Skip to Content

Employment

Employment

Health, Safety and Environment / Safety / Data security

Policy for informasjonssikkerhet og personvern

Policy for informasjonssikkerhet og personvern inngår i OsloMets styringssystem for informasjonssikkerhet (ISMS).

Innhold

Om Policyen

1. Formål

2. Hvem OsloMets Policy for informasjonssikkerhet og personvern gjelder for

3. Sentrale lover og forskrifter på informasjonssikkerhetsområde

4. Definisjoner

5. Overordnede prinsipper

6. Sikkerhetsmål

7. Risikomål og –aksept

8. Sikkerhetsstrategi

9. Roller og ansvar

Om Policyen

Type dokument: Policy

Forvaltes av: Direktør: ORV/DI

Godkjent av: Rektor 29.05.2020

Klassifisering: Åpen

Gjelder fra: 01.07.2020

Gjelder til: Frem til revisjon

Unntatt offentlighet: Nei

Referanse ISO: 27001; 5.1.1, 5.1.2

Referanse LOV/Regel: eForvaltningsforskriften §15 og § 20, personvernforordningen artikkel 5, 24, 32

Referanse interne dokumenter: Policyen er overordnet retningslinjer på informasjonssikkerhets- og personvernområdet Versjon 1.00

1. Formål

Formålet med policy for informasjonssikkerhet og personvern er å ivareta de informasjonsverdier som utvikles, behandles og forvaltes gjennom OsloMets forskning, utdanning, herunder kunstnerisk utviklingsarbeid, formidling, nyskaping og administrasjon, og overholdelse av gjeldende lover og regler. Policy for informasjonssikkerhet og personvern stadfester mål og strategi for informasjonssikkerhet og personvern i virksomheten, og setter rammer for arbeidet med ivaretakelse av OsloMets informasjonsverdier og for den digitale sikkerheten i OsloMets IKT-infrastruktur.

Policy for informasjonssikkerhet og personvern inngår i OsloMets styringssystem for informasjonssikkerhet (ISMS), som skal gi rammene for en systematisk og helhetlig praksis mellom styrende, gjennomførende og kontrollerende del av arbeidet med informasjonssikkerhet. ISMS skal igjen være en integrert del av OsloMets helhetlige virksomhetsstyring.

2. Hvem OsloMets Policy for informasjonssikkerhet og personvern gjelder for

OsloMets policy for informasjonsvirksomhet og personvern gjelder for

  • Alle ansatte ved OsloMet 
  • Alle studenter ved OsloMet
  • Alle som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom OsloMets IKT-infrastruktur

3. Sentrale lover og forskrifter på informasjonssikkerhetsområdet

Personopplysningsloven (og personvernforordningen – GDPR) gir regler for vern av fysiske personer i forbindelse med behandling av personopplysninger, plikter for OsloMet som behandlingsansvarlig, bruk av personvernombud og rettigheter for den registrerte

Forvaltningsloven (og eForvaltningsforskriften) – krav til saksbehandling, dokumentasjon og forsvarlighet, også krav til internkontroll og informasjonssikkerhet

  • Offentleglova – krav om at OsloMet som offentlig virksomhet skal være åpen for innsyn, samtidig unnta for innsyn der loven åpner for eller krever det.
  • Arkivloven - inneholder regler om hvilke dokumenter som skal arkiveres og krav til arkiveringen
  • Helseforskningsloven – krav til organisering, roller og ansvar i helseforskning
  • Helseregisterloven og helsepersonelloven – regler om behandling av pasientdata og taushetsplikt for helsepersonell
  • Forskningsetikkloven – regler om at forskning skal skje i henhold til anerkjente forskningsetiske normer, for forsker og institusjon
  • Åndsverkloven - inneholder regler om immaterielle rettigheter og bruk av bilder
  • Beskyttelsesintruksen og sikkerhetsloven – stiller krav til klassifisering og håndtering av informasjon.
  • Eksportkontrolloven – gir regler om kontroll med og forbud mot eksport av strategiske varer, tjenester og teknologi, herunder forbud mot ulovlig kunnskapsoverføring

I tillegg kan andre lover og forskrifter være relevante: ekomloven, politiregisterloven, behandlingsbiobankloven, pasientjournalloven, mv.

Arbeidet med informasjonssikkerhet og personvern skal også forholde seg til enhver tid relevante og gjeldende styringsdokumenter, herunder UNITs policyer, Nasjonal strategi for digital sikkerhet, anbefalinger fra Nasjonal sikkerhetsmyndighet mm.

4. Definisjoner

IKT-infrastruktur: Med OsloMets IKT-infrastruktur menes alt utstyr, digital informasjon, informasjonssystemer og tjenester som benyttes til informasjonsbehandling og kommunikasjon.

Informasjonssikkerhet: Informasjonssikkerhet handler om å sikre informasjon ut ifra krav om konfidensialitet, integritet og tilgjengelighet.

Informasjonsverdier: Deles inn i to kategorier: Primærverdier handler om hva vi gjør og hvordan, og informasjonen vi benytter:

  • forretningsprosesser og aktiviteter
  • informasjon, herunder personopplysning

Sekundærverdier handler om de verktøyene vi bruker og kompetansen hos de som bruker verktøyene:

  • hardware
  • software
  • nettverk
  • ansatte
  • studenter
  • andre som benytter OsloMets IKT-infrastruktur
  • lokasjoner
  • organisasjonsstrukturer

Integritet: Integritet betyr å sikre at informasjon er korrekt, gyldig og fullstendig og ikke kan endres utilsiktet eller av uvedkommende.

Internkontroll: Systematiske styrings- og kontrolltiltak som skal sikre at institusjonens aktiviteter planlegges, organiseres, utføres, sikres og vedlikeholdes i samsvar med krav fastsatt i eller i medhold av lov, og styrende dokumenter.

Konfidensialitet: Konfidensialitet betyr å sikre at informasjonen ikke blir kjent for uvedkommende, men at informasjon og informasjonssystemer bare er tilgjengelig for de som har et tjenstlig behov.

Risikoeier: En risikoeier er en leder som er pekt ut som ansvarlig for å nå ett eller flere mål for virksomheten og for å få utført tilhørende arbeidsoppgaver. Risikoeieransvaret følger linjen. I andre kontekster kalles de gjerne mål- og resultatansvarlig, oppgaveeier eller prosesseier.

Risikostyring: Risikostyring refererer til et samordnet sett av aktiviteter og metoder som brukes til å lede en organisasjon og å kontrollere de mange risikoene som kan påvirke måloppnåelsen.

Styringssystem: Styringssystemet for informasjonssikkerhet ved OsloMet følger ISO 27001- standarden, og angir et systematisk arbeid ut fra et sett med styrende dokumenter og prosessbeskrivelser med angitte roller og ansvarsforhold, en aktiv internkontroll og forbedringssløyfer. I praksis fungerer styringssystemet i en tredeling mellom styrende del (ledelseselementet), gjennomførende del (linjen, herunder brukere og prosesseiere) og av kontrollerende del (løpende internkontroll, intern- og ekstern revisjon).

Systemeier: En systemeier er en leder som er ansvarlig for å utvikle, forvalte og/eller drifte et informasjonssystem på vegne av OsloMet. Systemeier benytter ofte en utpekt systemforvalter som operativt ansvarlig for de oppgaver systemeier har ansvaret for. En som oppbevarer data kan også anses som systemeier. Det vil være i tilfeller der følgende er oppfylt:

  • informasjonen tilhører eller er underlagt OsloMets regelverk
  • informasjonen benyttes, transporteres eller lagres på
    • IT-systemer
    • personlige enheter
    • annet medium hvor OsloMet IT eller linjeleder ikke er systemeier

Tilgjengelighet: Tilgjengelighet betyr å sikre at informasjon og informasjonssystemer er tilgjengelig ved behov innenfor de tilgjengelighetskrav som er satt.

5. Overordnede prinsipper

OsloMet skaper, formidler og forvalter informasjonsverdier på vegne av samfunnet, ansatte, studenter og samarbeidspartnere. OsloMet skal ivareta konfidensialitet, integritet og tilgjengelighet til informasjonsverdiene i henhold til gjeldende lover, forskrifter, føringer fra myndighetene, samfunnsoppdraget og informasjonseiernes interesser.

OsloMet skal ha oversikt over sine informasjonsverdier, og hvilke personopplysninger som behandles. Ved behandling av personopplysninger stiller regelverket (personopplysningsloven) krav til informasjonssikkerheten. Ved behandling av personopplysninger aksepteres ikke brudd på konfidensialiteten og integriteten.

Informasjonssikkerhet er et gjennomgående risikoområde som må håndteres innen alle OsloMets virksomhetsområder. Arbeidet med informasjonssikkerhet skal bygge på prosesser for kontinuerlig forbedring. OsloMet skal ivareta informasjonssikkerheten som en integrert del av øvrig virksomhetsstyring og gjennom sitt systematiske kvalitetsarbeid.

Ved all informasjonsbehandling foreligger det en risiko for brudd på konfidensialitet, integritet og tilgjengelighet. Risikoaksept og tiltak skal stå i forhold til sannsynligheten for og konsekvensen av sikkerhetsbrudd som fremkommer i risiko- og sårbarhetsanalyser. Restrisiko skal være akseptert av risikoier som del av lederansvaret.

Internkontroll og sikkerhetsarbeid skal så langt det er hensiktsmessig være integrert på tvers av internkontrollområder. Det skal gjennomføres sikkerhetsrevisjoner som verifiserer at OsloMet og eksterne myndigheters krav til informasjonssikkerhet er ivaretatt og fungerer etter sin hensikt. Sikkerhetsrevisjoner skal gjennomføres hvert andre år.

6. Sikkerhetsmål

OsloMet har vedtatt følgende mål for informasjonssikkerheten:

  • Informasjonssikkerhet skal være en integrert og en naturlig del i alle prosesser, tjenester og systemer ved OsloMet.
  • Informasjonsverdiene som behandles innen OsloMets virksomhetsområder forskning, utdanning, nyskaping, formidling og administrasjon skal vurderes og håndtereres slik at informasjonen sikres og personvernet ikke krenkes.
  • Informasjonsverdienes konfidensialitet, integritet og tilgjengelighet skal ha riktig sikkerhetsnivå basert på klassifisering og risikovurderinger. Registrertes rettigheter, herunder forskningsdeltakeres rettigheter, skal sikres. Offentlighetens rett til innsyn etter offentleglova skal ivaretas.
  • Alle ansatte, studenter, og øvrige som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom OsloMets IKT-infrastruktur, skal være kjent med og etterleve 6 OsloMets krav til informasjonssikkerhet, gitt i sikkerhetsinnstruksen. Brudd på etterlevelse kan sanksjoneres.

7. Risikomål og –aksept

Ved OsloMet aksepteres ikke lovbrudd.

Ved OsloMet aksepteres ikke aktivitet som setter liv og helse i fare. Innenfor informasjonssikkerhet og personvern innebærer det at brudd på konfidensialitet og integritet som setter liv og helse i fare ikke aksepteres.

Risikoaksept skal framkomme som resultat av fremsatte krav i retningslinje for risikostyring av informasjonssikkerhet. Det skal angis akseptert risiko for informasjonssikkerhet for alle systemer som inngår i OsloMets virksomhetsarkitektur.

8. Sikkerhetsstrategi

Styringssystemet for informasjonssikkerhet ved OsloMet utformes og implementeres etter ISO 27001-standarden. Med hensiktsmessige tilpasninger sikres det at arbeidet med informasjonssikkerhet følger relevante lover og regler og beste praksis på området på en måte som vil fungere for OsloMet som organisasjon. Arbeidet med informasjonssikkerhet skal operasjonaliseres gjennom en helhetlig arbeidsflyt mellom en styrende, gjennomførende og kontrollerende del:

Styrende del angir krav, føringer, organisering og roller for arbeidet med informasjonssikkerhet. Dette er presisert gjennom Policy for informasjonssikkerhet og personvern, samt underliggende retningslinjer.

Gjennomførende del består av linjelederes, systemeieres og brukeres gjennomføring av kravene i de styrende dokumentene for informasjonssikkerhet. På et overordnet nivå handler dette om klassifisering av informasjon, risikovurderinger og risikoreduserende tiltak innenfor de respektive ansvarsområder.

Kontrollerende del består av avvikshåndtering, rapportering, intern/ekstern revisjon og ledelsens gjennomgang. OsloMet skal nå sine mål for informasjonssikkerhet ved å fokusere på tre kjerneområder. Det første er lederes implementering av risikostyring i enhetene, det andre er utvikling av sikkerhetskultur, kompetanse og holdninger og det tredje er utvikling av en robust infrastruktur som ivaretar den digitale sikkerheten:

  1.  Styring og kontroll med informasjonssikkerheten er et lederansvar og en del av den ordinære virksomhetsstyringen og internkontrollen. Ledere skal ha en god risikoforståelse og oversikt over de informasjonsverdier som enheten håndterer, slik at de er i stand til å ta informerte valg og gjøre prioriteringer ved innføring av sikkerhetstiltak.
  2. Arbeidet med sikkerhetskultur og opplæring skal være en systematisk og kontinuerlig forbedringsprosess. Økt kompetanse skal gjøre ansatte og studenter i stand til å klassifisere informasjonen de behandler, gjennomføre risikovurderinger og velge nødvendige tiltak for å beskytte informasjonen i arbeidsprosessene.
  3. OsloMet skal sikre IKT-infrastrukturen gjennom en systematisk implementering av kravene i retningslinjene som er utformet iht. kontrollpunkter i ISO 27001, Tillegg A. Krav til informasjonssikkerhet og personvern skal ivaretas i design, anskaffelse, utvikling, drift, forvaltning og avhending av IKT-systemer og infrastruktur. 

9. Roller og ansvar

Arbeidet med informasjonssikkerhet berører virksomheten på alle nivå. Ansvar og myndighet for informasjonssikkerhet skal følge det ordinære linjeansvaret.

Alle IKT-systemer ved OsloMet skal ha en systemeier.

Ledere som har ansvar for mål, tjenester, prosesser og arbeidsoppgaver, skal også ha ansvaret for tilhørende informasjonsbehandling og informasjonssikkerhet og er således risikoeiere innenfor sitt ansvarsområde. Videre er noen roller presisert gjennom styringssystemet for informasjonssikkerhet og er gitt særskilt ansvar for definerte områder. 

Styret

  • er øverste ansvarlig for informasjonssikkerheten og skal årlig orienteres om arbeidet med informasjonssikkerhet
  • er ansvarlig for at det gjennomføres internrevisjon av informasjonssikkerheten ved OsloMet

Rektor

  • er overordnet behandlingsansvarlig for behandling av personopplysninger ved OsloMet
  • skal årlig orientere styret om arbeidet med informasjonssikkerhet og personvern

Direktør ORV/DI

  • er ansvarlig for at kravene i Policy for informasjonssikkerhet og personvern er kjent og blir implementert i virksomheten gjennom et fungerende styringssystem for informasjonssikkerhet
  • skal sørge for tilstrekkelig finansiering av arbeidet med informasjonssikkerhet
  • skal sørge for at CISO og personvernombudet regelmessig blir invitert til å delta i rektors ledermøte
  • er ansvarlig for at informasjonssikkerhet som en av flere virksomhetsområder inngår i en helhetlig internkontroll
  • skal påse at det etableres en kontinuerlig prosess for å understøtte god sikkerhetskultur
  • er ansvarlig for at politikk for informasjonssikkerhet revideres hvert andre år for å sikre ønsket effekt og effektivitet i arbeidet med informasjonssikkerhet

Leder av IKT-avdelingen

  • er ansvarlig for å holde en løpende og oppdatert oversikt over OsloMets IKTinfrastruktur, og at informasjonssikkerheten i og mellom systemene ivaretas
  • er ansvarlig for at ansatte og studenter ved OsloMet har tilgang til nødvendige tjenester og materiell, slik at de kan beskytte OsloMets informasjon og informasjonssystemer
  • skal påse at relevante parter blir varslet ved alvorlige brudd på informasjonssikkerheten
  • er ansvarlig for forvaltningen av OsloMets elektroniske virksomhetssertifikat
  • skal konsulteres når politikk for informasjonssikkerhet revideres for å sikre ønsket effekt og effektivitet i arbeidet med informasjonssikkerhet

CISO

  • skal påse at det utvikles handlingsplaner som sørger for et systematisk og kontinuerlig arbeid med informasjonssikkerhet
  • er ansvarlig for innsamling og rapportering til ledelsens årlige gjennomgang av arbeidet med informasjonssikkerhet
  • er ansvarlig for å iverksette nødvendige tiltak for å sikre en forsvarlig avviksbehandling ved brudd på informasjonssikkerheten

Prorektorer, viserektor, direktører og avdelingsledere i fellesadministrasjonen 

  • er ansvarlig for etterlevelsen av krav til informasjonssikkerhet, herunder krav til behandling av personopplysninger ved enheten
  • er ansvarlig for å følge opp at lovverk og rutiner og godkjenninger følges, og at avvik lukkes
  • er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes og behandlinger av personopplysninger ved enheten
  • er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring innen informasjonssikkerhet, og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og behandlinger, samt melde avvik ved brudd på informasjonssikkerheten
  • er ansvarlig for at alle ansatte innen enheten har tilgang til nødvendige tjenester og materiell, slik at de kan beskytte OsloMets informasjon og informasjonssystemer
  • er ansvarlig for en systematisk gjennomgang av databehandleravtaler og andre avtaler av betydning for informasjonssikkerhetsarbeidet, og gjennomgang av avvik ved avdelingen på minimum årlig basis
  • er ansvarlig for at internkontrollen i informasjonssikkerhetsarbeidet fungerer ved enheten

Dekan/senterleder

  • er ansvarlig for etterlevelsen av krav til informasjonssikkerhet, herunder krav til behandlingen av personopplysninger, ved fakultetet/senter
  • er ansvarlig for å følge opp at lovverk og rutiner og godkjenninger følges, og at avvik lukkes
  • er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes og behandlinger av personopplysninger ved fakultet/senter
  • er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring innen informasjonssikkerhet, og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og behandlinger, samt melde avvik ved brudd på informasjonssikkerheten
  • er ansvarlig for at alle ansatte innen enheten har tilgang til tjenester og materiell slik at de kan beskytte OsloMets informasjon og informasjonssystemer
  • er ansvarlig for at alle instituttledere er kjent med gjeldende rutiner og retningslinjer i informasjonssikkerhetsarbeidet
  • er ansvarlig for å fastsette nødvendige lokale rutiner ved behov
  • er forskningsansvarlig etter helseforskningsloven for eget fakultet og skal ha oversikt over forskningsporteføljen ved fakultetet
  • er ansvarlig for at studentene ved OsloMet har nødvendig opplæring i kravene til informasjonssikkerhet
  • er ansvarlig for å gjennomføre dialog med respektive underliggende enheter om informasjonssikkerhetsarbeidet, herunder oppfølgingen av rutiner og avvik, på minimum årlig basis
  • er ansvarlig for at internkontrollen i informasjonssikkerhetsarbeidet fungerer ved fakultetet/senteret

Instituttleder

  • er ansvarlig for etterlevelsen av kravene til informasjonssikkerhet, herunder behandling av personopplysninger, ved instituttet
  • er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes og behandlinger av personopplysninger ved instituttet
  • er ansvarlig for at ansatte er kjent med relevante lover og regler, samt rutiner for informasjonssikkerhet og forskningsetiske retningslinjer
  • er ansvarlig for at ansatte istandsettes til å ivareta sine plikter til å vurdere risiko ved nye prosjekt og behandlinger, samt melder avvik ved brudd på informasjonssikkerheten
  • er ansvarlig for at internkontrollen i informasjonssikkerhetsarbeidet fungerer ved instituttet/enheten

Leder HR-avdelingen

  • er ansvarlig for organisasjonsutvikling og endringsledelse i arbeidet med informasjonssikkerhet; herunder påse at ledere er kjent med, og har tilstrekkelig kompetanse og risikoforståelse, til å ivareta sitt ansvar for å utøve risikostyring innen området informasjonssikkerhet

Systemeier

  • er ansvarlig for at IT-systemets utvikling, forvaltning og/eller drift møter kravene til informasjonssikkerhet og at det gjennomføres jevnlige risiko- og sårbarhetsanalyser
  • er ansvarlig for at det inngås databehandleravtale knyttet til systemet og for oppfølging/ revisjon av denne

Prosjektleder

  • er ansvarlig for det operative ansvaret og internkontroll ved gjennomføringen av forskningsprosjekt og andre prosjekter, fra planlegging til avslutning, herunder at krav i relevant lovverk og forskningsetiske og interne retningslinjer, etterleves
  • er ansvarlig for å sørge for nødvendige godkjenninger og meldinger, samt ansvar for at avtaler som er påkrevet for ivaretakelse av informasjonssikkerheten og personvernet, inngås
  • er ansvarlig for å gjennomføre risikovurdering, samt vurdering av om en personvernkonsekvensvurdering (DPIA) skal gjennomføres, og for selve gjennomføringen dersom den er nødvendig
  • er ansvarlig for å sørge for tilgangsstyring dersom det er behov for konfidensialitet, f.eks. ved behandling av personopplysninger, i prosjektet
  • er ansvarlig for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet

Prosjektveileder/studentveileder

  •  er ansvarlig for at studenter i studentprosjekt er gjort kjent med OsloMets rutiner og retningslinjer og overordnet regelverk innen informasjonssikkerhet og behandling av personopplysninger

Personvernombudet

  • skal overordnet utøve sine oppgaver på en uavhengig måte, jfr. personvernforordningen Art. 38 nr. 3 og etter Instruks for personvernombud ved OsloMet
  • skal gi råd om hvordan OsloMet som behandlingsansvarlige best mulig kan ivareta personverninteressene
  • skal på anmodning gi råd om vurdering av mulige personvernkonsekvenser (DPIA)
  • skal kontrollere gjennomføringen av personvernkonsekvensvurderinger
  • skal kontrollere overholdelsen av regelverket
  • skal holde seg informert om avvik ved brudd på personvernet
  • skal være kontaktpunkt for Datatilsynet og de registrerte

Alle brukere

  • er ansvarlige for å sette seg inn i relevant lovgivning for informasjonssikkerhet, herunder personopplysningsloven samt helseforskningsloven, åndsverksloven og eForvaltningsforskriften
  • er ansvarlige for å gjøre seg kjent med Sikkerhetsinstruks og relevante retningslinjer for informasjons- sikkerhetsarbeidet ved bruk av OsloMets IKT-infrastruktur og i forskningsprosjekter og andre prosjekter
  • er pliktige til å melde avvik (uønsket hendelse) ved brudd på informasjonssikkerheten og behandling av personopplysninger i henhold til gjeldende retningslinje for avviksbehandling når de gjøres kjent med avvik
chatbot-portlet