Temarapport 2021 - informasjonssikkerhet og personvern i høyere utdanning og forskning

Den øverste ledelsen i virksomheten har ansvaret for overordnet styring og kontroll av arbeidet med informasjonssikkerhet. Det skal skje som en del av virksomhetens ledelsessystem for informasjonssikkerhet.

Ledelsens gjennomgang er den viktigste arenaen toppledelsen har for å utøve sin styring og kontroll. I dette status- og planleggingsmøtet er det meningen at toppledelsen skal bestemme rammene for, holde seg informert om og følge opp virksomhetens arbeid med informasjonssikkerhet.

I denne temarapporten drøftes i hvilken grad og på hvilke måter ledelsens gjennomgang gjennomføres i de 30 virksomhetene i universitets- og høgskolesektoren som omfattes av Kunnskapsdepartementets policy for informasjonssikkerhet og personvern.

Datagrunnlaget for rapporten er Unit/HK-dir sin kartlegging av disse virksomhetenes arbeid med informasjonssikkerhet og personvern, gjennomført i 2020 (direktorater og selskaper) og 2021 (universiteter og høgskoler).

De viktigste funnene i temarapporten er at 20 av 30 virksomheter hadde gjennomført ledelsens gjennomgang det siste året. I samtlige av disse virksomhetene var toppledelsen representert på møtene.

De vanligste temaene som ble drøftet var virksomhetenes risikostyringsprosess på informasjonssikkerhetsområdet og risikovurderinger av konkrete IT-systemer eller -tjenester. Andre hyppig diskuterte tema var brudd på informasjonssikkerheten, rutineavvik og sikringstiltak.

De siste 10 virksomhetene hadde ikke avholdt ledelsens gjennomgang det siste året. Sju av virksomhetene hadde enten gjort det tidligere eller involverte ledelsen i arbeidet med informasjonssikkerhet på andre måter.

10 av de 15 universitetene og høgskolene som gjennomførte ledelsens gjennomgang i 2020, rapporterte til universitets- eller høgskolestyret om status for og prioriteringer i arbeidet med informasjonssikkerhet.