Informationssäkerhetspolicy för Umeå universitet

Storlek: px
Starta visningen från sidan:

Download "Informationssäkerhetspolicy för Umeå universitet"

Transkript

1 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 1 (5) Informationssäkerhetspolicy för Umeå universitet

2 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 2 (5) Inledning Denna policy utgör grunden i högskolans ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets ramverk för informationssäkerhet och ska utgöra ett stöd för verksamheten i det dagliga arbetet. Arbetet med informationssäkerhet utgår främst från lagar, förordningar, föreskrifter, universitetets egna krav samt avtal. Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) har används som utgångspunkt för föreliggande policy. Enligt dessa föreskrifter ska myndigheten: Upprätta en informationssäkerhetspolicy och andra styrande dokument, Utse en eller flera personer som leder och samordnar arbetet med informationssäkerhet, Klassificera sin information med utgångspunkt i krav på konfidentialitet, tillförlitlighet och tillgänglighet Utifrån risk- och sårbarhetsanalyser och inträffade incidenter avgöra hur risker ska hanteras, Dokumentera granskningar och säkerhetsåtgärder av större betydelse som har vidtagits, Minst en gång per år följa upp och utvärdera informationssäkerhetsarbetet, Arbeta enligt standarder som: ledningssystem för informationssäkerhet, (SS-ISO/IEC och Denna policy ersätter, av rektor den 8 februari 2011, fastställd informationssäkerhetspolicy (Dnr: UmU ). Allmänt Information är en av våra viktigaste tillgångar och utgör en förutsättning för att vi ska kunna bedriva vår verksamhet. Våra informationstillgångar måste därför behandlas och skyddas på ett tillfredsställande sätt med en helhetssyn på informationssäkerheten som inbegriper universitetets alla verksamhetsdelar. Detta då en säker informationshantering utgör en förutsättning för att vi skall kunna fullgöra uppdraget med att tillhandahålla utbildning, bedriva forskning samt att samverka med det omgivande samhället. Informationssäkerhetsarbetet skall samordnas med övrigt säkerhetsarbete vid universitetet och de ledningssystem som antagits där. Definitioner Informationssäkerhet är säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet (ISO ). Informationssäkerheten avser såväl administrativ säkerhet som teknisk säkerhet Informationstillgångar är allt som innehåller information och allt som bär på information. Till exempel information och informationsbehandlande system, programvara, fysiska

3 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 3 (5) tillgångar och hårdvara, tjänster, människor och immateriella tillgångar. (ISO 27002:7.1.1) Konfidentialitet - Att innehållet i informationsobjekt (eller ibland dess existens) inte får göras tillgänglig eller avslöjas för obehöriga Tillgänglighet Att informationstillgångar skall kunna utnyttjas i förväntad uträckning och inom önskad tid Riktighet Att information inte förändras, vare sig obehörigen, av misstag eller på grund av funktionsstörning PDCA-modellen ( Plan-Do-Check-Act ). En strukturerad process för planering, genomförande, uppföljning och kontinuerlig förbättring som används i ISO s (International Organization for Standardization) olika ledningssystem, känd och använd under sin engelska förkortning, COSO-modellen (utvecklad av Committee of Sponsoring Organization). COSO-modellen består av fem delar: Kontrollmiljö, riskanalys, kontrollaktiviteter, information och kommunikation samt tillsyn. Därtill en riskvärdering utifrån sannolikhet och konsekvens med en skala på 1 till 4, Med hot menas möjlig, oönskad händelse som ger negativa konsekvenser för verksamheten. Målsättning Målet för informationssäkerhetsarbetet vid Umeå universitet är att skydda dess informationstillgångar mot olika hot och att skapa en effektiv hantering och rutiner för att tillförsäkra att system och information omfattas av säkerhetsaspekterna konfidentialitet, tillgänglighet samt riktighet. Roller och ansvar Det övergripande ansvaret för myndigheten har universitetsstyrelse och rektor, vilket inbegriper ansvaret för universitetets informationssäkerhet. fastställer informationssäkerhetspolicy. utser ansvarig för samordningen av informationssäkerheten. I enlighet med rektors delegationsordning är det universitetsdirektören som har till uppgift att leda och samordna arbetet med universitets informationssäkerhet och är därmed informationssäkerhetsansvarig. Universitetsdirektören eller den eller de som denna delegerar till, har som informationssäkerhetsansvarig ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerhetsarbetet. utser en informationssäkerhetsgrupp som har till uppgift att utgöra ett rådgivande beredande organ till stöd för universitetsdirektörens informationssäkerhetsarbete, bland annat genom att tillse att ledningssystemet för informationssäkerhet vid Umeå universitet fungerar och efterlevs i dess olika delar. I detta organ ska följande funktioner finnas representerade:

