Høgskolen i Telemark Styret

Like dokumenter
Høgskolen i Telemark Styret

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Informasjonssikkerhet i UH-sektoren

MULIGE STRATEGIER FOR Å ØKE OMFANG OG RESULTAT AV HØGSKOLENS EKSTERNT FINANSIERTE VIRKSOMHET

Høgskolen i Telemark Styret

Internkontroll og informasjonssikkerhet lover og standarder

Høgskolen i Telemark Styret

Kommunens Internkontroll

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Styringssystem i et rettslig perspektiv

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Høgskolen i Telemark Styret

Endelig kontrollrapport

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Innføring i. Grunnkurs for saksbehandlere SENTRALE BEGREP. Elektronisk arkiv og saksbehandling ved Høgskolen i Telemark Jorunn Pedersen

Høgskolen i Telemark Styret

2. Styret vedtar at sammensetningen av innstillingsutvalget i forbindelse med tilsetting i stillingen skal være som følger:

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Avito Bridging the gap

Risikovurdering av Public 360

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Databehandleravtale. Denne avtalen er inngått mellom

Ny postregulering - høringsuttalelse

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Behov for økt areal til høgskolens virksomhet i Drammen (Papirbredden)

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Høgskolen i Telemark Styret

Høgskolen i Telemark Styret

Endelig kontrollrapport

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Informasjon interesseorganisasjoner

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Krav til informasjonssikkerhet i nytt personvernregelverk

Fakultet for teknologiske fags rapport om læringsmiljø. Studieåret

Høgskolen i Telemark Styret

Informasjonssikkerhetsprinsipper

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Revisjon av informasjonssikkerhet

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Ledelsesforankring rettskrav, muligheter og utfordringer. Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Databehandleravtale digitale arkiv og uttrekk for deponering

Bilag 14 Databehandleravtale

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Høgskolen i Telemark Styret

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel mai 2008

Databehandleravtaler

HØGSKOLEN I SØR-TRØNDELAG Høgskoleadministrasjonen

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

GDPR - Personvern

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Til utdanningsinstitusjonene : NOKUTs evalueringer av systemer for kvalitetssikring av utdanningen ved universiteter og høyskoler

Styret: Faglig tilsatte: Dag K. Bjerketvedt, rektor (leder) Knut Duesund, prorektor Anne H. Glenna Frode Lieungh

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Høgskolen i Telemark Arkivseksjonen

Policy for personvern

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

REGIONRÅDET I VÆRNESREGIONEN MØTE 1. DESEMBER 2010 KL PÅ KIRKEBYFJELLET KONFERANSESENTER I MERÅKER.

Implementering av det nye personvernregelverket ved UiB

Navn på avsender av høringen (hvilket universitet/høyskole, kommune, statlig etat, brukerorganisasjon osv.)

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

KF Brukerkonferanse 2013

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Politikk for informasjonssikkerhet

Høgskolen i Telemark. Policy for informasjonssikkerhet ved

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Forvaltningsrevisjon IKT sikkerhet og drift 2017

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Endelig kontrollrapport

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

BEHANDLING AV PERSONOPPLYSNINGER

Sak: Kvalitetssikringssystem ved Universitetet i Nordland

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Deres referanse Vår referanse Dato / /EOL

Hva er et styringssystem?

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Transkript:

Høgskolen i Telemark Styret Møtedato: 24.09.09 Saksnummer: Saksbehandler: Journalnummer: Arne Hatlen 2009/868 Fastsetting av policy for informasjonssikkerhet ved Høgskolen i Telemark Saken i korte trekk Personopplysningsloven med forskrifter og kommentarer pålegger offentlige organer et ansvar for å ivareta informasjonssikkerhet for de persondata som behandles i organet. På denne bakgrunn fremmes det i denne saken et forslag til policy for informasjonssikkerhet ved Høgskolen i Telemark (HiT). Policyen fastsetter overordnede retningslinjer for arbeidet med informasjonssikkerhet i HiT, og skal sikre at virksomheten i høgskolen følger personopplysningsloven med forskrifter og kommentarer og er i tråd med høgskolens kvalitetssikringssystem. Policyen forankrer ansvaret for informasjonssikkerheten i ledelsen og fastslår overordnede sikkerhetskrav for høgskolens behandling av personopplysninger. Policyen vil bli supplert med dokumenterte retningslinjer og rutiner. Disse er under utarbeidelse og vil bli fastsatt av høgskoledirektøren eller den han bemyndiger senere. Tilråding Med forbehold om mulige endringer som følge av drøftingsmøte 21.09.09 med organisasjonene tilrår jeg at styret gjør slikt vedtak: Bakgrunn Styret fastsetter Policy for informasjonssikkerhet ved Høgskolen i Telemark i samsvar med høgskoledirektørens forslag 08.09.09. Personopplysningsloven med forskrifter og kommentarer pålegger offentlige organer et ansvar for å ivareta informasjonssikkerhet, dvs. konfidensialitet, integritet og tilgjengelighet, for de persondata som organet behandler. De innledende kommentarer til personopplysningsforskriftens kapittel 2 (sikkerhetskapittelet) gjengis nedenfor: I personopplysningsloven 13 pålegges den behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger. Dette omfatter å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig hos den behandlingsansvarlige. I tillegg til ansvar for sikkerheten i egen organisasjon, må den behandlingsansvarlige også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører. Begrepet informasjonssikkerhet omfatter: Sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene. Sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene.

