Styringssystem for informasjonssikkerhet og personvern (SIP) – Del I – Styrende del ==================================================================================== Vedtatt i Universitetsstyret 26.11.2015, sist endret 20.2.2020 **1 Styringssystem for informasjonssikkerhet og personvern (SIP)** ------------------------------------------------------------------ 1.1 Formål ~~~~~~~~~~ Universitetet i Bergen (UiB) forvalter betydelige mengder informasjon inkludert personopplysninger. Denne informasjonen er av avgjørende betydning for UiBs forskning, utdanning og formidling. For å ivareta UiB sitt samfunnsoppdrag er det nødvendig at all informasjon som forvaltes er tilfredsstillende sikret mot brudd på konfidensialitet, integritet og tilgjengelighet i tråd med gjeldende lover, forskrifter og retningslinjer. Universitetet i Bergen er underlagt en rekke lover og forskrifter hvor det stilles krav til informasjonssikkerhet og personvern relatert til UiBs håndtering av informasjon og personopplysninger. UiB er videre underlagt eierstyring fra Kunnskapsdepartementet. For å ivareta disse behov og krav er det etablert et Styringssystem for informasjonssikkerhet og personvern (SIP). Styringssystem for informasjonssikkerhet og personvern ved UiB skal bidra til at UiBs informasjonsverdier sikres på en systematisk, planmessig og tilfredsstillende måte. Styringssystem for informasjonssikkerhet og personvern ved UiB skal bidra til å støtte opp under institusjonens mål, verdier og hovedoppgaver. 1.2 Beslutningsmyndighet ~~~~~~~~~~~~~~~~~~~~~~~~ Den styrende delen av SIP besluttes av universitetsstyret. Den styrende delen angir øvrig sikkerhetsorganisering med blant annet ansvar og mandat fordelt på øvrige roller, samt retningslinjer for behandling av personopplysninger. Gjennomførende del av SIP besluttes av universitetsdirektøren i samråd med rektor eller den de bemyndiger til dette. Forvaltningen av SIP ved UiB er underlagt IT-direktøren. 1.3 Virkeområde ~~~~~~~~~~~~~~~ Styringssystem for informasjonssikkerhet og personvern ved UiB gjelder for: - UiBs organisasjon med de roller, oppgaver og myndighet den enkelte har, samt de strukturer og prosesser som er etablert for virksomheten. - Alle ansatte, studenter, eksterne brukere, innleid personell og gjester (heretter kalt brukere) ved UiB som behandler eller har tilgang til UiBs informasjon, eller informasjon lagret på UiBs utstyr, eller på utstyr tilkoblet UiBs infrastruktur. - All data- og informasjonsbehandling, lagring og prosesser for dette, uavhengig av lagrings- og prosesseringsform. - Infrastruktur, utstyr samt privat og annet eksternt utstyr som tilkobles UiBs infrastruktur. 1.4 Aktuelle lover, forskrifter og regler ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Styringssystemet bygger på det til enhver tid gjeldende lovverk med forskrifter. Blant disse er: - Lov om behandling av personopplysninger (personopplysningsloven) inkludert personvernforordningen, GDPR. - Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) og Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) - Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova) - Lov om arkiv (arkivlova) og Forskrift om offentlige arkiv - Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen) - Lov om opphavsrett til åndsverk mv. (åndsverkloven) - Lov om universiteter og høyskoler (universitets- og høyskoleloven) - Lov om medisinsk og helsefaglig forskning (helseforskningsloven) - Forskrift om organisering av medisinsk og helsefaglig forskning (helseforskningsforskriften) - Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) - Lov om helsepersonell m.v. (helsepersonelloven). - UiB regelsamlingen 1.5 Definisjoner ~~~~~~~~~~~~~~~~ I dette dokumentet benyttes følgende definisjoner: +----------------------------------+----------------------------------+ | **Begrep** | **Definisjoner** | +----------------------------------+----------------------------------+ | Informasjonssikkerhet | Beskyttelse av informasjonens | | | konfidensialitet, integritet og | | | tilgjengelighet. | +----------------------------------+----------------------------------+ | Konfidensialitet | Sikre at informasjonen og | | | systemer kun er tilgjengelig for | | | de som skal ha tilgang. | +----------------------------------+----------------------------------+ | Integritet | Sikre at informasjonen er | | | korrekt, oppdatert og | | | fullstendig, og hindre uønsket | | | endring, sletting eller | | | manipulering. | +----------------------------------+----------------------------------+ | Tilgjengelighet | Sikre at brukere har tilgang til | | | informasjon ved behov innenfor | | | de tilgjengelighetskrav som er | | | satt. | +----------------------------------+----------------------------------+ | Risikovurdering | Vurdering av trusler mot, | | | konsekvenser for og sårbarheten | | | til informasjonen og | | | informasjonssystemene, og | | | sannsynligheten for at | | | sikkerhetshendelser kan | | | inntreffe. | +----------------------------------+----------------------------------+ | Risikostyring | Prosessen med å identifisere, | | | kontrollere og redusere eller | | | eliminere sikkerhetsrisikoer som | | | kan påvirke | | | informasjonssystemer, innenfor | | | en akseptabel kostnadsramme. | +----------------------------------+----------------------------------+ | Systemeier | Den øverste lederen ved den | | | enheten som er ansvarlig for et | | | system eller en IT-tjeneste. | | | Alle systemer ved UiB skal ha en | | | definert systemeier. | +----------------------------------+----------------------------------+ | Forskningsansvarlig | Institusjon eller annen juridisk | | | eller fysisk person som har det | | | overordnede ansvaret for | | | forskningsprosjekt, og som har | | | de nødvendige forutsetningene | | | for å kunne oppfylle den | | | forskningsansvarliges plikter. | +----------------------------------+----------------------------------+ | Personvern | Omhandler retten til et | | | privatliv og retten til å | | | bestemme over egne | | | personopplysninger. | +----------------------------------+----------------------------------+ | Personopplysning | Alle former for data, | | | informasjon, opplysninger og | | | vurderinger som kan knyttes til | | | en enkeltperson. | +----------------------------------+----------------------------------+ | Behandlingsansvarlig | Den som alene eller sammen med | | | andre bestemmer formålet med | | | behandlingen av | | | personopplysninger og hvilke | | | midler som skal benyttes. | +----------------------------------+----------------------------------+ | Særlige kategorier av | Opplysninger om rasemessig eller | | personopplysninger | etnisk opprinnelse, politisk | | | oppfatning, religion, filosofisk | | | overbevisning eller | | | fagforeningsmedlemskap, | | | genetiske og biometriske | | | opplysninger, helseopplysninger | | | eller opplysninger om seksuelle | | | forhold. | +----------------------------------+----------------------------------+ | Personvern-konsekvensvurdering | Lovpålagt vurdering når det er | | (DPIA) | sannsynlig at behandlingen av | | | personopplysninger medfører høy | | | risiko. | +----------------------------------+----------------------------------+ | System | Infrastruktur/utstyr, | | | applikasjoner, tjenester og | | | løsninger som behandler data i | | | en eller annen form. | +----------------------------------+----------------------------------+ **2. Sikkerhetspolicy og policy for personvern** ------------------------------------------------ 2.1 Identifisering av kritiske verdier ved UiB ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mennesker, informasjon, herunder