Styringssystem for informasjonssikkerhet og personvern (SIP) – Del I – Styrende del ==================================================================================== Vedtatt i Universitetsstyret 26.11.2015, sist endret 1.2.2024, jf. sak nr 2015/11386 **1 Styringssystem for informasjonssikkerhet og personvern (SIP)** ------------------------------------------------------------------ 1.1 Formål ~~~~~~~~~~ Universitetet i Bergen (UiB) forvalter betydelige mengder informasjon inkludert personopplysninger. Denne informasjonen er av avgjørende betydning for UiBs forskning, utdanning og formidling. For å ivareta UiB sitt samfunnsoppdrag er det nødvendig at all informasjon som forvaltes er tilfredsstillende sikret mot brudd på konfidensialitet, integritet og tilgjengelighet i tråd med gjeldende lover, forskrifter og retningslinjer. For å ivareta disse behov og krav er det etablert et Styringssystem for informasjonssikkerhet og personvern (heretter kalt SIP), som skal bidra til at UiBs informasjonsverdier sikres på en systematisk, planmessig og tilfredsstillende måte. Styringssystem for informasjonssikkerhet og personvern ved UiB skal bidra til å støtte opp under institusjonens mål, verdier og hovedoppgaver. 1.2 Struktur og beslutning av styringssystemet ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Styringssystem for informasjonssikkerhet og personvern (SIP) ved Universitetet i Bergen (UiB) består av tre deler: |I. Styrende del |II. Gjennomførende del |III. Kontrollerende del Den styrende delen (del I) består av to dokumenter Styringsdokument og IKT-reglementet ved UiB. I Styringsdokumentet, det vil si dette dokumentet, beskrives virkeområdet for styringssystemet, sikkerhetsmål, sikkerhetsstrategi og fordeling av ansvar og arbeidsoppgaver i sikkerhetsorganisasjonen. IKT-reglementet regulerer bruken av UiBs IT-systemer, IT-utstyr og IT-anlegg. Den gjennomførende del (del II) sammen med dets vedlegg gir utfyllende opplysninger om oppgaver og aktiviteter som skal gjennomføres i henhold til styringssystemet. I tillegg gjelder bestemmelsene i Retningslinjer – Overordnede rammer for behandling av personopplysninger ved Universitetet i Bergen. Den kontrollerende del (del III) sammen med dets vedlegg, beskriver kontrollerende aktiviteter som inngår i SIP. Universitetsstyret beslutter del I Styrende del. Universitetsdirektør i samråd med rektor beslutter del II Gjennomførende del og del III Kontrollerende del. IT direktør forvalter styringssystemet, og beslutter underliggende retningslinjer, instrukser og øvrige dokumenter og vedlegg som inngår i styringssystemet. 1.3 Virkeområde ~~~~~~~~~~~~~~~ Styringssystem for informasjonssikkerhet og personvern ved UiB gjelder for: - UiBs organisasjon med de roller, oppgaver og myndighet den enkelte har, samt de strukturer og prosesser som er etablert for virksomheten. - Alle ansatte, studenter, eksterne brukere, innleid personell og gjester (heretter kalt brukere) ved UiB som behandler eller har tilgang til UiBs informasjon, eller informasjon lagret på UiBs utstyr, eller på utstyr tilkoblet UiBs infrastruktur. - All data- og informasjonsbehandling, lagring og prosesser for dette, uavhengig av lagrings- og prosesseringsform. - Infrastruktur, utstyr samt privat og annet eksternt utstyr som tilkobles UiBs infrastruktur. 