2 Sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede. Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av planlagte og systematiske tiltak. Begrepet innebærer at kjente teknikker og anerkjente standarder for kvalitetsstyring, internkontroll, og informasjonssikkerhet, skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske. Sikkerhetstiltakene og selve informasjonssystemet skal dokumenteres. Dokumentasjonen skal omfatte beskrivelse av organisering, rutiner for bruk samt registrering av hendelser. Etter å ha deltatt på seminar om informasjonssikkerhet i regi av Datatilsynet våren 2007, tok HiT initiativ overfor UNINETT til å få laget en felles mal eller veiledning for informasjonssikkerhet i UHsektoren. Initiativet ble godt mottatt av UNINETT, og våren 2008 fikk institusjonene i sektoren tilbud om å delta i en felles prosess med sikkerhetskartlegging og utvikling av informasjonssikkerhetspolicy ved den enkelte institusjon. I august 2008 arrangerte UNINETT et oppstartsmøte ved HiT og en sikkerhetsgjennomgang ved studiestedene Bø og Porsgrunn. Høgskoledirektøren, seksjonslederne i fellesadministrasjonen, lederne for fellestjenestene for IT og drift samt IT-personale med sikkerhetsrelaterte oppgaver ble intervjuet. Etter møtet utarbeidet UNINETT rapporten Gjennomgang av informasjonssikkerheten hos Høgskolen i Telemark, datert 28. september 2008, første utkast (arbeidsdokument) til Policy for Informasjonssikkerhet ved HiT basert på ISO 27002, og forslag til noen utvalgte prosedyrer for HiT. Arbeidsdokumentet ble grundig gjennomgått i flere interne møter i høgskolen. Kommentarer og endringsforslag ble oversendt UNINETT. På bakgrunn av dette la UNINETT fram et tilpasset forslag til Policy for informasjonssikkerhet ved HiT. Forslaget ble behandlet på et arbeidsmøte ved HiT 11.11.08, der UNINETTs IT-revisorer, høgskoledirektøren, seksjonsdirektørene i fellesadministrasjonen, lederne for fellestjenestene, ansvarlig for høgskolens kvalitetssystem, IT-sjefen og saksbehandler i IT-tjenesten deltok. Etter møtet utarbeidet UNINETT et oppdatert utkast til policy for informasjonssikkerhet, som høgskolen har bearbeidet videre utover våren 2009, i løpende kontakt med UNINETTs IT-revisorer. Med utgangspunkt i revisorenes forslag til prosedyrer har IT-tjenesten utviklet en ny datadisiplinerklæring og nye regler for passord. PO-seksjonen har utviklet prosedyrer for taushetserklæring for ansatte og eksterne samt rutine for tiltak når ansatte slutter ved høgskolen. Nye retningslinjer for å styrke informasjonssikkerheten vil bli utviklet etter hvert. Policy for informasjonssikkerhet ved Høgskolen i Telemark har vært sendt på høring til høgskolens avdelinger, fellestjenestene og Studentorganisasjonen i Telemark (SOT) m.v. (vedlegg 1 og 2). Det har kommet kommentarer fra SOT, Avdeling for estetiske fag, folkekultur og lærerutdanning (EFL), Avdeling for helse- og sosialfag (HS), Avdeling for teknologiske fag (TF), og PO-seksjonen ved sentral arkivfunksjon (heretter PO-seksjonen). Høringsuttalelsene oppsummeres i vurderingsdelen med mine tilhørende merknader, og følger ellers saken som utrykte vedlegg. Vurdering Det er en stor utfordring å bygge opp og utvikle en informasjonssikkerhet som tilfredsstiller personopplysningsloven i alle sammenhenger. I en høgskole med flere campus er det spesielt store utfordringer knyttet til IT-sikkerheten. Det er gjort et omfattende og grundig arbeid med å utvikle en Policy for informasjonssikkerhet som vil gi høgskolen nyttige retningslinjer for det videre arbeidet på dette området. Informasjonssikkerhet er et fagområde i rask utvikling. Policyen må derfor være et overordnet dokument, men det må suppleres med underliggende retningslinjer og rutiner som kan endres raskt ved behov. Jeg mener at forslaget til Policy for informasjonssikkerhet ved Høgskolen i

3 Telemark ivaretar en god styring på overordnet nivå, mens det åpner for endringer i det praktiske sikkerhetsarbeidet. En viktig side ved sikkerhetspolicyen er at den fastlegger ansvar og roller vedrørende informasjonssikkerhetsarbeidet i høgskolen. Jeg vil med dette som utgangspunkt kommentere innkomne høringsmerknader. SoT peker på at studentene bør være representert med en tillitsvalgt studentrepresentant i høgskolens sikkerhetsforum, eller at SOTs organisasjonssekretær er representant for studentene (pkt. 3.2.2). SOT ønsker videre en konkretisering av hva som menes med studentenes lokale tillitsvalgte, og mener at SoTs sekretariatsmedlemmer kan være til stede ved innsyn i studenters e-post eller datafiler. SoT peker også på at SoT bør stå på listen over andre brukere (pkt. 4.1.7). I sikkerhetsforum vil det blant annet bli drøftet saker som gjelder IT, sikkerhet og adgangskontroll. Dette kan være informasjon som ikke må lekke ut. Deltakere i forumet må derfor være organisatorisk forpliktet i forhold til høgskolen. Jeg slutter meg til at studentene bør være representert ved at SOTs organisasjonssekretær har møterett i sikkerhetsforumet. Representanten må undertegne taushetserklæring om forhold som tas opp i forumet. Jeg slutter meg videre til at begrepet lokale tillitsvalgte bør erstattes med en av studentenes representanter i SoT eller studentrådet (pkt. 3.3.6). Jeg slutter meg også til at SoT bør inngå på listen over andre brukere. EFL mener at Policy for informasjonssikkerhet er for omfattende og detaljert, at omfanget gjør den uoversiktlig, at den vil skape mye ekstraarbeid og at resultatet kan bli at policyen ikke blir fulgt. Høgskolens sikkerhetspolicy er basert på, men er sterkt forenklet i forhold til, innholdet av ISO 27002- standarden for informasjonssikkerhet. Kravene i personopplysningsloven er også omfattende og detaljerte. Høgskolens sikkerhetspolicy må derfor ha en tilstrekkelig detaljeringsgrad. Jeg mener at detaljeringsgrad og omfang i forslaget er balansert og bør opprettholdes, men at sikkerhetsforumet bør vurdere dette spørsmålet nærmere ved neste revisjon når en har fått mer erfaring med implementeringen av rutiner og retningslinjer. HS peker på at avdelingene burde ha vært trukket mer inn i arbeidet med utvikling av informasjonssikkerhetspolicy. Det pekes også på at policyen burde ha mer fokus på brukerne, bl.a. burde det være sterkere fokus på studentenes informasjonssikkerhetspolicy. Det stilles også spørsmål om informasjonssikkerheten for data som behandles utenfor høgskolen, for eksempel hos Fronter. Videre ønskes det en mer offensiv tilnærming til varsling om avvik, der alle avvik skal rapporteres. Jeg er enig i at avdelingene kunne ha vært trukket sterkere inn i arbeidet. Jeg viser ellers til at innføring av en informasjonssikkerhetspolicy medfører et sterkere fokus på studentenes informasjonssikkerhet. Det vil dessuten bli utviklet et underliggende dokument som beskriver hvilke personopplysninger høgskolen til enhver tid behandler, med regler for tilgang til og behandling av disse dataene. Dette dokumentet må revideres relativt hyppig, og bør derfor ikke ligge i den overordnede policyen. Når det gjelder studentopplysninger som behandles utenfor høgskolen, er det høgskolens plikt å forsikre seg om at databehandleren ivaretar informasjonssikkerheten på en adekvat måte. Dette er ivaretatt i sikkerhetspolicyen. Rapportering av avvik forutsetter at brukerne er kjent med prosedyrer og retningslinjer, som må være dokumenterte. I så måte er en policy for informasjonssikkerhet et stort framskritt. Dersom alle avvik ble rapportert, ville det kreve store ressurser til oppfølging. IT-tjenesten opplever avvik i form av angrep på sikkerheten nesten kontinuerlig, og tjenesten må prioritere å beskytte informasjon og systemer framfor å rapportere hendelser. Rapportering av sikkerhetstrusler må dessuten holdes internt for ikke å blottlegge svakheter i sikkerheten. Å tilrettelegge for rapportering og oppfølging av alle avvik, er neppe gjennomførbart. TF mener at Policy for informasjonssikkerhet er for omfattende og detaljert, og at det vil kreve tid og ressurser. Det anbefales at sikkerhetspolicyen forenkles. Det vises dessuten til en del mangler, bl.a.

