Kapittel 14: Internkontroll og sikkerhetsrevisjon

Universitetet skal ha gode kontrollrutiner for å sikre at sikringstiltakene blir fulgt opp og virker. Det skal rapporteres jevnlig. Et samlebegrep for dette er internkontroll. Sammen med rapporteringen har ledelsen anledning til å revidere og endre dette ledelsessystemet

14.1 Internkontroll

Internkontrollen består av fem hovedkomponenter.

1. ROS-analyser

Dette er en grunnstamme i internkontrollen. Fremgangsmåte og rutiner og annet er beskrevet i egne dokumenter. ROS-analyser skal utføres annethvert år for viktige systemer, og ved innføring av nye systemer. Avdekkede funn skal resultere i konkrete tiltak samlet i tiltaksplaner. Systemeier er ansvarlig for at tiltakene blir satt ut i livet. IT-sikkerhetssjefen og behandlingsansvarlig følger opp at dette blir gjort. ROS-analyser er beskrevet i kapittel 7.

2. Årlig internkontroll med nettskjema

Én gang i året sender USIT ut en spørreundersøkelse over nettskjema til ledere ved enhetene. Formålet er å utføre en grunnleggende internkontroll. Undersøkelsen vil avdekke eventuelle avvik og kartlegge etterlevelse av, og kjennskap til, rutiner for personvern og informasjonssikkerhet. Med utgangspunkt i svarene vil USIT og personvernombudet lettere kunne bistå enhetene med opplæring og informasjon. Det er obligatorisk å svare på undersøkelsen.

Internkontrollen skal gi ledere ved enhetene muligheten til å gjennomføre en egenevaluering for å avdekke behov for opplæring på enheten og bidra til at rutinene for informasjonssikkerhet og personvern følges.

3. Stedlige kontroller

Utøver av behandleransvaret, personvernombudet og USITs IT-sikkerhetsgruppe samarbeider om lokale stedlige kontroller. Representantene reiser jevnlig rundt til UiOs enheter for å kontrollere etterlevelse av rutiner for personvern og informasjonssikkerhet. Dette inkluderer gjennomgang av IT-systemer, arbeidsmåter og tiltak fra tidligere ROS-analyser, samt oppfølging av eventuelle utfordringer avdekket i den årlige internkontrollen.

4. Brevkontroll

USIT kan utføre brevkontroll hos enheter. Dette kalles også «brevlig kontroll», og gjøres gjerne for å kontrollere et spesifikt område ved behov. Det er obligatorisk å svare på spørsmålene i en brevlig kontroll innen fristen.

5. Tekniske kontroller

USIT gjør i tillegg flere ulike typer tekniske grep og kontroller for å supplere de ovenstående punktene. Dette er nærmere spesifisert i kapittel 12.

14.2 Rapportering

Rapporteringen har fire hoveddeler:

  1. Årsrapport fra informasjons-sikkerhetsarbeidet, beskrevet i kapittel 6
  2. Årsrapport fra behandlingsansvarlig
  3. Rapport fra stedlig kontroll av behandling av personopplysninger
  4. Fortløpende rapportering av avvik og sikkerhetshendelser
Publisert 28. feb. 2017 13:17 - Sist endret 19. aug. 2019 09:08