Informationssäkerhetspolicy för Umeå universitet

Transkript

1 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 1 (5) Informationssäkerhetspolicy för Umeå universitet

2 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 2 (5) Inledning Denna policy utgör grunden i högskolans ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets ramverk för informationssäkerhet och ska utgöra ett stöd för verksamheten i det dagliga arbetet. Arbetet med informationssäkerhet utgår främst från lagar, förordningar, föreskrifter, universitetets egna krav samt avtal. Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) har används som utgångspunkt för föreliggande policy. Enligt dessa föreskrifter ska myndigheten: Upprätta en informationssäkerhetspolicy och andra styrande dokument, Utse en eller flera personer som leder och samordnar arbetet med informationssäkerhet, Klassificera sin information med utgångspunkt i krav på konfidentialitet, tillförlitlighet och tillgänglighet Utifrån risk- och sårbarhetsanalyser och inträffade incidenter avgöra hur risker ska hanteras, Dokumentera granskningar och säkerhetsåtgärder av större betydelse som har vidtagits, Minst en gång per år följa upp och utvärdera informationssäkerhetsarbetet, Arbeta enligt standarder som: ledningssystem för informationssäkerhet, (SS-ISO/IEC och Denna policy ersätter, av rektor den 8 februari 2011, fastställd informationssäkerhetspolicy (Dnr: UmU ). Allmänt Information är en av våra viktigaste tillgångar och utgör en förutsättning för att vi ska kunna bedriva vår verksamhet. Våra informationstillgångar måste därför behandlas och skyddas på ett tillfredsställande sätt med en helhetssyn på informationssäkerheten som inbegriper universitetets alla verksamhetsdelar. Detta då en säker informationshantering utgör en förutsättning för att vi skall kunna fullgöra uppdraget med att tillhandahålla utbildning, bedriva forskning samt att samverka med det omgivande samhället. Informationssäkerhetsarbetet skall samordnas med övrigt säkerhetsarbete vid universitetet och de ledningssystem som antagits där. Definitioner Informationssäkerhet är säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet (ISO ). Informationssäkerheten avser såväl administrativ säkerhet som teknisk säkerhet Informationstillgångar är allt som innehåller information och allt som bär på information. Till exempel information och informationsbehandlande system, programvara, fysiska

3 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 3 (5) tillgångar och hårdvara, tjänster, människor och immateriella tillgångar. (ISO 27002:7.1.1) Konfidentialitet - Att innehållet i informationsobjekt (eller ibland dess existens) inte får göras tillgänglig eller avslöjas för obehöriga Tillgänglighet Att informationstillgångar skall kunna utnyttjas i förväntad uträckning och inom önskad tid Riktighet Att information inte förändras, vare sig obehörigen, av misstag eller på grund av funktionsstörning PDCA-modellen ( Plan-Do-Check-Act ). En strukturerad process för planering, genomförande, uppföljning och kontinuerlig förbättring som används i ISO s (International Organization for Standardization) olika ledningssystem, känd och använd under sin engelska förkortning, COSO-modellen (utvecklad av Committee of Sponsoring Organization). COSO-modellen består av fem delar: Kontrollmiljö, riskanalys, kontrollaktiviteter, information och kommunikation samt tillsyn. Därtill en riskvärdering utifrån sannolikhet och konsekvens med en skala på 1 till 4, Med hot menas möjlig, oönskad händelse som ger negativa konsekvenser för verksamheten. Målsättning Målet för informationssäkerhetsarbetet vid Umeå universitet är att skydda dess informationstillgångar mot olika hot och att skapa en effektiv hantering och rutiner för att tillförsäkra att system och information omfattas av säkerhetsaspekterna konfidentialitet, tillgänglighet samt riktighet. Roller och ansvar Det övergripande ansvaret för myndigheten har universitetsstyrelse och rektor, vilket inbegriper ansvaret för universitetets informationssäkerhet. fastställer informationssäkerhetspolicy. utser ansvarig för samordningen av informationssäkerheten. I enlighet med rektors delegationsordning är det universitetsdirektören som har till uppgift att leda och samordna arbetet med universitets informationssäkerhet och är därmed informationssäkerhetsansvarig. Universitetsdirektören eller den eller de som denna delegerar till, har som informationssäkerhetsansvarig ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerhetsarbetet. utser en informationssäkerhetsgrupp som har till uppgift att utgöra ett rådgivande beredande organ till stöd för universitetsdirektörens informationssäkerhetsarbete, bland annat genom att tillse att ledningssystemet för informationssäkerhet vid Umeå universitet fungerar och efterlevs i dess olika delar. I detta organ ska följande funktioner finnas representerade:

4 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 4 (5) IT-säkerhet, fysisk säkerhet, forskningsverksamhet, grundutbildning, administrativ verksamhet samt övriga funktioner som universitetsdirektören beslutar ingå. Dekan respektive prefekt/motsvarande har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerheten vid fakultet respektive institution/centrumbildning eller enhet. För varje informationstillgång ska det finnas en informationsägare som ansvarar för alla delar av informationssäkerheten för informationstillgången. Informationsägaren ansvarar för informationstillgångens konfidentialitet, tillgänglighet och riktighet. För information som ingår i IT-system gäller det ansvar och de roller som framgår av styrdokument för IT-verksamheten vid universitet såsom IT-säkerhetsplan, dnr , och instruktion för systemförvaltning och systemägare. Den som ingår avtal som leder till informationsanvändning eller informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Arbetssätt Ledningssystemet för informationssäkerhet vid Umeå universitet bygger på PDCA-modellen enligt de övergripande stegen Planera, Genomföra, Utvärdera och Förbättra. Varje steg innehåller i sin tur en eller flera processer. 1 Planera Förbä5ra Genomföra Utvärdera PDCA modell fig 1 Planering Insamling av krav och målsättning samt framtagande av Risk och sårbarhetsanalys. En grundläggande kartläggning av befintligt informationssäkerhetsarbete vid universitetet inklusive relevanta styrdokument genomförs utifrån lagstiftning och gällande föreskrifter etc. Arbetet sker på en universitetsövergripande nivå med stöd av en arbetsgrupp bestående av representanter för universitetsförvaltning och övrig verksamhet under ledning av 1 Processmodell baserad på metodstöd från

5 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 5 (5) informationssäkerhetsansvarig eller den till vilken denna delegerar uppgiften.. Genomföra Driva och genomföra det faktiska informationssäkerhetsarbetet. Risk och sårbarhetsanalysen utgår från ovan nämnda kartläggning och klassificeras utifrån verksamhetsprocesser vilka följer Riksarkivets arkivredovisningsmodell (RA-FS 2008:4). 2 Klassificeringen sker därefter utifrån MBS modell för klassificering av information med en bedömning av respektive process säkerhetsaspekt (konfidentialitet, tillgänglighet samt riktighet) samt konsekvensnivå enligt COSO-modellen. Den faktiska kartläggningen sker i programvaran Vebar som möjliggör att bland annat notera uppgifter om gallring, förvaringsplats samt sekretess för respektive process/information Utvärdera - Mätning och uppföljning av krav och uppsatta mål för informationssäkerhetsarbetet. En periodisk återkommande uppföljning av såväl föreliggande policy samt Risk och sårbarhetsanalys är viktig för att bevaka att ledningssystemet för informationssäkerhet vid Umeå universitet fungerar och efterlevs. I enlighet med rektors beslut om regelverk vid Umeå universitet ska policys följas upp fortlöpande och senast efter fem år genomgå en komplett översyn. Risk och sårbarhetsanalys ska fastställas för en giltighet på tre år för att spegla förändringar och nya krav i verksamheten men kan revideras tidigare om behov föreligger. Inom ramen för universitets arbete med intern styrning och kontroll sker även en viss kontroll av informationssäkerhetsarbetet årligen. Inom detta arbete rapporteras inträffade incidenter genom avvikelserapportering. Förbättra Resultat från uppföljningen ligger till underlag för kommande förbättringar och prioriteringar samt kompetensutveckling Genom att kartlägga och systematisera universitetets informationssäkerhet enligt ovanstående modell kan hot och risker inom området kartläggas och eventuella åtgärder vidtas och föreliggande policys målsättning uppfyllas. Därför ska resultatet av risk- och sårbarhetsanalysen kommuniceras till berörda verksamheter. En generell information om LIS, inklusive bifogad checklista, som vänder sig till alla anställda och studenter ska även finnas tillgänglig via universitets hemsida för att öka medvetenheten om risker och hot inom området. Bilagor Risk- och sårbarhetsanalys Checklista för anställda 2 Arkiv struktureras utifrån vilken process handlingen/informationen tillhör

6 PM Sid 1 (2) Informationssäkerhet - Checklista för anställda vid Umeå universitet Bakgrund Information är en av våra viktigaste tillgångar och utgör en förutsättning för att vi ska kunna bedriva vår verksamhet. Informationstillgångar är allt som innehåller information och allt som bär på information. Till exempel information och informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar. Våra informationstillgångar måste därför behandlas och skyddas på ett tillfredsställande sätt med en helhetssyn på informationssäkerheten som inbegriper universitetets alla verksamhetsdelar. Detta då en säker informationshantering utgör en förutsättning för att vi skall kunna fullgöra uppdraget med att tillhandahålla utbildning, bedriva forskning samt att samverka med det omgivande samhället. Nedanstående lista vänder sig anställda vid Umeå universitet och ska utgöra ett stöd i den dagliga verksamheten. 1. Var rädd om ditt lösenord för dator och telefon samt lås din dörr. 2. Var noga med säkerhetskopiering, virusskydd och uppdateringar av datorer/mobila enheter. Gamla programversioner kan innehålla sårbarheter. Ta reda på vilka riktlinjer som gäller 3. Tänk på vilken miljö du befinner dig då du hanterar information exempel vid samtal, utskrifter och på skärm 4. Använd bara IT- tjänster som är godkända ur såväl informationssäkerhets- som personuppgiftshänseende. Av ITS upphandlade och tillhandahållna tjänster uppfyller ställda krav. 5. Se upp med phishing och liknande försök att via falska e- postbrev eller webbformulär lura av dig personliga uppgifter. Universitetets IT- personal frågar aldrig efter ditt lösenord i e- post. 6. Lagra inte personuppgifter eller annan känslig information i molntjänster samt tänk på att inte skicka känslig information via e- post. 7. Surfa med omdöme. Det kan räcka med att besöka en viss webbsida för att din dator/dina mobila enheter ska smittas med skadlig kod. Anmäl incidenter till abuse@umu.se - de bidrar också med råd och stöd.

7 PM Sid 2 (2) 8. Anmäl dina behandlingar av personuppgifter till universitets personuppgiftsombud pulo@umu.se. 9. Säkerställ att informationen som ska bevaras arkiveras, förbered för arkivering redan när du börjar informationsinsamlandet.

8 Sid 1 (14) Informationssäkerhet Risk- och sårbarhetsanalys Bakgrund beslutade den 23 december 2014 att fastställa Policy för informationssäkerhet vid Umeå universitet (DNR: FS: FS ). Policyn utgör grunden i högskolans ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets ramverk för informationssäkerhet och ska utgöra ett stöd för verksamheten i det dagliga arbetet. Arbetet med informationssäkerhet utgår främst från lagar, förordningar, föreskrifter, universitetets egna krav samt avtal. Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) anger bland annat att vid sidan av ovan nämnda policy ska även andra styrande dokument inom området upprättas. Föreliggande analys utgör ett sådant dokument vilket klassificerar myndighetens information med utgångspunkt i krav på konfidentialitet, tillförlitlighet och tillgänglighet och utifrån risk- och sårbarhetsanalyser samt inträffade incidenter avgöra hur risker ska hanteras. Enligt policyn ska risk och sårbarhetsanalysen fastställas för en giltighet på tre år för att spegla förändringar och nya krav i verksamheten men kan revideras tidigare om behov föreligger. Modell Ledningssystemet för informationssäkerhet vid Umeå universitet bygger på PDCA-modellen enligt de övergripande stegen Planera, Genomföra, Utvärdera och Förbättra. Varje steg innehåller i sin tur en eller flera processer. En av rektor utsedd arbetsgrupp, under ledning av informationssäkerhetsansvarig har kartlagt universitets informationssäkerhetsarbete inom en rad områden samt klassificera dem efter de verksamhetsprocesser som följer Riksarkivets arkivredovisningsmodell (RA-FS 2008:4). 1 Klassificeringen sker därefter utifrån MBS:s modell för klassificering av information med en bedömning av respektive process säkerhetsaspekt (konfidentialitet, tillgänglighet samt riktighet) samt konsekvensnivå enligt COSO-modellen (utvecklad av Committee of Sponsoring Organization) med en riskvärdering utifrån sannolikhet och konsekvens med en skala 1-4 enligt nedan: 1 Arkiv struktureras utifrån vilken process handlingen/informationen tillhör 1

9 Sid 2 (14) Sannolikhet Hur stor är sannolikheten att risken uppstår i verksamheten? 1= Osannolikt Praktisk taget obefintlig risk 2= Liten sannolikhet Inträffar sannolikt inte under normala omständigheter i vart fall inte frekvent 3= Stor sannolikhet Kan mycket väl inträffa men troligtvis inte särskilt frekvent 4= Mycket stor sannolikhet Inte så mycket om det inträffar utan när och i vilken omfattning Konsekvens Vilken konsekvens får det för verksamheten om risken uppstår? 1= Försumbar Möjlig påverkan på verksamheten 2= Lindrig Konsekvensen är inte försumbar men kan hanteras i det löpande arbetet 3= Allvarlig Allvarliga störningar i verksamheten som kan påverka vårt anseende 4= Mycket allvarlig Omfattande konsekvenser för verksamheten I risk- och sårbarhetsanalysen listas den mest verksamhetskritiska risken för varje process samt vilka förebyggande åtgärder som är vidtagna, eller planeras, för att hantera eller förebygga att risken uppstår. Kolumnen ansvar anger vilken enhet/motsvarande som ansvarar, på informations- säkerhetsansvariges uppdrag, för efterlevnad, kontroll och att vidta ev. åtgärder för respektive process. 2

10 Sid 3 (14) Risk- och sårbarhetsanalys Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder I. Genomföra forskningsprojekt PE Att känsligt forskningsmaterial hamnar i orätta händer 2 4 Internrevisionens planerade granskning av datalagring 2015 II. Administrera data och tele IT Att det sker Intrång i IT- miljön 4 4 IRT incidenthantering Information i nätverk Besök av IT- chef vid incidenter Att det inte finns fullgod backup eller lagring av elektronisk information 3 3 Tillhandahålla central backuptjänst Utbildning och information till nyanställda och till nätverk 3

11 Sid 4 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder III. Hantera juridik ULK Att känsliga uppgifter om individer hamnar i orätta händer 2 4 Hantera merparten av information i digitalt säkra system. Begränsa behörighet till dessa uppgifter i diarium IV. Planera och administrera forskningsprojekt PE Att universitetet inte kan tillhandahålla nödvändig dokumentation till anslagsgivare 2 4 Universitetsgemensam databas Raindance innehåller information om samtliga forskningsprojekt V. Planera, följa upp och redovisa verksamhet PE Att material till årsredovisning (ÅR) eller hela ÅR förloras under processen med färdigställande 1 3 Kontinuerlig back- uptagning VI. Bedriva internrevision PE Att känsliga uppgifter som är underlag till internrevisionsrapp ort sprids okontrollerat 1 2 Lagring sker så att endast Internrevisionen kommer åt uppgifter 4

12 Sid 5 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder VII. Hantera samarbeten och utvärderingar PE Att oriktiga uppgifter finns eller att information saknas vid rapporteringar och utvärderingar till universitets tillsynsmyndigheter 2 3 Diarieföring av rapporter m.m. VIII. Administrera ekonomi PE Att samtliga bokföringsunderlag inte går att återfinna 1 3 Samtliga bokförings- underlag lagras universitetsgemensamt IX. Hantera antagning till utbildning på grund och avancerad nivå PE Obehörigt intrång i antagningssystemet 1 4 UHR äger systemet och ansvarar för säkerhetshantering, kompletterat med lokala regler för IT- säkerhet PE Antagningssystemet ligger nere oplanerat mer än en dag 1 3 5

13 Sid 6 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder X. Hantera studentärenden på grund och avancerad nivå PE Att personliga uppgifter sprids till obehöriga i samband med hantering av hälsofrämjande stöd samt pedagogiskt stöd till funktionshindrade studenter 2 4 Studenthälsans verksamhet omfattas av hälso- och sjukvårdens sekretessbestämmelser (2009:400). Socialstyrelsen har utfärdad föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOFS 2008:14). Verksamheten har upphandlat journalsystem från CGM som även hanterar drift. Stödinsatser till funktionshindrade studenter omfattas av sekretess för specialpedagogisk verksamhet (2009:400). Dataregister över ansökningar och beslut ligger på säker server vid ITS. 6

14 Sid 7 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XI. Utforma regelverk och styrdokument PE Att universitets- gemensamma regel- och styrdokument inte revideras, uppdateras och publiceras 2 3 Att det finns en organisation, struktur och rutiner med ansvariga enheter och tjänstemän för regelverket. XII. Genomföra beslutsmöten PE Att beslut som fattas vid universitetet, vilka följer av delegationsordning eller lagstiftning, inte upprättas skriftligt eller protokollförs 3 3 Beslutsmöten följs upp årligen Information om och rutiner för möten. XIII. Administrera arkiv och diarium ULK Att kontinuiteten i informationen ej kan säkerställas 2 4 Back- Up och godkända arkivlokaler. Uppdatera kontinuerligt mot Riksarkivets föreskrifter. Säkerställ säkerhet i informationsbärarna. 7

15 Sid 8 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XIV. Bedriva biblioteksverksamhet UmUB Att personuppgifter och låneuppgifter sprids 2 4 Följer PUL och sekretesslag XV. XVI. XVII. Administrera miljö och hållbar utveckling Att låneuppgifter är felaktiga Bibliotekssystem inte tillgängligt 2 3 Översvämning i värdemagasin 2 4 LOK Att stödsystem saknar uppgifter eller innehåller felaktiga uppgifter Hantera säkerhet LOK Nödvändig information inom krishantering kan ej distribueras Planera och genomföra utbildning på grund och avancerad nivå PE Den information eller underlag som ligger till grund för examination är felaktig. 2 3 Backup så att korrekta uppgifter kan återställas Revision katastrofplan pga. UmU- kort (pågår) Tätning och vatten- avledning i värdemagasin (pågår) 2 3 Information till personal Översyn av system för kemikaliehantering 3 4 Rutiner och checklistor upprättas 1 3 Det finns en tydlig examensordning 8

16 Sid 9 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XVIII. Utfärda examen på forskarnivå PE Ladok ligger nere oplanerat mer än en vecka 1 3 Drifts- och SLA- avtalet med ITS samt katastrofplan finns PE Att obehörigt intrång i systemet sker Underlag till avhandling går förlorad 1 4 Drifts- och SLA- avtal med ITS samt katastrofplan finns. Regelbundna kontroller görs via Ladok- konsortiet. 1 4 Tillhandahålla och informera om back- uptjänster samt den enskildes ansvar enligt informations- säkerhetspolicy XIX. Utfärda examen på grund och avancerad nivå PE Ladok ligger nere oplanerat mer än en vecka 1 4 Drifts- och SLA- avtalet med ITS samt katastrofplan finns XX. PE Obehörigt intrång i systemet 1 4 Drifts- och SLA- avtal med ITS samt katastrofplan finns. Regelbundna kontroller görs via Ladok- konsortiet. 9

17 Sid 10 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XXI. Utforma organisation PE Att rektors delegations- ordningar med vidaredelegationer inte tillgängliggörs eller görs kända i organisationen 2 3 Delegationsordning är tillgänglig på hemsida samt ses över kontinuerligt XXII. Remisser och förfrågningar PE Att inkomna remisser inte hanteras inom organisationen i tid 2 2 Genom diariesystem samt särskild rutin för påminnelse XXIII. Administrera personal PERS Att lön ej kan betalas ut 2 4 Hantering enligt katastrofplan Primula PERS Lönesystem går ej att använda vid lönekörningsdatum 2 2 Hantering enligt katastrofplan Primula XXIV. Hantera utbildningsutbudet på grund och avancerad nivå PE Information om ändrad eller inställda utbildningar inte når den enskilda studenten 4 3 Förbättra rutiner för information och uppdatering av information 10

18 Sid 11 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XXV. Administrera lokaler LOK Att hyresavtal går förlorade 1 2 Intern kontroll och back- up av IT- system XXVI. Administrera information och kommunikation KOM Att driftstörning i Selma uppkommer 4 3 Kontinuerligt arbete med förebyggande åtgärder. XXVII. Universitetsgemensa mma projekt PE Att beslutade projektplaner inte finns tillgängliga 1 2 Finns tydliga regler för projekt, bl.a. avseende projektplan XXVIII. Hantera internationellt utbyte och tredjelands studenter på grund och avancerad nivå PE Bristande stöd från IT- stödet Interbas 4 2 Antagning av inresande utbytesstudenter via NyA, gör processen mer rättsäker. Kommer under 2015 tillsammans med IT- enheten att genomföra en förstudie när det gäller systemstöd med syfte att öka så väl effektiviteten som kvaliteten på vårt arbete med internationella studenter 11

19 Sid 12 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XXIX. Hantera internationellt utbyte på forskarnivå PE Att information om regler och rutiner finns för utbyte på joint- nivå inte tillgängliggörs 3 2 Information genom webb och nätverk XXX. Administrera högtider och evenemang KOM Att informationsförlust ur Filemaker sker 2 3 Intern kontroll och backup. Utreda om nytt system ska införas XXXI. Tillhandhålla intern service PE Ordinarie arbete med hemsida och back- up m.m. Rutiner för postservice *Ansvarig enhet/person - Informationssäkerhetsgrupp Planeringsenheten (PE) bitr. universitetsdirektör Per Ragnarsson (PR) akademisekreterare Daniel Andersson, Planeringsenheten (DA) Universitetsledningens kansli (ULK) universitetsarkivarie Birgitta Olsson, Universitetsledningens kansli (BO) universitetsjurist Chatarina Larson, Universitetsledningens kansli (CL) Lokalförsörjningsenheten (LOK) säkerhetsansvarig Jörgen Sandström, Lokalförsörjningsenheten (JS) Universitetsbiblioteket (UmUB) avdelningschef Jan Gunillasson, Universitetsbiblioteket (JG) 12

20 Sid 13 (14) IT-enheten (IT) IT-strateg Karoline Westerlund, IT-enheten (KW) Personalenheten (PERS) områdeschef Ann-Christin Edlund Personalenheten (ACE) Kommunikationsenheten (KOM) områdeschef Olof Malmberg (OM) Prioriteringar 13

21 Sid 14 (14) Följande fem processer i risk- och sårbarhetsanalysen bedömer informationssäkerhetsgruppen som särskilt viktiga ur ett informationssäkerhetsperspektiv, alternativt där störst behov föreligger, och där åtgärder bör vidtas. Dessa processer avser även gruppen att fokusera kring i det fortsatta arbetet under perioden I II III XXIV XVI Genomföra forskningsprojekt Administrera data och tele Hantera juridik Hantera utbildningsutbudet på grund och avancerad nivå Hantera säkerhet 14