Informasjonssikkerhet

Universitetet skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet ved behandling av person- og helseopplysninger. Tiltakene skal være forholdsmessige og relatert til konfidensialitet (uvedkommende får ikke tilgang på opplysningene), integritet (opplysningene endres ikke uautorisert eller utilsiktet), og tilgjengelighet (opplysningene er tilgjengelige når vi trenger dem).

For å oppnå tilfredsstillende informasjonssikkerhet skal informasjonssystemet og sikkerhetstiltakene dokumenteres. Tilgang til sikkerhetsdokumentasjon skal være begrenset til de som har behov for det.

Det er den enkelte ansvarliges ansvar å påse at informasjonssikkerheten ved en behandling som involverer person-/helseopplysninger er tilfredsstillende ivaretatt, herunder at brukerne av systemet har fått nødvendig opplæring i bruk av systemet.

USIT tilbyr standardtjenester så som systemer for backup, sikring av servere mot innbrudd/strømbrudd/brann/lekkasje, sikring av nettinfrastruktur og tilgangskontroll. Disse tjenestene ivaretar informasjonssikkerheten på en tilfredsstillende måte i de fleste tilfeller. Har derimot en behandling særskilte egenskaper og dermed særskilte behov, må dette sikres med utvidede tiltak. USITs tilbud av tjenester og hvilke krav som stilles er inngående beskrevet i Sikkerhetshåndboken.

Forholdet mellom sentral og lokal vurdering og dokumentasjon av informasjonssikkerhet er beskrevet i Reglementshåndboken 12.1.3

Lar fakultetet andre få tilgang til personopplysninger, for eksempel en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal det påses at disse oppfyller de samme kravene til sikkerhet. Denne type oppdrag bør alltid skje i samråd med USIT/behandlingsansvarliges representant.

For mer utfyllende informasjon om informasjonssikkerhet ved UiO vises det til Sikkerhetshåndboken. Videre vises til IT-reglementet som gjelder for bruk av universitetets IT-tjenester. Med IT-tjenester menes felles maskiner og IT-systemer, sluttbrukerutstyr, nettverk, programmer, data m.v. som stilles til disposisjon av universitetet inklusive lokale, nasjonale og internasjonale nettverk, eller andres maskiner og systemer som man får tilgang til gjennom slike ressurser. Reglementet gjelder for ansatte, studenter og andre som får tilgang til IT-tjenestene.