Styringssystem for informasjonssikkerhet og personvern Del II – Gjennomførende del

Godkjent av universitetsdirektør og rektor 5.10.2020, jf sak nr. 2015/11386

1 Styringssystem for informasjonssikkerhet og personvern – oversikt

Styringssystem for informasjonssikkerhet og personvern (SIP) ved Universitetet i Bergen (UiB) består av tre deler:

    1. Styrende del

    1. Gjennomførende del

    1. Kontrollerende del

Den styrende delen består av to dokumenter Styringsdokument og IKT-reglementet ved UiB. Disse to besluttes av universitetsstyret. I Styringsdokumentet beskrives virkeområdet for styringssystemet, sikkerhetsmål, sikkerhetsstrategi og fordeling av ansvar og arbeidsoppgaver. IKT-reglementet regulerer bruken av UiBs IT-systemer, IT-utstyr og IT-anlegg.

Dette dokumentet, Del II Gjennomførende del, sammen med dets vedlegg gir utfyllende opplysninger om ansvar, oppgaver og aktiviteter som skal gjennomføres i henhold til styringssystemet. Hoveddokumentet i gjennomførende del godkjennes av universitetsdirektør og rektor, mens IT-direktør godkjenner vedlegg.

I tillegg gjelder bestemmelsene i Retningslinjer - Overordnede rammer for behandling av personopplysninger ved Universitetet i Bergen. Disse inngår i UiBs Styringssystem for informasjonssikkerhet og personvern.

Del III Kontrollerende del, beskriver kontrollerende aktiviteter som inngår i Styringssystem for informasjonssikkerhet og beredskap.

Bestemmelsene i Styringssystemet for informasjonssikkerhet og personvern gjelder for alle IT-systemer og utstyr ved UiB og for alle som arbeider eller studerer ved UiB i henhold til bestemmelsene i SIP Del I.

2 Organisering av sikkerhetsarbeidet, ansvar og oppgaver

Roller og myndighetskart for informasjonssikkerhet ved UiB er beskrevet i SIP Del I. Arbeidet med informasjonssikkerhet ved UiB er beskrevet i dette kapittelet.

2.1 Universitetsdirektørs ansvar og oppgaver

I tillegg til ansvaret beskrevet i SIP Del I har Universitetsdirektør ansvar for følgende oppgaver:

a) Gjennomføre ledelsens årlige gjennomgang, behandle og godkjenne rapport framlagt til denne, samt godkjenne årsplan.

b) Behandle og eventuelt godkjenne forslag til endringer i SIP Del II og Del III i samråd med rektor.

2.2 IT-direktørs ansvar og oppgaver

I tillegg til ansvaret beskrevet i SIP Del I har IT-direktør ansvar for følgende oppgaver:

a) Utarbeidelse av årsplan for informasjonssikkerhet, samt oppfølging og gjennomføring av denne.

b) Forvalte en oversikt over godkjente IT-systemer på UiB der systemeiere er ansvarlig for å registrere sine systemer i henhold til bestemmelsene i Del I.

  1. Vedlikehold og forvaltning av SIP med vedlegg.

d) Vedlikeholde oversikt over hvilke sikringstiltak som er etablert ved UiB.

IT-direktør bemyndiges til å beslutte alle instrukser, retningslinjer og rutiner som defineres som Vedlegg til dette dokumentet.

2.3 Systemeiers ansvar og oppgaver

I tillegg til det overordnede ansvaret beskrevet i SIP Del I har systemeiere ansvar for følgende oppgaver:

a) Gjøre seg kjent med sitt ansvar og oppgaver: Systemeiere skal gjøre seg kjent med sitt sikkerhetsansvar og sine sikkerhetsoppgaver, og ivareta og gjennomføre disse i henhold til SIP.

b) jennomføre risikovurderinger: Systemeier gjennomfører risikovurderinger av informasjonssikkerheten i IKT-systemer og -tjenester som de er ansvarlige for i henhold til gjeldende retningslinjer (vedlegg). Systemeier skal sørge for gjennomføring av eventuelle tiltak i forlengelse av disse. Systemeier skal årlig vurdere behovet for revisjoner av risikovurderinger. Den årlige vurderingen skal dokumenteres og begrunnes kortfattet.

