Styringssystem for informasjonssikkerhet og personvern (SIP) – Del I – Styrende del

Vedtatt i Universitetsstyret 26.11.2015, sist endret 1.2.2024

1 Styringssystem for informasjonssikkerhet og personvern (SIP)

1.1 Formål

Universitetet i Bergen (UiB) forvalter betydelige mengder informasjon inkludert personopplysninger. Denne informasjonen er av avgjørende betydning for UiBs forskning, utdanning og formidling. For å ivareta UiB sitt samfunnsoppdrag er det nødvendig at all informasjon som forvaltes er tilfredsstillende sikret mot brudd på konfidensialitet, integritet og tilgjengelighet i tråd med gjeldende lover, forskrifter og retningslinjer.

For å ivareta disse behov og krav er det etablert et Styringssystem for informasjonssikkerhet og personvern (heretter kalt SIP), som skal bidra til at UiBs informasjonsverdier sikres på en systematisk, planmessig og tilfredsstillende måte.

Styringssystem for informasjonssikkerhet og personvern ved UiB skal bidra til å støtte opp under institusjonens mål, verdier og hovedoppgaver.

1.2 Struktur og beslutning av styringssystemet

Styringssystem for informasjonssikkerhet og personvern (SIP) ved Universitetet i Bergen (UiB) består av tre deler:

|I. Styrende del |II. Gjennomførende del |III. Kontrollerende del

Den styrende delen (del I) består av to dokumenter Styringsdokument og IKT-reglementet ved UiB. I Styringsdokumentet, det vil si dette dokumentet, beskrives virkeområdet for styringssystemet, sikkerhetsmål, sikkerhetsstrategi og fordeling av ansvar og arbeidsoppgaver i sikkerhetsorganisasjonen. IKT-reglementet regulerer bruken av UiBs IT-systemer, IT-utstyr og IT-anlegg.

Den gjennomførende del (del II) sammen med dets vedlegg gir utfyllende opplysninger om oppgaver og aktiviteter som skal gjennomføres i henhold til styringssystemet. I tillegg gjelder bestemmelsene i Retningslinjer – Overordnede rammer for behandling av personopplysninger ved Universitetet i Bergen.

Den kontrollerende del (del III) sammen med dets vedlegg, beskriver kontrollerende aktiviteter som inngår i SIP.

Universitetsstyret beslutter del I Styrende del. Universitetsdirektør i samråd med rektor beslutter del II Gjennomførende del og del III Kontrollerende del.

IT direktør forvalter styringssystemet, og beslutter underliggende retningslinjer, instrukser og øvrige dokumenter og vedlegg som inngår i styringssystemet.

1.3 Virkeområde

Styringssystem for informasjonssikkerhet og personvern ved UiB gjelder for:

  • UiBs organisasjon med de roller, oppgaver og myndighet den enkelte har, samt de strukturer og prosesser som er etablert for virksomheten.

  • Alle ansatte, studenter, eksterne brukere, innleid personell og gjester (heretter kalt brukere) ved UiB som behandler eller har tilgang til UiBs informasjon, eller informasjon lagret på UiBs utstyr, eller på utstyr tilkoblet UiBs infrastruktur.

  • All data- og informasjonsbehandling, lagring og prosesser for dette, uavhengig av lagrings- og prosesseringsform.

  • Infrastruktur, utstyr samt privat og annet eksternt utstyr som tilkobles UiBs infrastruktur.

1.4 Aktuelle lover, forskrifter og regler

Styringssystemet bygger på det til enhver tid gjeldende lovverk med forskrifter. Blant disse er:

  • Lov om behandling av personopplysninger (personopplysningsloven) inkludert personvernforordningen, GDPR.

  • Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) og Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften)

  • Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova)

  • Lov om arkiv (arkivlova) og Forskrift om offentlige arkiv

  • Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen)

  • Lov om opphavsrett til åndsverk mv. (åndsverkloven)

  • Lov om universiteter og høyskoler (universitets- og høyskoleloven)

  • Lov om medisinsk og helsefaglig forskning (helseforskningsloven)

  • Forskrift om organisering av medisinsk og helsefaglig forskning (helseforskningsforskriften)

  • Lov om helseregistre og behandling av helseopplysninger (helseregisterloven)

  • Lov om helsepersonell m.v. (helsepersonelloven).

  • UiB regelsamlingen

1.5 Definisjoner

I dette dokumentet benyttes følgende definisjoner:

Begrep

Definisjoner

Informasjonssikkerhet

Beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet.

