Få utskriftsvennlig versjon ved å trykke på denne

Informasjonssikkerhet ved UiT

Introduksjon

UiT Norges arktiske universitet behandler store mengder informasjon innenfor forskning, utdanning, formidling og administrasjon.

Det er avgjørende at vi klarer å ivareta informasjonssikkerheten på en god måte, ikke minst for å ivareta den tilliten UiT er avhengig av som forsknings- og utdanningsinstitusjon.

Plikten til å ivareta informasjonssikkerheten gjelder uavhengig av medium, så det er like viktig å ha fokus på fysisk sikkerhet som digital sikkerhet.

Det er ofte i forbindelse med behandling av personopplysninger at man snakker om informasjonssikkerhet, men også for annen type informasjon må sikkerheten ivaretas. F.eks forskningsdata, økonomiske data for UiT, kontraktsforhold etc.

Hva er informasjonssikkerhet?
Når vi snakker om informasjonssikkerhet menes ivaretagelse av informasjonens...

Konfidensialitet
Kun de som behøver tilgang skal ha det.

Integritet
Informasjonen skal ikke kunne endres utilsiktet eller av uvedkommende.

Tilgjengelighet
Når du behøver tilgang til informasjonen så skal du ha det (og kun da).

Ledelsessystemet for informasjonssikkerhet ("ISMS") er vedtatt av Universitetsstyret. Første gang i 2015, og senere revidert. Gjennom ledelsessystemet skal UiT ha en helhetlig tilnærming til informasjonssikkerhet, slik at vi kan ha styring og kontroll med informasjonssikkerheten på universitetet. 

Ledelsessystemet består av styrende, gjennomførende og kontrollerende del. Endringer i den styrende delen (kap. 1-3) foretas av Universitetsstyret, mens endringer i gjennomførende og kontrollerende del (kap. 4-6 samt vedleggene) ligger til Universitetsdirektøren. 

1.1 Formål og hensikt
Universitetet i Tromsø – Norges arktiske universitet (UiT) er et nasjonalt og internasjonalt kraftsenter for kompetanse, vekst og nyskaping i nordområdene. Dette skal blant annet vises gjennom høy kvalitet på UiTs kunnskapsforvaltning og informasjonsverdier: forskningsdata, forskningsresultater og informasjon eller kunnskap som inngår i undervisning, forskning og formidling.

Et systematisk og planmessig arbeid for å sikre våre informasjonsverdier er derfor en sentral del av UiTs kunnskapsforvaltning. Både interne og eksterne aktører - ledere, ansatte, studenter, samarbeidspartnere og offentligheten for øvrig - skal kunne stole på at UiT ivaretar

  1. informasjonens konfidensialitet - vi beskytter sensitiv eller viktig informasjon mot uautorisert innsyn, tilgang eller misbruk,
  2. informasjonens integritet - vi beskytter sensitiv eller viktig informasjon mot uautorisert endring eller sletting,
  3. informasjonens tilgjengelighet - vi sørger for at all informasjon er tilgjengelig for alle som skal ha tilgang til den.

UiT er underlagt en rekke lover og forskrifter som pålegger oss å ha tilfredsstillende informasjonssikkerhet. Dette gjelder blant annet forvaltningsloven med forskrift (e-forvaltningsforskriften), personopplysningsloven med forskrift og helseforskningsloven med forskrift. I tillegg inneholder andre lovverk, blant annet offentlighetsloven og arkivloven, bestemmelser som har betydning for arbeidet med sikring av informasjonen ved UiT. I Kunnskapsdepartementets (KD) tildelingsbrev til UiT for 2014 kreves det innføring av et styringssystem for informasjonssikkerhet som bygger på grunnprinsippene i anerkjente sikkerhetsstandarder. Ledelsessystemet for informasjonssikkerhet ved UiT ivaretar de kravene som lovverket og KD stiller til arbeidet med informasjonssikkerhet i universitets- og høyskolesektoren.


