Høgskolen i Telemark Styret

Transkript

1 Høgskolen i Telemark Styret Møtedato: Saksnummer: Saksbehandler: Journalnummer: Arne Hatlen 2009/868 Fastsetting av policy for informasjonssikkerhet ved Høgskolen i Telemark Saken i korte trekk Personopplysningsloven med forskrifter og kommentarer pålegger offentlige organer et ansvar for å ivareta informasjonssikkerhet for de persondata som behandles i organet. På denne bakgrunn fremmes det i denne saken et forslag til policy for informasjonssikkerhet ved Høgskolen i Telemark (HiT). Policyen fastsetter overordnede retningslinjer for arbeidet med informasjonssikkerhet i HiT, og skal sikre at virksomheten i høgskolen følger personopplysningsloven med forskrifter og kommentarer og er i tråd med høgskolens kvalitetssikringssystem. Policyen forankrer ansvaret for informasjonssikkerheten i ledelsen og fastslår overordnede sikkerhetskrav for høgskolens behandling av personopplysninger. Policyen vil bli supplert med dokumenterte retningslinjer og rutiner. Disse er under utarbeidelse og vil bli fastsatt av høgskoledirektøren eller den han bemyndiger senere. Tilråding Med forbehold om mulige endringer som følge av drøftingsmøte med organisasjonene tilrår jeg at styret gjør slikt vedtak: Bakgrunn Styret fastsetter Policy for informasjonssikkerhet ved Høgskolen i Telemark i samsvar med høgskoledirektørens forslag Personopplysningsloven med forskrifter og kommentarer pålegger offentlige organer et ansvar for å ivareta informasjonssikkerhet, dvs. konfidensialitet, integritet og tilgjengelighet, for de persondata som organet behandler. De innledende kommentarer til personopplysningsforskriftens kapittel 2 (sikkerhetskapittelet) gjengis nedenfor: I personopplysningsloven 13 pålegges den behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger. Dette omfatter å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig hos den behandlingsansvarlige. I tillegg til ansvar for sikkerheten i egen organisasjon, må den behandlingsansvarlige også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter: Sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene. Sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene.

2 2 Sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede. Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Begrepet innebærer at kjente teknikker og anerkjente standarder for kvalitetsstyring, internkontroll, og informasjonssikkerhet, skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal dokumenteres. Dokumentasjonen skal omfatte beskrivelse av organisering, rutiner for bruk samt registrering av hendelser. Etter å ha deltatt på seminar om informasjonssikkerhet i regi av Datatilsynet våren 2007, tok HiT initiativ overfor UNINETT til å få laget en felles mal eller veiledning for informasjonssikkerhet i UHsektoren. Initiativet ble godt mottatt av UNINETT, og våren 2008 fikk institusjonene i sektoren tilbud om å delta i en felles prosess med sikkerhetskartlegging og utvikling av informasjonssikkerhetspolicy ved den enkelte institusjon. I august 2008 arrangerte UNINETT et oppstartsmøte ved HiT og en sikkerhetsgjennomgang ved studiestedene Bø og Porsgrunn. Høgskoledirektøren, seksjonslederne i fellesadministrasjonen, lederne for fellestjenestene for IT og drift samt IT-personale med sikkerhetsrelaterte oppgaver ble intervjuet. Etter møtet utarbeidet UNINETT rapporten Gjennomgang av informasjonssikkerheten hos Høgskolen i Telemark, datert 28. september 2008, første utkast (arbeidsdokument) til Policy for Informasjonssikkerhet ved HiT basert på ISO 27002, og forslag til noen utvalgte prosedyrer for HiT. Arbeidsdokumentet ble grundig gjennomgått i flere interne møter i høgskolen. Kommentarer og endringsforslag ble oversendt UNINETT. På bakgrunn av dette la UNINETT fram et tilpasset forslag til Policy for informasjonssikkerhet ved HiT. Forslaget ble behandlet på et arbeidsmøte ved HiT , der UNINETTs IT-revisorer, høgskoledirektøren, seksjonsdirektørene i fellesadministrasjonen, lederne for fellestjenestene, ansvarlig for høgskolens kvalitetssystem, IT-sjefen og saksbehandler i IT-tjenesten deltok. Etter møtet utarbeidet UNINETT et oppdatert utkast til policy for informasjonssikkerhet, som høgskolen har bearbeidet videre utover våren 2009, i løpende kontakt med UNINETTs IT-revisorer. Med utgangspunkt i revisorenes forslag til prosedyrer har IT-tjenesten utviklet en ny datadisiplinerklæring og nye regler for passord. PO-seksjonen har utviklet prosedyrer for taushetserklæring for ansatte og eksterne samt rutine for tiltak når ansatte slutter ved høgskolen. Nye retningslinjer for å styrke informasjonssikkerheten vil bli utviklet etter hvert. Policy for informasjonssikkerhet ved Høgskolen i Telemark har vært sendt på høring til høgskolens avdelinger, fellestjenestene og Studentorganisasjonen i Telemark (SOT) m.v. (vedlegg 1 og 2). Det har kommet kommentarer fra SOT, Avdeling for estetiske fag, folkekultur og lærerutdanning (EFL), Avdeling for helse- og sosialfag (HS), Avdeling for teknologiske fag (TF), og PO-seksjonen ved sentral arkivfunksjon (heretter PO-seksjonen). Høringsuttalelsene oppsummeres i vurderingsdelen med mine tilhørende merknader, og følger ellers saken som utrykte vedlegg. Vurdering Det er en stor utfordring å bygge opp og utvikle en informasjonssikkerhet som tilfredsstiller personopplysningsloven i alle sammenhenger. I en høgskole med flere campus er det spesielt store utfordringer knyttet til IT-sikkerheten. Det er gjort et omfattende og grundig arbeid med å utvikle en Policy for informasjonssikkerhet som vil gi høgskolen nyttige retningslinjer for det videre arbeidet på dette området. Informasjonssikkerhet er et fagområde i rask utvikling. Policyen må derfor være et overordnet dokument, men det må suppleres med underliggende retningslinjer og rutiner som kan endres raskt ved behov. Jeg mener at forslaget til Policy for informasjonssikkerhet ved Høgskolen i