personopplysninger, omdømme, fysiske gjenstander og miljø anses som kritiske verdier ved UIB. 2.2 Overordnede sikkerhetsmål ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Følgende sikkerhetsmål skal gjelde for arbeidet med informasjonssikkerhet: - UiB skal sikre konfidensialitet, integritet og tilgjengelighet av informasjon på en tilfredsstillende måte i henhold til gjeldende lover, forskrifter og regler. - Informasjon som behandles ved UiB skal ha riktig sikkerhetsnivå basert på klassifisering og risikovurderinger, og behandles i henhold til dette. - Alle ansatte, studenter, eksterne brukere, samarbeidspartner og gjester skal være kjent med UiBs krav til informasjonssikkerhet og etterleve disse kravene. 2.3 Overordnede styringsmål for personvern ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Følgende styringsmål skal gjelde for arbeidet med personvern: - UiB skal kun samle inn personopplysninger for berettigete formål, og behandle opplysningene på en lovlig, rettferdig og åpen måte. - UiB skal ikke behandle personopplysninger i større utstrekning enn det som er nødvendig for å oppfylle universitetets formål. Når personopplysningene ikke lenger er nødvendige for formålet skal de slettes eller anonymiseres. - Personopplysningene som behandles skal være korrekte og oppdaterte, og hvis ikke slettes eller rettes. - Alle som behandler personopplysninger ved UiB skal være kjent med kravene i personopplysningsloven og etterleve disse kravene. 2.4 Sikkerhetsstrategi ~~~~~~~~~~~~~~~~~~~~~~ Alt arbeid med informasjonssikkerhet ved UiB skal basere seg på risikovurderinger. I tillegg skal arbeidet med informasjonssikkerhet basere seg på anbefalte og anerkjente standarder for styringssystemer for informasjonssikkerhet i offentlig sektor. IKT-reglementet regulerer bruken av IKT-systemene ved UiB, og gjelder for alle brukere. UiB skal utvikle en sikkerhetskultur hvor alle brukere har god kunnskap om, holdning og adferd med tanke på sikkerhetstrusler og sårbarheter. Det skal gjennomføres sikkerhetsrevisjoner som verifiserer at UiBs og eksterne myndigheters krav til informasjonssikkerhet er ivaretatt og fungerer etter sin hensikt. Arbeidet med informasjonssikkerhet skal bygge på prosesser for kontinuerlig forbedring. 2.5 Strategi for personvern ~~~~~~~~~~~~~~~~~~~~~~~~~~~ Arbeidet med personvern ved UiB skal basere seg på krav i personopplysningsloven i tillegg til bransjestandard. Det skal utarbeides retningslinjer for behandling av personopplysninger ved UiB for både forskningsdata, administrative data og andre data. For alle aktiviteter der det behandles personopplysninger skal det utføres risikovurderinger, og det skal vurderes om det må gjennomføres en personvernkonsekvensvurdering (DPIA). Det skal gjennomføres årlig rapportering fra fakultet med underliggende institutt og forskningsgrupper med hensyn på etterlevelse i behandling av persondata og andre forskningsdata. Universitetsdirektør eller den han eller hun utpeker kan gjennomføre stikkprøvekontroller for å sikre etterlevelse av personopplysningsloven. 2.6 Kompetanse ~~~~~~~~~~~~~~ UiB skal sørge for nødvendig opplæring og kompetanseheving for ledere og ansatte som har ansvar for informasjonssikkerhet og personvern. Ledere ved UiB som har ansvar for informasjonssikkerhet og personvern skal sørge for ressurser til planlegging, gjennomføring og oppfølging av informasjonssikkerhet og personvern innenfor sine ansvarsområder. Dette inkluderer iverksetting av sikringstiltak som er nødvendige for å oppnå tilfredsstillende informasjonssikkerhet. Alle som skal bruke UiB sine informasjonssystemer og som skal behandle personopplysninger skal ha nødvendig kunnskap om og få opplæring i informasjonssikkerhet og personvern. Brukerne skal være informert om rutiner for rapportering av avvik og sikkerhetsbrudd samt hensikt med dem. **3 