Informasjonssikkerhet

En komplett beskrivelse av roller og ansvar i høgskolens informasjonssikerhetsarbeid finnes i Ledelsessystem for informasjonssikkerhet (LSIS). Beskrivelsene under er et utdrag av de viktigste momentene.

Ledere

Ledere for høgskolens fakulteter, avdelinger og andre enheter som forskningssentre eller biblioteker m.m., har ansvar for å ivareta informasjonssikkerhet innenfor eget ansvarsområde.

Lederne skal sikre at virksomheten i enheten følger opp høgskolens sikkerhetsstrategi, vedtatte sikkerhetsmål og kriterier for akseptabel risiko.

De har blant annet ansvar for at informasjonssikkerhet blir ivaretatt i IT-systemer/tjenester som enheten er systemeiere for.

Ansvaret for den daglige oppfølgingen kan delegeres til en eller flere medarbeidere.

Oppgaver

Ledere skal blant annet:

• Holde oversikt over informasjonsverdier og IT-løsninger som enheten har ansvar for.
• Gjøre risikovurderinger
  • av IT-systemer/tjenester som enheten har eierskap til, bruk av disse og bruk av IT-utstyr.
  • av arbeidsprosesser samt fysiske forhold som har betydning for informasjonssikkerheten.
  • ved anskaffelse av IT-løsninger.
  • ved vesentlige endringer i arbeidsprosesser, IT-løsninger eller fysiske forhold.

• Sette i verk sikringstiltak når en risikovurdering viser at informasjonssikkerheten ikke er tilfredsstillende og rapportere tiltaksplan til sikkerhetsansvarlig (CSO).
• Sikre at egne medarbeidere kjenner rutiner og har tilstrekkelig kompetanse til å ivareta informasjonssikkerhet i arbeidet.
• Sørge for at avvik og sikkerhetsbrudd blir varslet og at avvikene blir lukket.
• Sørge for at krav til innebygd informasjonssikkerhet blir ivaretatt ved anskaffelser av IT-løsninger. 
• Sørge for at det inngås databehandleravtaler med eksterne aktører for å ivareta informasjonssikkerheten og kontrollere at vilkårene blir respektert.

Se "Er det sikkert?" - et e-læringskurs for ledere fra DFØ.

Systemeier eller systemansvarlig

Ansvaret som systemeier for høgskolens IT-systemer er delegert fra rektor til ledere av avdelinger, fakulteter og enheter.

Systemeier er normalt øverste leder for den avdeling/enhet som bruker systemet, og har det overordnede juridiske og økonomiske ansvaret for dette.

Systemeier kan utpeke en systemansvarlig som har innsikt i det aktuelle systemet og følger opp i det daglige.

Ansvaret for høgskolens fellessystemer er plassert i stabs- og støttefunksjoner.

Oppgaver

Systemeier eller systemansvarlig skal blant annet:

• Sikre at krav til informasjonssikkerhet er ivaretatt i systemets funksjonalitet.
• Sikre at systemet følger lover, forskrifter, retningslinjer og annet regelverk innenfor det aktuelle forvaltningsområdet.
• Sikre at systemet følger overordnede retningslinjer og føringer ved høgskolen.
• Følge opp avtaler med leverandører om anskaffelse, utvikling, vedlikehold og brukerstøtte.
• Gjøre risikovurdering av systemet.
• Etablere sikkerhets- og driftsrutiner for systemet. Eventuelt sikre rutiner for manuell drift slik at tjenester kan drives videre ved eventuelle feil på IT-løsning. 
• Gi opplæring i bruk av systemet og gjeldende rutiner.
• Gi ikke-teknisk brukerstøtte for systemet.
• Avdekke og rette feil i systemet og håndtere avvik.
• Avklare arkivfaglige forhold for systemet med høgskolens arkivleder.
• Ivareta rollen som «databehandlingsansvarlig» slik den er definert i Personopplysningsloven.
• Samarbeide med andre systemeiere gjennom høgskolens systemeierforum.

Hva gjør IT-avdelingen?

IT-avdelingen er ansvarlig for den tekniske driften av IT-systemet når denne ikke er satt bort til en ekstern leverandør.

Som systemeier eller systemansvarlig kan du forvente at IT-avdelingen:

• Har ansvar for drift av IT-teknisk infrastruktur, høyest mulig oppetid og retting av feil.
• Gjør teknisk implementering av løsninger (som installasjon, oppgradering og tilpasning) etter avtale med systemeier.
• Har ansvar for IT-teknisk brukerstøtte.
• Har ansvar for sikkerhetskopiering etter avtale med systemeier.
• Gir støtte for systemeier i leverandørkontakt.
• Bidrar ved gjennomføring av risikovurderinger.
• Har ansvar for teknisk informasjonssikkerhet.

Prosjektledere i forskningsprosjekter

Som prosjektleder i et forskningsprosjekt har du ansvar for at informasjonssikkerhet ivaretas i prosjektet. 

Du skal sikre at prosjektet følger opp høgskolens sikkerhetsstrategi, vedtatte sikkerhetsmål og kriterier for akseptabel risiko.

Du har blant annet ansvar for at informasjonssikkerhet blir ivaretatt i IT-systemer/tjenester som prosjektet bruker.

Du finner mer informasjon om hvordan du skal ivareta ansvaret forskningsstøtte-sidene i nettstedet.

Oppgaver

Prosjektleder i forskningsprosjekter skal blant annet:

• Rapportere forskningsprosjekter til forskningsansvarlig ved Høgskolen i Innlandet, og til lokalt personvernombud eller Norsk Senter for Forskningsdata dersom dette er nødvendig.
• Ha oversikt over hvilke informasjonsverdier som behandles og IT-løsninger som benyttes i prosjektet.
• Sørge for risikovurderinger ved oppstart og ved vesentlige endringer i prosjektet, inkludert endringer i IT-løsninger eller fysiske forhold. I langvarige prosjekter bør det gjøres jevnlige risikovurderinger. Risikovurderingene bør omfatte prosjektets bruk av:
  • IT-systemer/tjenester.
  • IT-utstyr.
  • Fysiske forhold som har betydning for informasjonssikkerheten i prosjektet.
  • Anskaffelse av IT-løsninger i prosjektet.
• Sørge for sikringstiltak dersom risikovurderingen viser at informasjonssikkerheten i prosjektet ikke er tilfredsstillende, og rapportere plan for risikohåndtering (tiltaksplan) til sikkerhetsansvarlig (CSO).
• Sørge for at prosjektdeltakerne har kompetanse til å utføre sikkerhetsoppgavene sine, kjenner rutiner for behandling av informasjonsverdier i forskning og prosedyrer for å melde avvik og sikkerhetsbrudd.
• Sørge for at avvik og sikkerhetsbrudd blir lukket og at sikkerhetsansvarlig (CSO) blir varslet om sikkerhetsbrudd ved behandling av personopplysninger som skal varsles til Datatilsynet.
• Sørge for at krav til innebygd informasjonssikkerhet ivaretas ved anskaffelser av IT-løsninger.
• Sørge for at det inngås databehandleravtaler med eksterne aktører i forskningsprosjekter for å ivareta informasjonssikkerheten.

Eksterne samarbeidspartnere

Høgskolen samarbeider med eksterne aktører i en rekke prosjekter. Samarbeidspartnere har ansvar for å bidra til at informasjonssikkerheten ivaretas i samarbeidet med høgskolen.

Ansvaret innebærer å følge gjeldende rutiner og retningslinjer, og vise spesiell aktsomhet ved håndtering av informasjonsverdier og personopplysninger.  

Oppgaver

• Rapportere avvik fra vedtatte rutiner/retningslinjer og brudd på informasjonssikkerheten.
• Bistå ved planlegging, gjennomføring eller oppfølging av konkrete sikkerhetsoppgaver dersom de blir bedt om det.

Brukere (ansatte og studenter)

Alle brukere har et ansvar for at informasjonssikkerheten ivaretas ved høgskolen.

Ansvaret innebærer å følge gjeldende rutiner og retningslinjer, og vise spesiell aktsomhet når du håndterer informasjonsverdier og personopplysninger.  

• Les om hvordan du kan unngå å bli hacket på sikresiden.no
• Ta e-læringskurs om sikkerhet på sikresiden.no

Oppgaver

• Rapportere avvik fra vedtatte rutiner/retningslinjer og brudd på informasjonssikkerheten.
• Ansatte skal bistå ved planlegging, gjennomføring eller oppfølging av konkrete sikkerhetsoppgaver dersom de blir bedt om det.