne kompetanse blir holdt jevnlig ved like.
Taushetserklæring
Det kreves at alle ansatte, konsulenter, samarbeidspartnere, ol. som skal ha tilgang til personopplysninger og/eller IT-systemer som NSD er ansvarlig for, har signert selskapets taushetserklæring. Signering av ny/oppdatert taushetserklæring gjennomføres hvert 3. år for hele organisasjonen (skriftlig eller elektronisk).
Sikkerhetskopi
NSD tar sikkerhetskopi av personopplysninger som behandles i henhold til krav og tilgangsbetingelser. Vi merker lagringsmedium som benyttes til sikkerhetskopieringen, for raskt å finne frem ved gjenoppretting. Videre tar vi sikkerhetskopi av annen informasjon som er nødvendig for gjenoppretting av normal bruk (f.eks. systemdata, db konfigurasjoner, OS, støttesystemer, etc.), i tillegg til å oppbevare sikkerhetskopi adskilt fra driftsutstyret/datarommet i et avlåst og brannsikkert skap (ekstern lokasjon). For å unngå fysisk slitasje på taper/disker/lagringsmedium skiftes dagtaper ut med hensiktsmessige mellomrom. Backup-kassetter benyttes i en 5-ukers periode. En komplett sikkerhetskopi overføres etter hver periode til sikker oppbevaring utenfor huset.
Vedlikehold av arkiverte data
Alle nye datasett blir dokumentert og lagret for å sikre at dataene skal være tilgjengelige for gjenbruk også i fremtiden. Data blir lagret i det mest fremoverkompatible formatet innenfor den aktuelle datatypen. Hvert andre år går NSD gjennom datasamlingen, for å kontrollere og eventuelt oppdatere filformater.
Adgangskontroll - kontorlokaler
Adgang til NSDs lokaler krever bruk av kort og kode hele døgnet. Dører til lokaler hvor det oppbevares konfidensielle opplysninger er låst med manuell nøkkel eller kortlås. Automatisk låsing av arbeidsstasjon (PC) ved hjelp av skjermsparer (med passord) benyttes på alle arbeidsstasjoner hvor det behandles personopplysninger.
Adgangskontroll - lokaler med kritiske IKT-komponenter
Adgang til datarom er basert på et "need-to-use"-prinsipp, og tildeles/godkjennes av IKT-ledelsen. Adgang til datarom krever bruk av kort og kode hele døgnet. Eksterne som må inn i datarommet (IT-service/oppgradering personell) følges hele tiden av NSDs personale med autorisert adgang til datarommet. Det er ikke adgang til å bringe mat/drikke inn i datarommet.