4 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 4 (5) IT-säkerhet, fysisk säkerhet, forskningsverksamhet, grundutbildning, administrativ verksamhet samt övriga funktioner som universitetsdirektören beslutar ingå. Dekan respektive prefekt/motsvarande har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerheten vid fakultet respektive institution/centrumbildning eller enhet. För varje informationstillgång ska det finnas en informationsägare som ansvarar för alla delar av informationssäkerheten för informationstillgången. Informationsägaren ansvarar för informationstillgångens konfidentialitet, tillgänglighet och riktighet. För information som ingår i IT-system gäller det ansvar och de roller som framgår av styrdokument för IT-verksamheten vid universitet såsom IT-säkerhetsplan, dnr , och instruktion för systemförvaltning och systemägare. Den som ingår avtal som leder till informationsanvändning eller informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Arbetssätt Ledningssystemet för informationssäkerhet vid Umeå universitet bygger på PDCA-modellen enligt de övergripande stegen Planera, Genomföra, Utvärdera och Förbättra. Varje steg innehåller i sin tur en eller flera processer. 1 Planera Förbä5ra Genomföra Utvärdera PDCA modell fig 1 Planering Insamling av krav och målsättning samt framtagande av Risk och sårbarhetsanalys. En grundläggande kartläggning av befintligt informationssäkerhetsarbete vid universitetet inklusive relevanta styrdokument genomförs utifrån lagstiftning och gällande föreskrifter etc. Arbetet sker på en universitetsövergripande nivå med stöd av en arbetsgrupp bestående av representanter för universitetsförvaltning och övrig verksamhet under ledning av 1 Processmodell baserad på metodstöd från

5 Umeå universitet Typ av dokument: Policy Beslutad av: Giltighetstid: tills vidare Område: Organisation Ansvarig enhet: Planeringsenheten Sid 5 (5) informationssäkerhetsansvarig eller den till vilken denna delegerar uppgiften.. Genomföra Driva och genomföra det faktiska informationssäkerhetsarbetet. Risk och sårbarhetsanalysen utgår från ovan nämnda kartläggning och klassificeras utifrån verksamhetsprocesser vilka följer Riksarkivets arkivredovisningsmodell (RA-FS 2008:4). 2 Klassificeringen sker därefter utifrån MBS modell för klassificering av information med en bedömning av respektive process säkerhetsaspekt (konfidentialitet, tillgänglighet samt riktighet) samt konsekvensnivå enligt COSO-modellen. Den faktiska kartläggningen sker i programvaran Vebar som möjliggör att bland annat notera uppgifter om gallring, förvaringsplats samt sekretess för respektive process/information Utvärdera - Mätning och uppföljning av krav och uppsatta mål för informationssäkerhetsarbetet. En periodisk återkommande uppföljning av såväl föreliggande policy samt Risk och sårbarhetsanalys är viktig för att bevaka att ledningssystemet för informationssäkerhet vid Umeå universitet fungerar och efterlevs. I enlighet med rektors beslut om regelverk vid Umeå universitet ska policys följas upp fortlöpande och senast efter fem år genomgå en komplett översyn. Risk och sårbarhetsanalys ska fastställas för en giltighet på tre år för att spegla förändringar och nya krav i verksamheten men kan revideras tidigare om behov föreligger. Inom ramen för universitets arbete med intern styrning och kontroll sker även en viss kontroll av informationssäkerhetsarbetet årligen. Inom detta arbete rapporteras inträffade incidenter genom avvikelserapportering. Förbättra Resultat från uppföljningen ligger till underlag för kommande förbättringar och prioriteringar samt kompetensutveckling Genom att kartlägga och systematisera universitetets informationssäkerhet enligt ovanstående modell kan hot och risker inom området kartläggas och eventuella åtgärder vidtas och föreliggande policys målsättning uppfyllas. Därför ska resultatet av risk- och sårbarhetsanalysen kommuniceras till berörda verksamheter. En generell information om LIS, inklusive bifogad checklista, som vänder sig till alla anställda och studenter ska även finnas tillgänglig via universitets hemsida för att öka medvetenheten om risker och hot inom området. Bilagor Risk- och sårbarhetsanalys Checklista för anställda 2 Arkiv struktureras utifrån vilken process handlingen/informationen tillhör

