Mitt ansvar som forsker

Begreper du må kjenne til

• LSIS (Ledelsessystem for informasjonssikkerhet): En samling dokumenter om hvordan UiO håndterer informasjonssikkerhet
• Personopplysning: Hva er en personopplysning og hva er særlige kategorier av personopplysninger?
• Hva er forskjellen på lagring og  behandling av personopplysninger? De samme kravene stilles til både lagring og behandling. Man kan ikke følge reglene ved å lagre dataene rett sted, men behandle dem andre steder.
• Om personvern i forskning

IT-systemer og annet utstyr

Du må:

• vite hvilke IT-systemer som brukes i forskningen din
• vite hvem som drifter disse systemene
• passe på at systemene er oppdatert til enhver tid
• passe på at systemene er meldt inn til USIT eller via meldeappen. De fleste IT-systemer som brukes i forskning behandler personopplysninger.
• være ekstra oppmerksom når teknisk utstyr ledsages av datautstyr eller egne webløsninger
• være oppmerksom på at systemer som ikke driftes av USIT krever særskilt oppmerksomhet
• vite hvilke administrative og tekniske krav USIT stiller til IT-systemer, maskiner og brukere. Les om dette i LSIS.
• inkludere Lokal IT og USIT ved inn- og utfasing av nye og gamle systemer
• involvere Lokal IT og USIT i driften av systemene
• være sikker på at systemene er integrert på rett måte med resten av UiOs IT-systemer
• melde IT-systemer med spesielle behov for unntak særskilt til USIT
• passe på at gamle systemer fases ut eller får særskilt oppmerksomhet, f. eks. innlemmmes i labnett-løsningen.
• ha jevnlige gjennomganger av systemene for å fange opp hvilke endringer i andre, tilstøtende systemer som gir nye muligheter eller utfordringer.

Lagring

Du må:

• sette deg inn i den delen av LSIS som handler om klassifisering av informasjon.
• vite hvor du lagrer ulike typer forskningsdata
• sikre at gruppen din har godkjente fellesområder for deling av data. Lokal IT kan hjelpe deg med dette.
• sørge for at Lokal IT er kjent med forskningen din, herunder hvilke data som behandles, og hvem du samarbeider med.
• passe på at data utveksles med andre miljøer på rett måte
• sikre at data med beskyttelsesbehov, altså gule, røde eller sorte data ikke havner ukryptert på løse harddisker eller USB-enheter.
• sikre at du og gruppen ikke lagrer sorte data utenfor egnede systemer, i praksis TSD.
• være ekstra oppmerksom når data overføres til bærbare maskiner.

Tilgangskontroll

Du må:

• sikre at tilganger til systemene tildeles og inndras ved gode, nedskrevne rutiner som revideres jevnlig
• sørge for at Lokal IT er involvert i tilgangsstyringen, og er kjent med hvilke mekanismer som brukes. Dette inkluderer for eksempel Cerebrum-grupper.
• sikre at vanlige brukere av systemene ikke drifter systemene
• sikre at folk fra andre miljøer som skal bruke systemene, får tilgang på rett måte, f. eks. via Weblogin, UHAD eller Feide.
• sikre at systemene ikke har lokale eller upersonlige brukere med mindre det er særskilte grunner til det.