Styringssystem for informasjonssikkerhet - Del 1 – Styrende del

Vedtatt i Universitetsstyret 26.11.2015

1.1 Formål

Universitetet i Bergen (UiB) forvalter betydelige mengder informasjon. Denne informasjonen er av avgjørende betydning for UiBs forskning, utdanning og formidling. En tilfredsstillende sikring av denne informasjonen med hensyn på konfidensialitet, integritet og tilgjengelighet er nødvendig for at UiB skal ivareta sitt samfunnsoppdrag.
Universitetet i Bergen er underlagt en rekke lover og forskrifter hvor det stilles krav til informasjonssikkerhet og personvern relatert til UiBs håndtering av informasjon og sensitive opplysninger. UiB er videre underlagt eierstyring fra Kunnskapsdepartementet.
For å ivareta disse behov og krav etableres et Styringssystem for informasjonssikkerhet.
Styringssystem for informasjonssikkerhet ved UiB skal bidra til at UiBs informasjonsverdier sikres på en systematisk, planmessig og tilfredsstillende måte.
Styringssystem for informasjonssikkerhet ved UiB skal bidra til å støtte opp under institusjonens mål, verdier og hovedoppgaver.

1.2 Beslutningsmyndighet

Den styrende delen av Styringssystem for informasjonssikkerhet besluttes av universitetsstyret.
Den styrende delen angir øvrig sikkerhetsorganisering med blant annet ansvar og mandat fordelt på øvrige roller.
Prosedyrer som hører til gjennomførende del av SSIS besluttes av Universitetsdirektøren. Forvaltningen av SSIS ved UiB er underlagt IT direktøren.

1.3 Virkeområde

Styringssystem for informasjonssikkerhet ved UiB gjelder for:

  • UiBs organisasjon med de roller, oppgaver og myndighet den enkelte har, samt de strukturer og prosesser som er etablert for virksomheten.
  • Alle ansatte, studenter, eksterne brukere, innleid personell og gjester (heretter kalt brukere) ved UiB som behandler eller har tilgang til UiBs informasjon, eller informasjon lagret på UiBs utstyr, eller på utstyr tilkoblet UiBs infrastruktur.
  • All data- og informasjonsbehandling, lagring og prosesser for dette, uavhengig av lagrings- og prosesseringsform.
  • Infrastruktur, utstyr samt privat og annet eksternt utstyr som tilkobles UiBs infrastruktur.

1.4 Aktuelle lover, forskrifter og regler

Styringssystemet bygger på det til enhver tid gjeldende lovverk med forskrifter. Blant disse er:

  • Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) og Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften)
  • Lov om behandling av personopplysninger (personopplysningsloven).
  • Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova)
  • Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen)
  • Lov om arkiv [arkivlova] og Forskrift om offentlige arkiv
  • Lov om universiteter og høyskoler (universitets- og høyskoleloven)
  • Lov om medisinsk og helsefaglig forskning (helseforskningsloven)
  • Forskrift om organisering av medisinsk og helsefaglig forskning (helseforskningsforskriften)
  • Lov om helseregistre og behandling av helseopplysninger (helseregisterloven)
  • Lov om helsepersonell m.v. (helsepersonelloven).
  • UiB regelsamlingen

1.5 Definisjoner

I dette dokumentet benyttes følgende definisjoner:

Begrep

Definisjoner

Informasjonssikkerhet

Beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet.

Konfidensialitet

Sikre at informasjonen er tilgjengelig bare for dem som har autorisert tilgang.

Integritet

Sikre at informasjonen og behandlingen er nøyaktig og fullstendig, og vernes mot uautoriserte endringer.

Tilgjengelighet

Sikre autoriserte brukeres tilgang til informasjon og tilhørende ressurser ved behov.

Risikovurdering

Vurdering av trusler mot, konsekvenser for og sårbarheten til informasjonen og informasjonssystemene, og sannsynligheten for at sikkerhetshendelser kan inntreffe.

Risikostyring

Prosessen med å identifisere, kontrollere og redusere eller eliminere sikkerhetsrisikoer som kan påvirke informasjonssystemer, innenfor en akseptabel kostnadsramme.