c) Sørge for sikker drift og forvaltning og etablere nødvendige sikkerhetstiltak: Sørge for at systemene er robuste og tilstrekkelig sikret med hensyn på forvaltning, drift og vedlikehold med sikring av data, programvare, konfigurering og utstyr. Nærmere bestemmelser er gitt i drifts- og sikkerhetsinstruks (vedlegg).

d) Sørge for sikkerhetsoppdateringer: Sørge for at systemene og underliggende programvare til enhver tid er oppdaterte med hensyn på sikkerhetsoppdateringer fra leverandører, og etablere god struktur og gode rutiner for å sikre dette gjennom hele året, inkludert helger og ferier. Sikkerhetshull og tilsvarende i egenutviklede og andre systemer uten kjent ekstern leverandør skal lukkes snarest. Kan ikke sikkerhetshull rettes opp innen akseptabel tid, gitt risikobildet, skal systemet stenges. Man skal i så fall melde til IT-direktør og det skal iverksettes avbøtende tiltak.

e) Kartlegging og klassifisering av informasjon: Kartlegge og klassifisere informasjon i IKT-systemer og -tjenester som de er ansvarlige for i henhold til Kap 5, Kartlegging og klassifisering av informasjon, i dette dokument, og sørge for at data kan behandles i henhold til denne.

f) Kartlegging og klassifisering av personinformasjon: Kartlegging og klassifisering av lagring og behandling av personinformasjon i IKT-systemer og -tjenester som de er ansvarlige for i henhold til Retningslinjer - Overordnede rammer for behandling av personopplysninger ved Universitetet i Bergen, og sørge for at personinformasjon kan behandles i henhold til denne.

g) Årlig egenrapportering: Rapportere egenevaluering til ledelsens gjennomgang basert på bestilling fra IT-direktør. Nærmere beskrivelse finnes i kontrollerende del.

2.4 Drifts- og forvaltningspersonells ansvar

Personer som drifter og forvalter IT-tjenester og utstyr har et særskilt ansvar for IT-sikkerhet.

a) Personell med ansvar for drift og forvaltning av IT-systemer ved UiB skal kjenne til alle deler av SIP og i særlig grad Driftsinstruksen og de sikringstiltak som er etablert for UiB, og følge disse.

b) Personell som oppdager sikkerhetsbrudd, sikkerhetsavvik eller tilsvarende skal varsle IT-sikkerhetsansvarlig, IT-avdelingens vakttjeneste eller IT-direktør samt overordnet, og søke å begrense skade.

2.5 Linjeleders ansvar som informasjonseier og informasjonsforvalter

Linjeleder er ansvarlig for sikker og forsvarlig behandling av informasjon og data i sin organisatoriske enhet. Administrative data følger administrativ styringslinje og faglige data følger faglig styringslinje.

a) Med mindre annet er bestemt eller i tvilstilfeller er linjeleder informasjonseier eller har ansvaret som informasjonseier for informasjon og data innsamlet eller produsert ved enheten der vedkommende er leder. Dette gjelder uavhengig av opphavsrettslig eller juridisk eierskap.

b) Linjeleder er ansvarlig for at informasjon og data som enheten samler, produserer og forvalter, behandles, sikres og slettes i henhold til akseptabel risiko og relevante lover, bestemmelser og avtaler.

2.6 Ansattes ansvar og oppgaver

Ansattes ansvar er beskrevet i Styringssystem for informasjonssikkerhet og personvern Del I og i IKT-reglementet. I henhold til dette skal den enkelte:

a) Sørge for holde seg oppdatert om hvilke regler som gjelder for informasjonssikkerhet og personvern og følge disse.

  1. Gjennomføre det som tilbys av obligatorisk opplæring.

c) Melde avvik dersom en oppdager brudd på informasjonssikkerhet og personvern. Avviksmelding meldes til IT-avdelingens brukerstøtte.

  1. Alvorlige brudd på personvern skal meldes til UiBs personvernombud.

3 Årsplan for arbeidet med informasjonssikkerhet

IT-direktør skal utarbeide en årsplan for arbeidet med informasjonssikkerhet. Planen skal utarbeides innen utgangen av januar, skal gjelde for kalenderåret og bygge på ledelsens årlige gjennomgang. Planen godkjennes av universitetsdirektør.

