Universitetet i Stavanger Styret ved Universitetet i Stavanger US 17/17 Revisjonsplan 2017 og revisjonsrapport om personvern og informasjonssikkerhet høst 2016 Saksnr: 15/06999-7 Møtedag: 09.03.2017 Saksansvarlig: Rolf Jegervatn, internrevisjonsleder Informasjonsansvarlig: John B Møst, universitetsdirektør Dokumenter i saken: Vedlegg 1: Revisjonsplan 2017 Vedlegg 2: Risikovurdering 2017 Vedlegg 3: Revisjonsrapport UiS personvern og informasjonssikkerhet Vedlegg 4: Oppdragsbeskrivelse Vedlegg 5: Taushetserklæring Vedlegg 6: Instruks Vedlegg 7: Ny forordning 2018 datatilsynets skriv Bakgrunn i sak: Internrevisjonen ved Universitetet i Stavanger (UiS), Universitetet i Agder (UiA), Nord universitet og Høgskulen på Vestlandet (HVL) legger med dette frem revisjonsplan for 2017. Tema for revisjon våren 2017: Sidegjøremål og roller i næringslivet. Revisjon høst 2017: Bruk og forvaltning av KD – Stipendiatmidler, se vedlagt revisjonsplan for 2017. Internrevisjonen utarbeidet høsten 2015 forslag til revisjonsplan for 2016. Styrene ved de fire samarbeidende virksomhetene har hatt revisjonsplan for 2016 til behandling og godkjent disse uten merknader. Internrevisjonen har gjennomført en anbefalende revisjon av personvern og informasjonssikkerhet med kontroll av dokumentasjon av internkontrollprosesser knyttet til ansvarsutøvelse i forhold til revidert område. Revisjonen ble gjennomført i samarbeid med ekstern IT-revisor Kenneth Høstland (Conferit AS). Basert på mottatt dokumentasjon og de opplysninger som er fremkommet gjennom intervjuer, er internrevisjonens konklusjon at UiS har et forbedringspotensial innenfor etterlevelse og oppfølging av Personopplysningsloven med forskrift og innen informasjonssikkerhet jf. konklusjoner i vedlagt revisjonsrapport. IT avdelingen ved UiS holder imidlertid et høyt nivå innen informasjonssikkerhet gjennom sertifisering av sitt ledelsessystem / styringssystem etter to ISO sertifiseringer, herunder ISO/IEC 9001:2015 (kvalitetsstyring) og ISO/IEC 27001:2013 (Informasjonssikkerhet). Forslag til vedtak: 1. Styret vedtar den forelagte revisjonsplanen for 2017. 2. Styret tar revisjonsrapporten til orientering. Internrevisjonen ber styret å påse at universitetsdirektøren følger opp de bemerkninger og anbefalinger på revidert område som fremkommer i revisjonsrapporten. Stavanger, 28.02.2017 John B Møst universitetsdirektør 1 US 17/17 Revisjonsplan 2017 og revisjonsrapport om personvern og informasjonssikkerhet høst 2016 Revisjonsplan 2017: Planen for internrevisjonsaktiviteter 2017 skal godkjennes av de enkelte virksomhetsstyrene og fremlegges derfor i god tid før første revisjon våren 2017. Det vil være internrevisjonsteamet som utarbeider forslag til revisjonsplan i dialog med virksomhetene. Internrevisjonsteamet ble bedt om å utarbeide en metodikk for hvordan man skal komme frem til forslag til revisjonsplan for fremtiden jf. styresak (US 109/15 Internrevisjon ved UiS). Dette ble løst gjennom å rette direkte forespørsel/dialog med samtlige av de fire virksomheters ledelse medio november 2016. Alle de fire virksomhetenes ledelse ble bedt om å adressere internrevisjonens ønske om innspill til neste års revisjon. Det planlegges i utgangspunktet to revisjoner for 2017 dersom det ikke bestemmes annet. Dette må også vurderes opp mot økonomiske rammer. Den enkelte virksomhet står fritt til å benytte eksterne konsulenter til revisjon av andre områder som er særskilte på den enkelte institusjon. Revisjonsplanen skal også foreslå mulige fremtidige revisjoner, slik at de enkelte styrene gis mulighet til å gi tilbakemeldinger til revisjonsteamet om mulige tema. Internrevisjonen planlegger å gjennomføre to revisjoner for 2017 jf. vedlagt revisjonsplan. Vår 2017: Sidegjøremål og roller i næringslivet. Det er vanlig i UH-sektoren at vitenskapelig ansatte innehar sidegjøremål (bierverv) og roller i andre virksomheter som i