Ledelsessystem for informasjonssikkerhet og personvern

Transkript

1 Universitetet i Stavanger Styret ved Universitetet i Stavanger US 13/19 Ledelsessystem for informasjonssikkerhet og personvern Saksnr.: 19/ Saksansvarlig: Marina Davidian, IT-direktør Møtedag: Informasjonsansvarlig: Marina Davidian, IT-direktør Dokumenter i saken: Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning UiS policy for informasjonssikkerhet og personvern UiS håndbok i informasjonssikkerhet og personvern Saken gjelder Etablering av et ledelsessystem (styringssystem) for informasjonssikkerhet og personvern, og forankring av dette i hele organisasjonen. Bakgrunn for saken UiS har i en tid arbeidet med etterlevelse av ny personvernlov med personvernforskriftene. For å oppnå dette er det utarbeidet en policy og en håndbok som beskriver de overordnede ansvarsbeskrivelsene og retningslinjene som skal være gjeldende for universitetet og randsone-organisasjoner. Disse dokumentene vil være styrende for de underliggende rutinene og retningslinjene som kommer til å utgjøre ledelsessystemet for informasjonssikkerhet og personvern ved UiS. Brev fra Kunnskapsdepartementet slår fast at styret er øverste ansvarlige for informasjonssikkerheten ved universitetet. Ledelsessystemet vil gjøres tilgjengelig for både ansatte og studenter slik at de kan finne korrekte løsninger for informasjonssikkerhet og personvern i oppgaver som inneholder forvaltning og behandling av informasjonsverdier. Forslag til vedtak: Styret godkjenner dokumentene «UiS policy for informasjonssikkerhet og personvern» og «UiS håndbok i informasjonssikkerhet og personvern». Styret gir også rektor/universitetsdirektør fullmakt til å justere disse dokumentene i forhold til ny organisasjonsstruktur fra Stavanger, 23. januar 2019 Ole Ringdal Universitetsdirektør Dokumentet er elektronisk godkjent Side 1/2

2 US 13/19 Ledelsessystem for informasjonssikkerhet og personvern Informasjonssikkerhet og personvern er ikke en oppgave kun for IT-avdelingen. Det påhviler alle et ansvar for å ivareta dette i det daglige arbeidet/studiet. Vi ser også at våre eiere nå legger enda større vekt på dette og ber alle institusjonene innen høyere utdanning å ta dette enda mer på alvor. For å hjelpe enhetene, ansatte og studenter til å ivareta dette ansvaret, vil UiS bygge et ledelsessystem for informasjonssikkerhet og personvern. Ryggraden i dette er de dokumentene som er lagt fram for godkjenning. Disse regulerer ansvarsforhold og de overordnede prinsippene som skal gjelde. Med disse på plass kan det så etableres retningslinjer og regler som regulerer de behandlingsaktivitetene som utføres i forskning, undervisning, formidling og administrativt. Styringssystemet er bygget opp rundt prinsippene i standardene ISO 9001 (kvalitet) ISO27001 (informasjonssikkerhet) og ISO21014 (styring av informasjonssikkerhet). IT-avdelingen er sertifisert på de to første standardene, og har et ledelsessystem etablert. Erfaringer fra dette vil nå bli brukt i etableringen av ledelsessystemet for hele universitetet. En del av de ansvarsområdene som nå er beskrevet i de overordnede dokumentene er bygget på dagens organisasjonsstruktur. Dokumentene må derfor justeres for å gjenspeile ny struktur som blir gjeldende fra 1. august Forslag til vedtak: Styret godkjenner dokumentene «UiS policy for informasjonssikkerhet og personvern» og «UiS håndbok i informasjonssikkerhet og personvern». Styret gir også rektor/universitetsdirektør fullmakt til å justere disse dokumentene i forhold til ny organisasjonsstruktur fra Stavanger, 23. januar 2019 Ole Ringdal universitetsdirektør Marina Davidian IT-direktør Saksbehandler: Nils Arne Midtun Dokumentet er elektronisk godkjent Side 2/2

3 DET KONGELIGE KUNNSKAPSDEPARTEMENT Forsknings- og høyere utdanningsministeren Ifølge liste Deres ref Vår ref Dato 17/ januar 2019 Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning Digitalisering av høyere utdanning og forskning er en av mine hovedprioriteringer som forsknings- og høyere utdanningsminister. Digitalisering gir store muligheter for vårt samfunnsoppdrag, men fører også med seg nye trusler og sårbarheter. Det håndteres stadig større mengder verdifull informasjon i høyere utdanning og forskning, men mange virksomheter har utfordringer med internkontroll og styring av informasjonssikkerhet. Informasjonssikkerhet er en grunnleggende forutsetning for å kunne lykkes med digitalisering. Jeg vil derfor her informere om at Kunnskapsdepartementet innfører en ny modell for styring av informasjonssikkerhet og personvern i høyere utdanning og forskning. Samtidig forventer jeg at virksomhetene selv styrker egen styring av informasjonssikkerhet og personvern for å håndtere den risikoen økt digitalisering medførerl. Styret har det øverste ansvaret for risikoen som knytter seg til virksomhetens informasjonsverdier, og er ansvarlig for at sikkerheten er tilpasset denne risikoen. Det er styrets ansvar å sette virksomheten i stand til å håndtere risikoen slik at denne er på et nivå som styret aksepterer. Jeg forventer også at håndteringen av dette viktige området integreres i den generelle virksomhetsstyringen og er tydelig forankret i styret og toppledelsen. Informasjonssikkerhet er en kritisk suksessfaktor for kunnskapsvirksomheter Regjeringen lanserte i 2017 digitaliseringsstrategien for høyere utdanning og forskning. Direktoratet for IKT og fellestjenester i høyere utdanning og forskning (Unit) har i oppgave å 1 Se feks. NSMs rapport Et sikkert digitalt Norge IKT-risikobilde 2018, tilgjengelig på https nsrn stat nu ylobalassets rdpporternsm ikt-risikobride 2018 vveb pdf Postadresse: Postboks 8119 Dep 0032 Oslo Kontoradresse: Kirkeg. 18 Telefon* Org no.:

4 følge opp strategien. I strategien legges det vekt på at universiteter og høyskoler har et selvstendig og bevisst forhold til informasjonssikkerhet, herunder personvern, som en kritisk suksessfaktor for egne digitaliseringsstrategier og strategiske satsinger. Dette er spesielt viktig i kunnskapsvirksomheter hvor forvaltning og foreciling av store mengder informasjon og data er en så viktig del av selve kjernevirksomheten. Det er derfor avgjørende at vi klarer å ivareta informasjon og data på en god måte og til beste for samfunnet. Dette er noe alle virksomheter innenfor høyere utdanning og forskning har et selvstendig ansvar for, og noen av resultatene vi skal oppnå er: Vi skal hindre at uvedkommende får tilgang til konfidensiell informasjon, enten det er sensitive personopplysninger og forretningshemmeligheter i forskningen eller informasjon om studenter og ansatte ved universiteter og høyskoler, Vi skal sikre at informasjon er uforfalsket og til å stole på, enten det er rådata eller publisert informasjon i forskningen, eller studentenes eksamensresultater. Vi skal sikre at våre tjenester er tilgjengelige for alle brukerne som er avhengige av disse, enten det er ved våre egne virksomheter, eller for brukere på tvers av sektorer, landegrenser og langs stadig mer sammensatte verdikjeder. Mens vi kopler bygg, infrastruktur og utstyr på nett i et stadig raskere tempo, skal dette skje på en trygg måte som ivaretar liv og helse. Informasjonssikkerheten er ikke god nok Vi har utfordringer med å lukke de avvikene som skal gi en tilfredsstillende sikkerhet i dag. Eksempler på dette er Riksrevisjonens kritikk av manglende informasjonssikkerhet i administrative systemer og forskningssystemer, samt oppslag i media om studentopplysninger på avveie. Dette viser at det er nødvendig å heve kvaliteten på informasjonssikkerhets- og personvernarbeidet i sektoren, også med tanke på at universiteter og høyskoier skal være i stand til å oppfylle skjerpede rettslige krav til sikker elektronisk informasjonsforvaltning og forsvarlig håndtering av personopplysninger. Et løft av sikkerheten er nødvendig for å lykkes med digitaliseringen Jeg ønsker at virksomheter innenfor høyere utdanning og forskning skal ha et spesielt fokus på informasjonssikkerhet og personvern i arbeidet med å videreutvikle en kvalitetskultur. I digitaliseringsstrategien har derfor Kunnskapsdepartementet oppfordret institusjonene til å løfte informasjonssikkerheten høyere enn de nasjonale minstekravene for å være i stand til å gjennomføre en strategisk satsing på digitalisering. Samtidig har departementet satt som mål å styrke egen styring av informasjonssikkerhet på sektornivå gjennom et tydeligere rammeverk for hvordan denne styringen skal foregå. Departementet har i samarbeid med Unit besluttet at styringen av informasjonssikkerhet og personvern på sektornivå skal baseres på standardeniso/iec 27014: Departementet og Unit har tilpasset styringsmodellen i standarden til sektornivået i høyere utdanning og forskning, og viktige 2 ISO/IEC 27014:2013: Information technology Security techniques Governance of information security. Dette er en standard på overordnet nivå som beskriver anbefalte konsepter, prinsipper og prosesser for styring av informasjonssikkerhet. Side 2

5 prinsipper modellen er helhetlig risikostyring, mål- og resultatstyring og kontinuerlig forbedring. Gjennomføring Modellen omfatter de styringsoppgavene departementet og Unit har ansvar for, og systematiserer denne delen av styringsdialogen og oppfølgingen av sektoren. Den beskriver prosesser og ansvarsdeling mellom disse, og den er kompatibel med anerkjente rammeverk for eierstyring og selskapsledelse. Kunnskapsdepartementet har gitt Unit ansvaret for den løpende sektorstyringen av informasjonssikkerhet og virksomhetene vil merke dette gjennom: Tydeligere retning: Det vil bli utarbeidet en delstrategi for informasjonssikkerhet og personvern med klare målsettinger for sektoren og virksomhetene. Planmessig iverksetting: Det vil bli utarbeidet en handlingsplan som iverksetter delstrategien og en overordnet policy som gir retningslinjer og kommuniserer krav. Tettere oppfølging: Unit vil kartlegge graden av måloppnåelse på virksomhets- og sektornivå. Dette vil blant annet skje gjennom undersøkelser av virksomhetenes arbeid med informasjonssikkerhet og personvern, og ved at det utarbeides en årlig risikovurdering for sektoren. Riktigere prioriteringer: Resultatene fra Units undersøkelser i sektoren og de årlige risikovurderingene vil danne grunnlaget for nye målrettede tiltak. Tilpasset veiledning: Unit vil lage veiledninger for arbeidet med informasjonssikkerhet og personvern tilpasset høyere utdanning og forskning. I etableringen av styringsmodellen skal også Unit vurdere hvordan behovet for velledning og praktisk bistand, som tidligere ble levert av Uninetts sekretariat for informasjonssikkerhet, best kan dekkes. Unit er ikke satt opp til å yte denne bistanden i dag. Virksomhetene omfattes av styringsmodellen er: som Statlige universiteter og høyskoler Norges forskningsråd De nasjonale forskningsetiske komiteene NOKUT - Nasjonalt organ for kvalitet i utdanninga Diku - Direktoratet for internasjonalisering og kvalitetsutvikling I høyere utdanning Nupi - Norsk utenrikspolitisk institutt Unit - Direktoratet for IKT og fellestjenester Uninett AS Simula AS NSD AS UNIS AS i høyere utdanning og forskning Eierstyringen av aksjeselskapene skal skje i tråd med statens prinsipper for eierstyring og selskapsledelse. Sektorstyringen av informasjonssikkerhet overfor aksjeselskapene skal skje innenfor rammene av disse prinsippene. Som eier har departementet de samme forventningene til nivået på informasjonssikkerheten i aksjeselskapene som i de underliggende virksomhetene men styringen vil være forskjellig. Side3

6 Unit vil ta kontakt og foreslå tidspunkter for besøk hos virksomhetene for å informere mer om styringsmodellen. Med hilsen ubdtykt 14/747: Iselin Nybø Kopi Riksrevisjonen Side 4

7 Adresseliste Arkitektur- og Postboks 6768 St, 0130 OSLO designhøgskolen i Olavs plass Oslo De nasjonale Kongens gate OSLO forskningsetiske komiteene Direktoratet for internasjonalisering og kvalitetsutvikling i høyere utdanning Høgskolen i Innlandet Postboks EIVERUM Høgskolen i Molde Postboks MOLDE vitenskapelig høgskole i logistikk Høgskolen i Østfold 1757 HALDEN Høgskulen i Volda Postboks VOLDA Høgskulen på Postboks BERGEN Vestlandet Kunsthøgskolen i Postboks 6853 St 0130 OSLO Oslo Olavsplass Nasjonalt organ for Postboks LYSAKER kvalitet i utdanningen Nord universitet Postboks BODØ Norges forskningsrad Postboks LYSAKER Norges Helleveien BERGEN Handelshøyskole Norges Postboks OSLO idrettshøgskole Ullevål Stadion Norges miljø- og Postboks AS biovitenskapelige universitet Norges Postboks OSLO musikkhøgskole Majorstua Norges teknisknaturvitenskapelige 7491 TRONDHEIM universitet NSD - Norsk senter Harald Hårfagres 5007 BERGEN for forskningsdata AS gate 29 OsloMet storbyuniversitetet Samisk høgskole Hånnoluohkkå KAUTOKEINO Simula Research Postboks LYSAKER Laboratory AS Side5

8 UNINETT AS Postboks TRONDHEIM Sluppen Unit - Direktoratet for Pb Majorstuen 0308 OSLO IKT og fellestjenester i høyere utdanning og forskning Universitetet i Agder Serviceboks KRISTIANSAND S Universitetet i Bergen Postboks BERGEN Universitetet i Oslo Postboks OSLO Blindern Universitetet i 4036 STAVANGER Stavanger Universitetet i Sørøst- Postboks KONGSBERG Norge Universitetet i 9019 TROMSØ Tromsø Norges arktiske universitet Universitetssenteret Postboks LONGYEARBYEN på Svalbard Side6

9 Universitetet i Stavanger Policy for informasjonssikkerhet og personvern ved UiS Formål og omfang Informasjonssikkerhet og personvern er vesentlig for Universitetet i Stavanger (UiS). Formålet med sikkerhetsog personvernpolicyen er å sikre at UiS opprettholder de nødvendige krav til fortrolighet, integritet, tilgjengelighet og robusthet i informasjonsbehandlingen, herunder også personinformasjon. Denne policyen gjelder for: Alle ansatte, studenter, eksterne brukere, innleid personell og gjester (heretter kalt brukere) ved UiS som behandler eller har tilgang til UiS informasjon, informasjon lagret på UiS utstyr eller på utstyr tilkoblet UiS infrastruktur. UiS organisasjon med de roller, oppgaver og myndighet den enkelte har, samt de strukturer og prosesser som er etablert for virksomheten. All data- og informasjonsbehandling, lagring og prosesser for dette, uavhengig av lagrings- og prosesseringsform. Infrastruktur og alt utstyr, også privat og annet eksternt utstyr, som tilkobles UiS infrastruktur. Øverste behandlingsansvarlige ved UiS er universitetsdirektøren, som også har ansvar for etterlevelse av denne policyen. Dette dokumentet skal oppdateres og signeres ved tiltredelse av ny øverste behandlingsansvarlige. Målsettinger og strategi Det overordnede målet er at UiS skal etterleve virksomhetens føringer for informasjonssikkerhet og personvern, inkludert følgende målsettinger: UiS skal ivareta personvernet ved å ha fokus på den registrertes rettigheter og friheter, samt informasjonssikkerheten. UiS skal etterleve lover og regler for innsamling, oppbevaring og sikring av data og personvern. Beskytte UiS sin informasjon og informasjonssystemer mot tyveri, misbruk, forringet kvalitet og andre former for skade og tap. Det skal etableres og vedlikeholdes rutiner for ivaretagelse av sikkerhet og personvern. Sørge for at alle som er omfattet av denne policyen følger etablerte rutiner for ivaretagelse av sikkerhet og personvern, slik at frekvens og skadenivå av hendelser minimeres. Hendelser, avvik eller brudd på informasjonssikkerheten og personvernet, skal være kartlagt, dokumentert og varslet. Ledelsessystemet til UiS skal følge metoder fra ISO 9001 (kvalitet) og ISO / ISO Det skal utarbeides og gjennomføres rollebasert opplæring i henhold til Håndbok i informasjonssikkerhet. For å nå målsetningene, skal det være etablert et ledelsessystem for informasjonssikkerhet og personvern. Dette skal inneholde rutiner for internkontroll, personvern, risikostyring, IT-sikkerhet, avvikshåndtering, varsling og vedlikehold av informasjonsverdier. Dette vedlikeholdes og følges opp som angitt i årshjulet. Konsekvenser / sanksjoner Overtredelse av denne policy for informasjonssikkerhet og personvern, og vedtatte sikkerhetskrav vil håndteres på ordinær måte i ledelseslinjen. Vedtatt av universitetsstyret xx.xx.2019 UiS xx.xx.2019 Øverste behandlingsansvarlige

10 Versjon:1.0 Dato:

11 Innhold 1.0 Struktur i ledelsessystemet for personvern og informasjonssikkerhet Dokumentstruktur Risikostyring Mål for risikostyringen Når gjøres risikovurderinger Personvernkonsekvensvurdering Forvaltning og klassifikasjon av informasjon og eiendeler Forvaltning av informasjon og eiendeler Klassifikasjon av informasjon Dokumentasjon Organisering av arbeidet med personvern og informasjonssikkerhet ved UiS Informasjonssikkerhet og personvern Tilgangskontroll Kryptering Driftssikkerhet Kommunikasjonssikkerhet Systemutvikling og vedlikehold Fysisk og miljømessig sikkerhet Databehandlere Håndtering av hendelser og avvik (brudd) Kontinuitetsplanlegging Appendix A Ansvarsbeskrivelser Universitetsstyret ved Universitetet i Stavanger Rektor og direktør Personvernombud (DPO) Hovedansvarlig for sikkerhet (Chief Security Officer, CSO) Ansvarlig for informasjonssikkerhet (Chief Information Security Officer, CISO) Personvern og informasjonssikkerhetsforum Øvrig ledelse IT-direktør Avdelingsdirektør for avdeling bygg- og arealforvaltning Informasjons- / prosesseier... 21

12 Systemeier Alle brukere Appendix B Sentrale lover med forskrifter angående behandling av personopplysninger Appendix C Autentisering: Autorisasjon: Behandlingsansvarlig: Behandlingsaktiviteter / Behandling av personopplysninger: Bruker: Databehandler: Den registrerte: Driftsleverandør: Forretnings- / virksomhetsprosess: Informasjonssikkerhet: Informasjonsverdier: IKT Infrastruktur: Innebygd personvern: IT-sikkerhet: Ikke-benekting (non repudiation): Lovlig grunn: Overføring til tredjeland: Personvern: Personopplysninger (Iht. POLF Artikkel 4-1): Prinsipper for behandling av personopplysninger (personvernprinsippene): Risiko: Samtykke: Sikkerhetshendelse: Sikkerhetsbrudd: Systemeier: Systemansvarlig: Systemutvikler: Systemleverandør: Særskilte kategorier av personopplysninger (Sensitive personopplysninger): Høstland / Midtun 3 av 31

13 8.30 Personvernombud (DPO Data Protection Officer): Personvernkonsekvensvurderinger (PIA/ DPIA): Versjonskontroll: Håndbok i Høstland / Midtun informasjonssikkerhet og personvern Dokumentnavn: Versjon: Dato: Forfatter: Kontrollert: Godkjent: Høstland / Midtun 4 av 31

