1. Innledning
Formål og hensikt
Høgskolen i Østfold forvalter store mengder personopplysninger og annen type informasjon, inkludert sensitiv informasjon, i administrasjon, forskning, kunstnerisk utviklingsarbeid, undervisning og formidling. Forvaltningen av denne informasjonen skal bidra til at virksomhetens arbeid utføres effektivt og med høy kvalitet innenfor sikre omgivelser og i tråd med lov og regelverk.
Informasjonssikkerhet
Informasjonssikkerhet har med sikring av informasjon og informasjonsverdier å gjøre, uavhengig av om den er lagret digitalt eller ikke. Med informasjonsverdier menes alle typer data, opplysninger og dataressurser (IT-utstyr, applikasjoner, systemer, datanettverk, osv.) som har betydning for høgskolens virksomhet, for samarbeidspartneres virksomhet eller for samfunnets sikkerhet. IT-sikkerhet har med sikring av Informasjons- og kommunikasjonsteknologi å gjøre – altså maskinvare og programvare. Grunnen til at IT-sikkerhet og informasjonssikkerhet ofte blir brukt om hverandre, er at mye informasjon er lagret og formidlet ved hjelp av IT. For å beskytte slik informasjon, må man beskytte teknologien den er lagret og formidlet på.
Et systematisk og planmessig arbeid for å sikre våre informasjonssverdier er en sentral del av HiØ sin kunnskapsforvaltning. Både interne og eksterne aktører – ledere, ansatte, studenter, samarbeidspartnere og offentligheten for øvrig – skal kunne stole på at HiØ sikrer informasjon i alle former
- Ikke blir kjent for uvedkommende (konfidensialitet)
- Ikke blir endret utilsiktet eller av uvedkommende (integritet)
- Er tilgjengelig ved legitimt behov (tilgjengelighet)
HiØ er underlagt lover og forskrifter (se kapittel 2) som pålegger oss å ha en tilfredsstillende informasjonssikkerhet. Ledelsesssystemet for informasjonssikkerhet og personvern ved HiØ skal ivareta de kravene som lovverket og Kunnskapsdepartementet (KD) stiller til arbeidet med informasjonssikkerhet i universitets- og høgskolesektoren gjennom "Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning."
Personvern
Det å sørge for at behandling av personopplysninger er i henhold til personopplysningsloven, GDPR samt annet relevant lovverk, er en sentral del av forpliktelsene til Høgskolen i Østfold. Dette innebærer mer enn å sikre at informasjonssikkerheten ivaretas, og HiØ må til enhver til sørge for overholdelsen av regelverket ved behandling av personopplysninger, slik som lovlig grunnlag for behandling av personopplysninger, god og korrekt informasjon om behandlingene, ivaretagelsen av de registrertes rettigheter mv.
Et systematisk og planmessig arbeid for å sikre at disse forpliktelsene overholdes i alle ledd av organisasjonen er derfor sentralt for å ivareta rettighetene og personvernet til personer vi behandler opplysninger om, og for å ivareta den tillit HiØ er avhengig av for å kunne opprettholde og utvikle sin virksomhet innen forskning, kunstnerisk utviklingsarbeid, utdanning og formidling.
Ledelsessystemet for informasjonssikkerhet og personvern ved Høgskolen i Østfold
Ledelsessystem for informasjonssikkerhet og personvern skal sørge for at HiØ sine informasjonsverdier håndteres på en systematisk, planmessig og tilfredsstillende måte. Ledelsessystemet inneholder blant annet mål, strategi og organisering av arbeidet med informasjonssikkerhet og personvern, samt beskrivelse av roller og ansvar, oversikt over informasjonsverdier, retningslinjer og relevante maler.
Ledelsessystemet besår av følgende hovedelementer:
- Styrende del – overordnede lover, forskrifter og retningslinjer for arbeidet med informasjonssikkerhet ved HiØ, herunder virkeområde, sikkerhetsmål - og strategi, kriterier for akseptabel risiko og sikkerhetsorganiseringen (kapittel 2-4)
- Gjennomførende – konkrete retningslinjer og rutiner, herunder risikovurderinger, klassifisering av informasjon, opplæring mv. (kapittel 5-8)
- Kontrollerende del – internrevisjon, rapportering av avvik, rapportering til ledelse, herunder ledelsens gjennomgang/ årsrapport. (kapittel 9-10)
Informasjonssikkerhet og personvern er et topplederansvar. Det operative ansvaret og det praktiske arbeidet med å ivareta informasjonssikkerheten og personvernet til de enkelte enhetene ved HiØ, jf. beskrivelse av sikkerhetsorganisasjonen med roller og ansvar i kapittel 4.
Ledelsessystemet for informasjonssikkerhet og personvern ved HiØ omfatter
- alle som får tilgang til HiØ sine informasjonsverdier (studenter, ansatte, gjester, samarbeidspartnere etc.)
- alle HiØ sine studiesteder/ campus (inkl. institusjoner i høgskolens randsone som benytter seg av høgskolens IT-tjenenester og IT-infrastruktur)
- all teknologi (IT-systemer, datanettverk, databaser/-registre etc.)
- alle informasjonsverdier
I tillegg vil relevante deler av ledelsessystemet gjøres gjeldende for HiØs oppdragsvirksomhet.
2. Regelverk
Høgskolen i Østfold er et forvaltningsorgan underlagt Kunnskapsdepartementet. Virksomheten har hovedmålsetninger som angitt i §§1-3 og 1-4 i Lov om universiteter og høgskoler. Innenfor disse hovedmålsettingene er høgskolens mål for sin virksomhet nedfelt i «Strategisk plan 2023-2030».
Identifikasjon av relevant lov- og regelverk
Foruten universitets- og høyskoleloven har følgende lover med tilhørende forskrifter særlig betydning for høgskolens arbeid med IT- og informasjonssikkerhet i sin virksomhet. Oversikten er ikke uttømmende:
- Forvaltningsloven inneholder blant annet saksbehandlingsregler for forvaltningen, herunder regler om habilitet for saksbehandler og andre som har med saken eller saksbehandleren å gjøre. Denne loven inneholder også regler om taushetsplikt (§§13-13e), informasjons- og veiledningsplikt, varsling og innsyn og klager og omgjøring av enkeltvedtak
- Offentleglova inneholder bestemmelser om i hvilken grad forvaltningens saksdokumenter skal være tilgjengelige for offentligheten. Hovedregelen er at dokumentene er tilgjengelige hvis ikke denne loven eller andre lover bestemmer noe annet. Offentleglova har også bestemmelser om meroffentlighet
- Åndsverkloven inneholder regler om rettigheter til åndsverk og andre relaterte rettigheter. Loven er viktig fordi den forteller hvilke rettigheter som eksisterer og hvilken utstrekning de har, som høgskolen igjen må respektere og skal overholdes innenfor høgskolens kontrollsfære, for eksempel via IT-tjenestene
- Personopplysningsloven inneholder hovedreglene for behandling av personopplysninger, informasjonssikkerhet og melde- og konsesjonsplikt, hvilke plikter høgskolen som behandlingsansvarlig har og hvilke rettigheter de registrerte har i forhold til Høgskolen i Østfold som behandlingsansvarlig
- Helseregisterloven, helsepersonelloven og lov om pasientrettigheter om blant annet behandling av klient-/pasientdata og taushetsplikt for helsepersonell
- Biobankloven inneholder særregler om biobanker som er relevante for HiØ særlig gjennom forskning innenfor helse
- Arkivloven inneholder regler om hvordan høgskolens arkiver skal operere og hvilke dokumenter som skal arkiveres
- Lov om medisinsk og helsefaglig forskning gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger.
Følgende lover og forskrifter har også betydning:
- Ekomloven gir regler om elektroniske kommunikasjonstjenester og tilbydere av slike. Selv om Høgskolen i Østfold som sådan ikke er en slik tilbyder, vil loven grunnet HiØs omfattende infrastruktur på IT-tjenesteområdet være en premissgivende regelsamling
- ehandelsloven gir regler om informasjonstjenester, herunder ISP-virksomhet og ansvarsfrihet i visse tilfeller for slike. Selv om Høgskolen i Østfold pr definisjon neppe faller inn under denne lovens bestemmelser når den gir studenter og ansatte tilgang til Internett, vil lovens regler angi rammer for akseptabel bruk og for bruk som kan være ansvarsbetingende
- Sikkerhetsloven gjelder for forvaltningsorgan og har som formål å legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, ivareta den enkeltes rettssikkerhet og trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste
- Loven om eksportkontroll gjelder kontroll med eksport av strategiske varer, tjenester og teknologi som kan være av betydning for andre lands utvikling, produskjon eller anvendelse av produkter til militært bruk eller som direkte kan tjene til å utvikle et lands militære evne samt varer og teknologi som kan benyttes til å utøve terrorhandlinger jfr straffeloven §147.
- Reglement for økonomistyring i staten inneholder både reglement og bestemmelser. Dette er kjent som RØS/BØS, og er et felles administrativt regelverk for økonomistyring i staten. En del av bestemmelsene er relevante for administrativ IT.
3. Sikkerhetsmål og sikkerhetsstrategi
God informasjonssikkerhet skal bidra til at HiØ oppnår sine strategiske målsettinger og ivaretar sitt samfunnsoppdrag. Konfidensialitet, integritet og tilgjengelighet for høgskolens informasjonsverdier skal ivaretas på en enhetlig og systematisk måte i hele organisasjonen. Informasjonsverdier skal være tilgjengelig for de som skal ha tilgang (tilgjengelighet), de skal sikres mot utilsiktet og urettmessig endring (integritet), og de skal ikke være tilgjengelig for uvedkommende (konfidensialitet).
Sikkerhetsmål
Ved Høgskolen i Østfold gjelder følgende mål for sikkerhetsarbeidet:
-
- Det skal være høy kvalitet på forvaltningen av all informasjon som benyttes i høgskolens kjerneaktiviteter
- Arbeidet med informasjonssikkerhet og personvern skal bidra til at HiØ ivaretar sine plikter som offentlig forvaltningsorgan og respekterer rettighetene til de registrerte, herunder ansatte, studenter og deltagere i forsknings- og studentprosjekter
- Arbeidet med informasjonssikkerhet og personvern skal oppfylle de enhver tid gjeldende krav som følger av lov og forskrift, samt krav fra Kunnskapsdepartementet
- Arbeidet med informasjonssikkerhet og personvern skal til enhver tid ivareta grunnleggende personvernhensyn
- Arbeidet med informasjonssikkerhet og personvern skal bidra til at alle skal kunne ha tillit til kvaliteten på all informasjon som kommuniseres og formidles av HiØ
- Arbeidet med informasjonssikkerhet og personvern skal bidra til at HiØ ivaretar sitt omdømme som profesjonelt og kompetent forvaltningsorgan
Akseptkriterier - Mål for akseptabel risiko.
Arbeidet med informasjonssikkerhet skal sørge for at informasjonsverdiene ved Høgskolen i Østfold til enhver tid er tilfredsstillende sikret mot brudd på konfidensialiteten, integriteten og tilgjengeligheten. For å oppnå tilfredsstillende informasjonssikkerhet skal arbeidet basere seg på følgende kriterier for akseptabel risiko:
Åpen informasjon:
Integriteten og tilgjengeligheten til informasjon som skal være offentlig tilgjengelig, uavhengig av om dette dreier som forsknings-, undervisnings- eller administrativ informasjon, skal prioriteres. Integriteten til informasjonen skal vektlegges foran hensynet til tilgjengeligheten.
Intern informasjon:
Konfidensialiteten og integriteten til informasjon som benyttes i intern administrasjon og saksbehandling eller i pågående eller planlagt forskning/studentforskning skal prioriteres høyt. Dette omfatter blant annet informasjon som er unntatt offentlighet, upubliserte artikkel- eller bokmanus, ikke-konfidensielle forskningsdata som ikke er godkjent for publisering/offentliggjøring av prosjektleder, utkast til strategier/planer eller ikke-publiserte forslag til forskningsprosjekter. Det aksepteres kun mindre brudd på denne informasjonens konfidensialitet og integritet. Kortere avbrudd i informasjonens tilgjengelighet aksepteres.
Sensitiv informasjon:
Konfidensialiteten og integriteten til informasjon som er spesielt beskyttelsesverdig eller som er underlagt særskilt rettslig regulering skal prioriteres særlig høyt.
- Det aksepteres ikke brudd på konfidensialiteten eller integriteten til sensitive personopplysninger. Kortere avbrudd i personopplysningers tilgjengelighet aksepteres.
- Det aksepteres ikke brudd på konfidensialiteten og integriteten til konfidensielle forskningsdata som ikke er godkjent for publisering/offentliggjøring av prosjektleder. Kortere avbrudd i forskningsdataenes tilgjengelighet aksepteres.
- Det aksepteres ikke brudd på konfidensialiteten og integriteten til eksamensoppgaver (tekster/forslag) og eksamensbesvarelser. Det samme gjelder uferdige eller innleverte studentoppgaver (bachelor/master) og avhandlinger (p.hd.) som ikke skal eller ikke er godkjent for publisering/offentliggjøring. Korte avbrudd i tilgjengeligheten aksepteres dersom dette ikke vanskeliggjør eksamensgjennomføring eller innlevering og sensurering av eksamensbesvarelser, studentoppgaver eller p.hd.-avhandlinger.
Sikkerhetsstrategi
For å realisere sikkerhetsmålene og for å sørge for tilfredsstillende informasjonssikkerhet og personvern, skal arbeidet med informasjonssikkerhet og personvern basere seg på følgende hovedprioriteringer:
- Alt arbeid med informasjonssikkerhet og personvern skal basere seg på risikovurderinger.
- Høgskolens ledergruppe ved HiØ skal bevilge nødvendige ressurser til opplæring og kompetanseheving for ledere og ansatte som er delegert ansvar for personvern og informasjonssikkerhet eller som er pålagt å utføre konkrete arbeidsoppgaver.
- Ledere ved HiØ som er delegert ansvar for informasjonssikkerhet og personvern skal sørge for at ressurser bevilges til planlegging, gjennomføring og oppfølging av pålagte arbeidsoppgaver innenfor deres ansvarsområder.
- Alle brukere av informasjonsverdier ved HiØ skal informeres om rutiner for sikker håndtering av disse.
- Alle brukere av informasjonsverdier ved HiØ skal informeres om HiØ sitt avvikssystem og ha en forståelse av når avvik skal meldes.
- Fjerndrift av HiØ sine informasjonsverdier, eks.vis. bruk av skytjenester, kan bare skje dersom dokumentert risikonivå vurderes å være akseptabelt og nødvendige avtaler er inngått og blir fulgt opp.
4. Roller, ansvar og oppgaver
I det følgende gis en nærmere beskrivelse sikkerhetsorganiseringen innenfor informasjonssikkerhet og personvern ved HiØ, og hvilket ansvar og hvilke oppgaver som er lagt til de ulike rollene. Dette følger av delegasjonsreglementet, og utdypes i følgende beskrivelser:
Rektor
- vedtar ledelsessystem for informasjonssikkerhet og personvern ved HiØ
- har det overordnede ansvar for informasjonssikkerhet og personvern ved HiØ
- skal årlig informeres om status for arbeidet med informasjonssikkerhet og personvern (jf. kap 10 «ledelsens gjennomgang»)
- skal informeres om spesielt alvorlige sikkerhetsbrudd av CISO
CISO
- tildelt ansvar og myndighet innen informasjonssikkerhet og personvern fra rektor og rapporterer direkte til denne
- skal lede faggruppe for informasjonssikkerhet og personvern og sørge for at gruppen til enhver tid innehar rett kapasitet og kompetanse
- skal lede Høgskolens IRT (Incident Response Team) og sørge for at teamet til enhver til innehar rett kapasitet og kompetanse
- skal involveres i håndteringen av avvik etter personvernlovgivningen
- skal sammen med personvernombudet, innkalle og lede forum for personvern og informasjonssikkerhet
- har det operative ansvaret for protokollføring over alle behandlingsaktiviteter ved HiØ, både i rollen som behandlingsansvarlig og som databehandler.
Personvernombudet
- skal kontrollere HiØ sin overholdelse av personvernlovgivningen
- skal involveres i håndteringen av avvik etter personvernlovgivningen
- skal opptre uavhengig og gi høgskolens ledelergruppe råd som er objektive og kvalifiserte ut i fra personvernhensyn
- skal informere og gi råd til HiØ sine ansatte og studenter om gjeldende forpliktelser etter personvernlovgivningen
- skal vurdere og gi råd i forbindelse med personvernkonsekvensvurderinger (DPIA) og kontrollere gjennomføringen av disse vurderingene
- skal utarbeide årlig rapport som skal tas inn som vedlegg til årsrapport for informasjonssikkerhet og personvern
- kan kontaktes direkte av de registrerte med spørsmål om HiØ sin behandling av deres personopplysninger, og om utøvelsen av sine rettigheter etter personvernforordningen (GDPR)
Direktør for digitaliseringsavdelingen:
- har ansvar for rett kapasitet og bemanning i arbeidet med informasjonssikkerhet og personvern
- har ansvar for at systemeiere får bistand ved utforming av krav til informasjonssikkerhet og personvern ved anskaffelse av nye systemer
- har ansvar for drift av sentrale IT-systemer, og skal ivareta tilfredsstillende sikkerhet på IT-tjenester basert på risikovurderinger
- har ansvar for at systemer og infrastruktur med tilhørende sikkerhetstiltak dokumenteres
- har ansvar for at sikkerhetspolicy, retningslinjer og prosedyrer for den tekniske infrastrukturen blir utarbeidet og vedlikeholdt
- har ansvar for at IT-reglementet blir utarbeidet og vedlikeholdt
Direktør for økonomiavdelingen
- har ansvar for at sikring av tilgang til bygninger, rom og områder er i tråd med kriterier for akseptabel risiko
- har ansvar for bistand til enheter ved risikovurderinger av fysisk sikkerhet og ved gjennomføring av nødvendige fysiske sikringstiltak
Direktør for forskningsavdelingen
- har ansvar for rett kapasitet og bemanning i arbeidet med personvern innenfor forskning, kunstnerisk utviklingsarbeid og formidling
- skal utpeke HiØs kontaktperson opp mot personverntjenester i SIKT. Kontaktpersonen har ansvar for mottak og intern oppfølging av personvernkonsekvensvurderinger (DPIA) som personverntjenester i SIKT utarbeider på vegne av HiØ og avholde årlig statusmøte med Sikt personverntjenester
Alle ledere
- er ansvarlige for å tilfredsstille krav til informasjonssikkerhet og personvern i egen enhet
- skal sørge for at nødvendige risikovurderinger gjennomføres
- skal iverksette tiltak dersom det er nødvendig for å ivareta informasjonssikkerheten og personvernet i egen enhet
- har det overordnede ansvaret for at personvernkonsekvensvurderinger (DPIA) iverksettes der det er påkrevd etter personvernforordningen (GDPR) art. 35
- skal følge opp avviksmeldinger i egen enhet og sørge for at disse blir lukket, med eventuelt bistand fra Faggruppen for informasjonssikkerhet og personvern
- skal sørge for nødvendig opplæring av ansatte i egen enhet om de rutiner og retningslinjer som gjelder til enhver tid, og sørge for at kravene i ledelsessystemet til egen enhet blir fulgt
Systemeiere
- skal stille krav til informasjonssikkerhet i anskaffelse, utvikling og vedlikehold av informasjon og informasjonssystemer, i samråd med Digitaliseringsavdelingen
- har ansvar for å følge HiØs retningslinjer for IT-anskaffelser, deriblant inngåelse av avtaler for bruk og databehandling, utføre ROS og følge opp eventuelle tiltak, ha fokus på innebygd personvern, universell utforming, tilgangsstyring med mere
Leder av forskningsprosjekt
- opptre på vegne av HiØ som behandlingsansvarlig institusjon for hva gjelder det konkrete forskningsprosjektet
- har det daglige ansvaret for at informasjonssikkerhet og personvern ivaretas i forskningsprosjektet
- har ansvaret for at det gjennomføres personvernkonsekvensvurderinger (DPIA) dersom det er påkrevd etter personvernforordningen (GDPR) art. 35.
- har ansvaret for å følge de til enhver tid gjeldende retningslinjer for håndtering av forskningsdata og retningslinjer for prosjektleder i FOU-prosjekt
- melder prosjekter som behandler personopplysninger til Sikt personverntjenester
Studentveiledere
- opptre på vegne av HiØ som behandlingsansvarlig institusjon for hva gjelder det konkrete studentprosjektet (eksempelvis praksis-/ bachelor-/masteroppgave)
- har ansvaret for at det gjennomføres personvernkonsekvensvurderinger (DPIA) dersom det er påkrevd etter personvernforordningen (GDPR) art. 35.
- har ansvaret for å følge de til enhver tid gjeldende retningslinjer for studentprosjekter
Ansatte og studenter
- har plikt til å gjøre seg kjent med og følge de sikkerhetsrutiner og retningslinjer som til enhver tid gjelder
- har plikt til å forhindre og rapportere hendelser som kan innebære avvik, samt rapportere avvik når disse oppstår, gjennom avviksmeldingssystemet
Incident Response Team (IRT)
- ledes av CISO
- skal iverksette, eller beordre iverksatt, ethvert tiltak som vurderes som tjenlig for å avverge skade på HiØ sine IT-systemer og informasjonsverdier i samråd med direktør for Digitaliseringsavdelingen
- skal rapportere om sikkerhetshendelser, skadepotensial og skadeomfang til direktør for Digitaliseringsavdelingen og iverksette tiltak
- skal overvåke vesentlige endringer i trusler mot HiØ sine informasjonsverdier
Faggruppe for informasjonssikkerhet og personvern
- ledes av CISO
- har myndighet til å få innsyn i alle opplysninger som er nødvendig for å følge opp hendelser og avvik innenfor informasjonssikkerhet og personvern
- skal drive opplysningsvirksomhet, rådgivning og opplæring innen informasjonssikkerhet og personvern
- skal vedlikeholde overordnet regelverk og rutiner for informasjonssikkerhet og personvern, herunder rammeverk for risikovurderinger
- har myndighet til å igangsette internrevisjoner innenfor informasjonssikkerhet og/eller personvern, på alle enheter og innenfor alle virksomhetsområder
- faggruppens informasjonsside
Forum for informasjonssikkerhet og personvern
- ledes av CISO
- skal være et faglig forum for opplæring og utveksling av erfaringer på tvers av høgskolens administrative linjer
- mandat for forumet
5. Klassifisering av informasjon
En forutsetning for å kunne si noe om akseptabel bruk, samt behovet for sikkerhetstiltak, er at det er foretatt en klassifisering av informasjonen som behandles. Klassifiseringen ligger til grunn for hvilken grad av sikring (IT-teknisk, organisatorisk og fysisk) informasjonen skal underlegges. Videre vil klassifisering bidra til å oppnå en oversikt over hvilke informasjonsverdier HiØ forvalter.
Klassifiseringen gir personer som skal behandle informasjonsverdier en konkret indikasjon og veiledning på hvordan denne skal håndteres og beskyttes.
Retningslinjer for klassifisering av informasjonsverdier.
6. Risiko- og sårbarhetsananlyser
Risikovurderinger skal avdekke mulige uønskede hendelser/trusler som kan føre til brudd på informasjonssikkerheten ved HiØ. Vurderingene er derfor sentrale i arbeidet med å sikre trygg og sikker behandling av HiØ sine informasjonsverdier. I tillegg til å avdekke hva som kan gå galt, skal den avdekke hva vi har gjort og hva vi ytterligere kan gjøre for å hindre at uønskede hendelser inntreffer, samt redusere konsekvensene dersom de likevel skjer.
Dersom risikoen for at en eller flere uønskede hendelser skjer er større enn det som anses som akseptabelt, må denne risikoen håndteres ved at forebyggende tiltak iverksettes.
Risikovurderinger skal foretas:
- før oppstart av behandling av personopplysninger
- ved oppstart eller endring av forskningsprosjekter
- ved etablering eller endring av IKT-systemer
- ved organisatoriske endringer som kan påvirke informasjonssikkerheten
- når trusselbildet endres
Alle risikovurderinger skal dokumenteres. Dersom risikovurderinger avdekker tilfeller som skal følges opp, skal det navngis hvem som har ansvar for å fastsette relevante tiltak og plan for oppfølgning av disse. Risikovurderingen skal dokumenteres og tilgjengeliggjøres til CISO for etterkontroll.
Mal for gjennomføring av risiko- og sårbarhetsanalyse finner du her.
7. Opplæring
Opplæring skal bidra til å bygge en god sikkerhetskultur ved HiØ. Den skal bevisstgjøre ansatte og studenter om betydningen av informasjonssikkerhet og personvern, samt gjøre dem i stand til å etterleve IT-reglementet ved Høgskolen i Østfold i sitt daglige virke. Opplæring i informasjonssikkerhet og personvern må derfor tas inn som en naturlig del av opplæringen av studenter og ansatte på alle nivå i organisasjonen. Systemeiere er spesielt ansvarlig for opplæring i sine respektive systemer.
Ledere har et overordnet ansvar for at nødvendig informasjon blir gitt til de ansatte, og at det blir satt av tid og ressurser til opplæring. For å sikre at dette ansvaret blir ivaretatt skal informasjonssikkerhet og personvern inngå i HiØs lederopplæring.
Informasjon om informasjonssikkerhet og personvern ved HiØ skal være lett tilgjengelig for alle via høgskolens nettsider og andre relevante kanaler.
Alle som er tildelt sentrale roller og oppgaver i sikkerhetsarbeidet skal gis spesiell opplæring ved behov. Eksterne kurs, seminarer og deltakelse i relevante nettverk er viktig for å sikre utveksling av informasjon og øke kompetansen hos denne gruppen ansatte.
8. Håndtering av hendelser og avvik
Avvik er brudd på lover, forskrifter eller interne bestemmelser ved HiØ. Innmeldte avvik og håndteringen av disse er en sentral kilde for å både vurdere sikkerhetsnivået ved de enhetene der avvik inntreffer samt for HiØ sett under ett. Oversikten over innmeldte avvik vil kunne avdekke behov for nye eller justere eksisterende sikringstiltak. Avvikshåndtering handler således om kvalitet og forbedring, i tillegg til skadebegrensning.
I denne sammenheng kan avvik og hendelser være av sikkerhetsmessig art, og/eller brudd på personvernlovgivningen.
Eksempler på hendelser og avvik:
- tyveri av datautstyr
- misbruk av IT-tjenester
- misbruk av passord
- fakturasvindel eller andre svindelforsøk
- dataangrep
- datalekkasje
- løsepengevirus
- svakheter i IT-systemer
- brudd på eller manglende rutiner ved HiØ
- fortrolig informasjon på avveie
- uautorisert tilgang til opplysninger
- bruk av databehandler uten tilstrekkelig avtale
- innsamling av personopplysninger utover det man hadde legitim bruk for (brudd på dataminimeringsprinsippet)
- behandling av personopplysninger uten lovlig grunnlag, herunder viderebehandling til nye formål uten at man har lovlig adgang til dette
Melding og håndtering av hendelser og avvik
Den som oppdager, eller blir gjort oppmerksom på, hendelser og avvik (heretter «avvik») skal melde inn dette via høgskolens avvikssystem – Si ifra.
Ansvaret for planlegging og gjennomføring av korrigerende tiltak vil normalt sett ligge til den enheten hvor avviket oppsto, og personvernombudet og CISO vil alltid motta en kopi av avvik som meldes inn.
Faggruppen for informasjonssikkerhet og personvern kan bistå enheten med hvordan avviket bør håndteres. Faggruppen har myndighet til å involvere de personellressurser som er nødvendig for å få fulgt opp og lukket avviket.
CISO skal føre en samlet oversikt over alle avvik som er meldt inn. Disse skal blant annet inngå i ledelsens gjennomgang, og benyttes for læring på tvers i organisasjonen for å hindre gjentakelse.
Melding til Datatilsynet
Ved avvik som innebærer brudd på personopplysningssikkerheten skal HiØ som behandlingsansvarlig melde fra til Datatilsynet uten ugrunnet opphold og senest 72 klokketimer etter å ha fått kjennskap til avviket. Det er derfor svært viktig at avvik meldes så raskt som mulig.
Melding til Datatilsynet gjøres av CISO med bistand fra personvernombudet.
Orientering om slike saker skal alltid oversendes rektor.
Så langt som det er mulig, skal personvernombudet bli orientert om saken og få tilgang til avviksmeldingen før den sendes. Hvis sakens art tilsier det skal personvernombudet involveres direkte i håndteringen av avviket fra et så tidlig tidspunkt som mulig. Personvernombudet har imidlertid alltid anledning til å aktivt involvere seg i håndteringen av alle avvik som innebærer brudd, eller potensielle brudd, på personopplysningssikkerheten.
9. Internkontroll og sikkerhetsrevisjon
Formålet med kontrollaktiviteter er å kunne vurdere i hvilken grad de etablerte retningslinjene er tilstrekkelige og effektive for å sikre etterlevelse av relevant regelverk og overordnede føringer. Gjennom kontrollerende aktiviteter vil det kunne avdekkes forbedringsområder knyttet til eksisterende tiltak og identifiseres eventuelle ytterligere tiltak som bør iverksettes.
Kontrollaktiviteter skjer jevnlig gjennom hele året, og består blant annet av:
- oppfølgingsmøter med ledelsen ved alle Instituttene og seksjonene ved HiØ
- påse at rutinen for IT-anskaffelser følges og at man bruker godkjente verktøy og lagrer data i henhold til lagringsguiden
- stikkprøver av behandlingsprotokollene våre
- stikkprøver av Sikt meldingsarkiv
- stikkprøver av ROS og kontroll av om oppfølgingspunkter blir fulgt
Internrevisjon
Internrevisjon av ledelsessystemet for informasjonssikkerhet og personvern skal gjennomføres ved behov, og som hovedregel ikke sjeldnere enn hvert femte år.
10. Ledelsens gjennomgang
Ledelsens gjennomgang er et årlig møte der CISO informerer toppledelsen om status for arbeidet med informasjonssikkerhet og personvern.
Ledelsens gjennomgang skal omhandle:
- avvik og hendelser, herunder eventuelle trender som det bør rettes særskilt oppmerksomhet mot
- risikobildet for HiØ
- resultater/oppfølging av kontrollaktiviteter
- resultater/oppfølging av internrevisjon, dersom aktuelt
- resultater/oppfølging av eksterne revisjoner, dersom aktuelt
- tilstand for risikohåndtering ved HiØ
- status på vedtatte tiltak fra forrige gjennomgang
- behov for justeringer av ledelsessystemet
- ressurs- og kompetansebehov, herunder om det foreligger særlige behov for kommende år
I tillegg til denne faste, årlige rapporteringen skal det gjennomføres møter med rektor, organisasjonsdirektør, digitalingseringsdirektør, sikkerhet- og beredskapsrådgiver og CISO ved behov og minst 1 gang pr semester.
Årsrapport og årsplan
Innholdet som presenteres under ledelsens gjennomgang skal dokumenteres skriftlig i form av en årsrapport som oppsummerer året som har gått. Denne leveres til ledelsen sammen med årsrapporten til personvernombudet.
I tillegg til årsrapporten skal det utarbeides en handlingsplan for kommende år innen arbeidet med informasjonssikkerhetsarbeidet og personvern. Årsplanen redegjør for prioriterte tiltak og planlagt arbeid i kommende år. Årsplanen godkjennes av digitaliseringsdirektør og legges frem for rektor til orientering.