Policy for informasjonssikkerhet og personvern - Ansatt

Policy for informasjonssikkerhet og personvern

Policy for informasjonssikkerhet og personvern

Policy for informasjonssikkerhet og personvern inngår i OsloMets styringssystem for informasjonssikkerhet (ISMS).
Publisert
Sist oppdatert

Formålet med policy for informasjonssikkerhet og personvern er å ivareta de informasjonsverdier som utvikles, behandles og forvaltes gjennom OsloMets forskning, utdanning, herunder kunstnerisk utviklingsarbeid, formidling, nyskaping og administrasjon, og overholdelse av gjeldende lover og regler.

  • Formål

    Formålet med policy for informasjonssikkerhet og personvern er å ivareta de informasjonsverdier som utvikles, behandles og forvaltes gjennom OsloMets forskning, utdanning, herunder kunstnerisk utviklingsarbeid, formidling, nyskaping og administrasjon, og overholdelse av gjeldende lover og regler. Policy for informasjonssikkerhet og personvern stadfester mål og strategi for informasjonssikkerhet og personvern i virksomheten, og setter rammer for arbeidet med ivaretakelse av OsloMets informasjonsverdier og for den digitale sikkerheten i OsloMets IKT-infrastruktur.

    Policy for informasjonssikkerhet og personvern inngår i OsloMets styringssystem for informasjonssikkerhet (ISMS), som skal gi rammene for en systematisk og helhetlig praksis mellom styrende, gjennomførende og kontrollerende del av arbeidet med informasjonssikkerhet. ISMS skal igjen være en integrert del av OsloMets helhetlige virksomhetsstyring.

  • Om policyen

    Policyen for informasjonssikkerhet og personvern gjelder fra 01.07.2020 og fram til revisjon.

    • Godkjent av: Rektor 29.05.2020
    • Forvaltes av: Direktør: ORV/DI
    • Klassifisering: Åpen
    • Unntatt offentlighet: Nei
    • Referanse ISO: 27001; 5.1.1, 5.1.2
    • Referanse LOV/Regel: eForvaltningsforskriften §15 og § 20, personvernforordningen artikkel 5, 24, 32
    • Referanse interne dokumenter: Policyen er overordnet retningslinjer på informasjonssikkerhets- og personvernområdet
    • Versjon 1.00

  • Hvem policyen gjelder for

    OsloMets policy for informasjonsvirksomhet og personvern gjelder for

    • Alle ansatte ved OsloMet 
    • Alle studenter ved OsloMet
    • Alle som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom OsloMets IKT-infrastruktur

  • Sentrale lover og regler på informasjonssikkerhetsområdet

    Personopplysningsloven (og personvernforordningen – GDPR) gir regler for vern av fysiske personer i forbindelse med behandling av personopplysninger, plikter for OsloMet som behandlingsansvarlig, bruk av personvernombud og rettigheter for den registrerte

    Forvaltningsloven (og eForvaltningsforskriften) – krav til saksbehandling, dokumentasjon og forsvarlighet, også krav til internkontroll og informasjonssikkerhet

    • Offentleglova – krav om at OsloMet som offentlig virksomhet skal være åpen for innsyn, samtidig unnta for innsyn der loven åpner for eller krever det.
    • Arkivloven - inneholder regler om hvilke dokumenter som skal arkiveres og krav til arkiveringen
    • Helseforskningsloven – krav til organisering, roller og ansvar i helseforskning
    • Helseregisterloven og helsepersonelloven – regler om behandling av pasientdata og taushetsplikt for helsepersonell
    • Forskningsetikkloven – regler om at forskning skal skje i henhold til anerkjente forskningsetiske normer, for forsker og institusjon
    • Åndsverkloven - inneholder regler om immaterielle rettigheter og bruk av bilder
    • Beskyttelsesinstruksen og sikkerhetsloven – stiller krav til klassifisering og håndtering av informasjon.
    • Eksportkontrolloven – gir regler om kontroll med og forbud mot eksport av strategiske varer, tjenester og teknologi, herunder forbud mot ulovlig kunnskapsoverføring

    I tillegg kan andre lover og forskrifter være relevante: ekomloven, politiregisterloven, behandlingsbiobankloven, pasientjournalloven, mv.

    Arbeidet med informasjonssikkerhet og personvern skal også forholde seg til enhver tid relevante og gjeldende styringsdokumenter, herunder UNITs policyer, Nasjonal strategi for digital sikkerhet, anbefalinger fra Nasjonal sikkerhetsmyndighet mm.

  • Definisjoner

    Personopplysningsloven (og personvernforordningen – GDPR) gir regler for vern av fysiske personer i forbindelse med behandling av personopplysninger, plikter for OsloMet som behandlingsansvarlig, bruk av personvernombud og rettigheter for den registrerte

    Forvaltningsloven (og eForvaltningsforskriften) – krav til saksbehandling, dokumentasjon og forsvarlighet, også krav til internkontroll og informasjonssikkerhet

    • Offentleglova – krav om at OsloMet som offentlig virksomhet skal være åpen for innsyn, samtidig unnta for innsyn der loven åpner for eller krever det.
    • Arkivloven - inneholder regler om hvilke dokumenter som skal arkiveres og krav til arkiveringen
    • Helseforskningsloven – krav til organisering, roller og ansvar i helseforskning
    • Helseregisterloven og helsepersonelloven – regler om behandling av pasientdata og taushetsplikt for helsepersonell
    • Forskningsetikkloven – regler om at forskning skal skje i henhold til anerkjente forskningsetiske normer, for forsker og institusjon
    • Åndsverkloven - inneholder regler om immaterielle rettigheter og bruk av bilder
    • Beskyttelsesinstruksen og sikkerhetsloven – stiller krav til klassifisering og håndtering av informasjon.
    • Eksportkontrolloven – gir regler om kontroll med og forbud mot eksport av strategiske varer, tjenester og teknologi, herunder forbud mot ulovlig kunnskapsoverføring

    I tillegg kan andre lover og forskrifter være relevante: ekomloven, politiregisterloven, behandlingsbiobankloven, pasientjournalloven, mv.

    Arbeidet med informasjonssikkerhet og personvern skal også forholde seg til enhver tid relevante og gjeldende styringsdokumenter, herunder UNITs policyer, Nasjonal strategi for digital sikkerhet, anbefalinger fra Nasjonal sikkerhetsmyndighet mm.

  • Overordnede prinsipper

    OsloMet skaper, formidler og forvalter informasjonsverdier på vegne av samfunnet, ansatte, studenter og samarbeidspartnere. OsloMet skal ivareta konfidensialitet, integritet og tilgjengelighet til informasjonsverdiene i henhold til gjeldende lover, forskrifter, føringer fra myndighetene, samfunnsoppdraget og informasjonseiernes interesser.

    OsloMet skal ha oversikt over sine informasjonsverdier, og hvilke personopplysninger som behandles. Ved behandling av personopplysninger stiller regelverket (personopplysningsloven) krav til informasjonssikkerheten. Ved behandling av personopplysninger aksepteres ikke brudd på konfidensialiteten og integriteten.

    Informasjonssikkerhet er et gjennomgående risikoområde som må håndteres innen alle OsloMets virksomhetsområder. Arbeidet med informasjonssikkerhet skal bygge på prosesser for kontinuerlig forbedring. OsloMet skal ivareta informasjonssikkerheten som en integrert del av øvrig virksomhetsstyring og gjennom sitt systematiske kvalitetsarbeid.

    Ved all informasjonsbehandling foreligger det en risiko for brudd på konfidensialitet, integritet og tilgjengelighet. Risikoaksept og tiltak skal stå i forhold til sannsynligheten for og konsekvensen av sikkerhetsbrudd som fremkommer i risiko- og sårbarhetsanalyser. Restrisiko skal være akseptert av risikoer som del av lederansvaret.

    Internkontroll og sikkerhetsarbeid skal så langt det er hensiktsmessig være integrert på tvers av internkontrollområder. Det skal gjennomføres sikkerhetsrevisjoner som verifiserer at OsloMet og eksterne myndigheters krav til informasjonssikkerhet er ivaretatt og fungerer etter sin hensikt. Sikkerhetsrevisjoner skal gjennomføres hvert andre år.

  • Sikkerhetsmål

    OsloMet har vedtatt følgende mål for informasjonssikkerheten:

    • Informasjonssikkerhet skal være en integrert og en naturlig del i alle prosesser, tjenester og systemer ved OsloMet.
    • Informasjonsverdiene som behandles innen OsloMets virksomhetsområder forskning, utdanning, nyskaping, formidling og administrasjon skal vurderes og håndtereres slik at informasjonen sikres og personvernet ikke krenkes.
    • Informasjonsverdienes konfidensialitet, integritet og tilgjengelighet skal ha riktig sikkerhetsnivå basert på klassifisering og risikovurderinger. Registrertes rettigheter, herunder forskningsdeltakeres rettigheter, skal sikres. Offentlighetens rett til innsyn etter offentleglova skal ivaretas.
    • Alle ansatte, studenter, og øvrige som har tilgang til, og/eller bearbeider og forvalter informasjon gjennom OsloMets IKT-infrastruktur, skal være kjent med og etterleve 6 OsloMets krav til informasjonssikkerhet, gitt i sikkerhetsinstruksen. Brudd på etterlevelse kan sanksjoneres.

  • Risikomål og -aksept

    Ved OsloMet aksepteres ikke lovbrudd.

    Ved OsloMet aksepteres ikke aktivitet som setter liv og helse i fare. Innenfor informasjonssikkerhet og personvern innebærer det at brudd på konfidensialitet og integritet som setter liv og helse i fare ikke aksepteres.

    Risikoaksept skal framkomme som resultat av fremsatte krav i retningslinje for risikostyring av informasjonssikkerhet. Det skal angis akseptert risiko for informasjonssikkerhet for alle systemer som inngår i OsloMets virksomhetsarkitektur.

  • Sikkerhetsstrategi

    Styringssystemet for informasjonssikkerhet ved OsloMet utformes og implementeres etter ISO 27001-standarden. Med hensiktsmessige tilpasninger sikres det at arbeidet med informasjonssikkerhet følger relevante lover og regler og beste praksis på området på en måte som vil fungere for OsloMet som organisasjon. Arbeidet med informasjonssikkerhet skal operasjonaliseres gjennom en helhetlig arbeidsflyt mellom en styrende, gjennomførende og kontrollerende del:

    Styrende del angir krav, føringer, organisering og roller for arbeidet med informasjonssikkerhet. Dette er presisert gjennom Policy for informasjonssikkerhet og personvern, samt underliggende retningslinjer.

    Gjennomførende del består av linjelederes, systemeieres og brukeres gjennomføring av kravene i de styrende dokumentene for informasjonssikkerhet. På et overordnet nivå handler dette om klassifisering av informasjon, risikovurderinger og risikoreduserende tiltak innenfor de respektive ansvarsområder.

    Kontrollerende del består av avvikshåndtering, rapportering, intern/ekstern revisjon og ledelsens gjennomgang. OsloMet skal nå sine mål for informasjonssikkerhet ved å fokusere på tre kjerneområder. Det første er lederes implementering av risikostyring i enhetene, det andre er utvikling av sikkerhetskultur, kompetanse og holdninger og det tredje er utvikling av en robust infrastruktur som ivaretar den digitale sikkerheten:

    1. Styring og kontroll med informasjonssikkerheten er et lederansvar og en del av den ordinære virksomhetsstyringen og internkontrollen. Ledere skal ha en god risikoforståelse og oversikt over de informasjonsverdier som enheten håndterer, slik at de er i stand til å ta informerte valg og gjøre prioriteringer ved innføring av sikkerhetstiltak.
    2. Arbeidet med sikkerhetskultur og opplæring skal være en systematisk og kontinuerlig forbedringsprosess. Økt kompetanse skal gjøre ansatte og studenter i stand til å klassifisere informasjonen de behandler, gjennomføre risikovurderinger og velge nødvendige tiltak for å beskytte informasjonen i arbeidsprosessene.
    3. OsloMet skal sikre IKT-infrastrukturen gjennom en systematisk implementering av kravene i retningslinjene som er utformet iht. kontrollpunkter i ISO 27001, Tillegg A. Krav til informasjonssikkerhet og personvern skal ivaretas i design, anskaffelse, utvikling, drift, forvaltning og avhending av IKT-systemer og infrastruktur. 

  • Roller og ansvar

    Arbeidet med informasjonssikkerhet berører virksomheten på alle nivå. Ansvar og myndighet for informasjonssikkerhet skal følge det ordinære linjeansvaret.

    Alle IKT-systemer ved OsloMet skal ha en systemeier.

    Ledere som har ansvar for mål, tjenester, prosesser og arbeidsoppgaver, skal også ha ansvaret for tilhørende informasjonsbehandling og informasjonssikkerhet og er således risikoeiere innenfor sitt ansvarsområde. Videre er noen roller presisert gjennom styringssystemet for informasjonssikkerhet og er gitt særskilt ansvar for definerte områder. 

    Styret

    • er øverste ansvarlig for informasjonssikkerheten og skal årlig orienteres om arbeidet med informasjonssikkerhet
    • er ansvarlig for at det gjennomføres internrevisjon av informasjonssikkerheten ved OsloMet

    Rektor

    • er overordnet behandlingsansvarlig for behandling av personopplysninger ved OsloMet
    • skal årlig orientere styret om arbeidet med informasjonssikkerhet og personvern

    Direktør ORV/DI

    • er ansvarlig for at kravene i Policy for informasjonssikkerhet og personvern er kjent og blir implementert i virksomheten gjennom et fungerende styringssystem for informasjonssikkerhet
    • skal sørge for tilstrekkelig finansiering av arbeidet med informasjonssikkerhet
    • skal sørge for at CISO og personvernombudet regelmessig blir invitert til å delta i rektors ledermøte
    • er ansvarlig for at informasjonssikkerhet som en av flere virksomhetsområder inngår i en helhetlig internkontroll
    • skal påse at det etableres en kontinuerlig prosess for å understøtte god sikkerhetskultur
    • er ansvarlig for at politikk for informasjonssikkerhet revideres hvert andre år for å sikre ønsket effekt og effektivitet i arbeidet med informasjonssikkerhet

    Leder av IKT-avdelingen

    • er ansvarlig for å holde en løpende og oppdatert oversikt over OsloMets IKTinfrastruktur, og at informasjonssikkerheten i og mellom systemene ivaretas
    • er ansvarlig for at ansatte og studenter ved OsloMet har tilgang til nødvendige tjenester og materiell, slik at de kan beskytte OsloMets informasjon og informasjonssystemer
    • skal påse at relevante parter blir varslet ved alvorlige brudd på informasjonssikkerheten
    • er ansvarlig for forvaltningen av OsloMets elektroniske virksomhetssertifikat
    • skal konsulteres når politikk for informasjonssikkerhet revideres for å sikre ønsket effekt og effektivitet i arbeidet med informasjonssikkerhet

    CISO

    • skal påse at det utvikles handlingsplaner som sørger for et systematisk og kontinuerlig arbeid med informasjonssikkerhet
    • er ansvarlig for innsamling og rapportering til ledelsens årlige gjennomgang av arbeidet med informasjonssikkerhet
    • er ansvarlig for å iverksette nødvendige tiltak for å sikre en forsvarlig avviksbehandling ved brudd på informasjonssikkerheten

    Prorektorer, viserektor, direktører og avdelingsledere i fellesadministrasjonen 

    • er ansvarlig for etterlevelsen av krav til informasjonssikkerhet, herunder krav til behandling av personopplysninger ved enheten
    • er ansvarlig for å følge opp at lovverk og rutiner og godkjenninger følges, og at avvik lukkes
    • er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes og behandlinger av personopplysninger ved enheten
    • er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring innen informasjonssikkerhet, og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og behandlinger, samt melde avvik ved brudd på informasjonssikkerheten
    • er ansvarlig for at alle ansatte innen enheten har tilgang til nødvendige tjenester og materiell, slik at de kan beskytte OsloMets informasjon og informasjonssystemer
    • er ansvarlig for en systematisk gjennomgang av databehandleravtaler og andre avtaler av betydning for informasjonssikkerhetsarbeidet, og gjennomgang av avvik ved avdelingen på minimum årlig basis
    • er ansvarlig for at internkontrollen i informasjonssikkerhetsarbeidet fungerer ved enheten

    Dekan/senterleder

    • er ansvarlig for etterlevelsen av krav til informasjonssikkerhet, herunder krav til behandlingen av personopplysninger, ved fakultetet/senter
    • er ansvarlig for å følge opp at lovverk og rutiner og godkjenninger følges, og at avvik lukkes
    • er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes og behandlinger av personopplysninger ved fakultet/senter
    • er ansvarlig for at ansatte i enheten har tilstrekkelig opplæring innen informasjonssikkerhet, og kan ivareta sin plikt til å vurdere risiko ved nye prosjekt og behandlinger, samt melde avvik ved brudd på informasjonssikkerheten
    • er ansvarlig for at alle ansatte innen enheten har tilgang til tjenester og materiell slik at de kan beskytte OsloMets informasjon og informasjonssystemer
    • er ansvarlig for at alle instituttledere er kjent med gjeldende rutiner og retningslinjer i informasjonssikkerhetsarbeidet
    • er ansvarlig for å fastsette nødvendige lokale rutiner ved behov
    • er forskningsansvarlig etter helseforskningsloven for eget fakultet og skal ha oversikt over forskningsporteføljen ved fakultetet
    • er ansvarlig for at studentene ved OsloMet har nødvendig opplæring i kravene til informasjonssikkerhet
    • er ansvarlig for å gjennomføre dialog med respektive underliggende enheter om informasjonssikkerhetsarbeidet, herunder oppfølgingen av rutiner og avvik, på minimum årlig basis
    • er ansvarlig for at internkontrollen i informasjonssikkerhetsarbeidet fungerer ved fakultetet/senteret

    Instituttleder

    • er ansvarlig for etterlevelsen av kravene til informasjonssikkerhet, herunder behandling av personopplysninger, ved instituttet
    • er ansvarlig for å holde en løpende og oppdatert oversikt over IKT-systemer som anvendes og behandlinger av personopplysninger ved instituttet
    • er ansvarlig for at ansatte er kjent med relevante lover og regler, samt rutiner for informasjonssikkerhet og forskningsetiske retningslinjer
    • er ansvarlig for at ansatte istandsettes til å ivareta sine plikter til å vurdere risiko ved nye prosjekt og behandlinger, samt melder avvik ved brudd på informasjonssikkerheten
    • er ansvarlig for at internkontrollen i informasjonssikkerhetsarbeidet fungerer ved instituttet/enheten

    Leder HR-avdelingen

    • er ansvarlig for organisasjonsutvikling og endringsledelse i arbeidet med informasjonssikkerhet; herunder påse at ledere er kjent med, og har tilstrekkelig kompetanse og risikoforståelse, til å ivareta sitt ansvar for å utøve risikostyring innen området informasjonssikkerhet

    Systemeier

    • er ansvarlig for at IT-systemets utvikling, forvaltning og/eller drift møter kravene til informasjonssikkerhet og at det gjennomføres jevnlige risiko- og sårbarhetsanalyser
    • er ansvarlig for at det inngås databehandleravtale knyttet til systemet og for oppfølging/ revisjon av denne

    Prosjektleder

    • er ansvarlig for det operative ansvaret og internkontroll ved gjennomføringen av forskningsprosjekt og andre prosjekter, fra planlegging til avslutning, herunder at krav i relevant lovverk og forskningsetiske og interne retningslinjer, etterleves
    • er ansvarlig for å sørge for nødvendige godkjenninger og meldinger, samt ansvar for at avtaler som er påkrevet for ivaretakelse av informasjonssikkerheten og personvernet, inngås
    • er ansvarlig for å gjennomføre risikovurdering, samt vurdering av om en personvernkonsekvensvurdering (DPIA) skal gjennomføres, og for selve gjennomføringen dersom den er nødvendig
    • er ansvarlig for å sørge for tilgangsstyring dersom det er behov for konfidensialitet, f.eks. ved behandling av personopplysninger, i prosjektet
    • er ansvarlig for at relevante og nødvendige dokumentasjonskrav ivaretas i prosjektet

    Prosjektveileder/studentveileder

    •  er ansvarlig for at studenter i studentprosjekt er gjort kjent med OsloMets rutiner og retningslinjer og overordnet regelverk innen informasjonssikkerhet og behandling av personopplysninger

    Personvernombudet

    • skal overordnet utøve sine oppgaver på en uavhengig måte, jfr. personvernforordningen Art. 38 nr. 3 og etter Instruks for personvernombud ved OsloMet
    • skal gi råd om hvordan OsloMet som behandlingsansvarlige best mulig kan ivareta personverninteressene
    • skal på anmodning gi råd om vurdering av mulige personvernkonsekvenser (DPIA)
    • skal kontrollere gjennomføringen av personvernkonsekvensvurderinger
    • skal kontrollere overholdelsen av regelverket
    • skal holde seg informert om avvik ved brudd på personvernet
    • skal være kontaktpunkt for Datatilsynet og de registrerte

    Alle brukere

    • er ansvarlige for å sette seg inn i relevant lovgivning for informasjonssikkerhet, herunder personopplysningsloven samt helseforskningsloven, åndsverksloven og eForvaltningsforskriften
    • er ansvarlige for å gjøre seg kjent med Sikkerhetsinstruks og relevante retningslinjer for informasjons- sikkerhetsarbeidet ved bruk av OsloMets IKT-infrastruktur og i forskningsprosjekter og andre prosjekter
    • er pliktige til å melde avvik (uønsket hendelse) ved brudd på informasjonssikkerheten og behandling av personopplysninger i henhold til gjeldende retningslinje for avviksbehandling når de gjøres kjent med avvik

Styringssystem for informasjonssikkerhet og personvern

Styringssystem for informasjonssikkerhet og personvern