13.1 Hva er hendelser og avvik?
Hendelser og avvik er n?r beslektet, men avvik reguleres blant annet av personopplysningsloven. Avvik skal i noen tilfeller rapporteres til Datatilsynet.
Det er viktig at USIT og rett instans ved UiO f?r beskjed n?r det skjer ting som kan ha betydning for informasjonssikkerheten. Dette kan v?re sm? hendelser som vekker mistanke om at noe ikke er helt som det skal med en datamaskin, en brukerkonto eller en arbeidsrutine, til lekkasje av viktig informasjon eller tap av viktige data.
Alle IT-sikkerhetshendelser regnes som interessante ut fra hensynet til informasjonssikkerhet. Igjen kan dette v?re alt fra store datainnbrudd til mistanke om at et forskningsprosjekt ikke lagrer data p? rett sted. Man kan godt si at noen IT-sikkerhetshendelser kan f?re til avvik.
Det kan gj?res grove inndelinger i ulike typer avvik, uten at dette er skarpe skiller. Eksempler kan v?re
- IT-sikkerhetshendelser og tilh?rende potensielle avvik.
- Rene IT-sikkerhetshendelser
- IT-sikkerhetshendelser som har konsekvenser for informasjonssikkerheten
- Avvik i h?ndtering av personopplysninger eller sensitive personopplysninger i administrative IT-systemer.
- Avvik i h?ndtering av personopplysninger eller sensitive personopplysninger i forskning eller undervisning.
13.2 Ansvar
Universitetsdirekt?ren er overordnet ansvarlig for h?ndtering av avvik ved UiO. USIT er gitt ansvaret for ? implementere og drifte verkt?y for ? oppdage avvik i IT-systemene ved UiO, utforming av standardprosedyrer for h?ndtering av disse, og h?ndtering av oppgaver (inklusive delegasjon) i forhold til oppdagede eller mistenkte avvik.
Ansvaret for ? implementere prosedyrer og verkt?y for ? oppdage og h?ndtere avvik p?hviler enhver enhet og enhver bruker av informasjonssystemene ved UiO.
13.3 Varsling
Alle ansatte og studenter ved universitetet har et felles ansvar for ? varsle dersom det foreligger mistanke om at noe kan ha skjedd som p?virker informasjonssikkerheten.
Sikkerhetsbrudd og bruk av informasjonssystemene i strid med fastlagte rutiner skal behandles som avvik og rapporteres i tr?d med bestemmelser for avviksh?ndtering. Varsling skal skje etter gjeldende rutine for h?ndtering av avvik.
13.4 H?ndtering
UiO-CERT og ut?ver av behandleransvaret ved UiO vil behandle henvendelser og om n?dvendig 亚博娱乐官网_亚博pt手机客户端登录e med, og varsle videre til, andre enheter.
- USIT
- IT-organisasjonen
- Politi og p?talemyndighet
- Datatilsynet
- Universitetets personvernombud
- Universitetsdirekt?r og eventuelt andre fagdirekt?rer
- Helsetilsynet
- Rettighetsinnehavere
- Involverte brukere, studenter, ansatte og forskere
13.5 Universitetets CERT-gruppe, UiO-CERT
UiO-CERT er organisert p? USIT. Den er oppnevnt av og har sitt mandat fra IT-direkt?ren. Leder av UiO-CERT rapporterer til IT-sikkerhetssjefen.
I tillegg til lederen best?r UiO-CERT av personell fra driftsgruppene p? USIT.
UiO-CERT skal varsles umiddelbart ved mistanke om IT-sikkerhetshendelser. Forholdsregler ved slik mistanke skal v?re enkelt tilgjengelig for lokale IT-ansvarlige og brukere p? universitetet. UiO-CERT har ansvar for f?lgende:
- Evaluere sikkerhetshendelsen
- S?rge for varsling av ber?rte parter
- Kartlegge konsekvenser
- Iverksette tiltak for ? begrense eventuelle skader som f?lge av hendelsen
- Sikre eventuelle bevis og rydde opp i etterkant
- Rapportere hendelsen til IT-sikkerhetssjefen
- Foresl? tiltak for ? redusere eller eliminere risiko for at tilsvarende hendelser skal opptre i framtida
- Bist? ved sikkerhets- og s?rbarhetsvurderinger av systemer og dokumenteringen av disse
- Arbeide for st?rre forst?else for IT-sikkerhetsarbeidet og initiere oppl?rings- og informasjonstiltak
Avvik ved behandling av personopplysninger