6 PM Sid 1 (2) Informationssäkerhet - Checklista för anställda vid Umeå universitet Bakgrund Information är en av våra viktigaste tillgångar och utgör en förutsättning för att vi ska kunna bedriva vår verksamhet. Informationstillgångar är allt som innehåller information och allt som bär på information. Till exempel information och informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar. Våra informationstillgångar måste därför behandlas och skyddas på ett tillfredsställande sätt med en helhetssyn på informationssäkerheten som inbegriper universitetets alla verksamhetsdelar. Detta då en säker informationshantering utgör en förutsättning för att vi skall kunna fullgöra uppdraget med att tillhandahålla utbildning, bedriva forskning samt att samverka med det omgivande samhället. Nedanstående lista vänder sig anställda vid Umeå universitet och ska utgöra ett stöd i den dagliga verksamheten. 1. Var rädd om ditt lösenord för dator och telefon samt lås din dörr. 2. Var noga med säkerhetskopiering, virusskydd och uppdateringar av datorer/mobila enheter. Gamla programversioner kan innehålla sårbarheter. Ta reda på vilka riktlinjer som gäller 3. Tänk på vilken miljö du befinner dig då du hanterar information exempel vid samtal, utskrifter och på skärm 4. Använd bara IT- tjänster som är godkända ur såväl informationssäkerhets- som personuppgiftshänseende. Av ITS upphandlade och tillhandahållna tjänster uppfyller ställda krav. 5. Se upp med phishing och liknande försök att via falska e- postbrev eller webbformulär lura av dig personliga uppgifter. Universitetets IT- personal frågar aldrig efter ditt lösenord i e- post. 6. Lagra inte personuppgifter eller annan känslig information i molntjänster samt tänk på att inte skicka känslig information via e- post. 7. Surfa med omdöme. Det kan räcka med att besöka en viss webbsida för att din dator/dina mobila enheter ska smittas med skadlig kod. Anmäl incidenter till - de bidrar också med råd och stöd.

7 PM Sid 2 (2) 8. Anmäl dina behandlingar av personuppgifter till universitets personuppgiftsombud 9. Säkerställ att informationen som ska bevaras arkiveras, förbered för arkivering redan när du börjar informationsinsamlandet.

8 Sid 1 (14) Informationssäkerhet Risk- och sårbarhetsanalys Bakgrund beslutade den 23 december 2014 att fastställa Policy för informationssäkerhet vid Umeå universitet (DNR: FS: FS ). Policyn utgör grunden i högskolans ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets ramverk för informationssäkerhet och ska utgöra ett stöd för verksamheten i det dagliga arbetet. Arbetet med informationssäkerhet utgår främst från lagar, förordningar, föreskrifter, universitetets egna krav samt avtal. Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) anger bland annat att vid sidan av ovan nämnda policy ska även andra styrande dokument inom området upprättas. Föreliggande analys utgör ett sådant dokument vilket klassificerar myndighetens information med utgångspunkt i krav på konfidentialitet, tillförlitlighet och tillgänglighet och utifrån risk- och sårbarhetsanalyser samt inträffade incidenter avgöra hur risker ska hanteras. Enligt policyn ska risk och sårbarhetsanalysen fastställas för en giltighet på tre år för att spegla förändringar och nya krav i verksamheten men kan revideras tidigare om behov föreligger. Modell Ledningssystemet för informationssäkerhet vid Umeå universitet bygger på PDCA-modellen enligt de övergripande stegen Planera, Genomföra, Utvärdera och Förbättra. Varje steg innehåller i sin tur en eller flera processer. En av rektor utsedd arbetsgrupp, under ledning av informationssäkerhetsansvarig har kartlagt universitets informationssäkerhetsarbete inom en rad områden samt klassificera dem efter de verksamhetsprocesser som följer Riksarkivets arkivredovisningsmodell (RA-FS 2008:4). 1 Klassificeringen sker därefter utifrån MBS:s modell för klassificering av information med en bedömning av respektive process säkerhetsaspekt (konfidentialitet, tillgänglighet samt riktighet) samt konsekvensnivå enligt COSO-modellen (utvecklad av Committee of Sponsoring Organization) med en riskvärdering utifrån sannolikhet och konsekvens med en skala 1-4 enligt nedan: 1 Arkiv struktureras utifrån vilken process handlingen/informationen tillhör 1