Konfidensialitet

Sikre at informasjonen og systemer kun er tilgjengelig for de som skal ha tilgang.

Integritet

Sikre at informasjonen er korrekt, oppdatert og fullstendig, og hindre uønsket endring, sletting eller manipulering.

Tilgjengelighet

Sikre at brukere har tilgang til informasjon ved behov innenfor de tilgjengelighetskrav som er satt.

Risikovurdering

Vurdering av trusler mot, konsekvenser for og sårbarheten til informasjonen og informasjonssystemene, og sannsynligheten for at sikkerhetshendelser kan inntreffe.

Risikostyring

Prosessen med å identifisere, kontrollere og redusere eller eliminere sikkerhetsrisikoer som kan påvirke informasjonssystemer, innenfor en akseptabel kostnadsramme.

Systemeier

Den øverste lederen ved den enheten som er ansvarlig for et system eller en IT-tjeneste. Alle systemer ved UiB skal ha en definert systemeier.

Forskningsansvarlig

Institusjon eller annen juridisk eller fysisk person som har det overordnede ansvaret for forskningsprosjekt, og som har de nødvendige forutsetningene for å kunne oppfylle den forskningsansvarliges plikter.

Personvern

Omhandler retten til et privatliv og retten til å bestemme over egne personopplysninger.

Personopplysning

Alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til en enkeltperson.

Behandlingsansvarlig

Den som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes.

Særlige kategorier av personopplysninger

Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, genetiske og biometriske opplysninger, helseopplysninger eller opplysninger om seksuelle forhold.

Informasjonsverdier

Alle typer data, opplysninger og dataressurser (IT utstyr, applikasjoner, systemer, datanettverk m.m) som har betydning for UiB sin virksomhet.

Personvern-konsekvensvurdering (DPIA)

Lovpålagt vurdering når det er sannsynlig at behandlingen av personopplysninger medfører høy risiko.

IRT

Incident Response Team, et eget team av ressurspersoner som er utpekt særskilt til å håndtere sikkerhetshendelser på IKT området.

IKT

Informasjons- og kommunikasjons- teknologi.

EduCSC

Cybersikkerhetssenteret hos SIKT, innehar rollen som sektorvist responsmiljø (SRM) for universitets og høyskolesektoren. Sektorvise responsmiljø inngår i nasjonalt rammeverk for håndtering av IKT-sikkerhets- hendelser.

2. Sikkerhetspolicy og policy for personvern

2.1 Identifisering av kritiske verdier ved UiB

Mennesker, informasjon, herunder personopplysninger, omdømme, fysiske gjenstander og miljø anses som kritiske verdier ved UIB.

2.2 Overordnede sikkerhetsmål

Følgende sikkerhetsmål skal gjelde for arbeidet med informasjonssikkerhet:

  • UiB skal sikre konfidensialitet, integritet og tilgjengelighet av informasjon på en tilfredsstillende måte i henhold til gjeldende lover, forskrifter og regler.

  • Informasjon som behandles ved UiB skal ha riktig sikkerhetsnivå basert på klassifisering og risikovurderinger, og behandles i henhold til dette.

  • Alle ansatte, studenter, eksterne brukere, samarbeidspartner og gjester skal være kjent med UiBs krav til informasjonssikkerhet, og er ansvarlig for å etterleve disse kravene.

2.3 Overordnede styringsmål for personvern

Følgende styringsmål skal gjelde for arbeidet med personvern:

  • UiB skal kun samle inn personopplysninger for berettigete formål, og behandle opplysningene på en lovlig, rettferdig og åpen måte.

  • UiB skal ikke behandle personopplysninger i større utstrekning enn det som er nødvendig for å oppfylle universitetets formål. Når personopplysningene ikke lenger er nødvendige for formålet skal de slettes eller anonymiseres, med mindre det foreligger lovkrav eller skriftlige vurderinger som tilsier fortsatt oppbevaring.

  • Personopplysningene som behandles skal være korrekte og oppdaterte, og hvis ikke slettes eller rettes.

  • Alle som behandler personopplysninger ved UiB, skal være kjent med kravene i personopplysningsloven og etterleve disse kravene.

2.4 Sikkerhetsstrategi

Alt arbeid med informasjonssikkerhet ved UiB skal basere seg på risikovurderinger.

I tillegg skal arbeidet med informasjonssikkerhet basere seg på anbefalte og anerkjente standarder for styringssystemer for informasjonssikkerhet i offentlig sektor.