1.2 Ledelsessystemet for informasjonssikkerhet ved UiT
Ledelsessystemet for informasjonssikkerhet skal sørge for at UiTs informasjonsverdier håndteres på en systematisk, planmessig og tilfredsstillende måte. Ledelsessystemet inneholder blant annet mål, strategi og organisering av arbeidet med informasjonssikkerhet, samt beskrivelse av roller og ansvar, oversikt over informasjonsverdier og retningslinjer.

Ledelsessystemet består av tre hovedelementer:

1. Styrende - overordnet policy, herunder sikkerhetsmål og -strategi, roller og ansvar.
2. Gjennomførende - risikovurderinger samt konkrete rutiner og retningslinjer i vedleggene.
3. Kontrollerende – internrevisjon, rapportering av avvik og ledelsens gjennomgang.


1.3 Avgrensning av ledelsessystemet
Informasjonssikkerhet er et topplederansvar. Det operative ansvaret og det praktiske arbeidet med å ivareta informasjonssikkerheten kan delegeres til de enkelte enhetene ved UiT, jf. beskrivelsen av sikkerhetsorganisasjonen med roller og ansvar i punkt 3.

Ledelsessystemet for informasjonssikkerhet ved UiT omfatter
• alle brukere av UiTs IT-ressurser1
• alle UiTs studiesteder/campuser
• alle organisatoriske enheter2
• all teknologi3
• alle informasjonsverdier

Med informasjonsverdier menes utstyr, prosesser eller data som er tilknyttet informasjon og som virksomheten anser som nødvendig å beskytte. Hvordan man skal beskytte informasjonsverdiene avhenger av resultatene fra risikovurderinger. Informasjonssikkerhet knyttet til data er medie- og formatuavhengig, gjelder både informasjon som lagres og brukes i mobile enheter, cd-rom og på papir. Det kan være et IT-system, for eksempel personalsystem, læringsplattform og arkivsystem, eller en type informasjon, for eksempel studentinformasjon, pasientinformasjon eller data som inngår i et forskningsprosjekt.


1.4 Behandlingsansvarlig og databehandlere
To sentrale begrep går igjen i ledelsessystemet og personvernlovgivningen; behandlingsansvarlig og databehandler. Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal benyttes. Databehandleren er den som behandler personopplysninger på oppdrag fra den behandlingsansvarlige. Det skal alltid inngås en databehandleravtale før eksterne aktører kan behandle personopplysninger for UiT, også i småskala.

[Fotnoter]

[1] Studenter, ansatte, gjester, samarbeidspartnere etc.
[2] Avdelinger, fakulteter, institutter, sentre, museum, databehandlere
[3] IT-systemer, datanettverk, databaser/-registre etc.

God informasjonssikkerhet skal bidra til at UiT oppnår sine strategiske målsettinger og ivaretar sitt samfunnsoppdrag. Konfidensialitet, integritet og tilgjengelighet for UiTs informasjonsverdier skal ivaretas på en enhetlig og systematisk måte i hele organisasjonen. Informasjonsverdiene skal være tilgjengelig for de som skal ha tilgang (tilgjengelighet), de skal sikres mot utilsiktet og urettmessig endring (integritet), og de skal ikke være tilgjengelig for uvedkommende (konfidensialitet).


Sikkerhetsstrategi

Strategi for informasjonssikkerhet (2019-2021) ble vedtatt av Universitetsstyret 13.3.19. I denne ligger også sikkerhetsmål og vurderinger rundt akseptabel risiko.

(Merknad: I tillegg til det ovennevnte dokumentet finnes et grunnlagsdokument med større detaljgrad, herunder hvilke tiltak som kan gjennomføres. Dette legges ikke offentlig tilgjengelig, men de som har tjenstlig behov for det kan få tilgang ved å kontakte informasjonssikkerhetsrådgiver.)

 

En forutsetning for å kunne si noe om akseptabel bruk samt behovet for sikkerhetstiltak er at det er foretatt en klassifisering av informasjonen som behandles. Klassifiseringen ligger til grunn for vurderingen av hvilken grad av sikring (IT-teknisk, organisatorisk og fysisk) informasjonen skal underlegges. Videre vil klassifisering bidra til å oppnå en oversikt over hvilke informasjonsverdier UiT forvalter.