næringsliv, i organisasjoner og i offentlig virksomhet. Riksrevisjonen har tidligere omtalt forholdet i dokument 1 og viser til at det i enkelte tilfeller er mangelfulle rutiner og åpenhet rundt dette på de institusjoner som har vært revidert på dette området. Internrevisjonen ønsker å gjennomføre en revisjon med fokus på i hvilken grad fakulteter og institutter etterlever lover og regler samt virksomhetenes egne interne retningslinjer som foreligger på området. Høst 2017: Bruk og forvaltning av KD – Stipendiatmidler Hvordan forvaltes Kunnskapsdepartementets tildelinger av stipendiatmidler (PhD) i forhold til KDs føringer og forventninger. Revisjonsrapport personvern og informasjonssikkerhet: Internrevisjonen har gjennom denne revisjonen kartlagt om kontroller, dokumentasjon, prosedyrer, prosesser og andre aktiviteter er effektivt gjennomført, vedlikeholdt og oppfyller lovmessige og regulatoriske krav, samt krav stilt i egne styrings- og ledelsessystemer for informasjonssikkerhet og personvern. I tillegg har revisjonen gitt en anbefaling av hvilke tiltak virksomhetene må foreta seg for å imøtekomme de nært forestående endringene jf. EU 2018 krav knyttet til personvern. Hovedkonklusjoner fra revisjonsrapport Basert på mottatt dokumentasjon og de opplysninger som er fremkommet gjennom intervjuer, er internrevisjonens konklusjon at UiS har et forbedringspotensial innenfor etterlevelse av Personopplysningsloven med forskrift og innen informasjonssikkerhet jf. konklusjoner i vedlagt revisjonsrapport. Internrevisjonen vil benytte anledningen til å påpeke at UiS har igangsatt og gjennomført flere forbedringer på dette området etter Riksrevisjonens revisjon av persondatasikkerhet knyttet til prosjekter i 2010/2011. IT avdelingen ved UiS holder imidlertid et høyt nivå innen informasjonssikkerhet takket være sertifisering av sitt ledelsessystem / styringssystem etter to ISO sertifiseringer, herunder ISO/IEC 9001:2015 (kvalitetsstyring) og ISO/IEC 27001:2013 (Informasjonssikkerhet). 2 Revisjonsrapportene for Universitetet i Agder, Nord Universitet og Høgskulen på Vestlandet er tilgjengelig på forespørsel. Forslag til vedtak: 1. Styret vedtar den forelagte revisjonsplanen for 2017. 2. Styret tar revisjonsrapporten til orientering. Internrevisjonen ber styret å påse at universitetsdirektøren følger opp de bemerkninger og anbefalinger på revidert område som fremkommer i revisjonsrapporten. Stavanger, 28.02.2017 John B Møst Rolf Jegervatn universitetsdirektør internrevisjonsleder Saksbehandler: Rolf Jegervatn internrevisjonsleder 3 Utarbeidet i samarbeid mellom REVISJONSPLAN 2017 Internrevisjonen Revisjoner 2016: 1. Reiseregninger 2. Personvern og informasjonssikkerhet Punkter til oppfølging fra 2016 revisjonene Internrevisjonen mottok tilsvar fra samtlige reviderte virksomheter i etterkant av revisjonen av reiseregninger. Internrevisjonen ber om at virksomhetene gir tilbakemelding på hvordan oppfølgingspunktene/funnene etter revisjonene for 2016 følges opp, dette for at internrevisjonen kan kvittere punktene som ferdigstilt. Vi ønsker også tilbakemelding på hvordan oppfølgingen i etterkant av revisjonen av personvern følges opp. Tilbakemelding til internrevisjonen kan skje løpende enten ved direkte kontakt med internrevisjonsteamet eventuelt kan styrets kontaktperson videreformidle til internrevisjonen. Internrevisjonens funksjon Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine målsettinger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, styring og kontroll og governance. Risikovurdering I tråd med internrevisjonsmetodikken har internrevisjonen gjennomført risikovurdering som grunnlag for utarbeidelse av revisjonsplanen for 2017 (se vedlegg risikovurdering). Risikovurderingen har hatt til hensikt å identifisere områder som kan ha en risiko for virksomhetene og der internrevisjonen kan bidra til å bekrefte eller avkrefte om kontrolltiltakene