IKT-reglementet regulerer bruken av IKT-systemene ved UiB, og gjelder for alle brukere.

UiB skal utvikle en sikkerhetskultur hvor alle brukere har god kunnskap om, holdning og adferd med tanke på sikkerhetstrusler og sårbarheter.

Det skal gjennomføres sikkerhetsrevisjoner som verifiserer at UiBs og eksterne myndigheters krav til informasjonssikkerhet er ivaretatt og fungerer etter sin hensikt.

Arbeidet med informasjonssikkerhet skal bygge på prosesser for kontinuerlig forbedring.

2.5 Strategi for personvern

Arbeidet med personvern ved UiB skal basere seg på krav i personopplysningsloven i tillegg til bransjestandard.

Det skal utarbeides retningslinjer for behandling av personopplysninger ved UiB for både forskningsdata, administrative data og andre data.

For alle aktiviteter der det behandles personopplysninger skal det utføres risikovurderinger, og det skal vurderes om det må gjennomføres en personvernkonsekvensvurdering (DPIA).

2.6 Kompetanse

UiB skal sørge for nødvendig opplæring og kompetanseheving for ledere og ansatte som har ansvar for informasjonssikkerhet og personvern.

Alle som skal bruke UiB sine informasjonssystemer og som skal behandle personopplysninger skal ha nødvendig kunnskap om og få opplæring i informasjonssikkerhet og personvern.

Brukerne skal være informert om rutiner for rapportering av avvik og sikkerhetsbrudd samt hensikten med dem.

3 Risikostyring

Alt arbeid med informasjonssikkerhet og personvern skal basere seg på risikovurderinger. Risikovurderingen baseres på konkret vurdering av trusler og sårbarheter ved UiB, og tar utgangspunkt i informasjonsverdier som skal sikres. Risikovurderinger skal gjennomføres for alle system og personopplysningsbehandlinger og dokumenteres skriftlig i det til enhver tid gjeldende system UIB benytter.

For hvert risikoelement vurderes sannsynligheten for at den skal inntreffe og konsekvensen av at den inntreffer. Konfidensialiteten og integriteten til informasjon skal vektlegges foran hensynet til tilgjengeligheten ved risikovurdering.

Høye risikoer skal ikke aksepteres før det er gjort et grundig arbeid for å finne realistiske risikoreduserende tiltak.

4 Sikkerhetsorganisasjon, roller, ansvar og myndighet

Rolle/funksjon

Ansvar

Myndighet

Rektor

Forskningsansvarlig ved UiB og behandlingsansvarlig for UiB sin behandling av personopplysninger som inngår i UiBs faglige virksomhet.

Kan samme med universitetsdirektør beslutte retnings- linjer for behandling av personopplysninger

Universitetsdirektør

Har overordnet ansvar for informasjonssikkerheten ved UiB.

Ansvarlig for sentral beredskap ved UIB, inkludert informasjonssikkerhetsberedskap.

Overordnet ansvarlig for å sikre UIB sine eiendommer og fysiske gjenstander mot brann, tyveri og skadeverk. Overordnet ansvarlig for sikring mot uautorisert adgang i bygningsmassen.

Gjennomfører sammen med rektor ledelsens årlige gjennomgang og godkjenner fremlagt rapport til denne.

Utpeker systemeiere for administrative systemer gir føringer for behandlingen.

Kan sammen med rektor beslutte retningslinjer for behandling av personopplysninger.

Godkjenner eventuell restrisiko der det fremdeles foreligger risiko etter tiltaksgjennomføring.

Godkjenner årsplan for informasjonssikkerhet.

IT- direktør

Operativt ansvarlig for informasjonssikkerheten ved UiB.

Ansvarlig for forvaltning av SIP med alle vedlegg.

I samråd med HR-direktør ansvarlig for forvaltning av IKT reglementet.

Ansvarlig for utarbeidelse av nødvendige sikkerhets- prosedyrer, retningslinjer og rutiner for å ivareta sikkerhet i UiBs systemer.

Ansvarlig for å utarbeide årsplan for informasjonssikkerhet samt oppfølging og gjennomføring av denne.

Ansvarlig for å vedlikeholde oversikt over hvilke sikringstiltak som er etablert ved UiB.

Systemeier for IKT infrastruktur og sentrale IKT tjenester, inkludert kommunikasjon, sikkerhetsløsninger, datalagring og sikkerhetskopiering.

Ansvarlig for at det tilbys opplæring for systemeiere i deres roller.