9 Sid 2 (14) Sannolikhet Hur stor är sannolikheten att risken uppstår i verksamheten? 1= Osannolikt Praktisk taget obefintlig risk 2= Liten sannolikhet Inträffar sannolikt inte under normala omständigheter i vart fall inte frekvent 3= Stor sannolikhet Kan mycket väl inträffa men troligtvis inte särskilt frekvent 4= Mycket stor sannolikhet Inte så mycket om det inträffar utan när och i vilken omfattning Konsekvens Vilken konsekvens får det för verksamheten om risken uppstår? 1= Försumbar Möjlig påverkan på verksamheten 2= Lindrig Konsekvensen är inte försumbar men kan hanteras i det löpande arbetet 3= Allvarlig Allvarliga störningar i verksamheten som kan påverka vårt anseende 4= Mycket allvarlig Omfattande konsekvenser för verksamheten I risk- och sårbarhetsanalysen listas den mest verksamhetskritiska risken för varje process samt vilka förebyggande åtgärder som är vidtagna, eller planeras, för att hantera eller förebygga att risken uppstår. Kolumnen ansvar anger vilken enhet/motsvarande som ansvarar, på informations- säkerhetsansvariges uppdrag, för efterlevnad, kontroll och att vidta ev. åtgärder för respektive process. 2

10 Sid 3 (14) Risk- och sårbarhetsanalys Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder I. Genomföra forskningsprojekt PE Att känsligt forskningsmaterial hamnar i orätta händer 2 4 Internrevisionens planerade granskning av datalagring 2015 II. Administrera data och tele IT Att det sker Intrång i IT- miljön 4 4 IRT incidenthantering Information i nätverk Besök av IT- chef vid incidenter Att det inte finns fullgod backup eller lagring av elektronisk information 3 3 Tillhandahålla central backuptjänst Utbildning och information till nyanställda och till nätverk 3

11 Sid 4 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder III. Hantera juridik ULK Att känsliga uppgifter om individer hamnar i orätta händer 2 4 Hantera merparten av information i digitalt säkra system. Begränsa behörighet till dessa uppgifter i diarium IV. Planera och administrera forskningsprojekt PE Att universitetet inte kan tillhandahålla nödvändig dokumentation till anslagsgivare 2 4 Universitetsgemensam databas Raindance innehåller information om samtliga forskningsprojekt V. Planera, följa upp och redovisa verksamhet PE Att material till årsredovisning (ÅR) eller hela ÅR förloras under processen med färdigställande 1 3 Kontinuerlig back- uptagning VI. Bedriva internrevision PE Att känsliga uppgifter som är underlag till internrevisionsrapp ort sprids okontrollerat 1 2 Lagring sker så att endast Internrevisionen kommer åt uppgifter 4

12 Sid 5 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder VII. Hantera samarbeten och utvärderingar PE Att oriktiga uppgifter finns eller att information saknas vid rapporteringar och utvärderingar till universitets tillsynsmyndigheter 2 3 Diarieföring av rapporter m.m. VIII. Administrera ekonomi PE Att samtliga bokföringsunderlag inte går att återfinna 1 3 Samtliga bokförings- underlag lagras universitetsgemensamt IX. Hantera antagning till utbildning på grund och avancerad nivå PE Obehörigt intrång i antagningssystemet 1 4 UHR äger systemet och ansvarar för säkerhetshantering, kompletterat med lokala regler för IT- säkerhet PE Antagningssystemet ligger nere oplanerat mer än en dag 1 3 5

