Styringssystem for informasjonssikkerhet og personvern (SIP) – Del I – Styrende del
Vedtatt i Universitetsstyret 26.11.2015, sist endret 20.2.2020
1 Styringssystem for informasjonssikkerhet og personvern (SIP)
1.1 Formål
Universitetet i Bergen (UiB) forvalter betydelige mengder informasjon inkludert personopplysninger. Denne informasjonen er av avgjørende betydning for UiBs forskning, utdanning og formidling. For å ivareta UiB sitt samfunnsoppdrag er det nødvendig at all informasjon som forvaltes er tilfredsstillende sikret mot brudd på konfidensialitet, integritet og tilgjengelighet i tråd med gjeldende lover, forskrifter og retningslinjer.
Universitetet i Bergen er underlagt en rekke lover og forskrifter hvor det stilles krav til informasjonssikkerhet og personvern relatert til UiBs håndtering av informasjon og personopplysninger. UiB er videre underlagt eierstyring fra Kunnskapsdepartementet.
For å ivareta disse behov og krav er det etablert et Styringssystem for informasjonssikkerhet og personvern (SIP).
Styringssystem for informasjonssikkerhet og personvern ved UiB skal bidra til at UiBs informasjonsverdier sikres på en systematisk, planmessig og tilfredsstillende måte.
Styringssystem for informasjonssikkerhet og personvern ved UiB skal bidra til å støtte opp under institusjonens mål, verdier og hovedoppgaver.
1.2 Beslutningsmyndighet
Den styrende delen av SIP besluttes av universitetsstyret.
Den styrende delen angir øvrig sikkerhetsorganisering med blant annet ansvar og mandat fordelt på øvrige roller, samt retningslinjer for behandling av personopplysninger.
Gjennomførende del av SIP besluttes av universitetsdirektøren i samråd med rektor eller den de bemyndiger til dette. Forvaltningen av SIP ved UiB er underlagt IT-direktøren.
1.3 Virkeområde
Styringssystem for informasjonssikkerhet og personvern ved UiB gjelder for:
UiBs organisasjon med de roller, oppgaver og myndighet den enkelte har, samt de strukturer og prosesser som er etablert for virksomheten.
Alle ansatte, studenter, eksterne brukere, innleid personell og gjester (heretter kalt brukere) ved UiB som behandler eller har tilgang til UiBs informasjon, eller informasjon lagret på UiBs utstyr, eller på utstyr tilkoblet UiBs infrastruktur.
All data- og informasjonsbehandling, lagring og prosesser for dette, uavhengig av lagrings- og prosesseringsform.
Infrastruktur, utstyr samt privat og annet eksternt utstyr som tilkobles UiBs infrastruktur.
1.4 Aktuelle lover, forskrifter og regler
Styringssystemet bygger på det til enhver tid gjeldende lovverk med forskrifter. Blant disse er:
Lov om behandling av personopplysninger (personopplysningsloven) inkludert personvernforordningen, GDPR.
Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) og Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften)
Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova)
Lov om arkiv (arkivlova) og Forskrift om offentlige arkiv
Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen)
Lov om opphavsrett til åndsverk mv. (åndsverkloven)
Lov om universiteter og høyskoler (universitets- og høyskoleloven)
Lov om medisinsk og helsefaglig forskning (helseforskningsloven)
Forskrift om organisering av medisinsk og helsefaglig forskning (helseforskningsforskriften)
Lov om helseregistre og behandling av helseopplysninger (helseregisterloven)
Lov om helsepersonell m.v. (helsepersonelloven).
