Tiltaksområde 6: Styrket etterlevelse, IT-juss og opplæring

UiB har ikke hatt tilstrekkelig kapasitet til evaluering, risikovurderinger innen informasjonssikkerhet eller IT-juridiske problemstillinger.

1. Styrket ROS, metode, gjennomføring, rådgivning og oppfølging av tiltak. 
   IT-avdelingens kapasitet til å gjennomføre ROS-analyser for systemer styrkes gjennom ansettelse av dedikert person til formålet og anskaffelse av nytt system for å gjøre slike analyser. Person er ansatt per 1. januar 2024, systemet skal være i produksjon ved inngangen til høsten 2024.
    
2. Styrket IT-juridisk kapasitet
   Det ansettes en person med spesialkompetanse på IT-juss som kan bistå IT-avdelingen i å ta gode avgjørelser på området, og understøtte fagmiljøer på dette i samarbeid med UiBs personvernombud. Person er ansatt per november 2023 og tiltaket er gjennomført. 
    
3. Sikkerhetsrevisjoner og kontroller 
   UiB trenger ekstern kompetanse som kan gjøre uavhengige kontroller av UiBs IT-sikkerhet, og bistå med å identifisere usikkerheter i systemer og rutiner. Det er gjennomført en anskaffelse, og avtale er tegnet i april 2024 med firma som kan bistå både med dette og gjennomføring av beredskapsøvelser innen IT-sikkerhet.
    
4. Innføre obligatorisk e-læring i informasjonssikkerhet og GDPR/personvern 
   UiB har et eget kurs i informasjonssikkerhet. Dette er revidert gjennom vinteren 2023/2024 og rutiner for videre revidering er på plass. Kurset gjøres obligatorisk for alle ansatte fra og med våren 2024. 
    
5. Gjennomføre verdivurdering av UiBs informasjonsverdier 
   UiB har fått kritikk av Riksrevisjonen for å mangle oversikt over sine informasjonsverdier. Det skal implementeres et system for å registrere dette og rutiner for å kartlegge dette. Gjennom store deler av 2024 drives det kartlegging og annet arbeid for å sikre at system og rutiner er i tråd med behovet, samtidig som datainnsamling er påbegynt. Tiltaket skal være sluttført ved utgangen av 2024.