1.4 Aktuelle lover, forskrifter og regler ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Styringssystemet bygger på det til enhver tid gjeldende lovverk med forskrifter. Blant disse er: - Lov om behandling av personopplysninger (personopplysningsloven) inkludert personvernforordningen, GDPR. - Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) og Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) - Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) - Lov om arkiv (arkivlova) og Forskrift om offentlige arkiv - Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen) - Lov om opphavsrett til åndsverk mv. (åndsverkloven) - Lov om universiteter og høyskoler (universitets- og høyskoleloven) - Lov om medisinsk og helsefaglig forskning (helseforskningsloven) - Forskrift om organisering av medisinsk og helsefaglig forskning (helseforskningsforskriften) - Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) - Lov om helsepersonell m.v. (helsepersonelloven). - UiB regelsamlingen 1.5 Definisjoner ~~~~~~~~~~~~~~~~ I dette dokumentet benyttes følgende definisjoner: +----------------------------------+----------------------------------+ | **Begrep** | **Definisjoner** | +----------------------------------+----------------------------------+ | Informasjonssikkerhet | Beskyttelse av informasjonens | | | konfidensialitet, integritet og | | | tilgjengelighet. | +----------------------------------+----------------------------------+ | Konfidensialitet | Sikre at informasjonen og | | | systemer kun er tilgjengelig for | | | de som skal ha tilgang. | +----------------------------------+----------------------------------+ | Integritet | Sikre at informasjonen er | | | korrekt, oppdatert og | | | fullstendig, og hindre uønsket | | | endring, sletting eller | | | manipulering. | +----------------------------------+----------------------------------+ | Tilgjengelighet | Sikre at brukere har tilgang til | | | informasjon ved behov innenfor | | | de tilgjengelighetskrav som er | | | satt. | +----------------------------------+----------------------------------+ | Risikovurdering | Vurdering av trusler mot, | | | konsekvenser for og sårbarheten | | | til informasjonen og | | | informasjonssystemene, og | | | sannsynligheten for at | | | sikkerhetshendelser kan | | | inntreffe. | +----------------------------------+----------------------------------+ | Risikostyring | Prosessen med å identifisere, | | | kontrollere og redusere eller | | | eliminere sikkerhetsrisikoer som | | | kan påvirke | | | informasjonssystemer, innenfor | | | en akseptabel kostnadsramme. | +----------------------------------+----------------------------------+ | Systemeier | Den øverste lederen ved den | | | enheten som er ansvarlig for et | | | system eller en IT-tjeneste. | | | Alle systemer ved UiB skal ha en | | | definert systemeier. | +----------------------------------+----------------------------------+ | Forskningsansvarlig | Institusjon eller annen juridisk | | | eller fysisk person som har det | | | overordnede ansvaret for | | | forskningsprosjekt, og som har | | | de nødvendige forutsetningene | | | for å kunne oppfylle den | | | forskningsansvarliges plikter. | +----------------------------------+----------------------------------+ | Personvern | Omhandler retten til et | | | privatliv og retten til å | | | bestemme over egne | | | personopplysninger. | +----------------------------------+----------------------------------+ | Personopplysning | Alle former for data, | | | informasjon, opplysninger og | | | vurderinger som kan knyttes til | | | en enkeltperson. | +----------------------------------+----------------------------------+ | Behandlingsansvarlig | Den som alene eller sammen med | | | andre bestemmer formålet med | | | behandlingen av | | | personopplysninger og hvilke | | | midler som skal benyttes. | +----------------------------------+----------------------------------+ | Særlige kategorier av | Opplysninger om rasemessig eller | | personopplysninger | etnisk opprinnelse, politisk | | | oppfatning, religion, filosofisk | | | overbevisning eller | | | fagforeningsmedlemskap, | | | genetiske og biometriske | | | opplysninger, helseopplysninger | | | eller opplysninger om seksuelle | | | forhold. | +----------------------------------+----------------------------------+ | Informasjonsverdier | Alle typer data, opplysninger og | | | dataressurser (IT utstyr, | | | applikasjoner, systemer, | | | datanettverk m.m) som har | | | betydning for UiB sin virksomhet.| +----------------------------------+----------------------------------+ | Personvern-konsekvensvurdering | Lovpålagt vurdering når det er | | (DPIA) | sannsynlig at behandlingen av | | | personopplysninger medfører høy | | | risiko. | +----------------------------------+----------------------------------+ | IRT | Incident Response Team, et eget | | | team av ressurspersoner som er | | | utpekt særskilt til å håndtere | | | sikkerhetshendelser på IKT | | | området. | +----------------------------------+----------------------------------+ | IKT | Informasjons- og kommunikasjons- | | | teknologi. | +----------------------------------+----------------------------------+ | EduCSC | Cybersikkerhetssenteret hos SIKT,| | | innehar rollen som sektorvist | | | responsmiljø (SRM) for | | | universitets og høyskolesektoren.| | | Sektorvise responsmiljø inngår i | | | nasjonalt rammeverk for | | | håndtering av IKT-sikkerhets- | | | hendelser. | +----------------------------------+----------------------------------+ **2. Sikkerhetspolicy og policy for personvern** ------------------------------------------------ 2.1 Identifisering av kritiske verdier ved UiB ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mennesker, informasjon, herunder personopplysninger, omdømme, fysiske gjenstander og miljø anses som kritiske verdier ved UIB. 2.2 Overordnede sikkerhetsmål ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Følgende sikkerhetsmål skal gjelde for arbeidet med informasjonssikkerhet: - UiB skal sikre konfidensialitet, integritet og tilgjengelighet av informasjon på en tilfredsstillende måte i henhold til gjeldende lover, forskrifter og regler. - Informasjon som behandles ved UiB skal ha riktig sikkerhetsnivå basert på klassifisering og risikovurderinger, og behandles i henhold til dette. - Alle ansatte, studenter, eksterne brukere, samarbeidspartner og gjester skal være kjent med UiBs krav til informasjonssikkerhet, og er ansvarlig for å etterleve disse kravene. 2.3 Overordnede styringsmål for personvern ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Følgende styringsmål skal gjelde for arbeidet med personvern: - UiB skal kun samle inn personopplysninger for berettigete formål, og behandle opplysningene på en lovlig, rettferdig og åpen måte. - UiB skal ikke behandle personopplysninger i større utstrekning enn det som er nødvendig for å oppfylle universitetets formål. Når personopplysningene ikke lenger er nødvendige for formålet skal de slettes eller anonymiseres, med mindre det foreligger lovkrav eller skriftlige vurderinger som tilsier fortsatt oppbevaring. - Personopplysningene som behandles skal være korrekte og oppdaterte, og hvis ikke slettes eller rettes. - Alle som behandler personopplysninger ved UiB, skal være kjent med kravene i personopplysningsloven og etterleve disse kravene. 2.4 Sikkerhetsstrategi ~~~~~~~~~~~~~~~~~~~~~~ Alt arbeid med informasjonssikkerhet ved UiB skal basere seg på risikovurderinger. I tillegg skal arbeidet med informasjonssikkerhet basere seg på anbefalte og anerkjente standarder for styringssystemer for informasjonssikkerhet i offentlig sektor. IKT-reglementet regulerer bruken av IKT-systemene ved UiB, og gjelder for alle brukere. UiB skal utvikle en sikkerhetskultur hvor alle brukere har god kunnskap om, holdning og adferd med tanke på sikkerhetstrusler og sårbarheter. Det skal gjennomføres sikkerhetsrevisjoner som verifiserer at UiBs og eksterne myndigheters krav til informasjonssikkerhet er ivaretatt og fungerer etter sin hensikt. Arbeidet med informasjonssikkerhet skal bygge på prosesser for kontinuerlig forbedring. 2.5 Strategi for personvern ~~~~~~~~~~~~~~~~~~~~~~~~~~~ Arbeidet med personvern ved UiB skal basere seg på krav i personopplysningsloven i tillegg til bransjestandard. Det skal utarbeides retningslinjer for behandling av personopplysninger ved UiB for både forskningsdata, administrative data og andre data. For alle aktiviteter der det behandles personopplysninger skal det utføres risikovurderinger, og det skal vurderes om det må gjennomføres en personvernkonsekvensvurdering (DPIA). 2.6 Kompetanse ~~~~~~~~~~~~~~ UiB skal sørge for nødvendig opplæring og kompetanseheving for ledere og ansatte som har ansvar for informasjonssikkerhet og personvern. Alle som skal bruke UiB sine informasjonssystemer og som skal behandle personopplysninger skal ha nødvendig kunnskap om og få opplæring i informasjonssikkerhet og personvern. Brukerne skal være informert om rutiner for rapportering av avvik og sikkerhetsbrudd samt hensikten med dem. **3 Risikostyring** ------------------- Alt arbeid med informasjonssikkerhet og personvern skal basere seg på risikovurderinger. Risikovurderingen baseres på konkret vurdering av trusler og sårbarheter ved UiB, og tar utgangspunkt i informasjonsverdier som skal sikres. Risikovurderinger skal gjennomføres for alle system og personopplysningsbehandlinger og dokumenteres skriftlig i det til enhver tid gjeldende system UIB benytter. For hvert risikoelement vurderes sannsynligheten for at den skal inntreffe og konsekvensen av at den inntreffer. Konfidensialiteten og integriteten til informasjon skal vektlegges foran hensynet til tilgjengeligheten ved risikovurdering. Høye risikoer skal ikke aksepteres før det er gjort et grundig arbeid for å finne realistiske risikoreduserende tiltak. **4 Sikkerhetsorganisasjon, roller, ansvar og myndighet** --------------------------------------------------------- +-----------------------+----------------------------------+-------------------------+ | **Rolle/funksjon** | **Ansvar** | **Myndighet** | +-----------------------+----------------------------------+-------------------------+ | Rektor | Forskningsansvarlig ved UiB og | Kan samme med | | | behandlingsansvarlig for UiB sin | universitetsdirektør | | | behandling av personopplysninger | beslutte retnings- | | | som inngår i UiBs faglige | linjer for behandling | | | virksomhet. | av personopplysninger | +-----------------------+----------------------------------+-------------------------+ | Universitetsdirektør | Har overordnet ansvar for | Utpeker systemeiere for | | | informasjonssikkerheten | administrative systemer | | | ved UiB. | gir føringer for | | | | behandlingen. | | | Ansvarlig for sentral beredskap | | | | ved UIB, inkludert | Kan sammen med rektor | | | informasjonssikkerhetsberedskap. | beslutte retningslinjer | | | | for behandling av | | | Overordnet ansvarlig for å sikre | personopplysninger. | | | UIB sine eiendommer og fysiske | | | | gjenstander mot brann, tyveri og | Godkjenner eventuell | | | skadeverk. Overordnet ansvarlig | restrisiko der det | | | for sikring mot uautorisert | fremdeles foreligger | | | adgang i bygningsmassen. | risiko etter | | | | tiltaksgjennomføring. | | | Gjennomfører sammen med rektor | | | | ledelsens årlige gjennomgang og | Godkjenner årsplan for | | | godkjenner fremlagt rapport til | informasjonssikkerhet. | | | denne. | | +-----------------------+----------------------------------+-------------------------+ | IT- direktør | Operativt ansvarlig for | Kan iverksette tiltak | | | informasjonssikkerheten ved UiB. | eller beslutte | | | | gjennomføring av tiltak | | | Ansvarlig for forvaltning | for å hindre skade, | | | av SIP med alle vedlegg. | forebygge fare for | | | | skade, samt iverksette | | | I samråd med HR-direktør | tiltak med sikte på | | | ansvarlig for forvaltning | bevissikring og | | | av IKT reglementet. | koordinere tiltak for å | | | | utbedre eventuelle | | | Ansvarlig for utarbeidelse av | skader. | | | nødvendige sikkerhets- | | | | prosedyrer, retningslinjer og | Beslutter alle | | | rutiner for å ivareta sikkerhet | instrukser, | | | i UiBs systemer. | retningslinjer og | | | | rutiner samt øvrige | | | Ansvarlig for å utarbeide | vedlegg til SIP. | | | årsplan for informasjonssikkerhet| | | | samt oppfølging og gjennomføring | | | | av denne. | | | | | | | | Ansvarlig for å vedlikeholde | | | | oversikt over hvilke | | | | sikringstiltak som er etablert | | | | ved UiB. | | | | | | | | Systemeier for IKT infrastruktur | | | | og sentrale IKT tjenester, | | | | inkludert kommunikasjon, | | | | sikkerhetsløsninger, datalagring | | | | og sikkerhetskopiering. | | | | | | | | Ansvarlig for at det tilbys | | | | opplæring for systemeiere i | | | | deres roller. | | | | | | | | Ansvarlig for at det tilbys | | | | opplæring i informasjonssikkerhet| | | | for ansatte og studenter som | | | | brukere av informasjonsteknologi.| | | | | | | | Ansvarlig for å forvalte en | | | | oversikt over godkjente IT | | | | systemer der systemeiere er | | | | ansvarlige for å registrere sine | | | | systemer, og en oversikt over | | | | UiBs informasjonsverdier der | | | | informasjonseiere kan registrere | | | | sine verdier. | | | | | | | | Ansvarlig for å varsle | | | | universitetsledelsen og UiBs | | | | beredskapsledelse ved alvorlige | | | | hendelser og avvik. | | | | | | | | Ansvarlig for beredskap innen | | | | informasjonssikkerhet inkludert | | | | helhetlig kontinuitets- | | | | planlegging. | | | | | | | | Ansvarlig for at sikkerhets- | | | | revisjoner gjennomføres. | | +-----------------------+----------------------------------+-------------------------+ | Informasjons- | Informasjonssikkerhetsleder | | | sikkerhetsleder | er av IT-direktøren tildelt | | | | ansvar og myndighet innen | | | | informasjonssikkerhetsområdet | | | | og rapporterer til denne. | | | | | | | | Leder det løpende arbeidet med | | | | informasjonssikkerhet ved UIB | | | | og ser til at UIB overvåker | | | | sikkerhet i nettverk og systemer.| | | | | | | | Ansvar for at det gjennomføres | | | | sikkerhetsrevisjoner og | | | | -kontroller på tvers av UiBs | | | | virksomhet etter en helhetlig | | | | verdi- og risikovurdering og | | | | i henhold til UiBs struktur | | | | for andrelinje internkontroll. | | | | | | | | Behandler avvik på | | | | informasjonssikkerhet og | | | | personvern, og varsler | | | | relevante parter slik at det | | | | iverksettes tiltak ved behov. | | | | Holde IT-direktør orientert | | | | om arbeidet, og varsle ved | | | | vesentlige hendelser og avvik. | | | | | | | | Leder IRT Teamet og | | | | vedlikeholde beredskapsplaner | | | | for informasjonssikkerhet. | | | | | | | | Bidra til at opplæring og | | | | rådgivning innenfor | | | | informasjonssikkerhet og | | | | personvern gjennomføres. | | +-----------------------+----------------------------------+-------------------------+ | Systemeier | Ansvarlig for å ha nødvendige | | | | risikovurderinger, og at | | | | risikohåndtering og tiltak | | | | gjennomføres slik at gjenværende | | | | risiko er på et akseptabelt nivå.| | | | | | | | Ansvarlig for å sette | | | | sikkerhetsnivå i systemer man | | | | eier ut fra dokumentert | | | | klassifisering av informasjon | | | | og personinformasjon, samt å ha | | | | dokumentasjon på at | | | | informasjonssikkerhet og | | | | personvern ivaretas. | | | | | | | | Ansvarlig for sikker drift og | | | | forvaltning av systemene de eier | | | | i henhold til lover, forskrifter,| | | | regler og øvrige bestemmelser, | | | | inkludert SIP, i hele systemets | | | | levetid. | | | | | | | | Ansvarlig for at nødvendig | | | | opplæring tilbys og gjennomføres | | | | i tilknytningtil systemer de er | | | | eier av. | | | | | | | | Ansvarlig for å gjennomføre | | | | årlig egenrapportering til bruk | | | | i ledelsens gjennomgang. | | +-----------------------+----------------------------------+-------------------------+ | Dekan | Er delegert det operative | Kan delegere det | | | forskningsansvaret inkludert | operative forsknings- | | | personopplysningsbehandling. | ansvaret videre til | | | | instituttleder, | | | Ansvarlig for å ivareta | senterleder eller | | | forskningsaktivitetene på en | tilsvarende (eks. | | | forsvarlig måte i henhold til | prosjektleder for | | | over, regler, retningslinjer mv. | forskningsprosjekter) | +-----------------------+----------------------------------+-------------------------+ | Institttleder, | Kan ha fått delegert fra dekan | | | senterleder eller | det operative forsknings- | | | tilsvarende (eks. | ansvaret på sitt område, dette | | | prosjektleder) | inkluderer personopplysnings- | | | | behandling. | | +-----------------------+----------------------------------+-------------------------+ | Klinikkleder, | Operativt ansvarlig for | | | senterleder eller | behandling av personopplysninger| | | tilsvarende (eks. | om pasienter. | | | prosjektleder) | | | | | Ansvarlig for at det er innført | | | | nødvendige rutiner for å sikre | | | | konfidensialitet og kvalitet, | | | | samt at personopplysningene ikke | | | | ikke lagres lenger enn nødvendig.| | | | | | | | Ansvarlig for at det tilbys | | | | nødvendig opplæring i bruk av | | | | av IT-systemer og gjeldene | | | | rutiner. | | +-----------------------+----------------------------------+-------------------------+ | Avdelingsdirektør | Operativt ansvarlig for | | | ved Studieavdelingen | behandling av personopplysninger | | | | om søkere og studenter. | | | | | | | | Ansvarlig for at det er innført | | | | nødvendige rutiner for å sikre | | | | konfidensialitet og kvalitet, | | | | samt at personopplysningene ikke | | | | ikke lagres lenger enn nødvendig.| | | | | | | | Ansvarlig for at det tilbys | | | | nødvendig opplæring i bruk av | | | | av IT-systemer og gjeldene | | | | rutiner. | | +-----------------------+----------------------------------+-------------------------+ | HR-direktør | Operativt ansvarlig for | | | | behandling av personopplysninger | | | | om ansatte. | | | | | | | | Ansvarlig for at det er innført | | | | nødvendige rutiner for å sikre | | | | konfidensialitet og kvalitet, | | | | samt at personopplysningene ikke | | | | ikke lagres lenger enn nødvendig.| | | | | | | | Ansvarlig for at det tilbys | | | | nødvendig opplæring i bruk av | | | | av IT-systemer og gjeldene | | | | rutiner. | | +-----------------------+----------------------------------+-------------------------+ | Driftspersonell IT | Ansvarlig for å kjenne til alle | | | | deler av SIP og i særlig grad | | | | driftsinstruksen og de sikrings- | | | | tiltak som er etablert ved UiB. | | | | | | | | Ansvarlig or å varsle ved brudd | | | | på sikkerheten. | | +-----------------------+----------------------------------+-------------------------+ | Brukere | Ansvarlig for å holde seg | | | | oppdatert på gjeldende regler | | | | for informasjonssikkerhet og | | | | personvern, og følge disse. | | | | | | | | Ansvarlig for å gjennomføre | | | | pålagt opplæring innenfor | | | | informasjonssikkerhet og | | | | personvern. | | | | | | | | Ansvarlig for å ivareta | | | | informasjonssikkerheten og sikre | | | | ivaretakelse av personvern i | | | | forbindelse med utførelse av | | | | eget arbeid. | | | | | | | | Ansvarlig for å melde avvik i | | | | henhold til gjeldende rutiner | | | | ved brudd på informasjons- | | | | sikkerheten eller