er gode, samt områder der internrevisjonen kan være mest effektiv og gi størst verdi og ikke overlapper med annet revisjonsarbeid fra Riksrevisjonen. Revisjonsprosjektene har ikke nødvendigvis blitt valgt ut fordi de representerer høyest risiko for virksomhetene, men snarere en kombinasjonen av risiko og verdipotensialet internrevisjonen kan ha for virksomhetene samlet sett. Revisjonsplanen følger kalenderåret 2017. For påfølgende år vil det bli utført en justering av risikovurdering som grunnlag for 2018 planen. Forslag til revisjonstema - revisjonsplan for 2017: Nedenfor er internrevisjonens forslag til internrevisjonsplan for 2017 med beskrivelse av planlagte internrevisjonsprosjekter i perioden. Planen skal godkjennes av styret. I tråd med tidligere års praksis er vårt forslag oversendt Universitetsdirektør som underlag til aktuell styresak. Nedenfor følger en beskrivelse av revisjonsprosjektene som inngår i revisjonsplanen. Disse er gjennomgått og diskutert av internrevisjonen. I forbindelse med oppstart av de enkelte revisjonsprosjektene vil det i tillegg bli utarbeidet egne planleggingsmemo som gir en detaljert oversikt over omfang og gjennomføring av de to endelige valgte tema for revisjon i 2017. Dette utføres når tema for revisjon 2017 er fastsatt av styrene. Internrevisjonen oppfordrer styret til å komme med innspill for eventuelle tema 2018. Vi anbefaler at følgende internrevisjonsprosjekter vedtas av styret og blir gjennomført i 2017: 1. Sidegjøremål og roller i næringslivet Det er vanlig i UH-sektoren at vitenskapelig ansatte innehar sidegjøremål (bierverv) og roller i andre virksomheter som i næringsliv, i organisasjoner og i offentlig virksomhet. Riksrevisjonen har tidligere omtalt forholdet i dokument 1 og viser til at det i enkelte tilfeller er mangelfulle rutiner og åpenhet rundt dette på de institusjoner som har vært revidert på dette området. Internrevisjonen ønsker å gjennomføre en revisjon med fokus på i hvilken grad fakulteter og institutter etterlever lover og regler samt virksomhetenes egne interne retningslinjer som foreligger på området. 2. Bruk av KD – Stipendiatmidler Hvordan forvaltes Kunnskapsdepartementets tildelinger av stipendiatmidler (PhD) i forhold til KDs føringer og forventninger. Forslag til senere revisjoner: 3. Beredskap 4. HMS Risikovurdering 2017 – Internrevisjonsenheten Mål: Internrevisjonen ved UiS, Nord, UiA og HVL tilstreber til enhver tid å følge IIA standardene: Internrevisjonen tilstreber å gi bekreftelser på virksomhetenes prosesser for governance, risikostyring og kontroll for å hjelpe virksomhetene å nå sine strategiske, operasjonelle-, finansielle- og etterlevelsesmål. Internrevisjonen tilstreber videre å være en pådriver for å forbedre virksomhetenes hensiktsmessighet og effektivitet ved at den gir innsikt og anbefalinger basert på analyser og vurderinger av informasjon og forretningsprosesser. Gjennom sin integritet og ansvarlighet gir internrevisjonen verdi til de styrende organer og toppledelsen ved at den er en objektiv kilde til uavhengige anbefalinger. Ev.delmål: 1) Sikring av etterlevelse av myndighetskrav 2) Sikre at det er tiltak mot bestikkelser og korrupsjon i virksomheten 3) Sikre at det ikke skjer uheldige tredjepartsrelasjoner 4) Sikre den strategiske tilpasningen 5) Internrevisjonsgruppen i seg selv (iboende risiko) Kritiske Gjennom sin integritet og ansvarlighet gir internrevisjonen verdi til de styrende organer og toppledelsen ved at den får mulighet til å suksessopptre som en objektiv kilde til uavhengige anbefalinger. faktorer Risikovurdering Risikoreduserende tiltak Identifisere risiko Akseptabelt Sannsynlighet Konsekvens # (redusere konsekvens og/eller Foreliggende (trusler) (Usikkerhet) (Hva står på spill) Risikonivå sannsynlighet) risikonivå L, M og S L, M og S L, M og S 1) Internrevisjonen Hvordan kan internrevisjonen bistå: M M-S L-M M avdekker direkte brudd - Lage en oversikt over på gjeldende myndighetsorganer og -krav lover/regelverk gjennom som påvirker virksomhetene. revisjonen. - Evaluere virksomhetenes respons til eventuelle nevneverdige tilfeller av manglende etterlevelse. - Sørge for at opplæringsprogrammer i compliance som tilbys til medarbeidere og andre interessenter er egnet for rollen. 