Årsplanen skal inneholde følgende:

a) Oversikt over neste års målsettinger og prioriterte områder for arbeidet med informasjonssikkerhet ved UiB, samt tiltak og aktiviteter for å understøtte disse.

b) Sikkerhetsrevisjoner: Oversikt over planlagte sikkerhetsrevisjoner og eventuelle særlige områder for sikkerhetsrevisjoner eller tema i det kommende året.

c) Risikovurderinger: Oversikt over målsetninger og eventuelle særlige områder for risikovurderinger i det kommende året.

d) Informasjonstiltak: Oversikt over planlagte informasjonstiltak innen informasjonssikkerhet.

e) Opplæringstiltak: Oversikt over tiltak for å tilføre ledere, ansatte og studenter kunnskap og kompetanse slik at de kan ivareta sitt sikkerhetsansvar.

4 Ledelsens årlige gjennomgang

Til ledelsens gjennomgang skal det utarbeides en rapport med følgende innhold:

  1. Resultat av alle tiltak og aktiviteter beskrevet i årsplan.

b) Oversikt over alle risikovurderinger og status på tiltak identifisert i forbindelse med disse.

c) Oppsummering av alle sikkerhetsavvik og beskrivelse av de mest alvorlige, samt eventuelle tiltak i den forbindelse.

d) Oppsummering av egenvurdering og egenrapportering mht. etablerte sikringstiltak og gjennomførte risikovurderinger fra alle systemeiere ved UiB.

Forut for utarbeidelse av rapport til ledelsen, skal det sendes ut forespørsel til alle systemeiere ved UiB med hensyn på egenrapportering. IT-direktør er ansvarlig for å tilrettelegge for ledelsens gjennomgang.

5 Kartlegging og klassifisering av informasjon

Informasjonen som behandles i IKT-systemer eller -tjenester skal klassifiseres i henhold til de fire kategoriene Åpen, Begrenset, Fortrolig og Strengt fortrolig. Informasjon skal sikres i henhold til akseptabel risiko som gjelder for hver av kategoriene. Informasjonseier er ansvarlig for at informasjon klassifiseres og sikres i henhold til akseptabel risiko.

Følgende fargekoder kan brukes for å angi klasse.

Åpen (GRØNN)

Begrenset (GUL)

Fortrolig (RØD)

Strengt fortrolig (SVART)

5.1 Åpen informasjon (Grønn)

Åpen informasjon er informasjon som Universitetet ut fra sitt samfunnsoppdrag og i henhold til relevante lover, bestemmelser, og avtaler fritt kan dele med andre og som kan være tilgjengelig for andre uten begrensninger.

Eksempler på slik informasjon er nettsider om universitetets forskningsvirksomhet og studietilbud, åpne publiseringer, nettsider om universitetets virksomhet og studie- og forskningsmateriell der opphavsrett ikke begrenser distribusjonen.

Akseptabel risiko: det stilles ingen krav til sikring av åpen informasjon mot uautorisert tilgang eller spredning (konfidensialitetssikring). Informasjonens integritet skal sikres ved at kun personer med riktige rettigheter har tilgang til å endre informasjonen. Sikring av tilgjengelighet til informasjonen er i henhold til informasjonssystemets øvrige krav om tilgjengelighet.

Begrenset informasjon er informasjon som er tilgjengelig for brukere internt i virksomheten, der det vil kunne forårsake en viss skade for institusjonen eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. Informasjonen kan deles innen sektoren eller til samarbeidspartnere.

5.2 Begrenset informasjon (Gul)

Eksempler på slik informasjon er interne saksdokumenter, informasjon som kun har relevans for eller er innrettet mot en begrenset brukergruppe, saksdokumenter «unntatt offentligheten» som ikke er fortrolig eller strengt fortrolig, informasjon i fagsystemer for forskning, utdanning, økonomi og administrasjon.

Akseptabel risiko: Begrenset informasjon skal ha en viss beskyttelse og skal sikres mot uautorisert tilgang eller spredning (konfidensialitetssikring) gjennom kontrollerte tilgangsrettigheter. Sikring av begrenset informasjon mot uautorisert endring, sletting eller skade (integritetssikring) og at informasjonen er tilgjengelig for autoriserte brukere (tilgjengelighetssikring) prioriteres foran hensynet til å unngå uautorisert tilgang eller spredning (konfidensialitet).

