Styring av informasjonssikkerhet og personvern i høyere utdanning og forskning


Informasjonssikkerhet og personvern er grunnleggende for å lykkes med digitalisering, og Kunnskapsdepartementet har styrket styringen av arbeidet med informasjonssikkerhet og personvern i UH-sektoren. Unit har ansvar for den løpende sektorstyringen.

Formålet med sektorstyringen

Digitalisering gir store muligheter for UH-sektoren. Samtidig innebærer digitalisering nye utfordringer når det gjelder sikring av digitale verdier og ivaretakelse av personvernet. Disse utfordringene må håndteres på tilfredsstillende vis dersom digitaliseringen skal kunne medvirke til at sektoren løser sitt samfunnsoppdrag på nye og bedre måter. 

Unit har derfor fått i oppdrag fra Kunnskapsdepartementet (KD) å styre og følge opp UH-sektorens arbeid med informasjonssikkerhet og personvern. Dette skal bidra til at digitaliseringen skjer på en forsvarlig måte og i samsvar med de rettslige krav som gjelder for sikring av digitale verdier og beskyttelse av den enkeltes personvern.
 

Ansvars- og oppgavefordelingen i sektoren

Det er den enkelte virksomhet som selv har ansvaret for informasjonssikkerheten og personvernet i egen forskning, undervisning, formidling og administrasjon. De krav som stilles til virksomhetene oppsummeres i Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning. Policyen er fastsatt av KD og forvaltes av Unit.

Unit har ansvaret for den løpende styringen av arbeidet med informasjonssikkerhet og personvern i UH-sektoren. Styringen skjer med grunnlag i nevnte policy.

Kunnskapsdepartementet har det overordnede ansvaret for at informasjonssikkerheten og personvernet er tilfredsstillende ivaretatt hos underliggende virksomheter.

Disse omfattes av sektorstyringen

Følgende virksomheter underlagt KD omfattes av Unit sin styring og oppfølging av arbeidet med informasjonssikkerhet og personvern:
 
•    Alle statlige universiteter og høyskoler.
•    NFR – Norges forskningsråd.
•    FEK – De nasjonale forskningsetiske komiteene.
•    NOKUT – Nasjonalt organ for kvalitet i utdanninga.
•    Diku – Direktoratet for internasjonalisering og kvalitetsutvikling i høyere utdanning.
•    Nupi – Norsk utenrikspolitisk institutt.
•    NSD AS – Norsk senter for forskningsdata.
•    Uninett AS.
•    Simula AS.
•    UNIS AS.

Unit omfattes også av sektorstyringen. Det er Kunnskapsdepartementet som følger opp Unit sitt eget arbeid med informasjonssikkerhet og personvern. Dette inkluderer Unit sine tjenesteleveranser til sektoren.

Måten sektorstyringen skjer på

Sektorstyringen tar utgangspunkt i de formelle krav som stilles til informasjonssikkerhet og personvern, og som oppsummeres i «Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning.» Det er etterlevelsen av kravene i policyen som den enkelte virksomhet måles på. 

For å vurdere måloppnåelse gjennomfører Unit årlige kartlegginger av arbeidet med informasjonssikkerhet og personvern hos den enkelte virksomhet. Kartleggingene omfatter blant annet møter med de ulike virksomhetene. Kartleggingen omfatter også innhenting av data om digitale trusler og sårbarheter fra UH-sektorens responsmiljø, og fra andre nasjonale og internasjonale aktører. 

Resultatene fra kartleggingene rapporteres til KD. Rapporteringen gir et samlet bilde av arbeidet med informasjonssikkerhet og personvern på sektornivå og inneholder vurderinger av den enkelte virksomhet. Dette danner grunnlaget for eventuelle sektortiltak som departementet beslutter å iverksette, og for Unit sitt videre arbeid med oppfølging av viktige funn og konklusjoner. 

Unit offentliggjør resultatene fra kartleggingene i en årlig risiko- og tilstandsrapport. I tillegg vil Unit publisere kortere rapporter om særskilte tema basert på funnene fra kartleggingene. Rapportene formidles til interessenter i og utenfor UH-sektoren, og kan brukes i virksomhetenes egne vurderinger av informasjonssikkerhets- og personvernrisiko.  

Når arbeidet med informasjonssikkerhet og personvern hos de enkelte virksomhetene er kartlagt og vurdert opp mot kravene i policyen, mottar virksomhetene egne tilbakemeldinger i brev fra Unit. Tilbakemeldingene inkluderer anbefalinger om prioriteringer for det videre arbeidet. Det forventes at virksomhetene følger opp Unit sine anbefalinger.  

KD følger også opp arbeid med informasjonssikkerhet og personvern på virksomhetsnivå. Det skjer gjennom styringsdialogen med den enkelte virksomhet. 

Veiledning og rådgiving

Unit svarer på spørsmål om hvilke krav og føringer som gjelder for virksomhetenes arbeid med informasjonssikkerhet og personvern, postmottak@unit.no

Uninett bistår med praktisk hjelp og veiledning om hvordan arbeidet best kan organiseres og utføres, kontakt@uninett.no 

Kunnskapssektorens responsmiljø – Uninett CERT – gir opplæring og veiledning om forebygging, oppdagelse og håndtering av digitale sikkerhetshendelser, kontakt@uninett.no

Her finner du mer informasjon om Uninett CERT og Uninetts rådgivnings- og veiledningstjeneste 

 

 


Del: Share to LinkedIn Share to Facebook Share by mail Share to Twitter