Risikostyring** ------------------- Alt arbeid med informasjonssikkerhet og personvern skal basere seg på risikovurderinger. Risikovurderingen baseres på konkret vurdering av trusler og sårbarheter ved UiB. For systemer som er virksomhetskritiske eller der det behandles personopplysninger, skal det være utarbeidet risiko- og sårbarhetsanalyser. Systemeier og de operativt ansvarlige for personvern er ansvarlige for at det gjennomføres risikovurderinger etter veiledning i SIP sin gjennomførende del. For hvert risikoelement vurderes sannsynligheten for at den skal inntreffe og konsekvensen av at den inntreffer. Konfidensialiteten og integriteten til informasjon skal vektlegges foran hensynet til tilgjengeligheten ved risikovurdering. Høye risikoer skal ikke aksepteres før det er gjort et grundig arbeid for å finne realistiske risikoreduserende tiltak. Kun universitetsdirektøren kan akseptere risikoer (restrisikoer) som fremdeles er svært høye etter godkjente tiltak. **4 Sikkerhetsorganisasjon, roller, ansvar og myndighet** --------------------------------------------------------- 4.1 Behandlingsansvarlig for personopplysninger ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ UiB ved rektor er behandlingsansvarlig for universitetets behandling av personopplysninger, herunder i både de administrative- og forskningssystemene. Universitetsdirektøren utpeker systemeiere for administrative systemer som behandler personopplysninger, og gir føringer for behandlingen. 4.2 Operativt ansvar for behandling av personopplysninger ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Rektor ved UiB har det overordnede faglige ansvar for forskningen som utføres ved universitetet, herunder i forskningssystemene, og er forskningsansvarlig. Det operative forskningsansvaret er delegert til dekan på det enkelte fakultet. Det som i dette styringssystemet gjelder dekan gjelder også øverste faglige leder ved tilsvarende enheter på universitetet. Som forskningsansvarlig skal dekan sørge for at fakultetet til enhver tid er organisert for og har kapasitet til å ivareta forskningsaktiviteten ved fakultetet på en forsvarlig måte i hht lover, regler, retningslinjer mv, herunder behandling av personopplysninger. Dekan kan delegere oppgaver til instituttleder, senterleder eller tilsvarende. Forskningsansvaret gjelder all informasjon innsamlet til forskningsformål som behandles, uavhengig av lagringsform. Avdelingsdirektør for Studieavdelingen er delegert det operative ansvaret for behandling av personopplysninger om søkere og studenter. HR-direktøren er delegert det operative ansvaret for behandling av personopplysninger om ansatte. Klinikkledere ved universitetsklinikkene er delegert det operative ansvaret for behandling av personopplysninger om pasienter. Rektor kan sammen med universitetsdirektør beslutte retningslinjer for behandling av personopplysninger. De operativt ansvarlige skal sørge for at det er innført nødvendige rutiner for å sikre konfidensialitet og kvalitet, og at personopplysningene ikke lagres lengre enn nødvendig. De operativt ansvarlige er også ansvarlig for at det tilbys nødvendig opplæring i bruk av IT-systemer og gjeldende rutiner. 4.3 Overordnet ansvar for informasjonssikkerhet ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Universitetsdirektøren har etter delegasjon fra Universitetsstyret og i samråd med rektor, overordnet ansvar for informasjonssikkerheten ved UiB. 4.4 Operativt ansvar for informasjonssikkerhet ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ IT-direktør har operativt ansvar for informasjonssikkerheten ved UiB, med fullmakt til å treffe tiltak for å hindre skade og forebygge fare for skade, samt å iverksette tiltak med sikte på bevissikring og koordinere tiltak for å utbedre eventuelle skader. IT-direktør godkjenner systemer som skal kobles til og tilby