IT-sikkerhet for forskere, prosjektledere og forskningsprosjekter

Denne siden beskriver noen av de viktigste IT-sikkerhetsvurderingene du m? gj?re f?r du setter i gang med et forskningsprosjekt, og som du m? v?re bevisst p? gjennom hele livsl?pet til forskingsprosjektet. Ikke alt er relevant for alle forskningsprosjekter, men denne siden kan brukes som en generell sjekkliste.

Form?let med punktene er ? forhindre at beskyttelsesverdig informasjon kommer p? avveie, og ? forhindre at ondsinnede akt?rer kan gjennomf?re angrep eller innbrudd som kan f? konsekvenser utover ditt forskningsprosjekt.

Ansvar for IT-sikkerhet i forskning

Ansvar for IT-sikkerhet ved UiO er beskrevet generelt i LSIS. Denne siden er en konkretisering av ansvarsomr?dene for prosjektledere og medarbeidere i forskningsprosjekter. Overordnet ansvar for IT-sikkerhet i forskningsprosjektet ligger hos prosjektleder, men alle deltakere har ansvar for ? f?lge gjeldende lover, rutiner og retningslinjer.

Som prosjektleder skal du fremme en kultur for personvern og IT-sikkerhet gjennom ?pen kommunikasjon, 澳门葡京手机版app下载 og ved behov bevisstgj?rende kampanjer blant ansatte. Du skal tilrettelegge for involvering av ansatte i prosessen med ? identifisere og rapportere mulige trusler og s?rbarheter innen personvern og IT-sikkerhet. Ved behov skal du ogs? operasjonalisere den generelle informasjonen og gj?re den relevant for ditt forskningsprosjekt.

Se ogs?:

Oppl?ring og gode IT-sikkerhetsvaner

Prosjektleder er ansvarlig for ? sette seg inn i og etterleve relevante krav til informasjonssikkerhet og personvern, for ? sikre at prosjektets l?sninger og rutiner er tilpasset datatypen og risikoniv?et, og at prosjektmedarbeidere har tilstrekkelig kunnskap om informasjonssikkerhet. Tilstrekkelig kunnskap oppn?s gjennom ? sette seg inn i gjeldende retningslinjer, benytte tilgjengelig oppl?ring og s?ke r?d hos relevante st?ttefunksjoner ved behov.

UiOs Grunnkurs i personvern og IT-sikkerhet skal bidra til at alle ansatte og studenter f?r grunnleggende oppl?ring i personvern og IT-sikkerhet. Ved ? ta kurset og relatere det til din arbeidshverdag, skal du i utgangpunktet v?re trygg p? at dine sikkerhetsvaner er gode nok.

Kurset finnes her: Grunnkurs i personvern og IT-sikkerhet

Det finnes ogs? andre kurstilbud innen personvern og IT-sikkerhet for spesifikke avdelinger og fakulteter. Ansatte b?r ta relevante fordypningskurs i personvern, basert p? sine roller og ansvarsomr?der.

IT-tjenester og godkjente l?sninger

For ? sikre tilstrekkelig IT-sikkerhet, etterlevelse av regelverk og institusjonelt ansvar, er det kun tillatt ? behandle forskningsdata i tjenester og l?sninger som er godkjent av UiO.

Feil bruk av IT-tjenester kan medf?re st?rre IT-sikkerhetsrisiko for forskningsprosjekter enn mange tror.

Et sentralt prinsipp er at kun UiO-godkjente IT-tjenester skal brukes. Det er mange grunner til dette, men de viktigste er at ikke-godkjente tjenester kan inneholde skadevare (spesielt tjenester som er lastet ned fra treff p? google-s?k) og at UiO er lovp?lagt ? vurdere alle IT-tjenester for personvern, IT-sikkerhet, bruk av underleverand?rer og andre juridiske- og risikoforhold f?r de tas i bruk.

Se tjenestekatalogen, IT-tjenester for forskning, liste over vurderte IT-tjenester eller snakk med omr?den?r IT for ? finne UiO-godkjente IT-tjenester som dekker dine behov.

Husk ogs? p? at noen instrumenter og annet teknisk utstyr, som ikke kan sikres med UiOs driftsopplegg, skal settes p? eget instrumentnett. Dette er for ? hindre at slikt utstyr blir bakd?rer inn i UiOs infrastruktur ellers. Les mer her: Instrumentnett – nett for ustandard utstyr.

Tilgangsstyring

Prosjektleder er ansvarlig for ? sikre forsvarlig tilgangsstyring til forskningsdata og IT-systemer, herunder at kun autoriserte prosjektdeltakere f?r tilgang, og at tilganger jevnlig vurderes og oppdateres.

