Tilbake

Informasjonssikkerhet - avvik

Hvordan melde et avvik relatert til informasjonssikkerhet og brudd på personvernet.

Temaside om Informasjonssikkerhet | Sider merket informasjonssikkerhet

Melde avvik #

Avvik innen informasjonssikkerhet og personvern oppstår når vi ikke følger lover, regler og NTNUs interne dokumenter som regulerer bruken av NTNUs IKT-infrastruktur og behandling av personopplysninger. Avvik er hovedsaklig et informasjonssikkerhetsbrudd i forbindelse med arbeidsutførelse og arbeidspraksis. Et avvik kan ha store, små eller ingen konsekvenser. 

 Meld avvik  

Er det avvik eller digital sikkerhetshendelse? #

Et avvik er forskjellig fra en digital sikkerhetshendelse. En digital sikkerhetshendelse er for eksempel et dataangrep, et svindelforsøk eller mistet IKT-utstyr. 

Er du i tvil om saken du ønsker å si fra om er et avvik eller en sikkerhetshendelse, melder du saken til NTNU SOC for raskere behandling. 

Registrering av avvik #

Avviksmeldingen skal beskrive avviket og hvor det har skjedd. Meldingen skal ikke inneholde personopplysninger knyttet til navn eller annen type informasjon der det kan være behov for konfidensialitet. Avvik skal aldri rettes mot person, men mot elementet eller handlingen i arbeidsprosessen som forårsaket sikkerhetsbruddet. En avviksmelding skal med andre ord beskrive handlingen, ikke personen som utførte den. 

Skal du sende avvik, pass på å ikke ta med sensitiv informasjon i avviksmeldingen. Avviksmeldingen skal også beskrive hva som eventuelt er konsekvensen av bruddet. 

Eksempler på avvik informasjonssikkerhet og brudd på personvernet #

  • feilsendt e-post og vedlegg, særlig der det er personopplysninger 
  • innsamling av data i skjema som gjør informasjonen søkbar på internett, eller i skjemaverktøy der NTNU ikke har databehandleravtale  
  • feilutlevering eller feilpublisering av informasjon
  • feil i tilganger, utstyr eller programvare som gjør at informasjonens tilgjengelighet er svekket, og som igjen kan svekke sikkerheten 
  • rutiner som mangler, ikke fungerer, eller som ikke følges 
  • informasjon med klassifiseringsnivå som krever tilgangsstyring er åpen og tilgjengelige for uvedkommende
  • manglende grunnlag eller vurdering av grunnlag for å behandle personopplysninger 
  • fødselsnummer som er sendt ukryptert per e-post  til eksterne (Et enkelt dokument som inneholder et fødselsnummer sendt mellom ansatte er ikke et avvik da det ikke forlater NTNUs datanettverk)

Hvorfor skal jeg melde avvik? #

Alle med tilgang til NTNUs IKT-infrastruktur har ansvar for å være oppmerksomme på eventuelle brudd, melde inn avvik og gjennom det bidra til god styringsinformasjon. Meldinger om avvik er nødvendig og ønskelig. Avvikshåndtering skaper læring og forbedring som har stor betydning for det systematiske arbeidet med informasjonssikkerhet og personvern. Avviksprosessen er også en viktig del av NTNUs internkontroll.    

Hva skjer når jeg melder avvik? #

Avvik relatert til informasjonssikkerhet og personvern går til Seksjon for digital sikkerhet. Der vurderes avvikets alvorlighetsgrad og om Datatilsynet må varsles. Ved brudd på personvernet gjøres vurderingen i dialog med Avdeling for virksomhetsstyring og Personvernombudet.

Er det behov for å gjøre strakstiltak utføres dette i samarbeid med de ansvarlige for tjenesten eller funksjonen som er berørt. Linjeleder kobles på og vil få i oppdrag å finne årsak og tiltak for å hindre at tilsvarende skjer igjen. Slik vurdering gjøres ofte i tett samarbeid med Seksjon for digital sikkerhet.

Er det er lekket informasjon om personer og det er sannsynlig at dette kan få negative konsekvenser så skal de berørte varsles. Slik varsling linjelederansvar.

Ledere ved NTNU skal ta opp avvik klassifisert som alvorlig eller kritisk i sine ledermøter, og benytte avvikshåndtering som en betydelig faktor i forbedringsarbeidet i sin del av virksomheten.

Se også #

Kontakt #

Har du spørsmål, ta kontakt med NTNUs Sikkerhetsoperasjonssenter (NTNU SOC)

0 Vedlegg
7141 Visninger
Gjennomsnitt (0 Stemmer)