2) Internrevisjonen ser viktigheten av å holde høyt fokus på, samt søke å identifisere risikoer som oppstår i forbindelse med myndighetskrav og compliance, så som den som introduseres ved interaksjon mellom tredjeparter. L-M S L L-M - - 3) Internrevisjonen ser risiko knyttet til tredjepartsrelasjoner mht motivet for å øke egen produktivitet og effektivitet. Virksomheter kan komme til å basere seg i stadig større grad på tredjeparter for å utføre viktige forretningsfunksjoner. Men bruk av tredjeparter kan eksponere virksomhetene for nye risikoer og potensielle M M-S L-M L-M - Internrevisjonen kan gjennomføre en vurdering av virksomhetens eksisterende prosedyrer mot bestikkelser og korrupsjon i forhold til ledende praksis i veiledning for myndighetskrav. Sikre at utformingen og den driftsmessige effektiviteten til virksomhetenes relevante kontroller for forebyggelse og oppdagelse er god. Forbedre internrevisjonens prosedyrer mot bestikkelser og korrupsjon i sine eksisterende/planlagte revisjoner og oppsynsaktiviteter overfor tredjeparter. Evaluere kontraktsforvaltningsprosess er som brukes av ledelsen for å holde oversikt over tredjepartsrelasjoner Overvåke utviklinger i myndighetskrav relatert til tredjeparter. 4) feil som kan føre til bøter, søksmål og omdømmeskade. Internrevisjonen ser risiko knyttet til det å sikre at internrevisjonen er samstemt med selskapets strategiske prioriteringer og forblir relevant i lys av organisatorisk og annen endring. M M L-M M - - 5) Internrevisjonen ser egen sårbarhet ifbm fravær av gruppens deltakere. L L-M L-M L-M Sørge for at ressurser blir allokert til virksomhetenes viktigste målsettinger og initiativer. Fastslå hvordan virksomheten vurderer risiko relatert til større strategiske initiativer og hvordan det håndterer endring relatert til de initiativene. Sørge for at internrevisjonen er godt tilpasset selskapets strategi. Utsatt offentlighet jf. Off.lova § 14 REVISJONSRAPPORT Revisjon av informasjonssikkerhet og personvern Distribuert til: Styret Universitetsdirektør Deltakere ved intervju Gjennomført av enhet for internrevisjon: Annette Sundsdal (UiA), Rolf Jegervatn (UiS), Kristine Tangen (HiB), Cathrine Vasset Rasmussen (Nord) og IT-revisor Kenneth Høstland (Conferit AS) Stavanger 23.11.2016 1. Innledning og bakgrunn Denne rapporten reflekterer den overordnede gjennomgangen av informasjonssikkerhet som ble gjennomført hos Universitetet i Stavanger (heretter kalt UiS) i november 2016. Arbeidet er forankret i universitetets styregodkjente revisjonsplan for 2016 der revisjonen utføres i samarbeid med internrevisjonen ved Universitetet i Stavanger (UiS), Nord Universitet, og Universitetet i Agder (UiA). Arbeidet er utført som en overordnet anbefalende revisjon av informasjonssikkerhet og personvern ved virksomhetene for å bistå virksomhetene i sitt forbedringsløp innen internkontroll. Rapporten gir en overordnet vurdering av hvorvidt kontroller, dokumentasjon, prosedyrer, prosesser og andre aktiviteter er effektivt gjennomført og vedlikeholdt og oppfyller regulatoriske krav og krav stilt i egne styrings- /ledelsessystemer for informasjonssikkerhet og personvern, samt EUs nye krav til personvern som skal være oppfylt innen mai 2018. Kartleggingen er gjennomført ved hjelp av intervju med sentrale personer ved virksomheten og med basis i «beste praksis», i forhold til systematikken i ISO 27001, samt relevante regulatoriske krav, Personopplysningsloven (POL) med forskrift (POF). Målsettingen med revisjonen er å etablere hensiktsmessige