personvernet. | | +-----------------------+----------------------------------+-------------------------+ | Personvernombud | Skal informere og gi råd | Har en uavhengig rolle | | | til UIB sine brukere om | og kan varsle | | | forpliktelsene etter | Datatilsynet om avvik | | | personvernlovgivningen. | på eget initiativ uten | | | | godkjenning fra UiB. | | | Skal kontrollere UIB sin | | | | etterlevelse av | | | | personvernlovgivningen. | | | | | | | | Skal involveres på rett | | | | nivå i spørsmål som vedrører | | | | personvern. | | | | | | | | Skal gi råd ved utarbeidelse av | | | | DPIA. | | | | | | | | Skal involveres ved behov i | | | | håndtering av avvik. | | | | | | | | Skal håndtere henvendelser fra | | | | de registerte. | | | | | | | | Skal årlig rapportere om status | | | | på personvernområdet til | | | | universitetsstyret. | | +-----------------------+----------------------------------+-------------------------+ | Direktør ved | Operativt ansvarlig for å sikre | | | Eiendomsavdelingen | UiBs eiendommer og fysiske | | | | gjenstander mot brann, tyveri og | | | | skadeverk. | | | | | | | | Operativt ansvarlig for å sikre | | | | mot uautorisert adgang. | | +-----------------------+----------------------------------+-------------------------+ | IRT - Incident | Være virksomheten sin operative | | | Response Team | vaktstyrke for å overvåke, | | | | oppdage og håndtere IKT | | | | sikkerhetshendelser, og ha tett | | | | dialog med sektorvis | | | | responsmiljø i eduCSC (SIKT). | | | | | | +-----------------------+----------------------------------+-------------------------+ 4.1 Kontinuitetsplanlegging ~~~~~~~~~~~~~~~~~~~~~~~~~~~ Basert på en vurdering av relevante risikoer for driftsavbrudd, skal systemeier utarbeide planer og iverksette tiltak som kan redusere avbrudd ved sikkerhetssvikt til et akseptabelt nivå. For de sentrale og kritiske IKT-systemer, skal det utføres realistiske kontroller for å verifisere effektiviteten av de tiltakene som er iverksatt. 4.2 Fysisk sikkerhet ~~~~~~~~~~~~~~~~~~~~ Fysiske sikringstiltak skal gjennomføres basert på risikovurdering gjennomført av systemeier. IKT-utstyr som benyttes som basis for fellesfunksjoner (servere, datalager, nettverkstjenere m.m.) og kritiske systemer skal være plassert i lokaler som er fysisk sikret mot tilkomst for uvedkommende. 4.3 Beredskap ~~~~~~~~~~~~~ Beredskap for informasjonssikkerhet og personvern skal inngå i UiBs beredskapsplaner og beredskapsorganisasjon. IT-avdelingen skal ha en beredskapsplan og en beredskapsorganisasjon med særlig ansvar for informasjonssikkerhet. Beredskapen for informasjonssikkerhet og personvern skal bygge på ansvarsprinsippet, likhetsprinsippet, nærhetsprinsippet og samvirkeprinsippet. Som en del av beredskapen skal det eksistere et Incident Respons Team (IRT) ved IT avdelingen for særskilt håndtering av sikkerhetshendelser. Mandat og instruks for dette er vedlegg til styringssystem for informasjonssikkerhet og personvern del II, gjennomførende del. 4.4 Rapportering ~~~~~~~~~~~~~~~~ Ivaretagelse av informasjonssikkerhet og personvern er et lederansvar. Årlig skal det utarbeides en rapport til ledelsens gjennomgang. Rapporten oppsummerer arbeidet med informasjonssikkerhet og personvern. Rapporten fremmes til universitetsstyret i løpet av første kvartal påfølgende år av universitetsdirektør. Personvernombudet utarbeider egen årsrapport som fremmes universitetsstyret i separat sak, men bør såfremt det er mulig legge denne frem sammen med rapport for informasjonssikkerhet og personvern. I tillegg til denne faste årlige rapporteringen, skal universitetsledelsen holdes orientert om status for informasjonssikkerhet og personvern ved UiB. Universitetsstyret kan be om ytterligere rapportering utover årlig statusrapportering ved behov.