Kapittel 14: Internkontroll og sikkerhetsrevisjon

Universitetet skal ha gode kontrollrutiner for å sikre at sikringstiltakene blir fulgt opp og virker. Det skal rapporteres jevnlig. Et samlebegrep for dette er internkontroll. Sammen med rapporteringen har ledelsen anledning til å revidere og endre dette ledelsessystemet

14.1 Internkontroll

Internkontrollen består av fire hovedkomponenter.

1. ROS-analyser

Dette er en grunnstamme i internkontrollen. Fremgangsmåte og rutiner og annet er beskrevet i egne dokumenter. ROS-analyser skal utføres annethvert år for viktige systemer, og ved innføring av nye systemer. Avdekkede funn skal resultere i konkrete tiltak samlet i tiltaksplaner. Systemeier er ansvarlig for at tiltakene blir satt ut i livet. IT-sikkerhetssjefen og behandlingsansvarlig følger opp at dette blir gjort. ROS-analyser er beskrevet i kapittel 7.

2. Årlig internkontroll med nettskjema

Hvert år sendes det ut nettskjema til eiere av viktige systemer, og til enheter og forskningsmiljøer. Her utføres en grunnleggende internkontroll, med innsending av svar over nett. Spørsmålene er laget av USIT for å avdekke svakheter i informasjonssikkerheten, både IT-teknisk og metodisk.

3. Stedlige kontroller

Representanter for USITs jurister og USITs IT-sikkerhetsgruppe samarbeider om regelmessige lokale stedlige kontroller. Representantene reiser jevnlig rundt til UiOs enheter for å kontrollere hvordan informasjonssikkerheten overholdes. Dette inkluderer gjennomgang av IT-systemer, arbeidsmåter og rutiner, samt oppfølging av tiltak som er avdekket i tidligere relevante ROS-analyser. Den skal også sikre at ROS-analyser av lokale systemer faktisk utføres biennalt.

4. Tekniske kontroller

USIT gjør i tillegg flere ulike typer tekniske grep og kontroller for å supplere de ovenstående punktene. Dette er nærmere spesifisert i kapittel 12.

14.2 Rapportering

Rapporteringen har fire hoveddeler:

  1. Årsrapport fra informasjons-sikkerhetsarbeidet, beskrevet i kapittel 6
  2. Årsrapport fra behandlingsansvarlig
  3. Rapport fra stedlig kontroll av behandling av personopplysninger
  4. Fortløpende rapportering av avvik og sikkerhetshendelser
Publisert 28. feb. 2017 13:17 - Sist endret 27. nov. 2017 12:51