styrings- og kontrollmekanismer som balanserer risiko, kontroll og kost/nytte. Videre mål er å sikre at styrings- og kontrollmekanismene fungerer effektivt og som forutsatt, samt at kontrollmekanismene blir dokumentert, og at dokumentasjonen blir systematisert i styrende dokumenter for informasjonssikkerhet. Mål- og resultatstyring er det overordnede styringsprinsipp i all virksomhetsstyring. God mål- og resultatstyring forutsetter at ledelsen er kjent med og håndterer de utfordringer og usikkerheter som kan påvirke måloppnåelsen på en negativ måte. God virksomhetsstyring inneholder for eksempel typisk krav om at all styring, oppfølging, kontroll og forvaltning i virksomheten skal tilpasses virksomhetens egenart samt risiko og vesentlighet. 2. Hovedkonklusjoner Basert på mottatt dokumentasjon og de opplysninger som er fremkommet gjennom intervjuer, er vår konklusjon at UiS har et klart forbedringspotensial innenfor etterlevelse av Personopplysningsloven med forskrift og innen informasjonssikkerhet. IT avdelingen ved UiS holder imidlertid et høyt nivå innen informasjonssikkerhet takket være sertifisering av sitt ledelsessystem / styringssystem etter to ISO sertifiseringer, herunder ISO/IEC 9001:2015 (kvalitetsstyring) og ISO/IEC 27001:2013 (Informasjonssikkerhet). Det er ikke gjennomført revisjon av den tekniske informasjonssikkerheten hos UiS. Internrevisjonen har notert følgende funn i form av avvik og observasjoner; • Virksomheten har mangelfull oversikt over hvilke personopplysninger som behandles og hvor disse lagres / hvordan disse opplysningene er sikret, samt under hvilket formål, jf. POF § 2-4. • Informasjonssikkerhets policy, rutiner, retningslinjer (slik som i forhold til sikker lagring mv) er vanskelig å finne i virksomhetens interne web sider. • Noe dokumentasjon som er tilgjengelig er utdatert, slik som Håndbok for behandling av personopplysninger i forskningsprosjekter av 28.11.04. 2 • • • • • • Siden virksomheten ikke kan fremskaffe dokumentasjon over «alle endringer med betydning for informasjonssikkerheten» (Jf. POF § 2-4), er det uklart hvorvidt det er gjennomført risikovurderinger av informasjonssikkerhet i nødvendig grad. Det er uklart hvorvidt IT strategien er forankret i virksomhetens ledelse. Det er ikke etablert årshjul for sikkerhet på overordnet nivå i virksomheten (IT avdelingen har dette etablert for sin virksomhet). Manglende årshjul for informasjonssikkerhet i virksomheten som et hele gir risiko for manglende fokus og gjennomføring av ulike tiltak for å fremme sikkerheten. Egne sikkerhetstiltak eller sikkerhetstiltak hos databehandlere er ikke gjennomgått, Jf. POF § 2-14. Oversikt over Databehandlere inkluderer ikke underleverandører og UIS har ikke skaffet oversikt over den faktiske sikkerheten hos disse, Jf. POF §§ 2-14, 2-15. Virksomheten er ikke forberedt med hensyn til etterlevelse av EUs forordning for personvern som blir norsk lov i mai 2018 og vil erstatte POL og POF. Det betyr at man får nye regler for personvern i Norge, som gir virksomheter nye plikter. Personer som får sine personopplysninger registrert får nye rettigheter. De nye personvernreglene vil bety (ikke avgrenset til, jf. vedlagte informasjon fra Datatilsynet): o Personvern skal bygges inn i nye løsninger, det vil si at krav til at nye tiltak og systemer skal utarbeides på en mest mulig personvernvennlig måte. o Det skal etableres forståelig personvernerklæring, det vil si at informasjon om hvordan virksomheten behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. o Alle skal vurdere risiko og personvernkonsekvenser. Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha. o Alle offentlige og mange private virksomheter skal opprette personvernombud. Ombudet kan være en ansatt eller en profesjonell tredjepart. o Reglene gjelder også virksomheter utenfor Europa. o Alle databehandlere får nye plikter. o Alle får nye krav til avvikshåndtering. o Alle må kunne oppfylle borgernes nye rettigheter. 