Verdikartlegging og verdivurdering

Omhandler hendelser som truer sentrale samfunnsinstitusjoner, vår felles sikkerhet og den enkeltes trygghet. Det handler i stort om å forebygge at hendelser inntreffer, redusere konsekvensene av uønskede hendelser, håndtere de og returnere til normaltilstand i etterkant. For UH-virksomhetene fanges hendelser og verdier knyttet til dette området best opp gjennom virksomhetens overordnende ROS.

Verdier som inngår her kan være

• Fysiske installasjoner
  • Bygningsmasse; Campus, forskningsinstallasjoner utenfor campus
  • Utstyr for elektronisk kommunikasjon og IKT
  • Vann og avløp
  • Forsyning av energi
• Tjenester
  • Velferdstjenester (HMS)
  • Helsetjenester (HMS)/utstyr
  • Kommunikasjon/krisekommunikasjon
  • Styringsevne og kriseledelse
• Liv og helse
  • Ansatte og studenters liv og helse

Omhandler beskyttelse av statssikkerheten og understøttes av de delene av samfunnssikkerheten som er av vesentlig betydning for Norges evne til å ivareta sikkerhetsinteressene i tråd med Lov om nasjonal sikkerhet. Alle KDs underliggende virksomheter er omfattet av sikkerhetsloven, styringsdokumentet stiller dermed også krav til virksomhetene knyttet til dette.

Nasjonale sikkerhetsinteresser defineres som:

Landets suverenitet, territorielle integritet og demokratiske styreform og overordnede sikkerhetspolitiske interesser knyttet til

• de øverste statsorganers virksomhet, sikkerhet og handlefrihet
• forsvar, sikkerhet og beredskap
• forhold til andre stater og internasjonale organisasjoner
• økonomisk stabilitet og handlefrihet
• samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet

Når det kommer til spesifikke verdier knyttet til domenet nasjonal sikkerhet og sikkerhetsloven, gjelder dette skjermingsverdig informasjon, informasjonssystemer, infrastruktur eller objekter.

Informasjonssikkerhet og personvern dreier seg om å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger. Med håndtering av risiko menes evnen til å beskytte informasjonsverdier mot at uvedkommende får tilgang, at verdiene skades eller ødelegges, endres eller slettes på uautoriserte måter eller er utilgjengelig for rettmessige brukere. Dette kan også oppsummeres som at informasjonens konfidensialitet, integritet og tilgjengelighet (KIT) rammes av uønskede hendelser og aktivitet. 

For verdikartlegging, bruk veilederen

• Verdioversikt. En veileder for universiteter, høgskoler og forskningsinstitutter (PDF) utarbeidet av Sikt

For verdivurdering, bruk veilederne

• Veileder i verdivurdering av informasjon (PDF) utarbeidet av NSM
• Klassifisering av informasjon. Sektorstandard for universiteter, høgskoler og forskningsinstitutter (PDF) utarbeidet av Sikt

Bruk HK-dirs “Verdilandskap” til å strukturere arbeidet med verdikartlegging og som overordnet inndeling av informasjonsverdier ved din virksomhet.

Verdilandskapet – hovedtyper informasjonsverdier

Det digitale taktskifte som har skjedd i UH-sektoren under pandemien, innebærer at stadig mer av virksomhetenes informasjonsverdier håndteres elektronisk. Det finnes imidlertid ingen standard måte å systematisere og kategorisere sektorens informasjonsverdier på. I Ulven og Wangen (2021: 10-15) gis likevel en oversikt over 10 hovedtyper informasjonsverdier det vanligvis handler om. Oversikten er basert på en kartlegging ved Queensland University of Technology i Brisbane, Australia. Den gir en indikasjon på hvilke informasjonsverdier som norske UH-institusjoner forvalter.

Hovedtyper informasjonsverdier hos universiteter og høyskoler

1. Studieadministrasjon. Informasjon som typisk behandles i studieadministrative systemer. Det kan blant annet være navn, fødselsnummer, bosteds- og epostadresse, tidligere utdanning, kurs og emner, semesteravgift, studieprogresjon/-poeng, tilrettelagt undervisning, praksis og eksamensresultater. Det vil også dreie seg om informasjon som behandles i elektroniske kommunikasjonsplattformer som universitetet eller høgskolen tilbyr studentene.
2. Læring, vurdering og undervisning. Informasjon knyttet til gjennomføring og administrasjon av undervisning og eksamen eller andre vurderingsformer. Det kan for eksempel være undervisningsplaner, emneinformasjon, pensumlister, eksamensoppgaver og -besvarelser, innleveringer, master- og bacheloroppgaver, bibliotekressurser, nettbaserte læringsressurser og informasjon som behandles om studenter og undervisere i læringsplattformer.
3. Forskning og utvikling. Informasjon om innholdet i, administrasjon og gjennomføringen forskningsprosjekter. Eksempler på slik informasjon er prosjektbeskrivelser, finansiering, kontrakter, deltakere og samarbeidspartnere, datakilder, rådata, bearbeidede data, forskningsresultater, publikasjoner og kommersielle rettigheter (patenter).
4. Medarbeidere og ledere. Informasjon om ansettelsesforhold som blant annet behandles i HR-systemer. Det kan være navn, fødselsnummer, bostedsadresse, stilling, lønn, kontonummer, sykefravær, ferie, avspasering, opplæring/kurs, særskilt tilrettelegging, osv. Det vil også omfatte informasjon om personer som ikke er ansatt ved universitetet eller høgskolen, men som mottar godtgjøring for oppdrag, for eksempel sensorer.
5. Økonomi og regnskap. Informasjon om finansiering av virksomheten og forvaltning og styring av økonomiske verdier. Slik informasjon kan blant annet omhandle budsjetter på virksomhets- og enhetsnivå, årsregnskap, lønnskostnader, prosjektkostnader, bestillinger, utbetalinger og økonomirapporter.
6. Virksomhetsstyring og -strategi. Informasjon om viktige forhold i virksomheten og planer for den videre administrative eller faglige utviklingen, for eksempel utviklingsavtaler med departementet. Informasjon som har betydning for styringen av virksomheten, vil ofte samles i ulike datavarehusløsninger. Dette kan omfatte økonomiske nøkkeldata, studenttall, studiepoengproduksjon, omfanget av eksternfinansiert forskning, ph.d.-programmer, midlertidighet, likestilling og kjønnsbalanse, osv.
7. Eiendom og fysisk infrastruktur. Informasjon om bygningsmessige forhold og andre deler av det fysiske miljøet. Det kan omfatte informasjon om campus-bygg, byggeprosjekter, laboratorier og utstyr, heisanlegg, andre elektriske anlegg, osv. Det kan også omfatte ulike typer sensordata om det fysiske miljøet, for eksempel fra adgangskontrollen, varslingsanlegg (brann, vann, fukt), ventilasjon, oppvarming og kameraovervåking.
8. IT-ressurser og digital infrastruktur. Informasjon om forvaltning og styring av IT-porteføljen. Det kan inkludere informasjon om IT-anskaffelser, datamaskiner, programvare, databaser, tjenesteutsetting og databehandlere, nettverkskonfigurasjon, digital sikkerhet, tilgangsstyring og brukerstøtte.
9. Media og kommunikasjon. Informasjon som benyttes i det interne og eksterne formidlings- og kommunikasjonsarbeidet. Det vil for eksempel omfatte informasjon på hjemmesider, intranett og i sosiale media (Facebook, Instagram, Twitter, osv.). Det vil også inkludere informasjon om konferanser, seminarer, workshops og deltakere på slike arrangementer.
10. Alumni. Kontaktinformasjon til tidligere studenter og annen relevant informasjon, for eksempel påmeldinger til nyhetsbrev, arrangementer og sammenkomster.

Start kartlegging av informasjonsverdiene innen de 10 områdene i Verdilandskapet (unntatt området Forskning og utvikling) ved hjelp av ressurser fra de sentraladministrative avdelingene. Ta utgangspunkt i arbeidsprosesser. Bruk rekkefølgen i Verdilandskapet for å prioritere arbeidet.

Kartlegging av informasjonsverdiene på området Forskning og utvikling bør gjennomføres ved fakultetene. Fakultetene må kunne benytte seg av oversikten laget for de administrative områdene, særlig det studieadministrative området.

Virksomhetene har fra før etablert og forvalter ulike detaljerte oversikter over verdiene innen forskning, undervisning og administrasjon, for eksempel:

• Behandlingsprotokoll over alle personopplysninger som behandles ved virksomhetene
• Oversikt over IT-systemer og tjenester og oversikt over IT-infrastruktur
• Oversikt over aktiva/fysisk utstyr i virksomhetens lokaler.

For å finne riktig detaljeringsnivå på en samlet verdioversikt, er det nødvendig å tenke på formålet som ligger bak kravet om verdioversikt og verdivurdering. Som nevnt innledningsvis er verdikartleggingen, med påfølgende verdivurdering, grunnlaget for risikostyring av virksomheten gjennom risiko- og sårbarhetsanalyser (ROS), beredskapsplanlegging og tiltaksplaner.

Verdiene kan systematiseres i en tabellform, for eksempel i excel-format, eller som et overordnet dokument med henvisning til de underordnete detaljerte oversiktene. Uansett format og detaljeringsnivå, bør dokumentet kunne legges frem for toppledelsen for eksempel på møtet for ledelsens gjennomgang av arbeidet med sikkerhet ved virksomheten.

Eksempel på en mal for overordnet oversikt over informasjonsverdier:

Verdivurdering - eksempel på en felles mal.xlsx

En verdioversikt og en verdivurdering er et organinternt dokument.

Prioriter å finne ut om virksomheten deres forvalter skjermingsverdige verdier. Bruk NSMs veileder i verdivurdering og Sikt sine veiledere. Vurder særlig Sikts Verdioversikt. En veileder for universiteter, høgskoler og forskningsinstitutter, s. 20:

Hvilke forskningsområder eller ressurser har vi som:

• Understøtter landets fungering, beslutnings, - og utviklingsevne?
  • Her går det å eksempelvis se til FNs bærekraftsmål og til den gjeldende Langtidsplanen for forskning og høyere utdanning.
  • Eksempler kan være biovitenskap, hav- og klimaforskning, og geologi
• Opprettholder, forsterker og forbedrer funksjoner og kvaliteter i samfunnet som har betydning for samfunnssikkerheten, eller for nasjonale sikkerhetsinteresser?
  • Dette kan være forskning innenfor geopolitikk og nordområdene våre, statsvitenskap, og andre samfunnsvitenskapelige områder
  • Det kan være forskning og teknologiområder som er særlig utsatt for spionasje og etterretning fra andre land, som er listet opp i de nasjonale trusselvurderingene, som navigasjons- og sensorteknologi, romfart og satellitteknologi, undervannsteknologi, materialteknologi, datateknologi, IT-sikkerhet og kryptografi, robotikk
  • Det kan være forskning og beregningsmodeller innen helse og velferd som ivaretar samfunnskritiske tjenester.
  • Det kan være fagmiljø som forvalter forskning, ekspertise og «sannhetsgehalten» i temaer som kan være under press av påvirkningsoperasjoner, for å endre virkelighetsforståelse og beslutningsgrunnlag av nasjonal og global betydning.
  • Det kan være enkeltpersoner som har spesialistkompetanse som kan gjøre seg gjeldende i situasjoner som berører samfunnssikkerheten, som eksempelvis pandemi.
• Er regulert av eksportkontrollregelverket og sanksjonsforskrifter?
  • Her må virksomhetene se til varelistene som følger regelverket for å kartlegge laboratorieutstyr og teknologi, kunnskap og informasjon som er omfattet av regelverket.

Hvilke utdanningstilbud har vi som:

• Understøtter de utpekte forskningsområdene?
  • Her går det å eksempelvis se til FNs bærekraftsmål og til den gjeldende Langtidsplanen for forskning og høyere utdanning.
• Understøtter å bekle kritiske funksjoner i samfunnet?
  • Dette kan være innenfor helse, politi og forsvar, og andre mer operative funksjoner av høy betydning.

Hvilke interne sikkerhetsressurser har vi som:

• Forebygger, oppdager og håndterer sikkerhetshendelser, slik at virksomheten har god evne til sikkerhet og beredskap?
• Forebygger, oppdager og håndterer sikkerhetshendelser, slik at virksomheten bidrar til god nasjonal evne til sikkerhet og beredskap

Eksportkontrolloven med eksportkontrollforskriften, er utformet for å ivareta de forpliktelser Norge, gjennom internasjonale avtaler har gitt, for å hindre spredning av kjemiske og biologiske våpen, hindre spredning av varer og teknologi relevant for kjernefysiske våpen, kontroll av konvensjonelle våpen, militære varer og sensitiv høyteknologi. For kunnskapssektoren handler disse forpliktelsene i hovedsak om kontroll med kunnskapsoverføring og forskningssamarbeid, med tilhørende kartlegging av utstyr og teknolog som kan være lisenspliktig, samt bevissthet om datasikkerhet og utveksling av studenter og ansatte, samt gjesteforelesere.

Kunnskapssektoren og dens virksomheter har selv ansvar for å vurdere sensitiviteten i egen kunnskap og teknologi, og for å påse at eksportkontrollregelverket overholdes. Dette gjelder også ved ansettelser av eller opptak av utenlandske personer og studenter. Hver virksomhet i sektoren må sørge for at eventuelle sensitive fagområder vurderes ved de aktuelle enhetene, samt at etterlevelse av eksportkontrollregelverket ivaretas i aktuelle prosesser og aktiviteter.

Vi anbefaler at virksomhetene konsentrerer ressursinnsatsen rundt arbeidet med oversikt over informasjonsverdier og verdier av betydning for nasjonal sikkerhet. 

De såkalte beredskapsverdiene (for eksempel liv og helse, virksomhetens funksjonsevne, økonomi) danner utgangspunkt for gjennomføring av overordnet risikovurdering ved virksomheten. En risikovurdering består av oversikten over verdier virksomheten skal beskytte, de eksterne truslene og de interne sårbarhetene, samt beskrivelse av risikoscenarioer, en vurdering av sannsynlighet og konsekvens og beskrivelse av risikoreduserende tiltak. En oversikt over beredskapsverdiene vil derfor forvaltes gjennom virksomhetens overordnet risikovurdering.

Beredskapsverdiene danner i tillegg utgangspunkt for virksomhetenes beredskapsplaner og forvaltes gjennom dette planverket.

Prioriteringen av beredskapsverdiene er vurdert i oppsettet. Liv og helse er vurdert med høyest viktighet, da tap av liv eller alvorlig skade ikke kan erstattes.

Eksempel på kobling mellom beredskapsverdiene og øvrige verdier

Liv og helse

• Ansatte og studenters liv og helse
• Personell- og personsikkerhet

Miljø

• Forskning
• Laboratoriemateriell

Materielle verdier

• Informasjonsverdier
  • Studieadministrasjon
  • Læring, vurdering og undervisning
  • Forskning og utvikling
  • Medarbeidere og ledere
  • Økonomi og regnskap
  • Virksomhetsstyring og –strategi
  • IT-ressurser og digital infrastruktur
  • Alumni 
• Fysiske
  • Eiendom og fysisk infrastruktur
  • Hindre uvedkommende fysisk tilgang til skjermingsverdig informasjon og aktivitet
• Omdømme og tillit
  • Media og kommunikasjon
  • Demokratiske verdier
  • Integritet og forskningsetikk
  • Akademisk frihet