En annet viktig punkt ? v?re bevisst p? er at hvem som skal ha tilgang til en IT-tjeneste kan endre seg gjennom forskningsprosjektets levetid. Det er derfor viktig at ditt forskningsprosjekt har gode rutiner for ? rydde opp i tilganger etter hvert som medlemmer bytter roller eller slutter, spesielt hvis dere forsker p? beskyttelsesverdig data. En m?te ? gj?re dette p? er ? ha regelmessige gjennomganger av at kun riktige personer har tilgang til prosjektets IT-tjenester og data. Les mer i LSIS kapittel 9.

I praksis inneb?rer dette at prosjektleder:

  • avklarer hvem som faktisk trenger tilgang til hvilke data
  • s?rger for at tilgang gis via godkjente systemer, prim?rt ikke via deling av kontoer eller lokale kontoer
  • f?lger opp at tilganger endres eller fjernes n?r personer slutter i prosjektet eller f?r endret rolle
  • vurderer s?rskilt tilgang for gjesteforskere/eksterne

Klassifisering og lagring

Prosjektleder har ansvar for korrekt klassifisering av informasjon og forsvarlig lagring i godkjente l?sninger i tr?d med UiOs retningslinjer.

? klassifisere informasjon og bestemme hvor den kan og skal lagres, er en viktig del av ? redusere IT-sikkerhetsrisiko i ditt forskningsprosjekt.

Lagringsguiden, delingsguiden og klassifisering av informasjon - Universitetet i Oslo

Kommunikasjon, e-post og deling

N?r data sendes mellom systemer eller 澳门葡京手机版app下载spartnere, skal overf?ringen skje via sikre kanaler (f.eks. kryptert filoverf?ring, sikre API-er), ikke via ukryptert e-post eller ?pne nettverk.

I mange forskningsprosjekter brukes det kommunikasjons- og delingstjenester hvor man manuelt setter opp hvem som skal ha tilgang eller v?re mottaker. I disse tilfellene er det viktig ? ha gode rutiner for ? rydde opp tilganger n?r en person bytter rolle, slutter i prosjektet eller prosjektet endrer fase. Dette kan v?re TSD-prosjekter, EduCloud-prosjekter, Teams eller e-postlister i Sympa eller Make.

Delingsguiden beskriver hvilke tjenester UiO har godkjent for deling av forskjellige typer data.

Husk at en feilsendt e-post med personopplysninger kan v?re et personvernavvik.

Hendelsesh?ndtering

I alle forskningsprosjekter kan det skje u?nskede hendelser som gj?r at personopplysninger havner p? avveie, eller som p?virker din, forsknignsdeltakerens eller UiOs IT-sikkerhet. For ? sikre at slike hendelser blir h?ndtert riktig, m? du melde disse inn gjennom kanalene under:

Ved brudd p? personopplysningsssikkerheten, meld inn her: Avvik ved behandling av personopplysninger

Eksempler p? personvernavvik kan v?re utilsiktet publisering av helseopplysninger om forskningsdeltakere, at en usladdet versjon av saksdokumenter ble publisert, at en feil i en IT-tjeneste gjorde det mulig for uvedkommende ? hente ut forskningsdata med personopplysninger, feil tilgangstyring, eller en feilsendt e-post.

Ved IT-sikkerhetshendelser, kontakt UiO-CERT: UiO-CERT - meld inn IT-sikkerhetshendelse

Eksempler p? IT-sikkerhetshendelser kan v?re mistanke om tap av kontroll p? en brukerkonto, mistanke om datainnbrudd av forskjellige typer, eller at du har blitt utsatt for nettsvindel. De viktigste tingene ? vite om forskjellige typer nettsvindel kan du lese her: Nettsvindel, phishing, spam og hacking

Etter en hendelse har prosjektleder ansvar for ? vurdere behovet for forebyggende tiltak. Slike tiltak kan for eksempel v?re ? tilby oppl?ring, oppdatere rutiner og tilgangsstyring, eller s?rge for at det blir utf?rt ROS-analyser og tekniske tiltak.

IT-sikkerhet p? reise

I mange forskningsprosjekter vil deltakere reise til utlandet, noe som kan v?re forbundet med h?yere risiko. Gj?r deg kjent med IT-avdelingens veiledere for IT p? reise, og for reiser til h?yrisikoland, f?r du drar.

Bruk av IT-ressurser ved utenlandsreiser?

Ditt ansvar for innlogging p? reise

FAQ - reiser til h?yrisikoland

Gjester og internasjonalt 澳门葡京手机版app下载

Det viktigste ? huske p? om gjester med IT-konto hos UiO er at du som sponsor eller vert har et ansvar for dine gjester. Dette inkluderer ? gi gjesten n?dvendig oppl?ring i UiOs regelverk, i noen tilfeller ? verifisere gjesten, og ? gi gjesten riktig kontotype.

Se ogs? UiOs nettsider om ansvarlighet i internasjonalt 澳门葡京手机版app下载.

?

Publisert 27. jan. 2026 09:50 - Sist endret 16. feb. 2026 09:52
Del p? e-post