Klassifiseringen vil videre gi personer som skal behandle informasjonen en konkret indikasjon og veiledning på hvordan denne skal håndtere og beskyttes.

Retningslinjer for klassifisering av informasjon finner du her

Oversikt over de som har roller, ansvar og oppgaver i ledelsessystemet for informasjonssikkerhet ved UiT:

  • universitetsstyret
  • universitetsdirektør
  • IT-direktør
  • informasjonssikkerhetsrådgiver(e)
  • Avdeling for IT
  • Avdeling for bygg og eiendom
  • enhetsledere (dekaner, avdelingsdirektører, museumsdirektør og biblioteksdirektør)
  • systemeiere
  • brukere
  • Computer Security Incident Response Team (CSIRT)
  • Informasjonssikkerhetsforum

I det følgende gis en nærmere beskrivelse av hvilket ansvar og hvilke oppgaver som er lagt til de ulike rollene.

Universitetsstyret

  • behandler og vedtar ledelsessystemet for informasjonssikkerhet ved UiT
  • kan stille krav til det videre arbeidet med informasjonssikkerhet ved UiT

Universitetsdirektør

  • er behandlingsansvarlig for alle personopplysninger, dette omfatter også å bestemme formålet med behandling av personopplysninger, samt å ha dokumentert oversikt over disse
  • har ansvar for informasjonssikkerhet på et overordnet nivå, herunder å sette av tilstrekkelige ressurser til arbeidet med informasjonssikkerhet, inkludert opplæring og kompetanseheving
  • har ansvaret for at ledelsessystemet for informasjonssikkerhet blir implementert og vedlikeholdt, samt for organiseringen av sikkerhetsarbeidet
  • skal iverksette årlig internrevisjon, jf. punkt 6.1.
  • skal årlig gjennomgå status for arbeidet med informasjonssikkerhet8
  • skal oppnevne medlemmer av informasjonssikkerhetsforumet

IT-direktør

  • er informasjonssikkerhetsansvarlig og har forvaltningsansvaret for informasjonssikkerheten ved UiT
  • har instruksjonsmyndighet overfor alle andre enheter ved UiT i saker som angår informasjonssikkerhet
  • skal påse at holdningsskapende programmer gjennomføres

Informasjonssikkerhetsrådgiver(e)

  • skal utøve IT-direktørens myndighet i saker om informasjonssikkerhet
  • skal være rådgiver for linjeorganisasjonen i spørsmål relatert til informasjonssikkerhet
  • skal lede CSIRT-teamet og Informasjonssikkerhetsforum
  • skal utarbeide og vedlikeholde overordnet beredskapsplan for IKT
  • skal følge opp avvik på overordnet nivå og sørge for at disse blir kanalisert til og fulgt opp av berørte enheter
  • skal drive opplysningsvirksomhet, rådgivning og opplæring innen informasjonssikkerhet
  • skal vedlikeholde overordnet policy og rutiner for informasjonssikkerhet
  • skal iverksette og delta i revisjoner og risikovurderinger ved behov
  • skal utarbeide årlig rapport til ledelsens gjennomgang
  • skal holde oversikt over databehandleravtaler som inngås på UiT
Avdeling for IT
  • skal bistå systemeier ved utforming av krav til informasjonssikkerhet ved anskaffelse av nye system
  • har ansvar for drift av IT-systemene, og skal ivareta tilfredsstillende informasjonssikkerhet på IT-infrastruktur basert på risikovurderinger
  • skal, på bakgrunn av risiko- og sårbarhetsanalyser, utarbeide en kontinuitets- og beredskapsplan (KBP) som dekker kritiske og viktige informasjonssystemer og infrastruktur
  • skal dokumentere systemer/infrastruktur med tilhørende sikkerhetstiltak
  • skal utarbeide og vedlikeholde sikkerhetspolicy, retningslinjer og prosedyrer for den tekniske infrastrukturen
  • skal overvåke vesentlige endringer i trusler mot UiTs informasjonsverdier