3 3 Telemark ivaretar en god styring på overordnet nivå, mens det åpner for endringer i det praktiske sikkerhetsarbeidet. En viktig side ved sikkerhetspolicyen er at den fastlegger ansvar og roller vedrørende informasjonssikkerhetsarbeidet i høgskolen. Jeg vil med dette som utgangspunkt kommentere innkomne høringsmerknader. SoT peker på at studentene bør være representert med en tillitsvalgt studentrepresentant i høgskolens sikkerhetsforum, eller at SOTs organisasjonssekretær er representant for studentene (pkt ). SOT ønsker videre en konkretisering av hva som menes med studentenes lokale tillitsvalgte, og mener at SoTs sekretariatsmedlemmer kan være til stede ved innsyn i studenters e-post eller datafiler. SoT peker også på at SoT bør stå på listen over andre brukere (pkt ). I sikkerhetsforum vil det blant annet bli drøftet saker som gjelder IT, sikkerhet og adgangskontroll. Dette kan være informasjon som ikke må lekke ut. Deltakere i forumet må derfor være organisatorisk forpliktet i forhold til høgskolen. Jeg slutter meg til at studentene bør være representert ved at SOTs organisasjonssekretær har møterett i sikkerhetsforumet. Representanten må undertegne taushetserklæring om forhold som tas opp i forumet. Jeg slutter meg videre til at begrepet lokale tillitsvalgte bør erstattes med en av studentenes representanter i SoT eller studentrådet (pkt ). Jeg slutter meg også til at SoT bør inngå på listen over andre brukere. EFL mener at Policy for informasjonssikkerhet er for omfattende og detaljert, at omfanget gjør den uoversiktlig, at den vil skape mye ekstraarbeid og at resultatet kan bli at policyen ikke blir fulgt. Høgskolens sikkerhetspolicy er basert på, men er sterkt forenklet i forhold til, innholdet av ISO standarden for informasjonssikkerhet. Kravene i personopplysningsloven er også omfattende og detaljerte. Høgskolens sikkerhetspolicy må derfor ha en tilstrekkelig detaljeringsgrad. Jeg mener at detaljeringsgrad og omfang i forslaget er balansert og bør opprettholdes, men at sikkerhetsforumet bør vurdere dette spørsmålet nærmere ved neste revisjon når en har fått mer erfaring med implementeringen av rutiner og retningslinjer. HS peker på at avdelingene burde ha vært trukket mer inn i arbeidet med utvikling av informasjonssikkerhetspolicy. Det pekes også på at policyen burde ha mer fokus på brukerne, bl.a. burde det være sterkere fokus på studentenes informasjonssikkerhetspolicy. Det stilles også spørsmål om informasjonssikkerheten for data som behandles utenfor høgskolen, for eksempel hos Fronter. Videre ønskes det en mer offensiv tilnærming til varsling om avvik, der alle avvik skal rapporteres. Jeg er enig i at avdelingene kunne ha vært trukket sterkere inn i arbeidet. Jeg viser ellers til at innføring av en informasjonssikkerhetspolicy medfører et sterkere fokus på studentenes informasjonssikkerhet. Det vil dessuten bli utviklet et underliggende dokument som beskriver hvilke personopplysninger høgskolen til enhver tid behandler, med regler for tilgang til og behandling av disse dataene. Dette dokumentet må revideres relativt hyppig, og bør derfor ikke ligge i den overordnede policyen. Når det gjelder studentopplysninger som behandles utenfor høgskolen, er det høgskolens plikt å forsikre seg om at databehandleren ivaretar informasjonssikkerheten på en adekvat måte. Dette er ivaretatt i sikkerhetspolicyen. Rapportering av avvik forutsetter at brukerne er kjent med prosedyrer og retningslinjer, som må være dokumenterte. I så måte er en policy for informasjonssikkerhet et stort framskritt. Dersom alle avvik ble rapportert, ville det kreve store ressurser til oppfølging. IT-tjenesten opplever avvik i form av angrep på sikkerheten nesten kontinuerlig, og tjenesten må prioritere å beskytte informasjon og systemer framfor å rapportere hendelser. Rapportering av sikkerhetstrusler må dessuten holdes internt for ikke å blottlegge svakheter i sikkerheten. Å tilrettelegge for rapportering og oppfølging av alle avvik, er neppe gjennomførbart. TF mener at Policy for informasjonssikkerhet er for omfattende og detaljert, og at det vil kreve tid og ressurser. Det anbefales at sikkerhetspolicyen forenkles. Det vises dessuten til en del mangler, bl.a.

4 4 savnes det detaljinformasjon om programmer, brukere og adgangskontroll. TF anbefaler at det settes i gang en informasjonskampanje mot studenter og ansatte for å øke informasjonssikkerheten. Når det gjelder policyens kompleksitet og omfang, viser jeg til min vurdering av EFLs høringssvar. Jeg merker meg ellers forslaget om en informasjonskampanje. Dette vil bli tatt opp til nærmere vurdering i sikkerhetsforumet. PO-seksjonen har flere endringsforslag, som jeg vurderer hver for seg. Det foreslås at prikkpunktene 2-4 under pkt endres til følgende: Personal- og organisasjonsdirektøren har utførende ansvar for informasjonssikkerheten knyttet til personopplysninger i henhold til Personopplysningsloven. Studiedirektøren har utførende ansvar for studentregisteret og annen studentrelatert informasjon i det studieadministrative systemet, inkludert eventuelle papirbaserte systemer. Økonomidirektøren har utførende ansvar for behandling av lønnsdata og informasjonssikkerhet i økonomisystemene, inkludert eventuelle papirbaserte systemer. Forslaget gjør punktet mer distinkt, og tas til følge. Under pkt , avsnittet Fortrolig, står det at fortrolig informasjon bør sikres i røde områder. POseksjonen mener at soneinndelingen ikke passer etter at arkivet ble elektronisk. Jeg støtter dette synspunktet, og mener at siste setning i avsnittet Fortrolig bør endres til: Slik informasjon bør sikres i Røde områder, ref. kap. 3.5, når informasjonen oppbevares utenfor sikre elektroniske systemer. Om pkt uttaler PO-seksjonen at den som mottar fortrolige dokumenter må begrense tilgangen til kun de som har behov for innsyn i dokumentet. Det påpekes også at det bør presiseres at fortrolige dokumenter som hovedregel ikke skal oversendes pr. e-post. Jeg støtter forslaget. Punktet endres i henhold til dette, men det bør presiseres at forbudet mot oversendelse via e-post bare skal gjelde ukryptert informasjon. Om pkt uttaler PO-seksjonen at personinformasjon som behandles via datamaskin i alle soner, må sikres ved utlogging av system eller sikker låsing av dør før brukeren forlater rommet. Jeg er enig, og mener at setningen bør føyes til på slutten av første avsnitt i pkt Det påpekes ellers om pkt at arkivloven med tilhørende forskrifter og utfyllende bestemmelser og forvaltningsloven mangler under oversikten over gjeldende lovverk og forskrifter. De to lovene tilføyes i avsnittet. I mitt forslag til Policy for informasjonssikkerhet ved Høgskolen i Telemark har jeg innarbeidet innkomne merknader som støttes slik det framgår ovenfor (vedlegg 3). På dette grunnlag mener jeg at styret bør fastsette Policy for informasjonssikkerhet ved Høgskolen i Telemark. Nils Røttingen høgskoledirektør

5 5 Vedlegg: 1. Internt høringsnotat om informasjonssikkerhet ved Høgskolen i Telemark. 2. Policy for informasjonssikkerhet ved Høgskolen i Telemark datert 26.mai 2009 (vedlegg til høringssaken) 3. Høgskoledirektørens forslag til policy for informasjonssikkerhet ved Høgskolen i Telemark Utrykte vedlegg: Høringssvar fra Studentorganisasjonen i Telemark Avdeling for estetiske fag, folkekultur og lærerutdanning Avdeling for helse- og sosialfag Avdeling for teknologiske fag PO-seksjonen sentral arkivfunksjon