MENY

Ledelsessystem for informasjonssikkerhet og personvern

Dokumentene som utgjør "Ledelsessystem for Informasjonssikkerhet og Personvern" (LISP) for Universitetet i Stavanger er ment som et oppslagsverk, der ulike grupper av brukere finner beskrivelser av hvordan de skal bidra til å sikre Universitetets informasjonsressurser best mulig.

Noe av innholdet er ment for ansatte, noe er ment for ledere, og noe er ment for folk med IT-kompetanse. Les mer om bakgrunn i Introduksjon til Ledelsessystemet for Informasjonssikkerhet og Personvern.

Politikk for Informasjonssikkerhet og Personvern

Formål

Formålet med Politikk for informasjonssikkerhet og personvern er å ivareta de informasjonsverdier som utvikles, behandles og forvaltes gjennom UiS’ forskning, utdanning, herunder kunstnerisk utviklingsarbeid, formidling, nyskaping og administrasjon, og overholdelse av gjeldende lover og regler. Politikk for informasjonssikkerhet og personvern stadfester mål og strategi for informasjonssikkerhet og personvern i virksomheten, og setter rammer for arbeidet med ivaretakelse av UiS’ informasjonsverdier og for den digitale sikkerheten i UiS’ IKT-infrastruktur.

Denne politikken gjelder for

  • Alle ansatte og studenter ved UiS
  • Alle som har tilgang til, bearbeider og/eller forvalter informasjonsverdier på vegne av UiS, uavhengig av lagrings- og prosesseringsform.
  • Informasjonsverdier lagret på UiS’ utstyr, på utstyr tilkoblet UiS’ IKT-infrastruktur, på privat utstyr tilkoblet UiS-infrastruktur, eller på eksterne tjenester forvaltet av UiS.

Målsettinger og strategi

Det overordnede målet er at UiS skal etterleve virksomhetens føringer for informasjonssikkerhet og personvern, inkludert følgende målsettinger:

  • UiS skal etterleve lover og regler for innsamling, oppbevaring og sikring av data og personvern.
  • UiS skal ivareta personvernet ved å ha fokus på den registrertes rettigheter og friheter, samt informasjonssikkerheten.
  • Beskytte UiS sin informasjon og informasjonssystemer mot tyveri, misbruk, forringet kvalitet og andre former for skade og tap.
  • Sørge for at alle som er omfattet av denne Politikken følger etablerte rutiner for ivaretagelse av sikkerhet og personvern, slik at frekvens og skadenivå av hendelser minimeres.
  • Hendelser, avvik eller brudd på informasjonssikkerheten og personvernet, skal være kartlagt, dokumentert og varslet.
  • Det skal utarbeides og gjennomføres rollebasert opplæring i henhold til roller i UiS reglement for informasjonssikkerhet og personvern.
  • Krav til informasjonssikkerhet og personvern skal ivaretas i design, anskaffelse, utvikling, forvaltning og avhending av IKT-systemer og infrastruktur.

For å nå målsetningene, skal det være etablert et ledelsessystem for informasjonssikkerhet og personvern. Ledelsessystemet skal gi rammene for en systematisk og helhetlig praksis mellom styrende, gjennomførende og kontrollerende del av arbeidet med informasjonssikkerhet. Ledelsessystemet skal følge metoder fra ISO 9001 (kvalitet) og ISO 27001 / ISO 27014. Det skal inneholde rutiner for internkontroll, personvern, risikostyring, IT-sikkerhet, avvikshåndtering, varsling og vedlikehold av informasjonsverdier. Dette vedlikeholdes og følges opp som angitt i årshjulet.

Konsekvenser / sanksjoner

Overtredelse av denne Politikk for informasjonssikkerhet og personvern, og vedtatte sikkerhetskrav vil håndteres på ordinær måte i ledelseslinjen.

Vedtatt av universitetsstyret 24.09.2019