13 Sid 6 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder X. Hantera studentärenden på grund och avancerad nivå PE Att personliga uppgifter sprids till obehöriga i samband med hantering av hälsofrämjande stöd samt pedagogiskt stöd till funktionshindrade studenter 2 4 Studenthälsans verksamhet omfattas av hälso- och sjukvårdens sekretessbestämmelser (2009:400). Socialstyrelsen har utfärdad föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOFS 2008:14). Verksamheten har upphandlat journalsystem från CGM som även hanterar drift. Stödinsatser till funktionshindrade studenter omfattas av sekretess för specialpedagogisk verksamhet (2009:400). Dataregister över ansökningar och beslut ligger på säker server vid ITS. 6

14 Sid 7 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XI. Utforma regelverk och styrdokument PE Att universitets- gemensamma regel- och styrdokument inte revideras, uppdateras och publiceras 2 3 Att det finns en organisation, struktur och rutiner med ansvariga enheter och tjänstemän för regelverket. XII. Genomföra beslutsmöten PE Att beslut som fattas vid universitetet, vilka följer av delegationsordning eller lagstiftning, inte upprättas skriftligt eller protokollförs 3 3 Beslutsmöten följs upp årligen Information om och rutiner för möten. XIII. Administrera arkiv och diarium ULK Att kontinuiteten i informationen ej kan säkerställas 2 4 Back- Up och godkända arkivlokaler. Uppdatera kontinuerligt mot Riksarkivets föreskrifter. Säkerställ säkerhet i informationsbärarna. 7

15 Sid 8 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XIV. Bedriva biblioteksverksamhet UmUB Att personuppgifter och låneuppgifter sprids 2 4 Följer PUL och sekretesslag XV. XVI. XVII. Administrera miljö och hållbar utveckling Att låneuppgifter är felaktiga Bibliotekssystem inte tillgängligt 2 3 Översvämning i värdemagasin 2 4 LOK Att stödsystem saknar uppgifter eller innehåller felaktiga uppgifter Hantera säkerhet LOK Nödvändig information inom krishantering kan ej distribueras Planera och genomföra utbildning på grund och avancerad nivå PE Den information eller underlag som ligger till grund för examination är felaktig. 2 3 Backup så att korrekta uppgifter kan återställas Revision katastrofplan pga. UmU- kort (pågår) Tätning och vatten- avledning i värdemagasin (pågår) 2 3 Information till personal Översyn av system för kemikaliehantering 3 4 Rutiner och checklistor upprättas 1 3 Det finns en tydlig examensordning 8

16 Sid 9 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XVIII. Utfärda examen på forskarnivå PE Ladok ligger nere oplanerat mer än en vecka 1 3 Drifts- och SLA- avtalet med ITS samt katastrofplan finns PE Att obehörigt intrång i systemet sker Underlag till avhandling går förlorad 1 4 Drifts- och SLA- avtal med ITS samt katastrofplan finns. Regelbundna kontroller görs via Ladok- konsortiet. 1 4 Tillhandahålla och informera om back- uptjänster samt den enskildes ansvar enligt informations- säkerhetspolicy XIX. Utfärda examen på grund och avancerad nivå PE Ladok ligger nere oplanerat mer än en vecka 1 4 Drifts- och SLA- avtalet med ITS samt katastrofplan finns XX. PE Obehörigt intrång i systemet 1 4 Drifts- och SLA- avtal med ITS samt katastrofplan finns. Regelbundna kontroller görs via Ladok- konsortiet. 9

17 Sid 10 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XXI. Utforma organisation PE Att rektors delegations- ordningar med vidaredelegationer inte tillgängliggörs eller görs kända i organisationen 2 3 Delegationsordning är tillgänglig på hemsida samt ses över kontinuerligt XXII. Remisser och förfrågningar PE Att inkomna remisser inte hanteras inom organisationen i tid 2 2 Genom diariesystem samt särskild rutin för påminnelse XXIII. Administrera personal PERS Att lön ej kan betalas ut 2 4 Hantering enligt katastrofplan Primula PERS Lönesystem går ej att använda vid lönekörningsdatum 2 2 Hantering enligt katastrofplan Primula XXIV. Hantera utbildningsutbudet på grund och avancerad nivå PE Information om ändrad eller inställda utbildningar inte når den enskilda studenten 4 3 Förbättra rutiner för information och uppdatering av information 10