14 1.0 STRUKTUR I LEDELSESSYSTEMET FOR INFORMASJONSSIKKERHETOG PERSONVERN Denne håndboken beskriver hvordan informasjonssikkerhetog personvern skal ivaretas, av og hos Universitetet i Stavanger (UiS). Den omtaler berørte parter i form av alle ansatte, studenter og tilknyttederesurser. Håndboken inneholder også de overordnede retningslinjene for ledelsessystemet for informasjonssikkerhetogpersonvern. 1.1 Dokumentstruktur UiS har organisert dokumentstrukturen i ledelsessystemet i 3 nivåer. Nivå 1: Policy for informasjonssikkerhet og personvern Definerer mål, hensikt, ansvar, overordnede krav og sikkerhetsstrategi. Dette er styrendedokumentasjon. Nivå 2: og personvern (dette dokumentet) Håndboken inneholder de overordnede retningslinjer og prinsipper for informasjonssikkerhet og personvern. Her defineres hvasom må gjøres for å etterleve den overordnede policy. Dette er styrendedokumentasjon. Nivå 3: Operasjonell dokumentasjon Dette inkluderer HR rutiner, rammeverk for risikostyring, prosjekthåndbøker, ulike standarder og rutiner. Beskriver hvordanretningslinjer og prinsipper i nivået over (nivå 2) skal implementeres. Dette er gjennomførendeog kontrollerende dokumentasjon. H vorfor H va H vordan Høstland / Midtun 5av 31

15 2.0 RISIKOSTYRING Arbeidet med personvern og informasjonssikkerhet skal sørge for at informasjonsverdiene ved UiS til enhver tid er tilfredsstillende sikret mot brudd på konfidensialiteten (fortroligheten), integriteten og tilgjengeligheten. For å oppnå tilfredsstillende personvern og informasjonssikkerhet skal arbeidet basere seg på kartlegging og klassifikasjon av informasjonsverdier og løpende vurdering av risiko gjennom regulære risiko og sårbarhetsvurderinger (ROS). Tiltak skal vurderes med utgangspunkt i UiS sin rolle som universitet. Tiltak for å redusere risiko til et akseptabelt nivå skal ta hensyn til effektivitet, kostnad, muligheter og praktisk gjennomførbarhet. Risikovurderinger skal identifisere, kvantifisere og prioritere risiko i henhold til de relevante kriterier for akseptabel risiko som ledelsen har besluttet. Eget rammeverk beskriver dette. Dersom en risikovurdering avdekker uakseptabel risiko, skal det settes i verk tiltak for å redusere risikoen til et akseptabelt nivå. Alle risikovurderinger skal i tillegg til å angi risikoreduserende tiltak, også angi ansvar og tidspunkt for gjennomføring av de risikoreduserende tiltakene. 2.1 Mål for risikostyringen Det aksepteres ikke brudd på konfidensialiteten eller integriteten til personopplysninger. Dette gjelder i særlig grad for sensitive personopplysninger. Kortere avbrudd i personopplysningers tilgjengelighet aksepteres. Det aksepteres ikke brudd på konfidensialiteten og integriteten til konfidensielle forskningsdata som ikke er godkjent for publisering /offentliggjøring av prosjektleder. Kortere avbrudd i forskningsdataenes tilgjengelighet aksepteres. Det aksepteres ikke brudd på konfidensialiteten og integriteten til eksamensoppgaver og eksamensbesvarelser. Det samme gjelder uferdige eller innleverte studentoppgaver (hjemmeeksamener / bacheloroppgaver / masteroppgaver) og avhandlinger (ph.d.) som ikke skal eller ikke er godkjent for publisering /offentliggjøring. Korte avbrudd i tilgjengeligheten aksepteres dersom dette ikke vanskeliggjør eksamensgjennomføring, innlevering og sensurering av eksamensbesvarelser, studentoppgaver eller avhandlinger. 2.2 Når gjøres risikovurderinger Det skal gjennomføres risikovurderinger før oppstart av prosjekter eller ved endringer som har betydning for personvern og informasjonssikkerhet. (Personopplysningsloven med personvernforordningen (POLF) Artikkel 5 og Artikkel 32 mv). Risikovurderingen skal avklare om det er nødvendig å gjennomføre en personvernkonsekvensvurdering Høstland / Midtun 6 av 31

16 Det skal gjennomføres risikovurderinger i forhold til målstyring, jf. Økonomidirektivet. Rammeverket for risikostyring skal være basert på anerkjente metoder for risikovurdering, som anbefalinger fra Datatilsynet. 2.3 Personvernkonsekvensvurdering For å avdekke hvorvidt det er sannsynlig at en type behandling vil medføre en høy risiko for fysiske personers rettigheter og friheter (personvernet), skal det gjennomføres Personvernkonsekvensvurdering (POLF artikkel 35) når det behandles sensitive-/særskilte kategorier av personopplysninger (POLF Artikkel 9) eller store mengder personopplysninger. Personvernombud (DPO) skal inkluderes i gjennomføring av personvernkonsekvensvurderinger (POLF artikkel 39 nr. 1 bokstav c) 3.0 FORVALTNING OG KLASSIFIKASJON AV INFORMASJON OG EIENDELER 3.1 Forvaltning av informasjon og eiendeler Forvaltning av informasjon med personopplysninger skal inkludere protokoll over behandlingsaktiviteter og holdes løpende oppdatert. (POLF artikkel 30) Forvaltningen av informasjon skal også inkludere (ikke avgrenset til); informasjonens art (personopplysninger, sensitive personopplysninger, annen informasjon med betydning for personvern og informasjonssikkerhet), systemeier, hjemmel for behandlingen, hvor informasjonen lagres og hvordan den sikres. Alle behandlingsprosesser skal ha en entydig eier. Alle informasjonsaktiva skal ha entydig eierskap. Retningslinjer for akseptabel lagring av informasjon er angitt i egen retningslinje/policy. Ansatte og tredjeparts brukere skal tilbakelevere virksomhetens eiendeler ved avslutning av arbeidsforholdet. Dette er regulert i egen retningslinje (Forvaltning av IKT-utstyr ved UiS) Høstland / Midtun 7 av 31

17 3.2 Klassifikasjon av informasjon Klasse Hvem har tilgang / type data Merknader Åpen Intern Fortrolig Strengt fortrolig Informasjon kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter. Eksempler på slik informasjon er en web-side som presenterer en avdeling eller enhet som legges åpent ut på internett Data som er beregnet kun for UIS-ansatte, studenter ved UiS eller navngitte enkeltpersoner eller grupper ved institusjoner UiS samarbeider med. Eksempler på slik informasjon er enkelte arbeidsdokumenter, informasjon som er unntatt offentlighet, enkelte personopplysninger, karakterer, studentarbeider, eksamensbesvarelser, upubliserte forskningsdata og -arbeider. Dette er informasjon som universitetet er pålagt å begrense tilgangen til i lov, forskrift, avtaler, reglementer og annet regelverk. «Fortrolig» benyttes hvis det vil forårsake skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner om informasjonen blir kjent for uvedkommende. Eksempler på slik informasjon er enkelte strategidokumenter, sensitive personopplysninger, helseopplysninger, informasjon om sikring av bygninger og IT-systemer, eksamensoppgaver før de er gitt, enkelte typer forskningsdata og -arbeider. Strengt fortrolig benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. Informasjonen skal ha de strengeste tilgangsrettigheter. Skal ikke kreve innlogging eller annen form for identifikasjon, autentisering og autorisering. Integritet er fortsatt like viktig. Kun personer med rett tilgang kan endre dataene. Tilgang skjer etter innlogging med brukernavn og passord. Tilgang skjer etter innlogging med brukernavn og passord. To-faktor autentisering ved bruk av skyløsning. Bærbare enheter: PC, Mac, USB-pinner og -disker må krypteres. Dokumenter som skylagres må merkes med etiketter (labels). Plassering av data og informasjon i denne kategorien gjøres i samarbeid med UiS jurister og IT-sikkerhetsteam. Eksempler på slik informasjon er store mengder sensitive personopplysninger, store mengder helseopplysninger eller forskningsdata og datasett av stor økonomisk verdi Høstland / Midtun 8 av 31

18 3.3 Dokumentasjon UiS skal dokumentere informasjonssikkerhets- og personvernarbeidet i henhold til føringene i denne håndboken og i tråd med god praksis for arbeid med informasjonssikkerhet i UH-sektoren. Universitetsdirektøren legger frem endringer i policy og håndbok for styret. Øvrig dokumentasjon forvaltes av universitetsdirektøren. 4.0 ORGANISERING AV ARBEIDET MED PERSONVERN OG INFORMASJONSSIKKERHET VED UIS Ansvaret for informasjonssikkerhets- og personvern-arbeidet følger linja fra universitetsdirektør til enhetene. Det operative ansvaret for informasjonssikkerheten er delegert til fagavdelingen UiS-IT ved IT-direktøren. Ansvaret for informasjonssikkerhet følger også linja i alle andre enheter ned til den enkelte tilsatte og bruker. Informasjonssikkerhet utgjør sammen med fysisk sikkerhet og HMS de tre delene av sikkerhetsarbeidet ved universitetet. Universitetsdirektøren er øverste ansvarlig for sikkerhetsarbeidet (hovedansvarlig for sikkerhet, Chief Security Officer, CSO): Ansvar for at det er utformet rutiner, prosedyrer, organisatoriske og praktiske tiltak som sikrer at virksomheten kan foregå i tråd med lov, retningslinjer og ivaretar universitetets krav til sikringsnivå. Universitetsdirektøren har ansvaret for personvernet og utpeker personvernombudet (Data Protection Officer, DPO). På området informasjonssikkerhet, er ansvaret delegert til ansvarlig for informasjonssikkerhet (Chief Information Security Officer, CISO). Derfor utøver CISO myndighet for informasjonssikkerhet på vegne av universitetsdirektøren på hele universitetet. Ansvar for at bestemmelsene om informasjonssikkerhet og personvern etterleves i den ordinære virksomheten følger linjen fra universitetsdirektøren til ledelsen ved enhetene (institutt, avdeling, randsoneenhet etc.). I sikkerhetsorganisasjonen til UiS inngår følgende roller: Universitetsstyret Rektor og direktør Prorektor, dekaner, fakultetsdirektører, fellestjenestedirektører og andre enhetsledere. Personvernombud (Data Protection Officer / DPO) IT-direktør Ansvarlig for Informasjonssikkerhet (Chief Information Security Officer, CISO) Avdelingsdirektør, avdeling for bygg- og arealforvaltning (ABA) Personvern- og informasjonssikkerhetsforum Brukere (ansatte, studenter, gjester, etc) Høstland / Midtun 9 av 31

19 Under Appendix A følger en gjennomgang av hvilket ansvar og oppgaver de ulike rollene i sikkerhetsorganisasjonen er pålagt å ivareta. 5.0 INFORMASJONSSIKKERHET OG PERSONVERN Med informasjonssikkerhet menes virksomhetens evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, Fortrolighet/konfidensialitet informasjon er bare tilgjengelig for de som skal ha tilgang. Integritet informasjon er korrekt og fullstendig. Tilgjengelighet informasjon er tilgjengelig innenfor de krav som er satt. Robusthet evne til å motstå driftsavvik 5.1 Tilgangskontroll UiS skal sikre at informasjon, data og programmer kun er tilgjengelig for autoriserte personer. Systemeier definerer brukertilgang til applikasjoner og filområder i henhold til den enkeltes rolle og organisatorisk tilhørighet. Systemeier definerer rettigheter internt i applikasjoner i henhold til den enkeltes rolle, organisatorisk tilhørighet og autorisasjonsnivå. Tilganger skal ikke misbrukes for å tilegne seg informasjon man ikke har behov for. Endringer i tilganger og rettigheter skal initieres ved endring i virksomhetens HR system For privilegerte arbeidsoppgaver på servere og IKT infrastrukturen, skal det benyttes personlige administratorkontoer. Dette gjelder også Databehandler. Passord er strengt personlig. Utlån skal ikke forekomme. Passord endres regelmessig i henhold til egen policy. Dersom det finnes mistanke om at det blir kjent av andre, skal det endres straks. Felles brukeridentiteter anvendes kun ved produksjonsanlegg. Arbeidsstasjonen skal sikres når den forlates, også ved korte fravær, ved egen prosedyre. Håndtering av passord er beskrevet i egen prosedyre. De ulike roller er beskrevet i egen rollebeskrivelse. 5.2 Kryptering Den enkelte er selv ansvarlig for at det ikke lagres data med annen klasse enn «Åpen» på datamaskin eller mobiltelefon eller annen mobil enhet, med mindre informasjonen eller enheten er kryptert. (POLF Artikkel 32). Behandles informasjon med annen klasse enn «Åpen» i ulike prosjekter, skal denne krypteres. E-post kan kun benyttes ved utsendelse av data med klasse «Åpen» Høstland / Midtun 10 av 31

20 5.3 Driftssikkerhet UiS sine IT-systemer skal være tilstrekkelig beskyttet og dokumentert. Unntak fra dette skal være risikovurdert. Drift av IT-systemer, også hos andre databehandlere skal oppfylle følgende (ikke avgrenset til): Informasjonssikkerhet i tråd med POLF artikkel 28 og artikkel 32. Overvåkning av driftssituasjonen. Beskyttelse mot skadelig kode. Separering av utvikling, test og produksjon skal beskrives i egen retningslinje levert av databehandler. Endrings- og avvikshåndtering. Sikkerhetskopiering (backup). Sporbarhet / logging. IT systemene som bidrar til at UiS oppfyller POLF, skal ha systematikk med tanke på sletting, korrigering, varsling, innebygd personvern, dataportabilitet, mv. 5.4 Kommunikasjonssikkerhet UiS sine kommunikasjonstjenester skal administreres og kontrolleres i henhold til gjeldende databehandleravtale, og krav til tjenestenivå (SLA). 5.5 Systemutvikling og vedlikehold Sikkerhetskrav til informasjonssystemer skal være beskrevet. Beskrivelsen skal inneholde informasjon om hvordan informasjon utveksles eksternt, brukes til systemutvikling, endringer og testing Høstland / Midtun 11 av 31

21 5.6 Fysisk og miljømessig sikkerhet UiS skal beskytte lokaler og utstyr (maskiner, data og programmer) mot ødeleggelse, tap eller misbruk ved å hindre uautorisert adgang til kritiske deler av sine lokaler. Følgende soneinndeling skal benyttes: Sikringsnivå Område Sikring Grønn Gul Alt er i utgangspunktet tilgjengelig. Områder hvor det i arbeidstiden kan forefinnes intern informasjon som kontorlokaler Adgangskontroll: nøkkelkort og kode etter arbeidstid. All klassifisert utskrift skal beskyttes med «Follow me»-funksjonalitet (Utskrift er beskyttet ved at en kun kan få utskrift når bruker er ved printer). All utskrift skal beskyttes med «Follow me»- funksjonalitet. Adgangskontroll: nøkkelkort og kode etter arbeidstid Rød Avgrensede områder hvor spesiell autorisasjon kreves. Datarom/serverrom/arkiver o.l. med sensitiv informasjon. All utskrift skal beskyttes med «Follow me»- funksjonalitet. Adgangskontroll: nøkkelkort og kode Figur 1. Overordnet soneinndeling. 5.7 Databehandlere Alle avtaler med databehandlere skal tilfredsstille kravene i POLF artikkel 28, herunder (ikke avgrenset til): Databehandler skal kun behandle personopplysninger etter dokumenterte instruksjoner fra UiS. Overføring av persondata til land utenfor EU/EØS-området skal reguleres i en databehandleravtale. De som har tilgang til personopplysningene som behandles er underlagt taushetsplikt. Databehandler skal sørge for informasjonssikkerhet i tråd med POLF artikkel 32. Databehandler må respektere reglene for underleverandører i tråd med POLF artikkel 28. Databehandleravtalen («Avtalen», DBA) skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med å etterkomme krav fra enkeltpersoner. Separering av utvikling, test og produksjon skal beskrives i egen retningslinje levert av databehandler. Databehandleravtalen skal spesifisere hvordan databehandler skal bistå den behandlingsansvarlige med informasjonssikkerhet, avvikshåndtering og konsekvensanalyse Høstland / Midtun 12 av 31

22 Databehandler skal, avhengig av hva den behandlingsansvarlige velger, slette eller tilbakeføre alle personopplysninger når databehandlingstjenestene opphører. Kopier skal også slettes. Dette gjelder med mindre en annen lov krever at de skal tas vare på. Databehandler skal gjøre tilgjengelig dokumentasjon som viser at de etterlever POLF artikkel 28 for den behandlingsansvarlige. Databehandler skal også bidra til revisjoner. Databehandleravtalen skal regulere avslutning av kontrakt, inklusive sletting av data og/eller bistand til overgang til annen databehandler. 5.8 Håndtering av hendelser og avvik (brudd) Enhver bruker av UiS sine systemer er ansvarlig for å rapportere brudd eller mulige brudd på personvernet. Rapporteringen går til Personvernombudet ved Enhver bruker av UiS sine systemer er ansvarlig for å rapportere brudd eller mulige brudd på informasjonssikkerhet. Rapporteringen går til Avvikshåndtering følger avviksprosessen ved UiS. Avvikshåndteringen skal inkludere årsaksanalyse og gjennomføring av tiltak som hindrer gjentagelse og i henhold til prosedyrer hos Databehandler. Avvik er definert som brudd på retningslinjer og sikkerhetsbrudd. Det betyr brudd på: Personopplysningssikkerheten Fortrolighet / konfidensialitet, Integritet, tilgjengelighet Håndtering av hendelser, avvik eller brudd skal ha som mål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Varsling / melding til tilsynsmyndigheten skjer via personvernombudet. Varsling av den registrerte om brudd på personopplysningssikkerheten skal følge retningslinjene i POLF artikkel 33 og artikkel 34. UiS skal ha gode informasjonsstrategier for sikkerhetshendelser, og være proaktive i vår offentlige kommunikasjon om slike Høstland / Midtun 13 av 31

23 5.9 Kontinuitetsplanlegging UiS skal ha planer som gjør det mulig å gjenopprette kritiske virksomhets- og støtteprosesser og ITsystemer som følge av utilsiktet driftsavbrudd (krisesituasjon). Planene skal gjenspeile resultat etter gjennomført BIA (Business Impact Analysis). Klasse og kritikalitet Krise Katastrofe RTO RPO RTO RPO A Høy Innen 2 timer med full funksjonalitet og kapasitet 2t Med redusert drift innen 1 dag, 100% innen 7 dager. 2t B - Medium Inntil 8 timer med full funksjonalitet og kapasitet 1 døgn Innen 7 dager med full funksjonalitet og kapasitet 1 døgn C - Lav Inntil 1 uke med full funksjonalitet. 1 uke Innen 3 uker med redusert drift og innen 4 uker med full funksjonalitet og kapasitet 1 uke Figur 2. Kritikalitetstabell etablert etter «Business Impact Analysis» Høstland / Midtun 14 av 31

24 6.0 APPENDIX A 6.1 Ansvarsbeskrivelser Her følger en detaljert ansvarsbeskrivelse for alle rollene i sikkerhetsorganisasjonen ved UiS Universitetsstyret ved Universitetet i Stavanger Myndighet: Behandler og vedtar policy for personvern og informasjonssikkerhet ved UiS og vesentlige endringer i policy. Spesielt gjelder dette endringer i sikkerhetsmål, kriterier for akseptabel risiko og i styringssystemet for personvern og informasjonssikkerhet. Kan stille krav til det videre arbeidet med personvern og informasjonssikkerhet ved UiS. Styret har det øverste ansvaret for risikoen som knytter seg til virksomhetens informasjonsverdier, og er ansvarlig for at sikkerheten er tilpasset denne risikoen. Det er styrets ansvar å sette virksomheten i stand til å håndtere risikoen slik at denne er på et nivå som styret aksepterer. Rapportering: Styret skal informeres årlig om arbeidet med personvern og informasjonssikkerhet. Styret skal informeres om spesielt alvorlige sikkerhetsbrudd Rektor og universitetsdirektør Myndighet og delegasjon: Universitetsdirektør er øverste behandlingsansvarlige og skal sørge for at personvernprinsippene etterleves (POLF artikkel 4, punkt 7 og artikkel 5) Øverste behandlingsansvarlige har fullmakt til å delegere den overordnede daglige oppfølgingen av personvern og informasjonssikkerhet til universitetsdirektøren. Universitetsdirektør er som øverste behandlingsansvarlige, ansvarlig for signering av databehandleravtaler, men delegerer oppgaven med å signere til leder for de aktuelle enhetene som inngår slike avtaler. Universitetsdirektøren oppnevner medlemmer til personvern- og informasjonssikkerhetsforumet ved UiS. Universitetsdirektøren har rollen som hovedansvarlig for sikkerhet (CSO) Drift og ressurser: Øverste behandlingsansvarlige skal sørge for at ledelsessystemet for personvern og informasjonssikkerhet blir innført, satt i drift og vedlikeholdt Høstland / Midtun 15 av 31

25 Øverste behandlingsansvarlige skal sørge for at det avsettes tilstrekkelige ressurser til arbeidet med personvern og informasjonssikkerhet, herunder opplæring og kompetanseheving. Kontroll og rapportering: Rektor og universitetsdirektør skal holde seg orientert om arbeidet med personvern og informasjonssikkerhet. Universitetsdirektør skal årlig gjennomgå status for arbeidet med personvern og informasjonssikkerhet ved UiS (Ledelsens gjennomgang). Universitetsdirektør skal årlig rapportere status for arbeidet med personvern og informasjonssikkerhet til universitetsstyret og løpende informere styret om spesielt alvorlige sikkerhetsbrudd. Universitetsdirektør skal, dersom det er nødvendig, foreslå endringer i policy (ledelsessystem, sikkerhetsmål, strategi, akseptabel risiko og organisering) til universitetsstyret Personvernombud (DPO) Stilling: skal rapportere til øverste behandlingsansvarlige er uavhengig kan ikke straffes eller instrueres av virksomheten i forhold til personvern kan være ansatt eller innleid Myndighet og delegasjon: Innhente informasjon for alle behandlingsaktiviteter og identifisere, analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket Planlegger i samarbeid med CSO informasjonssikkerhet- og personvernsforumet ved UiS. Informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandling av deres forpliktelser i henhold til gjeldende lov om databeskyttelse når det blir forespurt om personvernkonsekvensvurderinger (risikovurdering av behandlingsaktiviteter) gjennomføring av holdningsskapende tiltak og opplæring Overvåke overholdelsen av Personvernforordningen med retningslinjer ovenfor behandlingsansvarlige eller databehandleren i forhold til vern av personopplysninger i forbindelse med personvernkonsekvenser Kontakt og samarbeid Høstland / Midtun 16 av 31

26 med alle relevante tilsynsmyndigheter for personvern med tilsynsmyndigheter angående saker knyttet til behandling av personopplysninger og å konsultere, når det er hensiktsmessig, med hensyn til andre saker med tilsynsmyndigheten når avvik eller brudd på personvernet er meldt ved bruk av skytjenester, vedrørende behandling av personopplysninger under relevant kontrakter Myndighet og fullmakter Informere og gi råd om hva som er tillatt å registrere i henhold til Personvernforordningen. Representere virksomheten i forhold til tilsynsmyndigheter angående personvern. Representere virksomheten overfor kunder angående beskyttelse av de registrertes personopplysninger. Plikt til å varsle behandlingsansvarlig ved funn av overtredelser. Personvernombudet har myndighet til å iverksette granskning av potensielle overtredelser etter varsel eller egne funn (POLF Artikkel 38) Hovedansvarlig for sikkerhet (Chief Security Officer, CSO) Myndighet og ansvar: Skal i det daglige utøve Universitetsledelsens ansvar og myndighet for all sikkerhet ved UiS. Er ansvarlig for informasjonssikkerhet og personvern, men delegerer ansvaret for dette til CISO. Lede arbeidet i informasjonssikkerhet- og personvernsforumet ved UiS. Planlegger i samarbeid med CISO og personvernombudet, informasjonssikkerhet- og personvernsforumet ved UiS. Skal ha oversikt over informasjonsverdier som behandles og IT-løsninger som benyttes ved UiS. Skal holde seg orientert om personvern og informasjonssikkerhets-tilstanden ved UiS, herunder motta avviksmeldinger fra fakulteter, avdelinger, andre enheter og forskningsprosjekter. Ansvarlig for at det gis opplæring i praktisk personvern og informasjonssikkerhetsarbeid til ledere, administrativt og vitenskapelige ansatte, prosjektledere og prosjektdeltakere i forskningsprosjekter dersom det er nødvendig. Rapportering: Ansvarlig for at det gjennomføres revisjoner av arbeidet med personvern og informasjonssikkerhet ved fakulteter, institutter, andre enheter og i forskningsprosjekter Høstland / Midtun 17 av 31

27 Ansvarlig for at det utarbeides rapport om personvern og informasjonssikkerhet i samarbeid med Universitetsledelsens årlige gjennomgang Ansvarlig for informasjonssikkerhet (Chief Information Security Officer, CISO) Myndighet og ansvar: Skal i det daglige utøve Universitetsledelsens ansvar og myndighet for informasjonssikkerhet ved UiS. Planlegger i samarbeid med CSO informasjonssikkerhet- og personvernsforumet ved UiS. Skal ha oversikt over informasjonsverdier som behandles og IT-løsninger som benyttes ved UiS. Skal holde seg orientert om personvern og informasjonssikkerhetstilstanden ved UiS, herunder motta og behandle avviksmeldinger fra fakulteter, avdelinger, andre enheter og forskningsprosjekter. Kan iverksette gransking av brudd på informasjonssikkerheten etter varsel eller egne funn. Rapportering: Skal gjennomføre revisjoner av arbeidet med personvern og informasjonssikkerhet ved fakulteter, institutter, andre enheter og i forskningsprosjekter. Skal utarbeide rapport om personvern og informasjonssikkerhet i samarbeid med Universitetsledelsens årlige gjennomgang. Opplæring, informasjon og bistand: Skal, der hvor det er nødvendig, initiere og bistå fakulteter, institutter, enheter og forskningsprosjekter ved planlegging, gjennomføring og oppfølging av konkrete sikkerhetsoppgaver. Spesielt risikovurderinger, iverksetting av sikringstiltak og inngåelser av avtaler med betydning for personvern og informasjonssikkerhet (SLA, databehandleravtaler og liknende). Skal informere om trusler mot personvern og informasjonssikkerhet Personvern og informasjonssikkerhetsforum Myndighet og ansvar: Skal gi råd til behandlingsansvarlig om tiltak/initiativ som fremmer personvern og informasjonssikkerhet, herunder ressursbehov Høstland / Midtun 18 av 31