Avdeling for bygg og eiendom

  • skal sørge for at sikring av tilgang til bygninger, rom og områder er i tråd med kriterier for akseptabel risiko
  • skal bistå enheter ved risikovurderinger av fysisk sikkerhet og ved gjennomføring av nødvendige fysiske sikringstiltak

Enhetsledere

  • er ansvarlig for å tilfredsstille krav til informasjonssikkerhet i egen enhet
  • skal gjennomføre risikovurderinger
  • skal iverksette tiltak dersom det er nødvendig for å ivareta informasjonssikkerheten i egen enhet
  • skal rapportere resultat fra risikovurderinger med handlingsplan og avvik til informasjonssikkerhetsrådgiver
  • skal følge opp avviksmeldinger i egen enhet og sørge for at disse blir lukket
  • skal informere ansatte i egen enhet om de rutiner og retningslinjer som gjelder til enhver tid og sørge for at kravene i styringssystemet til egen enhet blir fulgt

Systemeier

  • skal etablere og vedlikeholde rutiner for å ivareta sikkerhetsmålene
  • skal stille krav til informasjonssikkerhet i anskaffelse, utvikling og vedlikehold av informasjon og informasjonssystemet, i samråd med Avdeling for IT
  • skal sørge for at tilganger blir gitt etter tjenstlig behov, avsluttet når behovet opphører, samt at nødvendig opplæring blir gitt
  • skal, i samråd med informasjonssikkerhetsrådgiver, sørge for at databehandleravtaler inngås
  • skal utføre risikovurdering av systemet i henhold til punkt 4, og dokumentere at risikovurderinger er utført
  • skal iverksette eventuelle tiltak på bakgrunn av risikovurderinger

Brukere av IT-tjenester (ansatte/studenter)

  • har plikt til å gjøre seg kjent med og følge de sikkerhetsrutiner og retningslinjer som til enhver tid gjelder for sikker håndtering av informasjonsverdier og personopplysninger
  • har plikt til å forhindre og rapportere hendelser som kan innebære avvik, samt rapportere avvik når disse oppstår, gjennom avviksmeldingssystemet

Computer Security Incident Response Team (CSIRT)

  • skal iverksette, eller beordre iverksatt, ethvert tiltak som vurderes som tjenlig for å avverge skade på UiTs IT-systemer og data
  • skal rapportere om sikkerhetshendelser, skadepotensial, skadeomfang og iverksatte tiltak til IT-direktøren

Informasjonssikkerhetsforum

  • skal gi råd om tiltak/initiativ som fremmer informasjonssikkerheten
  • skal koordinere planleggingen og gjennomføringen av tiltak og initiativ på informasjonssikkerhetsområdet som omfatter hele institusjonen
  • skal gjennomgå rapporterte avvik og sikkerhetshendelser, og påse at disse blir lukket
  • skal gjennomgå rapport til ledelsens gjennomgang
  • skal bidra til implementering av ledelsessystemet i organisasjonen
  • skal jevnlig gjennomgå ledelsessystemet for informasjonssikkerhet med tilhørende dokumenter og generelle ansvarsforhold, samt vurdere behov for endringer

[Fotnoter]

[8] Jf. ledelsens gjennomgang

Risikovurderinger skal avdekke mulige uønskede hendelser/trusler som kan føre til brudd på informasjonssikkerheten ved UiT. Vurderingene er derfor sentral i arbeidet med å sikre trygg og sikker behandling av UiTs informasjonsverdier. I tillegg til å avdekke hva som kan gå galt, skal de avdekke hva vi har gjort og hva vi ytterligere kan gjøre for å hindre at uønskede hendelser inntreffer, samt redusere konsekvensene dersom de likevel skjer.

Risikovurderingen må videre sees i sammenheng med etablerte akseptkriterier for risiko (jf. punkt 2.3), og akseptabel risiko må fastsettes før risikovurderingen foretas. Dersom risikoen for at en eller flere uønskede hendelser skjer er større enn det som er definert som akseptabelt, må denne risikoen håndteres ved at forebyggende tiltak iverksettes.

