14.1 Internkontroll
Internkontrollen består av fem hovedkomponenter.
1. ROS-analyser
Dette er en grunnstamme i internkontrollen. Fremgangsmåte og rutiner og annet er beskrevet i egne dokumenter. ROS-analyser skal utføres annethvert år for viktige systemer, og ved innføring av nye systemer. Avdekkede funn skal resultere i konkrete tiltak samlet i tiltaksplaner. Systemeier er ansvarlig for at tiltakene blir satt ut i livet. IT-sikkerhetssjefen og behandlingsansvarlig følger opp at dette blir gjort. ROS-analyser er beskrevet i kapittel 7.
2. Årlig internkontroll med nettskjema
Én gang i året sender USIT ut en spørreundersøkelse over nettskjema til ledere ved enhetene. Formålet er å utføre en grunnleggende internkontroll. Undersøkelsen vil avdekke eventuelle avvik og kartlegge etterlevelse av, og kjennskap til, rutiner for personvern og informasjonssikkerhet. Med utgangspunkt i svarene vil USIT og personvernombudet lettere kunne bistå enhetene med opplæring og informasjon. Det er obligatorisk å svare på undersøkelsen.
Internkontrollen skal gi ledere ved enhetene muligheten til å gjennomføre en egenevaluering for å avdekke behov for opplæring på enheten og bidra til at rutinene for informasjonssikkerhet og personvern følges.
3. Stedlige kontroller
Utøver av behandleransvaret, personvernombudet og USITs IT-sikkerhetsgruppe samarbeider om lokale stedlige kontroller. Representantene reiser jevnlig rundt til UiOs enheter for å kontrollere etterlevelse av rutiner for personvern og informasjonssikkerhet. Dette inkluderer gjennomgang av IT-systemer, arbeidsmåter og tiltak fra tidligere ROS-analyser, samt oppfølging av eventuelle utfordringer avdekket i den årlige internkontrollen.
4. Brevkontroll
USIT kan utføre brevkontroll hos enheter. Dette kalles også «brevlig kontroll», og gjøres gjerne for å kontrollere et spesifikt område ved behov. Det er obligatorisk å svare på spørsmålene i en brevlig kontroll innen fristen.
5. Tekniske kontroller
USIT gjør i tillegg flere ulike typer tekniske grep og kontroller for å supplere de ovenstående punktene. Dette er nærmere spesifisert i kapittel 12.
14.2 Rapportering
Rapporteringen har fire hoveddeler:
- Årsrapport fra informasjons-sikkerhetsarbeidet, beskrevet i kapittel 6
- Årsrapport fra behandlingsansvarlig
- Rapport fra stedlig kontroll av behandling av personopplysninger
- Fortløpende rapportering av avvik og sikkerhetshendelser