Styring av informasjonssikkerhet og personvern
Informasjonssikkerhet og personvern er grunnleggende for å lykkes med digitalisering, og Kunnskapsdepartementet har styrket styringen av arbeidet med informasjonssikkerhet og personvern i universitets- og høyskolesektoren.
Sist oppdatert : 8. mars 2024Formålet med sektorstyring
Digitalisering gir store muligheter for universitets- og høyskolesektoren (UH-sektoren). Samtidig innebærer digitalisering nye utfordringer når det gjelder sikring av digitale verdier og ivaretakelse av personvernet. Disse utfordringene må håndteres på tilfredsstillende vis dersom digitaliseringen skal kunne medvirke til at sektoren løser sitt samfunnsoppdrag på nye og bedre måter.
Direktoratet for høyere utdanning og kompetanse (HK-dir) har derfor fått i oppdrag fra Kunnskapsdepartementet (KD) å styre og følge opp UH-sektorens arbeid med informasjonssikkerhet og personvern. Dette skal bidra til at digitaliseringen skjer på en forsvarlig måte og i samsvar med de rettslige krav som gjelder for sikring av digitale verdier og beskyttelse av den enkeltes personvern.
Ansvars- og oppgavefordeling
Det er den enkelte virksomhet som selv har ansvaret for informasjonssikkerheten og personvernet i egen forskning, undervisning, formidling og administrasjon. De krav som stilles til virksomhetene oppsummeres i Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning (regjeringen.no). Policyen er fastsatt av Kunnskapsdepartementet og forvaltes av HK-dir.
Direktoratet har ansvaret for den løpende styringen av arbeidet med informasjonssikkerhet og personvern i UH-sektoren. Styringen skjer med grunnlag i nevnte policy.
Kunnskapsdepartementet har det overordnede ansvaret for at informasjonssikkerheten og personvernet er tilfredsstillende ivaretatt hos underliggende virksomheter.
Styringsmodell og policy
- Styringsmodellen for informasjonssikkerhet og personvern, inkludert arbeidsdelingen mellom KD og HK-dir (PDF)
- Brev sendt fra statsråden til KDs underliggende virksomheter i forbindelse med innføringen av styringsmodellen (PDF)
- Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning (PDF)
Disse omfattes av sektorstyringen
- Alle statlige universiteter og høyskoler
- NFR – Norges forskningsråd
- FEK – De nasjonale forskningsetiske komiteene
- NOKUT – Nasjonalt organ for kvalitet i utdanninga
- Nupi – Norsk utenrikspolitisk institutt
- Sikt - Kunnskapssektorens tjenesteleverandør
- Simula AS
- UNIS AS
HK-dir omfattes også av sektorstyringen. Det er KD som følger opp direktoratet sitt eget arbeid med informasjonssikkerhet og personvern.
Måten sektorstyringen skjer på
Sektorstyringen tar utgangspunkt i de formelle krav som stilles til informasjonssikkerhet og personvern, og som oppsummeres i «Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning.» Det er etterlevelsen av kravene i policyen som den enkelte virksomhet måles på.
For å vurdere måloppnåelse gjennomfører HK-dir årlige kartlegginger av arbeidet med informasjonssikkerhet og personvern hos den enkelte virksomhet. Kartleggingene omfatter blant annet møter med de ulike virksomhetene. Kartleggingen omfatter også innhenting av data om digitale trusler og sårbarheter fra UH-sektorens responsmiljø, og fra andre nasjonale og internasjonale aktører.
Resultatene fra kartleggingene rapporteres til KD. Rapporteringen gir et samlet bilde av arbeidet med informasjonssikkerhet og personvern på sektornivå og inneholder vurderinger av den enkelte virksomhet. Dette danner grunnlaget for eventuelle sektortiltak som departementet beslutter å iverksette, og for HK-dir sitt videre arbeid med oppfølging av viktige funn og konklusjoner.
HK-dir offentliggjør resultatene fra kartleggingene i en årlig risiko- og tilstandsrapport. I tillegg publiserer HK-dir kortere rapporter om særskilte tema basert på funnene fra kartleggingene. Rapportene formidles til interessenter i og utenfor UH-sektoren, og kan brukes i virksomhetenes egne vurderinger av informasjonssikkerhets- og personvernrisiko.
Når arbeidet med informasjonssikkerhet og personvern hos de enkelte virksomhetene er kartlagt og vurdert opp mot kravene i policyen, mottar virksomhetene egne tilbakemeldinger i brev fra HK-dir. Tilbakemeldingene inkluderer anbefalinger om prioriteringer for det videre arbeidet. Det forventes at virksomhetene følger opp HK-dir sine anbefalinger.
Kunnskapsdepartementet følger også opp arbeid med informasjonssikkerhet og personvern på virksomhetsnivå. Det skjer gjennom styringsdialogen med den enkelte virksomhet.
Veiledning og rådgiving
HK-dir svarer på spørsmål om hvilke krav og føringer som gjelder for virksomhetenes arbeid med informasjonssikkerhet og personvern. Ta kontakt med oss per e-post: post@hkdir.no.
Sikt bistår med praktisk hjelp og veiledning om hvordan arbeidet best kan organiseres og utføres. De kan kontaktes per e-post: kontakt@sikt.no.
Kunnskapssektorens responsmiljø – Uninett CERT – gir opplæring og veiledning om forebygging, oppdagelse og håndtering av digitale sikkerhetshendelser. De kan kontaktes per e-post: kontakt@sikt.no.
Du finner mer informasjon om Cybersikkerhetssenteret i Sikt på sikt.no , om responsmiljøet og rådgivnings- og veiledningstjenesten.
Årlige kartlegginger og temarapporter
- Informasjonssikkerhet og personvern i et femårsperspektiv: Utvikling i UH-sektoren 2018-2022
- Risiko- og tilstandsvurdering 2023: Informasjonssikkerhet og personvern i høyere utdanning og forskning
- Risiko- og tilstandsvurdering 2022: Informasjonssikkerhet og personvern i høyere utdanning og forskning (PDF)
- Risiko- og tilstandsvurdering 2021 (PDF)
- Risiko- og tilstandsvurdering 2020 (PDF)
- Risiko- og tilstandsvurdering 2019 (PDF)
- Temarapport 2022: Praktisering av krav til informasjonssikkerhet og personvern (PDF)
- Temarapport 2021: Ledelsens styring og kontroll av arbeidet med informasjonssikkerhet (PDF)
- Temarapport 2021: Pandemihåndteringen og betydningen for arbeidet med informasjonssikkerhet og personvern i UH-sektoren (PDF)
- Temarapport 2020: Kontinuitet, beredskap og øvelser (PDF)
- Temarapport 2020: Tjenesteutsetting av digitale systemer og tjenester (PDF)