Risikovurderinger skal foretas

  • når trusselbildet endres
  • før oppstart av behandling av personopplysninger
  • ved oppstart av forskningsprosjekter
  • ved etablering eller endring av IKT-systemer
  • ved organisatoriske endringer som kan påvirke informasjonssikkerheten

Alle risikovurderinger skal dokumenteres. Dersom risikovurderinger avdekker tilfeller som skal følges opp, skal det navngis hvem som har ansvar for å fastsette relevante tiltak og plan for oppfølgning av disse. Risikovurderingen skal leveres til informasjonssikkerhetsrådgiver(ne) som skal benytte disse i ledelsens gjennomgang og sørge for at dokumentene lagres i UiTs arkivsystem.

Opplæring skal bidra til å bygge en god sikkerhetskultur ved UiT. Den skal bevisstgjøre ansatte og studenter om betydningen av informasjonssikkerhet og gjøre dem i stand til å etterleve UiTs sikkerhetspolicy i sitt daglige virke. Opplæring i informasjonssikkerhet må derfor tas inn som en naturlig del av opplæringen av studenter og ansatte på alle nivå i organisasjonen. Systemeiere er spesielt ansvarlig for opplæring i sine respektive systemer.

Ledere har et overordnet ansvar for at nødvendig informasjon blir gitt til de ansatte, og at det blir satt av tid og ressurser til opplæring. For å sikre at dette ansvaret blir ivaretatt skal informasjonssikkerhet inngå i UiTs lederopplæring. Videre skal universitetsdirektøren sørge for at informasjonssikkerhet tas opp som tema i egnede lederfora minst en gang i året.

Informasjon om informasjonssikkerhet ved UiT skal være lett tilgjengelig for alle via universitetets nettsider og andre relevante kanaler.

Alle som er tildelt sentrale roller og oppgaver i sikkerhetsarbeidet skal gis spesiell opplæring. Eksterne kurs, seminarer og deltakelse i relevante nettverk er viktig for å sikre utveksling av informasjon og øke kompetansen hos denne gruppen ansatte.

Hensikten med internrevisjon er å kontrollere at det vedtatte ledelsessystemet for informasjonssikkerhet innføres, driftes og vedlikeholdes i alle deler av organisasjonen. Det skal gjennomføres årlig systematisk kontroll av universitetets behandling av informasjon der det er krav til konfidensialitet, integritet og tilgjengelighet. Kontrollen skal identifisere eventuelle avvik og behov for justeringer i selve ledelsessystemet og/eller i opplæringen. Det skal føres kontroll av de interne retningslinjene og hvorvidt disse er oppdatert i forhold til regler og praksis i virksomheten. Det skal også kontrolleres at de etterlever krav i lov og forskrifter. Den årlige kontrollen skal danne grunnlag for ledelsens gjennomgang.


Rapportering av avvik
Avvik er brudd på lover, forskrifter eller interne bestemmelser på UiT. Melding av avvik er viktig- både for å kartlegge årsaken til at de skjer, og for å eventuelt iverksette nye sikringstiltak for å unngå liknende avvik i fremtiden. Avvik handler således om kvalitet og forbedring.

Eksempler på avvik:

  • Tyveri av datautstyr,
  • misbruk av IT-tjenester,
  • misbruk av passord,
  • dataangrep for eksempel ved virusangrep eller hacking,
  • datalekkasje,
  • svakheter i IT-systemer eller rutiner på UiT,
  • sensitiv informasjon på avveie,
  • personopplysninger på avveie,
  • uautorisert tilgang til opplysninger.

Fremgangsmåte ved avvik:

  1. Den som oppdager et avvik skal rapportere dette via avviksmeldingssystemet.
  2. Informasjonssikkerhetsrådgiver(ne) undersøker årsakene til avviket og iverksetter korrigerende tiltak for å lukke avviket.
  3. Informasjonssikkerhetsrådgiver(ne) skal føre en samlet oversikt over alle avvik som er meldt inn. Disse skal blant annet inngå i ledelsens gjennomgang og benyttes for læring på tvers i organisasjonen for å hindre gjentakelse.


