Kapittel 14: Internkontroll og sikkerhetsrevisjon

Universitetet skal ha gode kontrollrutiner for ? sikre at sikringstiltakene blir fulgt opp og virker. Det skal rapporteres jevnlig. Et samlebegrep for dette er internkontroll. Sammen med rapporteringen har ledelsen anledning til ? revidere og endre dette ledelsessystemet

14.1 Internkontroll

Internkontrollen best?r av fem hovedkomponenter.

1. ROS-analyser

Dette er en grunnstamme i internkontrollen. Fremgangsm?te og rutiner og annet er beskrevet i egne dokumenter. ROS-analyser skal utf?res annethvert ?r for viktige systemer, og ved innf?ring av nye systemer. Avdekkede funn skal resultere i konkrete tiltak samlet i tiltaksplaner. Systemeier er ansvarlig for at tiltakene blir satt ut i livet. IT-sikkerhetssjefen og behandlingsansvarlig f?lger opp at dette blir gjort. ROS-analyser er beskrevet i kapittel 7.

2. ?rlig internkontroll med nettskjema

?n gang i ?ret sender USIT ut en sp?rreunders?kelse over nettskjema til ledere ved enhetene. Form?let er ? utf?re en grunnleggende internkontroll. Unders?kelsen vil avdekke eventuelle avvik og kartlegge etterlevelse av, og kjennskap til, rutiner for personvern og informasjonssikkerhet. Med utgangspunkt i svarene vil USIT og personvernombudet lettere kunne bist? enhetene med oppl?ring og informasjon. Det er obligatorisk ? svare p? unders?kelsen.

Internkontrollen skal gi ledere ved enhetene muligheten til ? gjennomf?re en egenevaluering for ? avdekke behov for oppl?ring p? enheten og bidra til at rutinene for informasjonssikkerhet og personvern f?lges.

3. Stedlige kontroller

Ut?ver av behandleransvaret, personvernombudet og USITs IT-sikkerhetsgruppe 欧洲杯在线买球_欧洲杯投注网站推荐@er om lokale stedlige kontroller. Representantene reiser jevnlig rundt til UiOs enheter for ? kontrollere etterlevelse av rutiner for personvern og informasjonssikkerhet. Dette inkluderer gjennomgang av IT-systemer, arbeidsm?ter og tiltak fra tidligere ROS-analyser, samt oppf?lging av eventuelle utfordringer avdekket i den ?rlige internkontrollen.

4. Brevkontroll

USIT kan utf?re brevkontroll hos enheter. Dette kalles ogs? ?brevlig kontroll?, og gj?res gjerne for ? kontrollere et spesifikt omr?de ved behov. Det er obligatorisk ? svare p? sp?rsm?lene i en brevlig kontroll innen fristen.

5. Tekniske kontroller

USIT gj?r i tillegg flere ulike typer tekniske grep og kontroller for ? supplere de ovenst?ende punktene. Dette er n?rmere spesifisert i kapittel 12.

14.2 Rapportering

Rapporteringen har fire hoveddeler:

  1. ?rsrapport fra informasjons-sikkerhetsarbeidet, beskrevet i kapittel 6
  2. ?rsrapport fra behandlingsansvarlig
  3. Rapport fra stedlig kontroll av behandling av personopplysninger
  4. Fortl?pende rapportering av avvik og sikkerhetshendelser
Publisert 28. feb. 2017 13:17 - Sist endret 19. aug. 2019 09:08
Del p? e-post