18 Sid 11 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XXV. Administrera lokaler LOK Att hyresavtal går förlorade 1 2 Intern kontroll och back- up av IT- system XXVI. Administrera information och kommunikation KOM Att driftstörning i Selma uppkommer 4 3 Kontinuerligt arbete med förebyggande åtgärder. XXVII. Universitetsgemensa mma projekt PE Att beslutade projektplaner inte finns tillgängliga 1 2 Finns tydliga regler för projekt, bl.a. avseende projektplan XXVIII. Hantera internationellt utbyte och tredjelands studenter på grund och avancerad nivå PE Bristande stöd från IT- stödet Interbas 4 2 Antagning av inresande utbytesstudenter via NyA, gör processen mer rättsäker. Kommer under 2015 tillsammans med IT- enheten att genomföra en förstudie när det gäller systemstöd med syfte att öka så väl effektiviteten som kvaliteten på vårt arbete med internationella studenter 11

19 Sid 12 (14) Ansvar* Konfident- ialitet Riktig- het Tillgäng- lighet Summa Risk S K Förebyggande åtgärder XXIX. Hantera internationellt utbyte på forskarnivå PE Att information om regler och rutiner finns för utbyte på joint- nivå inte tillgängliggörs 3 2 Information genom webb och nätverk XXX. Administrera högtider och evenemang KOM Att informationsförlust ur Filemaker sker 2 3 Intern kontroll och backup. Utreda om nytt system ska införas XXXI. Tillhandhålla intern service PE Ordinarie arbete med hemsida och back- up m.m. Rutiner för postservice *Ansvarig enhet/person - Informationssäkerhetsgrupp Planeringsenheten (PE) bitr. universitetsdirektör Per Ragnarsson (PR) akademisekreterare Daniel Andersson, Planeringsenheten (DA) Universitetsledningens kansli (ULK) universitetsarkivarie Birgitta Olsson, Universitetsledningens kansli (BO) universitetsjurist Chatarina Larson, Universitetsledningens kansli (CL) Lokalförsörjningsenheten (LOK) säkerhetsansvarig Jörgen Sandström, Lokalförsörjningsenheten (JS) Universitetsbiblioteket (UmUB) avdelningschef Jan Gunillasson, Universitetsbiblioteket (JG) 12

20 Sid 13 (14) IT-enheten (IT) IT-strateg Karoline Westerlund, IT-enheten (KW) Personalenheten (PERS) områdeschef Ann-Christin Edlund Personalenheten (ACE) Kommunikationsenheten (KOM) områdeschef Olof Malmberg (OM) Prioriteringar 13

21 Sid 14 (14) Följande fem processer i risk- och sårbarhetsanalysen bedömer informationssäkerhetsgruppen som särskilt viktiga ur ett informationssäkerhetsperspektiv, alternativt där störst behov föreligger, och där åtgärder bör vidtas. Dessa processer avser även gruppen att fokusera kring i det fortsatta arbetet under perioden I II III XXIV XVI Genomföra forskningsprojekt Administrera data och tele Hantera juridik Hantera utbildningsutbudet på grund och avancerad nivå Hantera säkerhet 14

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Högskoledirektör Beslut 2015-03-01 Dnr Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Härmed fastställs reviderad version av informationssäkerhetspolicyn vid Högskolan i Skövde.