4 savnes det detaljinformasjon om programmer, brukere og adgangskontroll. TF anbefaler at det settes i gang en informasjonskampanje mot studenter og ansatte for å øke informasjonssikkerheten. Når det gjelder policyens kompleksitet og omfang, viser jeg til min vurdering av EFLs høringssvar. Jeg merker meg ellers forslaget om en informasjonskampanje. Dette vil bli tatt opp til nærmere vurdering i sikkerhetsforumet. PO-seksjonen har flere endringsforslag, som jeg vurderer hver for seg. Det foreslås at prikkpunktene 2-4 under pkt. 3.2.1 endres til følgende: Personal- og organisasjonsdirektøren har utførende ansvar for informasjonssikkerheten knyttet til personopplysninger i henhold til Personopplysningsloven. Studiedirektøren har utførende ansvar for studentregisteret og annen studentrelatert informasjon i det studieadministrative systemet, inkludert eventuelle papirbaserte systemer. Økonomidirektøren har utførende ansvar for behandling av lønnsdata og informasjonssikkerhet i økonomisystemene, inkludert eventuelle papirbaserte systemer. Forslaget gjør punktet mer distinkt, og tas til følge. Under pkt. 3.3.1, avsnittet Fortrolig, står det at fortrolig informasjon bør sikres i røde områder. POseksjonen mener at soneinndelingen ikke passer etter at arkivet ble elektronisk. Jeg støtter dette synspunktet, og mener at siste setning i avsnittet Fortrolig bør endres til: Slik informasjon bør sikres i Røde områder, ref. kap. 3.5, når informasjonen oppbevares utenfor sikre elektroniske systemer. Om pkt 3.3.4 uttaler PO-seksjonen at den som mottar fortrolige dokumenter må begrense tilgangen til kun de som har behov for innsyn i dokumentet. Det påpekes også at det bør presiseres at fortrolige dokumenter som hovedregel ikke skal oversendes pr. e-post. Jeg støtter forslaget. Punktet endres i henhold til dette, men det bør presiseres at forbudet mot oversendelse via e-post bare skal gjelde ukryptert informasjon. Om pkt. 3.5.1 uttaler PO-seksjonen at personinformasjon som behandles via datamaskin i alle soner, må sikres ved utlogging av system eller sikker låsing av dør før brukeren forlater rommet. Jeg er enig, og mener at setningen bør føyes til på slutten av første avsnitt i pkt. 3.5.1. Det påpekes ellers om pkt. 3.11.1 at arkivloven med tilhørende forskrifter og utfyllende bestemmelser og forvaltningsloven mangler under oversikten over gjeldende lovverk og forskrifter. De to lovene tilføyes i avsnittet. I mitt forslag 08.09.09 til Policy for informasjonssikkerhet ved Høgskolen i Telemark har jeg innarbeidet innkomne merknader som støttes slik det framgår ovenfor (vedlegg 3). På dette grunnlag mener jeg at styret bør fastsette Policy for informasjonssikkerhet ved Høgskolen i Telemark. Nils Røttingen høgskoledirektør

5 Vedlegg: 1. Internt høringsnotat 18.06.09 om informasjonssikkerhet ved Høgskolen i Telemark. 2. Policy for informasjonssikkerhet ved Høgskolen i Telemark datert 26.mai 2009 (vedlegg til høringssaken) 3. Høgskoledirektørens forslag 08.09.09 til policy for informasjonssikkerhet ved Høgskolen i Telemark Utrykte vedlegg: Høringssvar fra Studentorganisasjonen i Telemark Avdeling for estetiske fag, folkekultur og lærerutdanning Avdeling for helse- og sosialfag Avdeling for teknologiske fag PO-seksjonen sentral arkivfunksjon

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding