Hvor godt er UH-sektoren forberedt på alvorlige hendelser?


Alvorlige informasjonssikkerhets- og personvernhendelser kan føre til store negative påkjenninger. Dette kan være langvarig bortfall av viktige digitale systemer og tjenester, eller uønsket eksponering av store mengder sensitive personopplysninger.

Unit har publisert sin første temarapport om informasjonssikkerhet og personvern i UH-sektoren. Rapporten retter søkelyset mot hvordan sektoren forbereder seg på håndtering av alvorlige informasjonssikkerhets- og personvernhendelser. 

Bakgrunn 

I Kunnskapsdepartementets policy for informasjonssikkerhet og personvern forventes det at virksomhetene har forberedt seg på slike hendelser, det vil si at det finnes kontinuitets- og beredskapsplaner og at planverket testes jevnlig (øvelser).  

Hovedfunn 

Rapporten viser at i 2019 hadde 11 av 29 virksomheter enten etablert planer for håndtering av alvorlige informasjonssikkerhets- og personvernhendelser, eller var i ferd med å gjøre det. 18 virksomheter hadde ikke etablert slike planer. 

Rapporten viser også at 13 av 29 virksomheter hadde gjennomført øvelser på håndtering av alvorlige informasjonssikkerhets- eller personvernhendelser. 16 virksomheter hadde ikke avholdt slike øvelser i 2019. 

Konklusjoner og anbefalinger 

Rapporten konkluderer med at kontinuitets- og beredskapsarbeidet i sektoren savner noe av den systematikken og planmessigheten som forutsettes i Kunnskapsdepartementets policy for informasjonssikkerhet og personvern. Samtidig er det flere virksomheter som gjennomfører øvelser enn det er virksomheter som har planer for kontinuitet og beredskap på informasjonssikkerhets- og personvernområdet.  

Unit anbefaler derfor at virksomhetene sørger for at øvelsesaktiviteten skjer innenfor rammen av lokale kontinuitets- og beredskapsplanverk, og at læringspunkter fra øvelser benyttes som grunnlag for evaluering og (eventuelt) revisjon av det lokale planverket. 

Webinar 

Denne tremarapporten presenteres på et webinar om kontinuitet og beredskap 20. oktober. Webinaret arrangeres i samarbeid med Uninett. 

Om Units temarapporter 

Units temarapporter retter søkelyset mot viktige områder i arbeidet med informasjonssikkerhet og personvern, og vil vanligvis bli publisert i forbindelse med nasjonal sikkerhetsmåned.  

I tillegg til å gi informasjon om utvalgte temaområder, kan virksomhetene benytte rapportene til å vurdere eget ståsted opp mot den generelle tilstanden i sektoren.  


Del: Share to LinkedIn Share to Facebook Share by mail Share to Twitter