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Riktlinjer för arbetet med intern kontroll

Riktlinjer för arbetet med intern kontroll Riktlinjer för arbetet med intern kontroll Förskoleförvaltningen Upprättad Datum: Version: Ansvarig: Förvaltning: Enhet: 2014-12-16 1.0 Olof Fredholm Förskoleförvaltningen Ekonomiavdelningen Innehållsförteckning

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Granskning av informationssäkerhet

Granskning av informationssäkerhet 1(1) DNR: SLU ua 2014.1.1.2-841 Exp. den: 2014-06- Styrelsen BESLUT 2014-06-17 Sändlista Granskning av informationssäkerhet Styrelsen beslutar: att fastställa internrevisionens rapport Informationssäkerhet,

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Uppgifter och beslutanderätter till avdelningschefer vid universitetsförvaltningen

Uppgifter och beslutanderätter till avdelningschefer vid universitetsförvaltningen UFV 2011/1902 Uppgifter och beslutanderätter till avdelningschefer vid Fastställd av universitetsdirektören 2012-01-12 Reviderad 2012-09-04 Innehållsförteckning 1 Förutsättningar 3 Organisation och ansvarsfördelning

Läs mer

2009-05-04. Informationssäkerhetspolicy

2009-05-04. Informationssäkerhetspolicy 2009-05-04 Informationssäkerhetspolicy 2 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION, ROLLER OCH ANSVAR... 4 4.1 ÖVERGRIPANDE ANSVAR...5

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Introduktion till MSB:s metodstöd

Introduktion till MSB:s metodstöd Introduktion till MSB:s metodstöd Daniel Bosk och Carina Bengtsson 1 Avdelningen för informations- och kommunikationssytem (IKS), Mittuniversitetet, Sundsvall. msbintro.tex 1591 2014-01-29 11:02:33Z danbos

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Riksarkivets författningssamling

Riksarkivets författningssamling Riksarkivets författningssamling ISSN 0283-2941 Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling); RA-FS 2009:1 Utkom från trycket den 1

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Regler för redovisning av bisysslor för lärare samt anställda som omfattas av Chefsavtalet

Regler för redovisning av bisysslor för lärare samt anställda som omfattas av Chefsavtalet Umeå universitet Rektor Regel Dnr 300-3114-12 2013-12-17 Ansvarig enhet: Universitetsledningens kansli Giltighetstid: 5 år Sid 1 (8) Regler för redovisning av bisysslor för lärare samt anställda som omfattas

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

1 (5) Informationssäkerhetspolicy 2008-10-21. Informationssäkerhetspolicy. Ver 3.0

1 (5) Informationssäkerhetspolicy 2008-10-21. Informationssäkerhetspolicy. Ver 3.0 Informationssäkerhetspolicy 1 (5) 2008-10-21 Informationssäkerhetspolicy Ver 3.0 2 (5) 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION,

Läs mer

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION Pandium Capital AB RIKTLINJER FÖR INTERNREVISION Dessa riktlinjer har fastställts av styrelsen för Pandium Capital AB vid styrelsemöte den 30 september 2013 INNEHÅLLSFÖRTECKNING 1 INLEDNING... 1 2 ORGANISATION

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Säkerhetsinstruktion för användare av UmUs it-resurser

Säkerhetsinstruktion för användare av UmUs it-resurser Sid 1 (7) Säkerhetsinstruktion för användare av UmUs it-resurser Innehållsförteckning 1 Bakgrund...2 2 Tillgång till it-resurserna...2 3 Hantering av information...4 4 Programvaror...4 5 Internet...4 6

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING

SOLLENTUNA FÖRFATTNINGSSAMLING för Sollentuna kommun Antagen av fullmäktige 2011-10-19, 125 Innehållsförteckning 1 Inledning... 2 1.1... 2 1.2 E-vision... 2 1.3 Informationssäkerhetspolicy... 2 2 Styrande principer... 2 2.1 Fokusera

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

Ledningssystem för IT-tjänster

Ledningssystem för IT-tjänster Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1 Kort om Sixten Konsult i eget bolag Ledning

Läs mer

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. 2008-08-15 1 (6) Reviderad 2010-04-21 Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. Nedanstående lagar, förordningar allmänna råd ligger

Läs mer

Riskanalys och informationssäkerhet 7,5 hp

Riskanalys och informationssäkerhet 7,5 hp Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd

Läs mer

KRISPLAN VID STOCKHOLMS UNIVERSITET

KRISPLAN VID STOCKHOLMS UNIVERSITET 1 SU FU-2.11.1-3666-14 KRISPLAN VID STOCKHOLMS UNIVERSITET Fastställd av rektor 2014-12-18 2 INNEHÅLL 1 Syfte och mål 3 2 Händelser som omfattas av krisplan 3 3 Krisledningsstruktur 4 3.1 Krisledningsgruppen