Ansvarlig for at det tilbys opplæring i informasjonssikkerhet for ansatte og studenter som brukere av informasjonsteknologi.

Ansvarlig for å forvalte en oversikt over godkjente IT systemer der systemeiere er ansvarlige for å registrere sine systemer, og en oversikt over UiBs informasjonsverdier der informasjonseiere kan registrere sine verdier.

Ansvarlig for å varsle universitetsledelsen og UiBs beredskapsledelse ved alvorlige hendelser og avvik.

Ansvarlig for beredskap innen informasjonssikkerhet inkludert helhetlig kontinuitets- planlegging.

Ansvarlig for at sikkerhets- revisjoner gjennomføres.

Kan iverksette tiltak eller beslutte gjennomføring av tiltak for å hindre skade, forebygge fare for skade, samt iverksette tiltak med sikte på bevissikring og koordinere tiltak for å utbedre eventuelle skader.

Beslutter alle instrukser, retningslinjer og rutiner samt øvrige vedlegg til SIP.

Informasjons- sikkerhetsleder

Informasjonssikkerhetsleder er av IT-direktøren tildelt ansvar og myndighet innen informasjonssikkerhetsområdet og rapporterer til denne.

Leder det løpende arbeidet med informasjonssikkerhet ved UIB og ser til at UIB overvåker sikkerhet i nettverk og systemer.

Ansvar for at det gjennomføres sikkerhetsrevisjoner og -kontroller på tvers av UiBs virksomhet etter en helhetlig verdi- og risikovurdering og i henhold til UiBs struktur for andrelinje internkontroll.

Behandler avvik på informasjonssikkerhet og personvern, og varsler relevante parter slik at det iverksettes tiltak ved behov. Holde IT-direktør orientert om arbeidet, og varsle ved vesentlige hendelser og avvik.

Leder IRT Teamet og vedlikeholde beredskapsplaner for informasjonssikkerhet.

Bidra til at opplæring og rådgivning innenfor informasjonssikkerhet og personvern gjennomføres.

Systemeier

Ansvarlig for å ha nødvendige risikovurderinger, og at risikohåndtering og tiltak gjennomføres slik at gjenværende risiko er på et akseptabelt nivå.

Ansvarlig for å sette sikkerhetsnivå i systemer man eier ut fra dokumentert klassifisering av informasjon og personinformasjon, samt å ha dokumentasjon på at informasjonssikkerhet og personvern ivaretas.

Ansvarlig for sikker drift og forvaltning av systemene de eier i henhold til lover, forskrifter, regler og øvrige bestemmelser, inkludert SIP, i hele systemets levetid.

Ansvarlig for at nødvendig opplæring tilbys og gjennomføres i tilknytningtil systemer de er eier av.

Ansvarlig for å gjennomføre årlig egenrapportering til bruk i ledelsens gjennomgang.

Dekan

Er delegert det operative forskningsansvaret inkludert personopplysningsbehandling.

Ansvarlig for å ivareta forskningsaktivitetene på en forsvarlig måte i henhold til over, regler, retningslinjer mv.

Kan delegere det operative forsknings- ansvaret videre til instituttleder, senterleder eller tilsvarende (eks. prosjektleder for forskningsprosjekter)

Institttleder, senterleder eller tilsvarende (eks. prosjektleder)

Kan ha fått delegert fra dekan det operative forsknings- ansvaret på sitt område, dette inkluderer personopplysnings- behandling.

Klinikkleder, senterleder eller tilsvarende (eks. prosjektleder)

Operativt ansvarlig for behandling av personopplysninger om pasienter.

Ansvarlig for at det er innført nødvendige rutiner for å sikre konfidensialitet og kvalitet, samt at personopplysningene ikke ikke lagres lenger enn nødvendig.

Ansvarlig for at det tilbys nødvendig opplæring i bruk av av IT-systemer og gjeldene rutiner.

Avdelingsdirektør ved Studieavdelingen

Operativt ansvarlig for behandling av personopplysninger om søkere og studenter.

Ansvarlig for at det er innført nødvendige rutiner for å sikre konfidensialitet og kvalitet, samt at personopplysningene ikke ikke lagres lenger enn nødvendig.

Ansvarlig for at det tilbys nødvendig opplæring i bruk av av IT-systemer og gjeldene rutiner.

HR-direktør

Operativt ansvarlig for behandling av personopplysninger om ansatte.