UiB regelsamlingen
1.5 Definisjoner
I dette dokumentet benyttes følgende definisjoner:
Begrep |
Definisjoner |
Informasjonssikkerhet |
Beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet. |
Konfidensialitet |
Sikre at informasjonen og systemer kun er tilgjengelig for de som skal ha tilgang. |
Integritet |
Sikre at informasjonen er korrekt, oppdatert og fullstendig, og hindre uønsket endring, sletting eller manipulering. |
Tilgjengelighet |
Sikre at brukere har tilgang til informasjon ved behov innenfor de tilgjengelighetskrav som er satt. |
Risikovurdering |
Vurdering av trusler mot, konsekvenser for og sårbarheten til informasjonen og informasjonssystemene, og sannsynligheten for at sikkerhetshendelser kan inntreffe. |
Risikostyring |
Prosessen med å identifisere, kontrollere og redusere eller eliminere sikkerhetsrisikoer som kan påvirke informasjonssystemer, innenfor en akseptabel kostnadsramme. |
Systemeier |
Den øverste lederen ved den enheten som er ansvarlig for et system eller en IT-tjeneste. Alle systemer ved UiB skal ha en definert systemeier. |
Forskningsansvarlig |
Institusjon eller annen juridisk eller fysisk person som har det overordnede ansvaret for forskningsprosjekt, og som har de nødvendige forutsetningene for å kunne oppfylle den forskningsansvarliges plikter. |
Personvern |
Omhandler retten til et privatliv og retten til å bestemme over egne personopplysninger. |
Personopplysning |
Alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til en enkeltperson. |
Behandlingsansvarlig |
Den som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes. |
Særlige kategorier av personopplysninger |
Opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, genetiske og biometriske opplysninger, helseopplysninger eller opplysninger om seksuelle forhold. |
Personvern-konsekvensvurdering (DPIA) |
Lovpålagt vurdering når det er sannsynlig at behandlingen av personopplysninger medfører høy risiko. |
System |
Infrastruktur/utstyr, applikasjoner, tjenester og løsninger som behandler data i en eller annen form. |
2. Sikkerhetspolicy og policy for personvern
2.1 Identifisering av kritiske verdier ved UiB
Mennesker, informasjon, herunder personopplysninger, omdømme, fysiske gjenstander og miljø anses som kritiske verdier ved UIB.
2.2 Overordnede sikkerhetsmål
Følgende sikkerhetsmål skal gjelde for arbeidet med informasjonssikkerhet:
UiB skal sikre konfidensialitet, integritet og tilgjengelighet av informasjon på en tilfredsstillende måte i henhold til gjeldende lover, forskrifter og regler.
Informasjon som behandles ved UiB skal ha riktig sikkerhetsnivå basert på klassifisering og risikovurderinger, og behandles i henhold til dette.
Alle ansatte, studenter, eksterne brukere, samarbeidspartner og gjester skal være kjent med UiBs krav til informasjonssikkerhet og etterleve disse kravene.
2.3 Overordnede styringsmål for personvern
Følgende styringsmål skal gjelde for arbeidet med personvern:
UiB skal kun samle inn personopplysninger for berettigete formål, og behandle opplysningene på en lovlig, rettferdig og åpen måte.
UiB skal ikke behandle personopplysninger i større utstrekning enn det som er nødvendig for å oppfylle universitetets formål. Når personopplysningene ikke lenger er nødvendige for formålet skal de slettes eller anonymiseres.
Personopplysningene som behandles skal være korrekte og oppdaterte, og hvis ikke slettes eller rettes.
Alle som behandler personopplysninger ved UiB skal være kjent med kravene i personopplysningsloven og etterleve disse kravene.
2.4 Sikkerhetsstrategi
Alt arbeid med informasjonssikkerhet ved UiB skal basere seg på risikovurderinger.
I tillegg skal arbeidet med informasjonssikkerhet basere seg på anbefalte og anerkjente standarder for styringssystemer for informasjonssikkerhet i offentlig sektor.
IKT-reglementet regulerer bruken av IKT-systemene ved UiB, og gjelder for alle brukere.
UiB skal utvikle en sikkerhetskultur hvor alle brukere har god kunnskap om, holdning og adferd med tanke på sikkerhetstrusler og sårbarheter.
Det skal gjennomføres sikkerhetsrevisjoner som verifiserer at UiBs og eksterne myndigheters krav til informasjonssikkerhet er ivaretatt og fungerer etter sin hensikt.
Arbeidet med informasjonssikkerhet skal bygge på prosesser for kontinuerlig forbedring.