tjenester på UiBs nett, basert på oppfyllelse av krav til anskaffelse og sikker drift og forvaltning. Dette omfatter også UiBs systemer som settes opp hos tredjepart. For de systemer der IT-direktør er systemeier ivaretar IT-sikkerhetsansvarlig denne oppgaven. IT-direktør har ansvaret for utarbeidelse og vedlikehold av IKT-reglement i samråd med HR-direktør. Universitetsstyret beslutter alle endringer. IT-direktør skal støtte systemeiere ved UiB med utarbeidelse av nødvendige sikkerhetsprosedyrer og rutiner for å ivareta sikkerhet i deres systemer. IT-direktør er systemeier for IKT-infrastruktur og sentrale IKT–tjenester, inkludert kommunikasjon, sikkerhetsløsninger, datalagring og sikkerhetskopiering. 4.5 Systemeieransvar ~~~~~~~~~~~~~~~~~~~~ | Systemeier er den øverste lederen ved enheten som eier systemene og er ansvarlig for de enkelte systemene innenfor enheten. Der det ikke er utpekt en systemeier, regnes leder ved den enheten som har utviklet eller anskaffet systemet for bruk ved UiB, som systemeier. | Sammen med IT-direktør har systemeier ansvar for fastsetting av sikkerhetsnivået i systemene og kontroll av at informasjonssikkerheten og personvernet ivaretas. | Systemeier har ansvar for å fastlegge formålet med behandlingen av personopplysninger i systemet og ivaretagelse av innebygd personvern. Systemeier har også ansvaret for forebyggende informasjonssikkerhet for sine egne systemer, og skal utarbeide nødvendige sikkerhetsdokumentasjon, veiledninger og rutiner for systemene med støtte fra IT-direktør. 4.6 Krav til anskaffelse og sikker drift og forvaltning av systemer ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ | Ved anskaffelse eller utvikling av nye systemer har systemeier ansvar for at kravene til informasjonssikkerhet og personvern blir innfridd. | Systemeier skal sørge for sikker drift og forvaltning av systemene i henhold til lover, forskrifter, regler og øvrige bestemmelser, inkludert alle deler av UiBs styringssystem for informasjonssikkerhet og personvern. 4.7 Kontinuitetsplanlegging ~~~~~~~~~~~~~~~~~~~~~~~~~~~ Basert på en vurdering av relevante risikoer for driftsavbrudd, skal systemeier utarbeide planer og iverksette tiltak som kan redusere avbrudd ved sikkerhetssvikt til et akseptabelt nivå. For de sentrale og kritiske IKT-systemer, skal det utføres realistiske kontroller for å verifisere effektiviteten av de tiltakene som er iverksatt. 4.8 Fysisk sikkerhet ~~~~~~~~~~~~~~~~~~~~ Universitetsdirektøren har overordnet ansvar for å sikre UIBs eiendommer og fysiske gjenstander mot brann, tyveri og skadeverk, samt for at lokalene skal være sikret mot uautorisert adgang. Direktør ved eiendomsavdelingen har operativt ansvar, og har fullmakt til å treffe tiltak for å hindre skade og forebygge fare for skade, samt å iverksette tiltak med sikte på bevissikring og koordinere tiltak for å utbedre eventuelle skader. Fysiske sikringstiltak skal gjennomføres basert på risikovurdering gjennomført av systemeier. IKT-utstyr som benyttes som basis for fellesfunksjoner (servere, datalager, nettverkstjenere m.m.) og kritiske systemer skal være plassert i lokaler som er fysisk sikret mot tilkomst for uvedkommende. 4.9 Beredskap ~~~~~~~~~~~~~ Universitetsdirektøren har overordnet ansvar for den sentrale beredskapen ved UiB. Beredskap for informasjonssikkerhet inngår i den sentrale beredskapen. 4.10 Ansatte og studenter ~~~~~~~~~~~~~~~~~~~~~~~~~ Alle brukere av systemene ved UiB, samt de som behandler personopplysninger, har et ansvar for å ivareta informasjonssikkerheten og sikre ivaretagelse av personvernet i forbindelse med utførelsen av eget arbeid. Alle er pliktig å melde avvik ved brudd på informasjonssikkerheten eller personopplysningsloven så snart de gjøres kjent med avviket. Avvik meldes i henhold til gjeldende retningslinjer for avviksrapportering ved UiB.