Informasjonssikkerhet og personvern

Cerpus utvikler, vedlikeholder og drifter våre egne løsninger og tjenester for publikum og kunder. Vi har en overordnet målsetting og strategi for informasjonssikkerhet og personvern som implementeres gjennom to tilnærminger:

  • Designe og utvikle løsningene på en slik måte at risikoen for uønskede hendelser blir minimal
  • Drifte og forvalte tjenesten iht lover og forskrifter og kundenes krav og forventninger

Personvern og informasjonssikkerhet står sentralt i all utvikling av Cerpus-produkter: Valg av best egnet design og teknologi for å dekke behovene på en kompromissløs optimal måte. Et sentralt steg er å begrense hvilke personopplysninger som lagres i våre løsninger gjennom å identifisere formål med lagringen og bare inkludere det som er strengt nødvendig. Formålet med data som samles inn er å gi mer nytte av systemene. Detaljer om hvilken informasjon som lagres og hvorfor er nærmere beskrevet i personvernreglene våre som kan finnes på https://learning-id.com/personvern/.

Riktighet av dataene som bruker legger inn er det bruker selv som er ansvarlig for. For kunder som kommer inn gjennom en integrasjon er det integrasjonen som styrer opplysninger som epostadresse og navn, for brukere som registrerer seg manuelt er det brukerne selv som velger hvor riktige dataene skal være.

Integritet og konfidensialitet sikres gjennom at det er veldig begrenset hvem som har tilgang til produksjonsmiljø og hvilken tilgang supportpersonell har til persondata. Det blir heller ikke gjenbrukt produksjonsdata i testmiljø. For bedriftskunder er det bedriften selv som setter opp hvem som skal ha tilgang til å se personinformasjon og resultater for en kursdeltaker, for kurs som ikke er satt opp uten å gå gjennom bedriftsplattformen er det bare personer satt opp som instruktører på kurs som kan se resultater fra deltakere, med unntak av noen spill der det kan vises forbokstaver eller kallenavn på brukere i topplister.

Det legges også stor vekt på at kurseiere og kursinstruktører skal ha full kontroll på egne kurs og kan bestemme hvem som skal kunne bruke kursene, hvem som skal kunne ta kursene og hvilken lisens kursene skal gjøres tilgjengelig under.

Cerpus har et nokså omfattende sett av dokumenter og prosesser som beskriver hvilke planlagte og systematiske tiltak som gjennomføres for å ivareta informasjonssikkerhet og personvern i de løsninger og tjenester som vi tilbyr og drifter. Det følgende er en oppsummering:

Sikkerhetsmål for Cerpus

Cerpus har som sikkerhetsmål at informasjonsverdier og personopplysninger som vi behandler på vegne av kunder og brukere aldri skal havne på avveie på grunn av oss eller våre tjenester. Dersom avvik likevel skulle oppstå er det et mål at vi som organisasjon skal være kompetent til å korrigere feil og gjenopprette normatiltstand på kortest mulig tid, og vi skal være ærlig og etterrettelig i vår kommunikasjon om det inntrufne med alle impliserte parter.

Sikkerhetsstrategi

  • Vi skal som et prinsipp samle minst mulig personopplysninger for å kunne tilby fullstendige tjenester for våre kunder og brukere, og slik informasjon skal i minst mulig grad spres gjennom systemene på en identifiserbar måte.
  • Ansvar og myndighet som berører informasjonssikkerhet er beskrevet og implementert ift roller i organisasjonen.
  • Arkitektur og tekniske valg som er gjort for å ivareta sikkerheten er dokumentert på en slik måte at alle ansatte kan forstå og forholde seg til dette.

Ledelsens gjennomgang

Ledelsen har en årlig gjennomgang av sikkerhetsmål, sikkerhetsstrategi og organisering av informasjonssystemene, og kontrollerer at disse er i samsvar med virksomhetens behov. Her gjennomgås blant annet:

  • Alvorlige avvik og hendelser.
  • Endringer med betydning for drift av informasjonssystemet eller for informasjonssikkerheten, herunder endringer i offentlige sikkerhetskrav, endringer i personopplysninger som virksomheten skal behandle, endringer i trusselbildet som blant annet beskrevet i rapport fra utførte risikovurderinger.
  • Endringer i informasjonssystemet som følge av ny funksjonalitet, nye produkter/tjenester osv.

Organisering

Cerpus er organisert i avdelinger og team. Team er satt sammen av ansatte med ulike roller og ansvar for å sikre god robusthet ift både taktiske og tekniske valg. Roller og rolledeling og ikke minst forståelse av “roller i samspill” ligger til grunn for den operative ivaretakelsen av informasjonssikkerheten:

  • Fortløpende, men også som en årlig rutine, vurderer ledelsen om bedriften tilstrekkelig og optimalt satt sammen med avdelinger, team og roller.
  • Hvilke roller de ansatte har er beskrevet i ansettelskontraktene
  • Ved nyansettelser gjennomgås roller, ansvar og myndighet i detalj, og den nyansatte får adekvat opplæring før hun får tilgang til sensitive systemer og data.
  • Roller, ansvar og myndighet gjennomgås årlig med hver enkelt ansatt. I tillegg gjennomføres det årlige gjennomganger i team og avdelinger der rollene og samspillet mellom dem gjennomgås.
  • Avdelinger og Team avdekker behov for kompetanse og opplæring, og oppdaterer årlig kompetanseplaner for å sikre blant annet informasjonssikkerheten.

Risikovurdering

Det gjennomføres årlig en risikovurdering for å ivareta vår toleranse for risiko. Risikovurderingen skal som et minimum ivareta følgende forhold:

  • Vår evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i system og tjenester som behandler personopplysninger.
  • Vår evne til å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid dersom det oppstår en fysisk eller teknisk hendelse.
  • Regelmessig testing, analysering og vurdering av hvor effektive de tekniske og organisatoriske sikkerhetstiltakene er.

Rutiner for informasjonssikkerhet

  • Informasjonssystemet konfigureres fortløpende for å være iht gjeldende risikovurdering.
  • Logging av uautorisert bruk og gjennomgang/analyse av loggene med dertilhørende tiltak.
  • Dokumentasjon og gjennomgang av avvik skal være grunnlag for kontinuerlig forbedring. Avviksbehandling består av å:
    • Oppdage avviket.
    • Kartlegge årsaken til og omfanget av avviket så langt det er mulig.
    • Rapportering utføres normalt av den medarbeideren som oppdager avviket. Avviket rapporteres til virksomhetens sikkerhetsansvarlig eller etter annen intern organisering.
    • Iverksettelse av strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader.
    • Vurdere om det er et brudd på personopplysningssikkerheten og vurdere risikoen for de registrertes rettigheter og friheter.
    • Iverksettelse av korrigerende tiltak for permanent å gjenopprette normaltilstand. Vurdering av hvorvidt korrigerende tiltak fungerer etter sin hensikt.
  • Cerpus har et personvernombud som ivaretar personvernforordningen og som er bedriftens kontaktpunkt i spørsmål rundt behandlingen av personopplysninger.
  • Det gjennomføres årlig en sikkerhetskontroll, vanligvis som en egenkontroll, men personvernombudet gjør en vurdering om revisjon skal kjøres eksternt.