Systemeier

Den øverste lederen ved den enheten som er ansvarlig for de enkelte systemene og løsningene. Alle systemer ved UiB skal ha en definert systemeier.

Behandlingsansvarlig

Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.

Personopplysning

Opplysninger og vurderinger som kan knyttes til en enkeltperson.

Forskningsansvarlig

Institusjon eller annen juridisk eller fysisk person som har det overordnede ansvaret for forskningsprosjekt, og som har de nødvendige forutsetningene for å kunne oppfylle den forskningsansvarliges plikter

Sensitive personopplysninger

Opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger.

2 Sikkerhetspolicy

2.1 Identifisering av kritiske verdier ved UiB

Mennesker, informasjon, omdømme, fysiske gjenstander og miljø anses som kritiske verdier ved UIB.

2.2 Overordnet sikkerhetsmål

Følgende sikkerhetsmål skal gjelde for arbeidet med informasjonssikkerhet:

  • UiB skal sikre konfidensialitet, integritet og tilgjengelighet av informasjon på en tilfredsstillende måte i henhold til gjeldende lover, forskrifter og regler.
  • Informasjon som behandles ved UiB skal ha riktig sikkerhetsnivå basert på klassifisering og risikovurderinger, og behandles i henhold til dette.
  • Alle ansatte, studenter, eksterne brukere, samarbeidspartner og gjester skal være kjent med UiBs krav til informasjonssikkerhet og etterleve disse kravene.

2.3 Sikkerhetsstrategi

Arbeidet med informasjonssikkerhet ved UiB skal basere seg på anbefalte og anerkjente standarder for styringssystemer for informasjonssikkerhet i offentlig sektor.
IKT-reglementet regulerer bruken av IKT anlegget ved UiB, og gjelder for alle brukere.
UiB skal utvikle en sikkerhetskultur hvor alle brukerne har god kunnskap, holdninger og adferd i forhold til sikkerhetstrusler og sårbarheter.
Det skal gjennomføres sikkerhetsrevisjoner som verifiserer at UiBs og eksterne myndigheters krav til informasjonssikkerhet er ivaretatt og fungerer etter sin hensikt.
Arbeidet med informasjonssikkerhet skal bygge på prosesser for kontinuerlig forbedring.

2.4 Kompetanse

UiB skal sørge for nødvendig opplæring og kompetanseheving for ledere og ansatte som har ansvar for informasjonssikkerhet. Ledere ved UiB som har ansvar for informasjonssikkerhet skal sørge for ressurser til planlegging, gjennomføring og oppfølging av informasjonssikkerhet innenfor sine ansvarsområder. Dette inkluderer iverksetting av sikringstiltak som er nødvendige for å oppnå tilfredsstillende informasjonssikkerhet.
Alle brukere av informasjonssystemer skal gis nødvendig kunnskap og opplæring om informasjonssikkerhet. Brukerne skal være informert om rutiner for rapportering av avvik og sikkerhetsbrudd samt hensikt med dem.

3 Risikostyring

Alt arbeid med informasjonssikkerhet skal basere seg på risikovurderinger. Risikovurderingen baseres på en konkret vurdering av trusler og utfordringer for UiB. For systemer som er virksomhetskritiske, skal det være utarbeidet sårbarhets- og risikoanalyser.
Systemeier er ansvarlig for å gjennomføre risikovurderinger etter veiledning i SSIS gjennomførende del.
For hvert risikoelement vurderes sannsynligheten for at den skal inntreffe og konsekvensen av at den inntreffer. Konfidensialiteten og integriteten til informasjon skal vektlegges foran hensynet til tilgjengeligheten ved en risikovurdering.
Høye risikoer skal ikke aksepteres før det er gjort et grundig arbeid for å finne realistiske risikoreduserende tiltak. Kun universitetsdirektøren kan akseptere risikoer (restrisikoer) som fremdeles er svært høye etter godkjente tiltak.

4 Sikkerhetsorganisasjon, roller, ansvar og myndighet

4.1 Behandlingsansvarlig

Rektor er behandlingsansvarlig etter lov om behandling av personopplysninger for både administrative systemer og forskningssystemer.
Universitetsdirektøren utpeker systemeiere for administrative system som behandler personopplysninger og gir føringer for behandlingen.

