ROSA - Risiko- og sårbarhetsrevisjon av administrative IT-systemer

Bakgrunn

Ved UiO har vi per 15. oktober 2014 44 administrative IT-system (http://www.uio.no/for-ansatte/nettverk-moter/los-enhetene/administrativ-it/veikart/index.html). Disse er inndelt i tre nivå der nivå 1 systemene ansees å være de mest virksomhetskritiske. VI har henholdsvis 12 nivå 1-system, 14 nivå 2-system og 18 nivå 3-system.

I henhold til personopplysningsloven § 13 første ledd skal behandlingsansvarlig gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. I henhold til bestemmelsen I personopplysningsforskriften § 2- 4 skal det gjennomføres risikovurdering av alle behandlinger av personopplysninger for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd.

I Statsbudsjettet for 2014 kap. 260 - Tildelingsbrev for Universitetet i Oslo, kapitel 4.5 Samfunnssikkerhet og beredskap er det angitt at ”Institusjonen skal utføre virksomhetstilpassede risiko- og sårbarhetsanalyser (ROS) minimum annet hvert år,” Videre krever departementet at ”Institusjonen skal påse at informasjonssikkerhetsarbeidet er i samsvar med den nasjonale strategien for informasjonssikkerhet samt tilhørende handlingsplan, jf. brev av 21. juni2013 fra Kunnskapsdepartementet.”

Dette betyr at alle it-system som behandler personopplysninger skal ha vært risikovurdert ved innføring, og denne risikovurderingen skal gjentas hvert annet år.

Formål

Formålet med risikovurderinger av it-systemer er å identifisere hendelser som kan få betydning for sikring av personvernet, samt formulere hypoteser om konsekvensene av hendelsene og sannsynligheten for at de inntreffer. En viktig del av oppgaven er kartlegging av de aktiva som må sikres, og å kartlegge det miljø verdiene befinner seg i. Risikovurderingen skal i tillegg identifisere behovet for risikoreduserende tiltak ved å sammenligne avdekket risiko med akseptabelt risikonivå. For å understreke resultatene av vurderingen, er det også naturlig å gi anbefalinger om sikkerhetstiltak som kan være til hjelp i det videre arbeidet med

Konsekvensen ved å ikke gjennomføre dette prosjektet er at UiO ikke oppfyller personopplysningsloven og tildelingsbrevets krav, samt at vi risikerer at alle eller deler av våre it-systemer ikke holder akseptabelt sikkerhetsnivå.

Resultatmål og leveranse

Prosjektet ønsker å risikovurdere administrative it-systemer, nivå 1 og nivå 2. Vi vil ikke gjennomføre risikovurdering av nivå 3 systemene i 2015, men vil mot slutten av prosjektet estimere og planlegge en slik vurdering for 2016 – basert på erfaringer høstet i dette prosjektet.
 

Målet for risikovurdering av UiOs administrative system er å:

  1. Løfte alle systemer opp på et minimumsnivå når det gjelder sikkerhet
  2. Avdekke risikoer knyttet til det enkelte administrative system
  3. Få på bordet de risikoelementer som må inn i tiltaksplan til det konkrete system
  4. Plassere ansvar for risiko (hos systemeieren)
  5. Kunnskapsheving, slik at den enkelte system eier i fremtiden er i stand til å gjennomføre de pålagt revisjoner
  6. Etablere en standard for sikkerhet når det gjelder it-system ved UiO, som vil være førende ved innføring av nye IT-system

 

Publisert 20. jan. 2015 21:27 - Sist endret 11. feb. 2015 15:30