Styringssystem for informasjonssikkerhet og personvern (SIP) – Del III – Kontrollerende del ============================================================================================= 1 Styringssystem for informasjonssikkerhet og personvern – oversikt ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Godkjent av universitetsdirektør og rektor 5.10.2020, jf sak nr. 2015/11386 Styringssystem for informasjonssikkerhet og personvern (SIP) ved Universitetet i Bergen (UiB) består av tre deler: I. Styrende del II. Gjennomførende del III. Kontrollerende del Den styrende delen består av to dokumenter *Styringsdokument* og *IKT-reglementet ved UiB*. Disse to besluttes av universitetsstyret. I *Styringsdokumentet* beskrives virkeområdet for styringssystemet, sikkerhetsmål, sikkerhetsstrategi og fordeling av ansvar og arbeidsoppgaver. *IKT-reglementet* regulerer bruken av UiBs IT-systemer, IT-utstyr og IT-anlegg. Del II Gjennomførende del gir utfyllende beskrivelse av ansvar og oppgaver som skal gjennomføres i henhold til SIP og godkjennes av universitetsdirektør og rektor. Dette dokumentet, Del III Kontrollerende del, beskriver kontrollerende aktiviteter som inngår i Styringssystem for informasjonssikkerhet og beredskap. I tillegg gjelder bestemmelsene om internkontroll mv i *Retningslinjer - Overordnede rammer for behandling av personopplysninger ved Universitetet i Bergen*. Disse inngår i UiBs Styringssystem for informasjonssikkerhet og personvern. Bestemmelsene i Styringssystemet for informasjonssikkerhet og personvern gjelder for alle IT-systemer og utstyr ved UiB og for alle som arbeider eller studerer ved UiB i henhold til bestemmelsene i SIP Del I. 2 Gjennomgang av IT-sikkerhet og personvern ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Universitetsdirektør eller IT-direktør kan iverksette skriftlig eller stedlig gjennomgang for å påse at sikker drift og forvaltning av IT-systemer er ivaretatt og at personvernbestemmelsene samt de øvrige bestemmelsene i SIP samt relevant lovverk, forskrifter og statlige føringer, etterleves. Gjennomganger kan videre igangsettes på bakgrunn av sikkerhetsavvik. Den som utøver et databehandleransvar, UiBs personvernombud, UiBs IT-sikkerhetsansvarlig og systemeiere kan be om slik gjennomgang. IT-direktør eller universitetsdirektør utpeker de som skal gjennomføre gjennomgangen, og kan angi en tidsfrist for gjennomføring og rapportering. Gjennomganger skal normalt varsles i god tid, ha et klart formål og en tydelig avgrensning. Gjennomganger kan varsles og iverksettes tilpasset det aktuelle risikobildet. Resultatet av gjennomgangen skal meldes til den som har bemyndiget denne. Gjennomganger kan inneholde undersøkelse av IT-systemer, sikkerhetsoppsett, lagring og konfigurasjon, organisering og rutiner, tiltak fra risikovurderinger, relevant dokumentasjon, samt oppfølging av eventuelle utfordringer avdekket i den årlige egenrapporteringen eller tekniske observasjoner. 3 Avvikshåndtering ~~~~~~~~~~~~~~~~~~ Alle brudd eller mulige brudd på konfidensialitet, tilgjengelighet eller integritet i UiBs IT-systemer og data skal meldes via UiBs saksbehandlingssystem for IT-tjenester til UiBs brukerstøtte og behandles særskilt og loggføres. Det samme gjelder ethvert forsøk på uautorisert eller ulovlig bruk av UiBs IT-systemer. IT-sikkerhetsansvarlig eller den vedkommende utpeker skal varsles om alle slike avvik. Alvorlige avvik skal uten unødvendig opphold meldes IT-direktør. Brudd på tilgjengelighet som skyldes ordinære driftsforstyrrelser skal ikke behandles som IT-sikkerhetsavvik. Avvik der personopplysninger kan komme på avveie og medføre brudd på Lov om personopplysninger (GDPR) skal varsles umiddelbart til systemeier, UiBs personvernombud og til IT-direktør eller IT-sikkerhetsansvarlig, slik at universitetet har mulighet til å vurdere risiko og konsekvenser, iverksette tiltak og varsle videre til Datatilsynet innen fristen på 72 timer. 4 Egenrapportering sikkerhetsrevisjon ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ En gang i året skal alle systemeiere gjennomføre en egenvurdering av IT-sikkerhet i sine systemer og etterlevelse av bestemmelsene i Styringssystem for informasjonssikkerhet og personvern. Rapporteringen skjer via skjema utformet og utsendt av IT-sikkerhetsansvarlig. Samlet oversikt fra egenrapporteringen inngår i ledelsens årlige gjennomgang.