2.5 Strategi for personvern
Arbeidet med personvern ved UiB skal basere seg på krav i personopplysningsloven i tillegg til bransjestandard.
Det skal utarbeides retningslinjer for behandling av personopplysninger ved UiB for både forskningsdata, administrative data og andre data.
For alle aktiviteter der det behandles personopplysninger skal det utføres risikovurderinger, og det skal vurderes om det må gjennomføres en personvernkonsekvensvurdering (DPIA).
Det skal gjennomføres årlig rapportering fra fakultet med underliggende institutt og forskningsgrupper med hensyn på etterlevelse i behandling av persondata og andre forskningsdata. Universitetsdirektør eller den han eller hun utpeker kan gjennomføre stikkprøvekontroller for å sikre etterlevelse av personopplysningsloven.
2.6 Kompetanse
UiB skal sørge for nødvendig opplæring og kompetanseheving for ledere og ansatte som har ansvar for informasjonssikkerhet og personvern. Ledere ved UiB som har ansvar for informasjonssikkerhet og personvern skal sørge for ressurser til planlegging, gjennomføring og oppfølging av informasjonssikkerhet og personvern innenfor sine ansvarsområder. Dette inkluderer iverksetting av sikringstiltak som er nødvendige for å oppnå tilfredsstillende informasjonssikkerhet.
Alle som skal bruke UiB sine informasjonssystemer og som skal behandle personopplysninger skal ha nødvendig kunnskap om og få opplæring i informasjonssikkerhet og personvern.
Brukerne skal være informert om rutiner for rapportering av avvik og sikkerhetsbrudd samt hensikt med dem.
3 Risikostyring
Alt arbeid med informasjonssikkerhet og personvern skal basere seg på risikovurderinger. Risikovurderingen baseres på konkret vurdering av trusler og sårbarheter ved UiB. For systemer som er virksomhetskritiske eller der det behandles personopplysninger, skal det være utarbeidet risiko- og sårbarhetsanalyser.
Systemeier og de operativt ansvarlige for personvern er ansvarlige for at det gjennomføres risikovurderinger etter veiledning i SIP sin gjennomførende del.
For hvert risikoelement vurderes sannsynligheten for at den skal inntreffe og konsekvensen av at den inntreffer. Konfidensialiteten og integriteten til informasjon skal vektlegges foran hensynet til tilgjengeligheten ved risikovurdering.
Høye risikoer skal ikke aksepteres før det er gjort et grundig arbeid for å finne realistiske risikoreduserende tiltak. Kun universitetsdirektøren kan akseptere risikoer (restrisikoer) som fremdeles er svært høye etter godkjente tiltak.
4 Sikkerhetsorganisasjon, roller, ansvar og myndighet
4.1 Behandlingsansvarlig for personopplysninger
UiB ved rektor er behandlingsansvarlig for universitetets behandling av personopplysninger, herunder i både de administrative- og forskningssystemene.
Universitetsdirektøren utpeker systemeiere for administrative systemer som behandler personopplysninger, og gir føringer for behandlingen.
4.2 Operativt ansvar for behandling av personopplysninger
Rektor ved UiB har det overordnede faglige ansvar for forskningen som utføres ved universitetet, herunder i forskningssystemene, og er forskningsansvarlig.
Det operative forskningsansvaret er delegert til dekan på det enkelte fakultet. Det som i dette styringssystemet gjelder dekan gjelder også øverste faglige leder ved tilsvarende enheter på universitetet. Som forskningsansvarlig skal dekan sørge for at fakultetet til enhver tid er organisert for og har kapasitet til å ivareta forskningsaktiviteten ved fakultetet på en forsvarlig måte i hht lover, regler, retningslinjer mv, herunder behandling av personopplysninger. Dekan kan delegere oppgaver til instituttleder, senterleder eller tilsvarende. Forskningsansvaret gjelder all informasjon innsamlet til forskningsformål som behandles, uavhengig av lagringsform.
Avdelingsdirektør for Studieavdelingen er delegert det operative ansvaret for behandling av personopplysninger om søkere og studenter.
HR-direktøren er delegert det operative ansvaret for behandling av personopplysninger om ansatte.
Klinikkledere ved universitetsklinikkene er delegert det operative ansvaret for behandling av personopplysninger om pasienter.
Rektor kan sammen med universitetsdirektør beslutte retningslinjer for behandling av personopplysninger. De operativt ansvarlige skal sørge for at det er innført nødvendige rutiner for å sikre konfidensialitet og kvalitet, og at personopplysningene ikke lagres lengre enn nødvendig.
De operativt ansvarlige er også ansvarlig for at det tilbys nødvendig opplæring i bruk av IT-systemer og gjeldende rutiner.
4.3 Overordnet ansvar for informasjonssikkerhet
Universitetsdirektøren har etter delegasjon fra Universitetsstyret og i samråd med rektor, overordnet ansvar for informasjonssikkerheten ved UiB.
4.4 Operativt ansvar for informasjonssikkerhet
IT-direktør har operativt ansvar for informasjonssikkerheten ved UiB, med fullmakt til å treffe tiltak for å hindre skade og forebygge fare for skade, samt å iverksette tiltak med sikte på bevissikring og koordinere tiltak for å utbedre eventuelle skader.
IT-direktør godkjenner systemer som skal kobles til og tilby tjenester på UiBs nett, basert på oppfyllelse av krav til anskaffelse og sikker drift og forvaltning. Dette omfatter også UiBs systemer som settes opp hos tredjepart. For de systemer der IT-direktør er systemeier ivaretar IT-sikkerhetsansvarlig denne oppgaven.
IT-direktør har ansvaret for utarbeidelse og vedlikehold av IKT-reglement i samråd med HR-direktør. Universitetsstyret beslutter alle endringer.
IT-direktør skal støtte systemeiere ved UiB med utarbeidelse av nødvendige sikkerhetsprosedyrer og rutiner for å ivareta sikkerhet i deres systemer.
IT-direktør er systemeier for IKT-infrastruktur og sentrale IKT–tjenester, inkludert kommunikasjon, sikkerhetsløsninger, datalagring og sikkerhetskopiering.
4.5 Systemeieransvar
4.6 Krav til anskaffelse og sikker drift og forvaltning av systemer
4.7 Kontinuitetsplanlegging
Basert på en vurdering av relevante risikoer for driftsavbrudd, skal systemeier utarbeide planer og iverksette tiltak som kan redusere avbrudd ved sikkerhetssvikt til et akseptabelt nivå. For de sentrale og kritiske IKT-systemer, skal det utføres realistiske kontroller for å verifisere effektiviteten av de tiltakene som er iverksatt.
4.8 Fysisk sikkerhet
Universitetsdirektøren har overordnet ansvar for å sikre UIBs eiendommer og fysiske gjenstander mot brann, tyveri og skadeverk, samt for at lokalene skal være sikret mot uautorisert adgang.
Direktør ved eiendomsavdelingen har operativt ansvar, og har fullmakt til å treffe tiltak for å hindre skade og forebygge fare for skade, samt å iverksette tiltak med sikte på bevissikring og koordinere tiltak for å utbedre eventuelle skader.
Fysiske sikringstiltak skal gjennomføres basert på risikovurdering gjennomført av systemeier.
IKT-utstyr som benyttes som basis for fellesfunksjoner (servere, datalager, nettverkstjenere m.m.) og kritiske systemer skal være plassert i lokaler som er fysisk sikret mot tilkomst for uvedkommende.
4.9 Beredskap
Universitetsdirektøren har overordnet ansvar for den sentrale beredskapen ved UiB. Beredskap for informasjonssikkerhet inngår i den sentrale beredskapen.
4.10 Ansatte og studenter
Alle brukere av systemene ved UiB, samt de som behandler personopplysninger, har et ansvar for å ivareta informasjonssikkerheten og sikre ivaretagelse av personvernet i forbindelse med utførelsen av eget arbeid.
Alle er pliktig å melde avvik ved brudd på informasjonssikkerheten eller personopplysningsloven så snart de gjøres kjent med avviket. Avvik meldes i henhold til gjeldende retningslinjer for avviksrapportering ved UiB.