4.2 Forskningsansvarlig

Rektor er forskningsansvarlig etter lov om medisinsk og helsefaglig forskning.

4.3 Overordnet ansvar for informasjonssikkerhet

Universitetsdirektøren har etter delegasjon fra Universitetsstyret overordnet og i samråd med rektor, ansvar for informasjonssikkerheten ved UiB.

4.4 Operativt ansvar for informasjonssikkerhet

IT-direktør har operativt ansvar for informasjonssikkerhet med fullmakt til å treffe tiltak for å hindre skade og forebygge fare for skade, samt å iverksette tiltak med sikte på bevissikring og koordinere tiltak for å utbedre eventuelle skader.
IT-direktør har ansvaret for utarbeidelse og vedlikehold av IKT-Reglement i samråd med HR-direktør. Universitetsstyret beslutter alle endringer.
IT-direktør skal støtte systemeiere ved UiB med utarbeidelse av nødvendige sikkerhetsprosedyrer og rutiner for å ivareta sikkerhet i deres systemer.
IT-direktør er systemeier for IKT-infrastruktur og sentrale IKT–tjenester, inkludert kommunikasjon, sikkerhetsløsninger, datalagring og sikkerhetskopiering.

4.5 Systemeieransvar

Systemeier er den øverste lederen ved enheten og er ansvarlig for de enkelte systemene innenfor enheten.
Systemeier har ansvar for å fastlegge formålet med behandlingen av personopplysninger og alle sider ved forvaltningen av IT-systemene enheten har ansvar for når det gjelder utvikling, oppgradering, drift, tilgangskontroll, brukerstøtte og opplæring. Der det ikke er utpekt en systemeier, regnes den som har utviklet eller anskaffet systemet for bruk ved UiB, som systemeier.
Sammen med IT-direktør har systemeiere ansvar for fastsetting av sikkerhetsnivået i systemene og kontroll av at informasjonssikkerheten ivaretas. Systemeier har også ansvaret for forebyggende informasjonssikkerhet for sine egne systemer, og skal utarbeide nødvendige sikkerhetsdokumentasjon, veiledninger og rutiner for systemene med støtte fra IT-direktør.
Ved anskaffelse av nye systemer har systemeier ansvar for å sørge for at kravene til informasjonssikkerhet blir innfridd.

4.6 Kontinuitetsplanlegging

Basert på en vurdering av relevante risikoer for driftsavbrudd, skal systemeier utarbeide planer og iverksette tiltak som kan redusere avbrudd ved sikkerhetssvikt til et akseptabelt nivå. For de sentrale og kritiske IKT-systemer, skal det utføres realistiske kontroller for å verifisere effektiviteten av de tiltakene som er iverksatt.

4.7 Fysisk sikkerhet

Universitetsdirektøren har overordnet ansvar for å sikre UIBs eiendommer og fysiske gjenstander mot brann, tyveri og skadeverk, samt at lokalene skal være sikret mot uautorisert adgang.
Direktør ved eiendomsavdelingen har operativt ansvar, og har fullmakt til å treffe tiltak for å hindre skade og forebygge fare for skade, samt å iverksette tiltak med sikte på bevissikring og koordinere tiltak for å utbedre eventuelle skader.
Fysiske sikringstiltak skal gjennomføres basert på risikovurdering gjennomført av systemeier.

IKT-utstyr som benyttes som basis for fellesfunksjoner (servere, datalager, nettverkstjenere m.m.) og kritiske systemer skal være plassert i lokaler som er fysisk sikret mot tilkomst for uvedkommende.

4.8 Beredskap

Universitetsdirektøren har overordnet ansvar for den sentrale beredskapen ved UiB. Beredskap for informasjonssikkerhet inngår i den sentrale beredskapen.

4.9 Ansatte og studenter

Alle brukere av systemene ved UiB har et ansvar for å ivareta informasjonssikkerheten i forbindelse med utførelsen av eget arbeid; dette gjelder både den informasjon som behandles i systemene så vel som systemene i seg selv.


.

Logo for Universitetet i Bergen

©2009 Universitetet i Bergen

Adresse: Postboks 7800 5020 Bergen

Besøksadresse: Nygårdsgaten 5

Telefon: (+47) 55584201 Faks: (+47) 55548299