Ansvarlig for at det er innført nødvendige rutiner for å sikre konfidensialitet og kvalitet, samt at personopplysningene ikke ikke lagres lenger enn nødvendig.

Ansvarlig for at det tilbys nødvendig opplæring i bruk av av IT-systemer og gjeldene rutiner.

Driftspersonell IT

Ansvarlig for å kjenne til alle deler av SIP og i særlig grad driftsinstruksen og de sikrings- tiltak som er etablert ved UiB.

Ansvarlig or å varsle ved brudd på sikkerheten.

Brukere

Ansvarlig for å holde seg oppdatert på gjeldende regler for informasjonssikkerhet og personvern, og følge disse.

Ansvarlig for å gjennomføre pålagt opplæring innenfor informasjonssikkerhet og personvern.

Ansvarlig for å ivareta informasjonssikkerheten og sikre ivaretakelse av personvern i forbindelse med utførelse av eget arbeid.

Ansvarlig for å melde avvik i henhold til gjeldende rutiner ved brudd på informasjons- sikkerheten og personvernet.

Personvernombud

Skal informere og gi råd til UIB sine brukere om forpliktelsene etter personvernlovgivningen.

Skal kontrollere UIB sin etterlevelse av personvernlovgivningen.

Skal involveres på rett nivå i spørsmål som vedrører personvern.

Skal gi råd ved utarbeidelse av DPIA.

Skal involveres ved behov i håndtering av avvik.

Skal håndtere henvendelser fra de registerte.

Skal årlig rapportere om status på personvernområdet til universitetsstyret.

Har en uavhengig rolle og kan varsle Datatilsynet om avvik på eget initiativ uten godkjenning fra UiB.

Avdelingsdirektør ved Eiendomsavdelingen

Operativt ansvarlig for å sikre UiBs eiendommer og fysiske gjenstander mot brann, tyveri og skadeverk.

Operativt ansvarlig for å sikre mot uautorisert adgang.

IRT - Incident Response Team

Være virksomheten sin operative vaktstyrke for å overvåke, oppdage og håndtere IKT sikkerhetshendelser, og ha tett dialog med sektorvis responsmiljø i eduCSC (SIKT).

4.1 Kontinuitetsplanlegging

Basert på en vurdering av relevante risikoer for driftsavbrudd, skal systemeier utarbeide planer og iverksette tiltak som kan redusere avbrudd ved sikkerhetssvikt til et akseptabelt nivå. For de sentrale og kritiske IKT-systemer, skal det utføres realistiske kontroller for å verifisere effektiviteten av de tiltakene som er iverksatt.

4.2 Fysisk sikkerhet

Fysiske sikringstiltak skal gjennomføres basert på risikovurdering gjennomført av systemeier.

IKT-utstyr som benyttes som basis for fellesfunksjoner (servere, datalager, nettverkstjenere m.m.) og kritiske systemer skal være plassert i lokaler som er fysisk sikret mot tilkomst for uvedkommende.

4.3 Beredskap

Beredskap for informasjonssikkerhet og personvern skal inngå i UiBs beredskapsplaner og beredskapsorganisasjon. IT-avdelingen skal ha en beredskapsplan og en beredskapsorganisasjon med særlig ansvar for informasjonssikkerhet. Beredskapen for informasjonssikkerhet og personvern skal bygge på ansvarsprinsippet, likhetsprinsippet, nærhetsprinsippet og samvirkeprinsippet.

Som en del av beredskapen skal det eksistere et Incident Respons Team (IRT) ved IT avdelingen for særskilt håndtering av sikkerhetshendelser. Mandat og instruks for dette er vedlegg til styringssystem for informasjonssikkerhet og personvern del II, gjennomførende del.

4.4 Rapportering

Ivaretagelse av informasjonssikkerhet og personvern er et lederansvar. Årlig skal det utarbeides en rapport til ledelsens gjennomgang. Rapporten oppsummerer arbeidet med informasjonssikkerhet og personvern. Rapporten fremmes til universitetsstyret i løpet av første kvartal påfølgende år av universitetsdirektør.

Personvernombudet utarbeider egen årsrapport som fremmes universitetsstyret i separat sak, men bør såfremt det er mulig legge denne frem sammen med rapport for informasjonssikkerhet og personvern.

I tillegg til denne faste årlige rapporteringen, skal universitetsledelsen holdes orientert om status for informasjonssikkerhet og personvern ved UiB.

Universitetsstyret kan be om ytterligere rapportering utover årlig statusrapportering ved behov.