3. Anbefalinger Internrevisjonen vil anbefale at UiS utbedrer de mest alvorlige funn/avvik med relevante tiltak. Dette gjelder særlig følgende prosesser og tiltak: • Virksomheten (UiS utenom IT avdelingen) bør videreutvikle sin risikostyring som inkluderer: o Gjennomføring av risikovurderinger ved enhver endring som har betydning for informasjonssikkerheten. o Etablering av et risikoregister der også restrisiko dokumenteres. o Etablering av systematikk for vurdering av restrisiko og risikoenes muligheter («Upside of risk»). o Gjennomføring av risikovurderinger i forhold til mål- og resultatstyringen. • Sikkerhetspolicy med tilhørende rutiner, retningslinjer og veiledere bør oppdateres og tilgjengeliggjøres i virksomhetens interne web sider. 3 • • • • • • • • • • Det overordnede sikkerhetsansvar (CSO) bør forankres tilstrekkelig sentralt i organisasjonen. Imidlertid har virksomheten lagt planer om å besette CSO funksjonen med sentral forankring i virksomhetens ledelse (Administrasjonen). IKT sikkerhetsarkitekturen bør kritisk gjennomgås hos Databehandlere. Det bør etableres Databehandleravtaler som i tillegg til de fokusområder som er omhandlet i forslag til avtale fra UNINETT også inkludere Databehandlers ansvar ved opphør. Databehandler skal som del av ytelsen stille nødvendige tjenester til rådighet i avviklingsperioden, slik at nødvendige handlinger kan gjennomføres uten driftsmessige forstyrrelser for den behandlingsansvarlige. Oversikten over databehandlere bør også inkludere oversikt over alle underleverandørene. Virksomheten bør utarbeide rolle beskrivelser med funksjon, ansvar, oppgaver, samt rollenes tilgangsnivå i ulike fagsystemer. Meldingsarkivet hos NSD bør utvides til å inkludere hvor personopplysningene er lokalisert og hvordan disse er sikret. Etablere hehetlig systemoversikt som også inkluderer (ikke avgrenset til); hvilke type opplysninger systemene inneholder, sikkerhets nivå (hvilken sone), hjemmel for opplysningene, mv. Det bør undersøkes nærmere hvorvidt personopplysninger der konfidensialitet er nødvendig er tilstrekkelig sikret hos Databehandlere i egen IT revisjon. Det bør etableres eget årshjul for informasjonssikkerhet (på overordnet nivå i virksomheten utenom IT avdelingen), og som gjerne kan kombineres / integreres med IT avdelingens øvrige og overordnede fokusområder. I forhold til den nye Personvernforordningen i EU bør virksomheten: o Sette seg inn i de nye reglene og foreta en konsekvens vurdering. o Lage en plan for hvordan virksomheten skal møte de nye reglene. o Sette av ressurser for å kunne etterleve de nye reglene. Det er tilfredsstillende å observere at UiS har: • Etablert sikkerhetsmål og –strategi (policy). • Sterkt fokus på informasjonssikkerhet og deriblant har etablert mandat for prosjekt med å etablere / vitalisere arbeidet med internkontroll. • En IT avdeling som er sertifisert innen to omfattende ISO standarder, ISO/IEC 9001:2015 og ISO/IEC 27001:2013. • Høy kompetanse innen sikkerhet og stor omstillingsevne. • Gjennomført risikovurderinger av både informasjonssikkerhet både ved IT avdelingen og ute i virksomheten. • Gjennomført hyppige revisjoner ved IT avdelingen og har gjennomført dette også ved fakultetene. • Prosess for etablering av Databehandleravtale med UNINETT, som er igangsatt. • Etablert systemoversikt som inkluderer oversikt over systemeiere. Imidlertid er det noen mangler ved denne som nevnt ovenfor. • Har god oversikt over avvik relatert til IT avdelingen 4 Mer detaljert beskrivelse av funn og anbefalinger er å finne i vedlegget. 4. Gjennomføring, forutsetninger og avgrensninger av IT-revisjonen Det er benyttet erfaring og skjønn sammen med tilgjengelig dokumentasjon fra UiS for en sikkerhetsvurdering av informasjonsforvaltningen ved UiS opp mot «beste praksis» og regulatoriske krav, slik som personopplysningsloven med forskrift. «Beste praksis» (også betegnet «god IT-skikk») bygger bl.a. på • CobiT (Control Objectives for Information and Related Technology), utarbeidet av ISACA. • ISO/IEC 27001:2013. • «God IT-skikk», utarbeidet av ISACA og publisert i Norge av Den norske dataforening. • Information Security Forums forskjellige sikkerhetskontroller. 5. Gjennomføring og metode IT-revisor 1 Kenneth Høstland (Conferit AS) ble engasjert av Internrevisjonen for å gjennomgå informasjonssikkerheten og etterlevelse av Personopplysningsloven (POL) med forskrift (POF). IT-revisjonen ble gjennomført med bedriftsbesøk og intervjuer den 23 november 2016 i Stavanger. Det har i tillegg vært oppfølging via e-post og telefon i etterkant av intervjuene. Kartleggingen er gjennomført ved hjelp av intervjuer med sentrale personer ved UiS med basis i «beste praksis» og relevante regulatoriske krav som nevnt ovenfor. Det er foretatt overordnet verifikasjon av informasjonssikkerhet, rutiner og dokumentasjon i form av stikkprøver. Det er ikke benyttet tekniske verktøy i denne revisjonen. 6. Omfang av IT- revisjonen Sikkerhetsstatus og tiltak ble gjennomgått med følgende personer: 1 Navn Funksjon Dato Rolf Jegervatn Internrevisjonsleder 23.11.2016 Cathrine V. Rasmussen Internrevisor 23.11.2016 Annette Sundsdal Internrevisor 23.11.2016 Kristine Tangen Internrevisor 23.11.2016 Kenneth Høstland IT-revisor (Conferit AS) 23.11.2016 Marina Davidian IT-direktør 23.11.2016 Gro Sokn Fakultetsdirektør TN 23.11.2016 Lone Litlehamar Fakultetsdirektør SV 23.11.2016 Marianne Gjerlaugsen Rådgiver SV-fakultetet 23.11.2016 CISA, CRISC 5 Ingunn Folgerø Fakultetsdirektør HUM 23.11.2016 Marianne Trå Rådgiver FOU, HUM FAK 23.11.2016 John B. Møst Universitetsdirektør 23.11.2016 Halfdan Hagen HR-direktør 23.11.2016 Lise Grønnevik Leverandøransvarlig 23.11.2016 Per Langholm Tjenestekoordinator 23.11.2016 Tore Wilmar Jakobsen CTO 23.11.2016 7. Referanse og underlagsdokumenter Følgende dokumentasjon og underlag er forelagt og vurdert i sikkerhetskartleggingen: Navn på dokument / Beskrivelse/ Dato Hovedanbefalinger fra IT revisjonen hos TN Unix-anlegget 02.06.16 1 Prosessbeskrivelse ansettelser 2 Prosedyre for håndtering av nøkler 3 ROS-vurdering_TN_etter WS_13.11_v092 4 Sammendrag fra møtet i sikkerhetsforum 13.09.16 5 Følgende ble vist på skjerm hos IT avdelingen: 6 Prosjektoversikt 7 IT avdelingens sikkerhets- og kvalitets policy 8 IT avdelingens Sikkerhets- og kvalitetshåndbok 9 10 Risikoregister 11 Eksempel på risikovurderinger 12 Sikkerhetspolicy for UiS 13 Sonemodellen 14 Avviks oversikt, definisjon og håndtering 15 Kontinuitetsplan for IT med rapport fra test 16 Årshjul sikkerhet IT avdelingen 17 IT strategi 18 Systemoversikten 19 Prosedyre for risikovurderinger 8. • • • Vedlegg IT revisjon UiS_List_of_Findings_v0.9_uPWDokumentasjon fra UiS Informasjon fra Datatilsynet Dokumentasjon fra UiS Cathrine Vasset Rasmussen Kristine Tangen Annette Sundsdal Kenneth Høstland 6 Nye personvernregler fra 2018. Hva betyr det for din virksomhet? Hva blir nytt? 1 Alle norske virksomheter får nye plikter Alle virksomheter må sette seg inn i den nye lovgivningen og finne ut hvilke nye plikter som gjelder dem. Ledelsen må sørge for å få på plass rutiner for å overholde de nye pliktene. Alle ansatte må følge de nye rutinene når reglene trer i kraft. 2 Alle skal ha en forståelig personvern erklæring Informasjon om hvordan din virksom het behandler personopplysninger skal være lett tilgjengelig og skrevet på en forståelig måte. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning. All informasjon som gis til barn, skal tilpasses barnas forståelsesnivå. 3 Alle skal vurdere risiko og personvernkonsekvenser Dersom et tiltak utgjør en stor risiko for personvernet, må virksomheten også utrede hvilke personvernkonse kvenser det kan ha. Hvis utredningen viser at risikoen er stor og dere selv ikke kan redusere den, skal Datatilsynet involveres i forhåndsdrøftelser. 