Informasjonssikkerhet er et lederansvar på lik linje med andre sentrale lederoppgaver ved UiT. Det er ledelsen som har det øverste ansvaret for å sikre at UiT ivaretar pålagte krav til informasjonssikkerhet, og som skal passe på at medarbeidere og studenter har tilstrekkelig kjennskap til informasjonssikkerhet. For at ledelsen skal kunne ivareta sine oppgaver, skal det årlig utarbeides en rapport som gjennomgår arbeidet med informasjonssikkerhet. Informasjonssikkerhetsrådgiver(ne) har ansvar for at denne rapporten blir utarbeidet.

Ledelsens gjennomgang skal omhandle

  • resultater fra internrevisjonen
  • resultater fra risikovurderinger
  • rapporterte avvik og iverksatte tiltak
  • eventuelle nødvendige justeringer av ledelsessystemet

Ledelsen skal etter gjennomgangen ta stilling til

  • om ansvars- og oppgavefordelingen er hensiktsmessig
  • om det er behov for endringer i ledelsessystemet
  • om det er spesielle ressurs- og opplæringsbehov for kommende år

Det er sentralt at personvernet ivaretas, og at relevant regelverk overholdes når du behandler personopplysninger. 

På denne siden får du mer informasjon om hva som ligger i sentrale begreper i regelverket, hva du må passe på før du tar i bruk databehandler, overfører opplysninger til utlandet mm.

Skal du bruke personopplysninger i forskning? Les mer på denne siden.

UiT har et personvernombud, som kan kontaktes på personvernombud@uit.no

Ledelsessystemet fastsetter at risikovurderinger skal foretas

  • når trusselbildet endres
  • før oppstart av behandling av personopplysninger
  • ved oppstart av forskningsprosjekter
  • ved etablering eller endring av IKT-systemer
  • ved organisatoriske endringer som kan påvirke informasjonssikkerheten

Gjennom risikovurderingene ser vi på mulige, uønskede hendelser (trusler) og sannsynligheten for at disse kan inntreffe, samt konsekvensen hvis så skjer. Summen av sannsynlighet og konsekvens gir risikonivået for den aktuelle trusselen. Hvis dette nivået er tilstrekkelig høyt, må man iverksette tiltak for å senke risikonivået (enten senke sannsynligheten, konsekvensen eller begge), før behandlingen, systemet, tjenesten mv settes i gang/tas i bruk. Det vil alltid være en viss risiko forbundet med behandling av informasjon, bruker av tjenester mv. Målet er at denne skal reduseres så mye som mulig. Den "restrisiko" man står igjen med må enten aksepteres, eller så må man konkludere med at risikoen forblir for høy og den planlagte behandlingen kan ikke iverksettes, tjenesten kan ikke tas i bruk etc. Det er viktig at denne beslutningen tas på rett nivå (se nedenfor). 

UiT benytter de veiledninger som er utarbeidet av Unit - direktoratet for IKT og fellestjenester i høyere utdanning og forskning. Disse bygger på anerkjente standarder. Nærmere informasjon om risikovurdering av informasjonssikkerhet finner du her: https://www.unit.no/risikovurderinger-informasjonssikkerhet

Unit har laget også laget egne veiledere som går spesifikt på skytjenester og på administrative systemer. Dere finner disse, samt flere, nederst på denne siden: https://www.unit.no/risikovurderinger-informasjonssikkerhet

I følge ledelsessystemet så er det enhetsledere og systemeiere som har ansvaret for at risikovurderinger gjennomføres. Dette innebærer ikke at de personlig må gjennomføre vurderingene, men de har ansvaret for at risikovurderingene gjennomføres. Det er også disse som må akseptere risikovurderingene, hvilke tiltak som er nødvendige/skal gjennomføres samt akseptere ev. restrisiko. 

Hvis det er tale om behandlinger som innebærer høy risiko, tjenester som behandler store mengder informasjon om mange personer (i sær hvis det er tale om konfidensiell informasjon) bør risikovurderingen løftes opp i linja. Først til IT-direktør, og i noen tilfeller til Universitetsdirektøren (som har et overordnet ansvar for informasjonssikkerhet og utøver myndigheten som behandlingsansvarlig etter personopplysningsloven).

Risikovurderinger kan ikke bare gjennomføres en gang, og så er det gjort. Man må jevnlig ta disse opp igjen og se om tiltakene fungerte etter planen, om trusselbildet har endret seg mv. Har noen av premissene for vurderingene endret seg (ny teknologi etc)?

Det er svært viktig at avvik meldes så raskt som mulig. Dette gjøres på følgende vis: 

  • Sikkerhetsmessige uregelmessigheter (f.eks passord på avveie) som krever hurtige tiltak av teknisk art, meldes til CSIRT
  • Informasjonssikkerhetsavvik forøvrig meldes til sikkerhet@uit.no. Husk å klassifiser eposten. 

I meldingen skal følgende beskrives, i den grad som er mulig:

- hva har skjedd, hvor skjedde det og hvordan oppsto det?

- dato eller tidsrom for avviket

- når ble det oppdaget

- har informasjon blitt kjent (ev. potensielt blitt kjent) for uvedkommende?

- hvis ja, kan du si noe mer rundt dette? F.eks antall personer; beskriv situasjonen (lagt ut på internett, feilsendt til en person etc)

- har informasjon gått tapt eller vært utilgjengelig en periode (og det fikk store eller små konsekvenser)?

- har informasjon blitt endret, enten av uvedkommende eller ved et uhell?

- hvor mange personer er berørt av avviket (anslagsvis hvis det ikke kan besvares helt konkret)

- hvem vi kan kontakte for å få mer informasjon hvis nødvendig

Dersom du ikke har full oversikt med en gang, så send oss en helt kort orientering og følg opp med mer informasjon etterpå. Det er viktig at vi får hurtig beskjed. Vi vil etterspørre mer informasjon hvis vi behøver det.

Merk: dersom meldingen inneholder fortrolig informasjon (f.eks taushetsbelagte opplysninger, sensitive personopplysninger etc), ber vi om at du heller lager avviksmeldingen som et word-dokument i office365, klassifiserer det som fortrolig og deler det med Ingvild Stock-Jørgensen. Alternativt kan du sende det gjennom Ephorte.

(Via kursportalen XtraMile har UiT laget kurset "obligatorisk for ansatte". En av leksjonene er hvordan man klassifiserer filer i Office365.)

UiT har en rekke systemer og tjenester som kan og skal benyttes. Imidlertid er det ikke alle som er godkjent for alle typer data. Etter styringssystemet klassifiseres all informasjon ved UiT enten som åpen,  intern, fortrolig eller strengt fortrolig. Gjennom risikovurderingene besluttes det hvilke typer data de ulike tjenestene og systemene er godkjente for, og hva som skal til for at denne godkjenningen er gyldig.

I tabellen nedenfor vil vi bygge opp en oversikt over hvilke data som kan behandles hvor.

Dere vil se at enkelte har en fotnote ved seg, og dette peker til listen nedenfor tabellen med sentrale forutsetninger for at godkjenningen gjelder. Det vil alltid være en forutsetning at dere bruker tjenesten eller systemet som angitt i veiledninger, opplæring mv. Det er viktig at veiledninger, rutiner mv følges, da UiT gjennom (eksempelvis) rutiner iverksetter tiltak som er påkrevd for at en gitt type informasjon skal kunne behandles i systemet eller tjenesten.

Dersom man bruker systemet eller tjenesten på en annen måte enn beskrevet / angitt, så gjelder ikke informasjonen i tabellen ovenfor og man må ta direkte kontakt med systemeier for å få en avklaring om bruken er tillatt.

System / tjeneste Åpen Intern Fortrolig Strengt fortrolig
Canvas OK OK ikke godkjent ikke godkjent
Ephorte OK OK OK OK
E-post (office 365) OK OK ikke godkjent ikke godkjent
EUTRO OK OK OK  
Fellesområder OK OK ikke godkjent ikke godkjent
Felles Studentsystem (FS) OK OK ikke godkjent ikke godkjent
Hjemmeområdet (H:\) OK OK ikke godkjent ikke godkjent
Mediasite OK OK ikke godkjent ikke godkjent
Nettskjema / Sikkert nettskjema OK OK OK 1 ikke godkjent
OneDrive for Business (office 365) OK OK OK 2 ikke godkjent
Request Tracker (RT) OK OK ikke godkjent ikke godkjent
Sharepoint (office 365) OK OK OK 2 ikke godkjent
Skype for Business OK OK OK 3 ikke godkjent
Sway5 (office 365) OK ikke godkjent ikke godkjent ikke godkjent
Teams (office 365) OK OK OK 2 ikke godkjent
Tjeneste for sensitive data (TSD) OK OK OK  
Yammer (office 365) OK ikke godkjent ikke godkjent ikke godkjent
WiseFlow OK OK OK 4 ikke godkjent

1 = For fortrolig informasjon skal "sikkert nettskjema" benyttes, ta kontakt med Seksjon for digitale forskningstjenester (SDF). "Nettskjema" er kun for åpen og intern informasjon.

2 = Dette er betinget av at følgende sikkerhetstiltak følges: klassifisering av informasjon, totrinns-autentisering aktivert. Informasjon som er underlagt begrensninger for utføring fra Norge (f.eks etter Sikkerhetsloven) kan heller ikke behandles her.

Merk: Direktemeldingsfunksjonen (chat) i Teams er ikke kryptert.

3 = Samtaler i Skype krypteres. Ved Skype-møter med fortrolig innhold anbefales det å aktivere "lobbyfunksjonen" slik at møteleder aktivt må slippe inn de personer om forsøker koble seg opp til møtet. Merk: kopi av direktemeldinger ("chat") lagres i e-postklienten, slik at det blir sikkerhetsnivået for e-post som er gjeldende for disse.

4 = Sensitive personopplysninger (f.eks legeerklæringer) skal ikke behandles i WiseFlow. Men fortrolig informasjon som f.eks eksamensoppgaver før eksamen er avholdt, kan behandles i denne tjenesten. 

5 = Sway er godkjent kun for åpne data. Vi gjør oppmerksom på at Sway lagrer all brukerdata i USA. 

    Vi arbeider med elæringsmoduler om informasjonssikkerhet og personvern.

    Det er viktig at alle enhetene har nærmere rutiner for hvordan informasjonssikkerhet håndteres på sin enhet. F.eks håndtering av utskrifter av fortrolig informasjon, prosedyrer for gjennomføring og godkjenning av risikovurderinger mv. - tilpasset deres enhet.

    Særlig om bruk av Office 365

    For forskningsdata anbefales det å benytte Sharepoint. OneDrive er personlig lagring og vil slettes automatisk hvis brukeren forlater institusjonen.

    Fortrolig informasjon og data som inneholder personopplysninger kan kun lagres på windows-maskiner administrert av UiT. Privat utstyr (laptop/pc/mobile enheter), mac eller linux er foreløpig ikke godkjent. For nærmere informasjon om hvilke typer data de ulike tjenestene i Office 365 er godkjent for, se ovenfor ("Hvilke tjenester kan du bruke til hvilke typer informasjon/data")

    For praktisk informasjon om hvordan du kan klassifisere dine data og sikker databehandling i Office 365, se Orakelets brukerveiledning.

    UiT benytter en rekke databehandlere, i mange ulike situasjoner. Det er flere ting som må vurderes og være på plass før databehandler kan benyttes, bl.a en databehandleravtale. På denne siden finner du mer informasjon, blant annet mal for databehandleravtale.

    - Personopplysningsloven

    - GDPR (forordningsteksten)

    Datatilsynet (Norge)

    Personvernnemnda

    Kommentarutgave til personvernforordningen (GDPR)av Åste Marie Bergseng Skullerud, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud. 



    Forvaltning (jurdiske spørsmål m.m.)
    Seniorrådgiver Ingvild Stock-Jørgensen
    T: 776 46291
    E: ingvild.jorgensen@uit.no
    Operativt (IT-sikkerhet)
    Senioringeniør Ingeborg Ø. Hellemo
    T: 776 44118
    E: ingeborg.hellemo@uit.no



    Page administrator: Ingvild Stock-Jørgensen
    Last updated: 26.09.2019 12:33

    Linker til øvrig, relevant reglement og retningslinjer: