ROS - forskningsprosjekter

Transkript

1 ROS - forskningsprosjekter Risiko- og sårbarhetsanalyse av informasjonssikkerheten i forskningsvirksomheten ved NIH Praktisk gjennomføring og metodiske vurderinger Baard Wist og Catharina Holm, Tromsø juni 2014

2 Innhold 1. Informasjonssikkerhet og ROS ved NIH 2. ROS-analyse for forskningen: Hvorfor og hvordan? 3. Gjennomføring av ROS-analysen 4. Metodiske vurderinger 5. Oppsummering

3 Informasjonssikkerhet og ROS ved NIH Internkontrollsystemet - styringssystem for informasjonssikkerhet Policy Målsetninger og ansvarsfordeling Retningslinjer og rutiner Retningslinjer for behandling av personopplysninger ved NIH Kvalitetssystemet for forskningsprosjekter norgesidrett&redirectto=/kunder/nih/ks.nsf

4 Informasjonssikkerhet og ROS ved NIH (II) Ansvarsfordeling Adm. direktør behandlingsansvarlig CSO - informasjonssikkerhet ansvarlig for styringssystem særlig ansvar for oppfølging av sikkerheten i de administrative systemene kontrollfunksjon «CSO» for forskning - leder for forskningsadministrasjonen Etablere internkontrollsystem for forskningen (eget kvalitetssystem) Informasjon opplæring i fagmiljøene Kontrollfunksjonen

5 ROS-analyse for forskningsvirksomheten - hvorfor? For å: oppfylle lover og forskrifter som stiller krav om gjennomføring av risikoanalyser styrke virksomhetens risikostyring - identifisere og analysere risiko redusere uønskede hendelser, dersom det følges opp av konkrete forebyggende tiltak bevisstgjøre de ansatte om risiko og sårbarhet i egen virksomhet og motivere for nødvendig endring og forbedring

6 ROS-analyse for forskningsvirksomheten: - hvorfor? (II) Nødvendig med egen generell ROS-analyse for forskningsvirksomheten? NIH er forskningsintensiv - en av de institusjonene som produserer flest forskningsartikler pr vit. ansatt Forskningen - den største personvernutfordringen Deler av forskningen har svært sensitive data Kartlegge klimaet (informasjonssikkerhetskulturen) Finne frem til tiltak som angår alle og skaper felles praksis ROS som et lærings-/bevisstgjøringsprosjekt for alle forskningsmiljøer

7 Gjennomføring av ROS-analysen Hvordan vi gikk fram? 1) Etablerte prosjektgruppe og planla ROS-analysen 2) Kartla risiko a) Forhåndsdefinerte mulige uønskede hendelser b) Brainstorming med alle 5 fagseksjoner / institutt c) Sammenstilling av hendelser (62 stk.)

8 Gjennomføring av ROS-analysen 62 hendelser sortert slik: 1. Oppstart 1.1 Prosjektplanlegging 1.2 Risikovurdering for avdekking av personvernrisiko 1.3 Informasjon og samtykke 1.4 Godkjenning hos NSD eller REK 1.5 Eksternt samarbeid 2. Gjennomføring 2.1 Lagring underveis i prosjektet 2.2. Overføring av data 2.3 Endringer 2.4 Utlevering av personopplysninger 2.5 Innsyn 3. Avslutning 3.1 Sluttrapportering 3.2 Lagring etter prosjektslutt 3.3 Gjenbruk av data

9 Gjennomføring av ROS-analysen 3) Vurderte sannsynlighet og konsekvens Webbasert i SurveyXact 26 forskere (natur- eller samfunnsvitenskapelig) 4-delt skala

10 3) Spørreundersøkelse SuveyXact vurdering av sannsynlighet og konsekvens av 26 forskere

11 Gjennomføring av ROS-analysen 4) Risikoprodukt og aksept-tabell Fastsatte risikoprodukt (sannsynlighet x konsekvens) Utviklet aksept-tabell

12 Aksept-tabell med akseptnivå

13 Gjennomføring av ROS-analysen 5) Utarbeidet tiltaksplan Tiltak ble først utarbeidet for «røde hendelser» Vurdering av «gule hendelser» og tiltak foreslått for noen av disse

14 Gjennomføring av ROS-analysen 6) Implementering av tiltak Tilrettelegge informasjon fra seksjonslederne Tilrettelegge informasjon og opplæring til masterstudenter Initiere flere prosjekt, eks. krypteringsprosjekt, skap-prosjekt og prosjekt for langtidslagring av forskningsdata

15 Metodiske vurderinger Forberedelsen i prosjektgruppa- utarbeide lister over potensielle hendelser/trusler Hvem og hvor mange bør delta i ROS? Gruppearbeid kontra større plenumsopplegg Fokus på konfidensialitet - Hva med tilgjengelighet og integritet?

16 Metodiske vurderinger II Vurdering av sannsynlighet og konsekvens via spørreskjema 4- delt skala ved vurderingen av sannsynlighet og konsekvens? Akseptgrense og risikoprodukt Prioriteringen av hendelser/trusler i tiltaksplanen Oppfølingen av tiltaksplanen

17 Oppsummering Ryddig prosess med godt engasjement Krever tid i prosjektgruppe og støtte fra ledelsen Flere kunne ha vært involvert økt læring og bevisstgjøring Gode tiltak og prosesser felles for hele institusjonen er oppnådd Forenkler risikovurderingen av det enkelte prosjekt Suksess måles først når tiltaksplanen er gjennomført

18 Nyttige dokumenter Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse og omsorgssektoren - Helsedirektoratet Risikovurdering av informasjonssystem - Datatilsynet

19 Takk for oppmerksomheten!