4 Alle skal bygge personvern inn i nye løsninger De nye reglene stiller krav til at nye til tak og systemer skal utarbeides på en mest mulig personvernvennlig måte. Dette kalles innebygd personvern. Den mest personvernvennlige innstillingen skal være standard i alle systemer. 5 Mange virksomheter må opprette personvernombud Alle offentlige og mange private virk somheter skal opprette personvern ombud. Et personvernombud er virksomhetens personvernekspert, og et bindeledd mellom ledelsen, de registrerte og Datatilsynet. Ombudet kan være en ansatt eller en profesjonell tredjepart. 6 Reglene gjelder også virksomheter utenfor Europa Virksomheter som holder til utenfor Europa må også følge forordningen, dersom de tilbyr varer eller tjenester til borgere i et EU- eller EØS-land. Dette gjelder også om de ikke direkte tilbyr tjenester, men kartlegger adferden til europeiske borgere på nett. De som er etablert i flere land i Europa, skal bare trenge å snakke med personvern myndighetene i det landet der de har sitt europeiske hovedkvarter. 7 Alle databehandlere får nye plikter Databehandlere er virksomheter som behandler personopplysninger på opp drag fra den ansvarlige virksomheten. Ofte er det snakk om leverandører av IT-tjenester. De nye reglene pålegger databehandlere å ha rutiner for inn samling og bruk av personopplysninger. Databehandlere skal også si ifra til opp dragsgiveren sin hvis de får instrukser som er i strid med loven. Oppdragsgiver skal også godkjenne databehandlerens underleverandører. Databehandlere kan også bli holdt økonomisk ansvarlig sammen med oppdragsgiver. 8 Alle bør samarbeide i egne nettverk og følge bransjenormer De nye reglene oppmuntrer til sektor vis utforming av retningslinjer og bransjenormer. Om dere følger bransjenormer, vil dere ha de viktigste rutinene på plass. Datatilsynet skal godkjenne bransjenormene. 9 Alle får nye krav til avvikshåndtering Reglene for håndtering av sikkerhets brudd blir strengere. Forordningen stiller krav til når det skal varsles, hva varselet skal inneholde og hvem som skal varsles. Kort sagt skal man si fra raskere og oftere enn man gjør i dag. 10 Alle må kunne oppfylle borgernes nye rettigheter Den enkeltes rett til å kreve at hans eller hennes personopplysninger slettes blir styrket. Dette kalles «retten til å bli glemt». Norske og europeiske borgere vil blant annet kunne kreve å ta med seg personopplysningene sine fra en leverandør til en annen i et vanlig brukt filformat. Dette kalles «data portabilitet». De kan også motsette seg profilering. Alle henvendelser fra borgere skal besvares innen en måned. Hva bør dere gjøre nå? 1 Ha oversikt over hvilke person opplysninger dere behandler Alle virksomheter som samler inn eller bruker personopplys ninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens lov. 2 Sørg for å oppfylle dagens lovkrav Overgangen til de nye reglene blir lettere om dere etterlever kravene i personopplysnings loven, som gjelder i Norge i dag. Har dere gode rutiner for internkontroll som fungerer etter hensikten og er kjent i organisasjonen, er det lettere å få oversikt over hva dere må endre. 3 Sett dere inn i det nye regelverket Dere finner forordningsteksten på Datatilsynets nettsider. Der fyller vi også på med artikler om de nye reglene etter hvert som vi utarbeider dem. 4 Lag rutiner for å følge de nye reglene Gå gjennom rutinene dere har for behandling av personopp lysninger. Oppdater dem etter nytt regelverk der det trengs. Dokumenter de nye rutinene, og legg en plan for nødvendige endringer. Er systemene deres laget for å ivareta kravet til inne bygd personvern, dataportabilitet og personvern som standard innstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen én måned? Endringer i systemer og rutiner tar tid. Begynn allerede nå! datatilsynet.no/forordning
© Copyright 2024