Ansvar for IT-sikkerhet i forskning
Ansvar for IT-sikkerhet ved UiO er beskrevet generelt i LSIS. Denne siden er en konkretisering av ansvarsomr?dene for prosjektledere og medarbeidere i forskningsprosjekter. Overordnet ansvar for IT-sikkerhet i forskningsprosjektet ligger hos prosjektleder, men alle deltakere har ansvar for ? f?lge gjeldende lover, rutiner og retningslinjer.
Som prosjektleder skal du fremme en kultur for personvern og IT-sikkerhet gjennom ?pen kommunikasjon, 澳门葡京手机版app下载 og ved behov bevisstgj?rende kampanjer blant ansatte. Du skal tilrettelegge for involvering av ansatte i prosessen med ? identifisere og rapportere mulige trusler og s?rbarheter innen personvern og IT-sikkerhet. Ved behov skal du ogs? operasjonalisere den generelle informasjonen og gj?re den relevant for ditt forskningsprosjekt.
Se ogs?:
Arbeidsst?tte-siden om forskningsprosjekter
Ledelsessystem for informasjonssikkerhet ved UiO (LSIS)
Oppl?ring og gode IT-sikkerhetsvaner
UiOs Grunnkurs i personvern og IT-sikkerhet skal bidra til at alle ansatte og studenter f?r grunnleggende oppl?ring i personvern og IT-sikkerhet. Ved ? ta kurset og relatere det til din arbeidshverdag, skal du i utgangpunktet v?re trygg p? at dine sikkerhetsvaner er gode nok.
Kurset finnes her: Grunnkurs i personvern og IT-sikkerhet
Det finnes ogs? andre kurstilbud innen personvern for spesifikke avdelinger og fakulteter. Ansatte b?r ta relevante fordypningskurs i personvern, basert p? sine roller og ansvarsomr?der.
IT-tjenester og tilgangsstyring
Feil bruk av IT-tjenester kan medf?re st?rre IT-sikkerhetsrisiko for forskningsprosjekter enn mange tror.
Et sentralt prinsipp er at kun UiO-godkjente IT-tjenester skal brukes. Det er mange grunner til dette, men de viktigste er at ikke-godkjente tjenester kan inneholde skadevare (spesielt tjenester som er lastet ned fra treff p? google-s?k) og at UiO er lovp?lagt ? vurdere alle IT-tjenester for personvern, IT-sikkerhet, bruk av underleverand?rer og andre juridiske- og risikoforhold f?r de tas i bruk.
Se tjenestekatalogen, IT-tjenester for forskning, liste over vurderte IT-tjenester eller snakk med omr?den?r IT for ? finne UiO-godkjente IT-tjenester som dekker dine behov.
En annet viktig punkt ? v?re bevisst p? er at hvem som skal ha tilgang til en IT-tjeneste kan endre seg gjennom forskningsprosjektets levetid. Det er derfor viktig at ditt forskningsprosjekt har gode rutiner for ? rydde opp i tilganger etter hvert som medlemmer bytter roller eller slutter, spesielt hvis dere forsker p? beskyttelsesverdig data. En m?te ? gj?re dette p? er ? ha regelmessige gjennomganger av at kun riktige personer har tilgang til prosjektets IT-tjenester og data. Les mer i LSIS kapittel 9.
Husk ogs? p? at noen instrumenter og annet teknisk utstyr, som ikke kan sikres med UiOs driftsopplegg, skal settes p? eget instrumentnett. Dette er for ? hindre at slikt utstyr blir bakd?rer inn i UiOs infrastruktur ellers. Les mer her: Instrumentnett – nett for ustandard utstyr.
Lagring
? klassifisere informasjon og bestemme hvor den kan og skal lagres, er en viktig del av ? redusere IT-sikkerhetsrisiko i ditt forskningsprosjekt.
Lagringsguiden, delingsguiden og klassifisering av informasjon - Universitetet i Oslo
Kommunikasjon, e-post og deling
I mange forskningsprosjekter brukes det kommunikasjons- og delingstjenester hvor man manuelt setter opp hvem som skal ha tilgang eller v?re mottaker. I disse tilfellene er det viktig ? ha gode rutiner for ? rydde opp tilganger n?r en person bytter rolle, slutter i prosjektet eller prosjektet endrer fase. Dette kan v?re TSD-prosjekter, EduCloud-prosjekter, Teams eller e-postlister i Sympa eller Make.
Delingsguiden beskriver hvilke tjenester UiO har godkjent for deling av forskjellige typer data.
Husk at en feilsendt e-post med personopplysninger kan v?re et personvernavvik.
Hendelsesh?ndtering
I alle forskningsprosjekter kan det skje u?nskede hendelser som gj?r at personopplysninger havner p? avveie, eller som p?virker din eller UiOs IT-sikkerhet. For ? sikre at disse blir h?ndtert riktig, m? du melde slike hendelser inn gjennom kanalene under:
Ved personvernavvik, meld inn her: Avvik ved behandling av personopplysninger
Eksempler p? personvernavvik kan v?re utilsiktet publisering av helseopplysninger om forskningsdeltakere, at en usladdet versjon av saksdokumenter ble publisert, at en feil i en IT-tjeneste gjorde det mulig for uvedkommende ? hente ut forskningsdata med personopplysninger, eller en feilsendt e-post.
Ved IT-sikkerhetshendelser, kontakt UiO-CERT: UiO-CERT - meld inn IT-sikkerhetshendelse
Eksempler p? IT-sikkerhetshendelser kan v?re mistanke om tap av kontroll p? en brukerkonto, mistanke om datainnbrudd av forskjellige typer, eller at du har blitt utsatt for nettsvindel. De viktigste tingene ? vite om forskjellige typer nettsvindel kan du lese her: Nettsvindel, phishing, spam og hacking
Etter en hendelse har prosjektleder ansvar for ? vurdere behovet for forebyggende tiltak. Slike tiltak kan for eksempel v?re ? tilby oppl?ring, oppdatere rutiner og tilgangsstyring, eller s?rge for at det blir utf?rt ROS-analyser og tekniske tiltak.
IT-sikkerhet p? reise
I mange forskningsprosjekter vil deltakere reise til utlandet, noe som kan v?re forbundet med h?yere risiko. Gj?r deg kjent med IT-avdelingens veiledere for IT p? reise, og for reiser til h?yrisikoland, f?r du drar.
Bruk av IT-ressurser ved utenlandsreiser?
Ditt ansvar for innlogging p? reise
FAQ - reiser til h?yrisikoland
Gjester og internasjonalt 澳门葡京手机版app下载
Det viktigste ? huske p? om gjester med IT-konto hos UiO er at du som sponsor eller vert har et ansvar for dine gjester. Dette inkluderer ? gi gjesten n?dvendig oppl?ring i UiOs regelverk, i noen tilfeller ? verifisere gjesten, og ? gi gjesten riktig kontotype.
Se ogs? UiOs nettsider om ansvarlighet i internasjonalt 澳门葡京手机版app下载.
?