5.3 Fortrolig informasjon (Rød)

Fortrolig informasjon er informasjon der universitetet er pålagt å begrense tilgangen til iht. lov, forskrift, avtaler, reglementer og annet regelverk. Dette tilsvarer graden fortrolig i Beskyttelsesinstruksen1. Kategorien fortrolig informasjon benyttes hvis det vil forårsake skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.

Eksempler på slik informasjon er særskilte kategorier av personopplysninger (sensitive personopplysninger), data underlagt eksportkontroll, eksamensoppgaver før de er gitt, enkelte typer forskningsdata og -arbeider.

Akseptabel risiko: Sikring av fortrolig informasjon mot uautorisert tilgang eller spredning skal vektlegges (konfidensialitetssikring). Fortrolig informasjon skal også sikres mot uautorisert endring/sletting eller skade (integritetssikring). Kortere avbrudd i informasjonens tilgjengelighet kan aksepteres (tilgjengelighetssikring) for å ivareta konfidensialitet. Konfidensialitet og deretter integritet skal prioriteres framfor tilgjengelighet.

5.4 Strengt fortrolig informasjon (Svart)

Strengt fortrolig informasjon omfatter samme type informasjon som fortrolig informasjon, men der lovbestemmelser og andre hensyn gjør det nødvendig å beskytte dataene ytterligere. Strengt fortrolig tilsvarer graden Strengt fortrolig i den offentlige Beskyttelsesinstruksen. Kategorien strengt fortrolig benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner dersom informasjonen blir kjent for uvedkommende. Pålegg om beskyttelse og sikring utenom det som er hjemlet i lov skal være nedfelt i avtaler eller annen skriftlig dokumentasjon.

Eksempler på slik informasjon er informasjon om personer som har adressesperre kode 7, strukturerte og større samlinger personopplysninger eller samlinger av helseopplysninger, forskningsdata og datasett av stor økonomisk verdi.

Akseptabel risiko: Sikring av strengt fortrolig informasjonen mot uautorisert tilgang eller spredning skal vektlegges i betydelig grad (konfidensialitetssikring). Strengt fortrolig informasjon skal sikres særskilt mot uautorisert endring/sletting eller skade (integritetssikring). Avbrudd i informasjonens tilgjengelighet kan aksepteres (tilgjengelighetssikring) for å ivareta konfidensialitet. Konfidensialitet og deretter integritet skal prioriteres framfor tilgjengelighet.

5.5 Fellesbestemmelser om behandling

Lagring og behandling av strengt fortrolig informasjon skal alltid gjøres i samarbeid med UiBs IT-avdeling.

All systematisk behandling av sensitive person- og helsedata skal følge Norm for informasjonssikkerhet og personvern i helse og omsorgstjenesten (Normen).

6 Behandling av personopplysninger

SIP Del I inneholder overordnede bestemmelser om behandling av personopplysninger på UiB. Det er utformet Retningslinjer - Overordnede rammer for behandling av personopplysninger ved Universitetet i Bergen som gir mer utfyllende beskrivelse.

7 Operativ sikkerhetsdokumentasjon

Operativ sikkerhetsdokumentasjon omfatter

  • Resultater av gjennomførte aktiviteter knyttet til informasjonssikkerhet, inkludert, men ikke avgrenset til, risikovurderinger, kartlegginger og rapporter.

  • Instrukser, retningslinjer og rutiner.

  • Resultater av aktiviteter i kontrollerende del.

Sikkerhetsdokumentasjon skal arkiveres i UiBs offisielle arkiv eller i annet relevant dokumentasjonssystem. Systemeier er ansvarlig for arkivering og tilgjengeliggjøring av denne samt å holde oversikt over sin dokumentasjon. Dokumentasjonen skal kunne framlegges for intern eller ekstern kontroll eller revisjon.

8 Utfyllende bestemmelser

IT-direktør bemyndiges til å beslutte utfyllende bestemmelser til SIP Del II Gjennomførende del. Disse omfatter instrukser, retningslinjer og rutiner.

IT-direktør er ansvarlig for at det foreligger en samlet oversikt over utfyllende bestemmelser.

1

Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen), https://lovdata.no/dokument/INS/forskrift/1972-03-17-3352