28 Skal koordinere planleggingen og gjennomføringen av tiltak/initiativ på personvern og informasjonssikkerhetsområdet som omfatter hele institusjonen. Ledelse og sammensetning: Leder av forumet er Universitetsdirektør (CSO) med CISO som assistent / stedfortreder Arbeidet ledes av CSO og planlegges av CSO, CISO og DPO. Forumet består for øvrig av 4-6 vitenskapelige og administrative ledere/ansatte, og én representant for studentene. Medlemmene kan skiftes ut hvert annet år. Personvernombudet møter også. Forumet møtes minst én gang hvert semester, ellers ved behov. Øvrige oppgaver: Skal holde seg orientert om tilstanden på personvern- og informasjonssikkerhets-området, herunder nye trusler mot UiS sine informasjonsverdier. Skal gjennomgå meldte avvik og sikkerhetshendelser. Skal gjennomgå resultater fra sikkerhetsrevisjoner. Skal behandle eventuelle forslag til endringer i mål, strategi og organisering i forkant av ledelsens gjennomgang. Kan foreslå konkrete mål for arbeidet med personvern og informasjonssikkerhet for neste periode (år) i forkant av ledelsens gjennomgang Øvrig ledelse Dekaner, stabsdirektører, fakultetsdirektører og andre enhetsledere. Myndighet og delegasjon: Skal utøve det daglige ansvaret for personvern og informasjonssikkerhet innenfor sine ansvarsområder, herunder tjenester, prosesser og IT-systemer som de har eierskapet til. Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko, datakvalitet og sikkerhetsstrategi blir fulgt opp innenfor sine ansvarsområder. Kan delegere utøvelsen av det daglige ansvaret for personvern og informasjonssikkerhet til én eller flere ansatte ved enheten. Kartlegging, risikovurderinger og tiltak: Skal ha oversikt over hvilke informasjon og IT-løsninger enheten er ansvarlige for og bruker, inkludert hvilke forskningsdata som behandles. Personvernombudet skal holdes løpende oppdatert om alle behandlingsaktiviteter som inneholder personopplysninger. Skal sørge for at det jevnlig blir gjennomført risikovurderinger av: IT-systemer/tjenester som enhetene har eierskap til. Bruk av eksterne IT-systemer/tjenester (fjerndrift) Høstland / Midtun 19 av 31

29 Bruk av IT-utstyr. Arbeidsprosesser (forskning, undervisning, formidling og administrasjon). Fysiske forhold som har betydning for personvern og informasjonssikkerhet. Anskaffelse av IT-løsninger. Ved vesentlige endringer i arbeidsprosesser, IT-løsninger eller fysiske forhold. Behandlingsaktiviteter Skal sørge for at sikringstiltak blir iverksatt dersom risikovurderingene viser at personvern og informasjonssikkerhet ikke er tilfredsstillende. Informering og opplæring: Skal sørge for at administrativt og vitenskapelige ansatte med ansvar for konkrete sikkerhetsoppgaver og prosjektledere/deltakere har kompetanse til å utføre sine oppgaver, for eksempel ved å be personvern og informasjonssikkerhetsansvarlige om bistand til opplæring. Skal sørge for at alle brukere i sin enhet (ansatte, studenter, gjester) er kjent med de rutiner som til enhver tid gjelder for behandling av informasjonsverdier i administrasjon, undervisning, forskning og formidling. Avviksmelding og avvikshåndtering: Skal sørge for at alle brukere i sin enhet (ansatte, studenter, gjester) er kjent med de prosedyrer som til enhver tid gjelder for melding av rutineavvik og sikkerhetsbrudd. Skal sørge for at alle avvik og sikkerhetsbrudd i sin enhet blir lukket. Informerer/involvere CISO og DPO om avvik innen informasjonssikkerhet og personvern. Revisjoner og avtaler: Skal sørge for at CISO får nødvendig bistand ved gjennomføring av sikkerhetsrevisjoner. Skal, innenfor sine ansvarsområder, sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører for å ivareta personvern og informasjonssikkerhet (for eksempel SLA), herunder sikre at avtalevilkårene respekteres IT-direktør Myndighet og delegasjon: IT-direktør har det samme ansvaret for personvern og informasjonssikkerhet innenfor sin avdeling/ansvarsområde som ledere av andre enheter. Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp ved investeringer i, og drift av IT-løsninger. Utfører i det daglige det operative ansvaret for informasjonssikkerhet og personvern, i tett samarbeid med CISO Høstland / Midtun 20 av 31

30 Registrering og dokumentasjon: IT-direktør skal informeres om alle forsøk på uautorisert bruk av IT- løsninger som inneholder personopplysninger, og som er håndtert av UiS-IT. skal ha oversikt over sikkerhetshendelser/brudd som gjelder IT-løsninger kan bistå enhetene ved risikovurderinger av teknisk sikkerhet. kan bistå enhetene ved utforming og iverksetting av IT- tekniske sikringstiltak kan bistå enhetene ved håndtering av tekniske sikkerhetsbrudd. IT-direktør skal sørge for at det er inngått databehandleravtaler med IT-avdelingens underleverandører som omfatter personvern og informasjonssikkerhet. IT-direktør skal sørge for at det er inngått SLA-avtaler med IT-avdelingens underleverandører som omfatter personvern og informasjonssikkerhet Avdelingsdirektør for avdeling bygg- og arealforvaltning Myndighet og delegasjon: Skal sørge for at vedtatte sikkerhetsmål og kriterier for akseptabel risiko blir fulgt opp ved nybygg eller bygningsmessige endringer som har betydning for personvern og informasjonssikkerhet. Fysisk sikkerhet: Skal sørge for at sikring av tilgang til bygninger, rom og områder er i tråd med kriterier for akseptabel risiko. Bistand og avtaler: Skal bistå fakulteter, avdelinger eller enheter ved risikovurderinger av fysisk sikkerhet og ved gjennomføring av nødvendige fysiske sikringstiltak. Skal, på forespørsel, bistå enhetene ved håndtering av fysiske sikkerhetsbrudd. Skal, innenfor sine ansvarsområde, sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører som har betydning for personvern og informasjonssikkerhet (for eksempel SLA med vaktselskaper), herunder sikre at avtalevilkårene respekteres Informasjons- / prosesseier Myndighet og ansvar: Har ansvaret for sine gjennomgående administrative prosesser ved UiS Høstland / Midtun 21 av 31