Läs mer

Intern styrning och kontroll

Intern styrning och kontroll Intern styrning och kontroll Fastställd av rektor 2014-02-04 Innehållsförteckning Inledning 3 1 Processen för intern styrning och kontroll 3 1.1 Riskanalyser 4 1.1.1 Riskidentifikation 4 1.1.2 Riskvärdering

Läs mer

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum

Läs mer

Ledningssystem för verksamhetsinformation en introduktion

Ledningssystem för verksamhetsinformation en introduktion 1 (8) 2014-05-05 Ledningssystem för verksamhetsinformation en introduktion För de flesta organisationer idag är information en förutsättning för att skapa affärsvärde eller verksamhetsnytta. Information

Läs mer

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen Informationssäkerhet en patientsäkerhetsfråga Maria Jacobsson Socialstyrelsen Syftet med patientdatalagen tillgodose patientsäkerhet och god kvalitet samt främja kostnadseffektivitet patienters och övriga

Läs mer

Riktlinjer informationssäkerhet

Riktlinjer informationssäkerhet informationssäkerhet Norrbottens läns landstings riktlinjer för informationssäkerhet beskriver hur hanteringen av information ska ske. All information omfattas oberoende av mediatyp. Styrande dokument

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

Beslut HSN 2013-12-11 HSN 1212-1455 BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014

Beslut HSN 2013-12-11 HSN 1212-1455 BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014 Målkategori: Effektiv och ändamålsenlig verksamhetsstyrning Riskområde Riskbeskrivning Kontrollmoment Kontrollansvar Frekvens Rapportering

Läs mer

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA NATIONELLT NÄTVERK FÖR LÄKARSEKRETERARE 2011 11 10 STOCKHOLM Rose-Mharie Åhlfeldt Institutionen för Kommunikation och Information Bild 1 VEM ÄR JAG? Universitetslektor

Läs mer

Handläggningsordning för att inrätta, revidera, ställa in eller avveckla program och kurser, samt för att inrätta eller avveckla huvudområden

Handläggningsordning för att inrätta, revidera, ställa in eller avveckla program och kurser, samt för att inrätta eller avveckla huvudområden Handläggningsordning för att inrätta, revidera, ställa in eller avveckla program och kurser, samt för att inrätta eller avveckla huvudområden Fastställd av rektor 2015-05-19 Dnr: FS 1.1-707-15 Denna handläggningsordning

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

ARKIVREGLEMENTE FÖR LUNDS KOMMUN

ARKIVREGLEMENTE FÖR LUNDS KOMMUN 1(7) ARKIVREGLEMENTE FÖR LUNDS KOMMUN Antaget av kommunfullmäktige den 23 april 2015, 78 och ersätter tidigare arkivreglemente, fastställt den 29 februari 1996, 22 Förutom de i arkivlagen (SFS 1990:782)

Läs mer

Intern kontroll och attester

Intern kontroll och attester Revisionsrapport Intern kontroll och attester Strömsunds kommun Maj-Britt Åkerström Cert. kommunal revisor Innehållsförteckning 1 Sammanfattning 2 Inledning 2.1 Bakgrund och revisionskriterier 2.2 Metod

Läs mer

Riktlinjer för digital arkivering i Linköpings kommun

Riktlinjer för digital arkivering i Linköpings kommun 1 (8) E-Lin projektet 2014-06-05 Riktlinjer Riktlinjer för digital arkivering i Linköpings kommun 2 Innehåll Inledning och bakgrund... 3 Ansvar... 4 Systemupphandling... 4 Gallring... 5 Informationssäkerhet...

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

Utforma säkerhetsprocesser

Utforma säkerhetsprocesser Utforma säkerhetsprocesser www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

Intern styrning och kontroll. Verksamhetsåret 2009

Intern styrning och kontroll. Verksamhetsåret 2009 Intern styrning och kontroll Verksamhetsåret 2009 ISK-projektet: En oberoende övergripande utvärdering av intern styrning och kontroll (ISK) på Riksbanken, utfördes av Ernst & Young i maj 2009. Utgångspunkt

Läs mer

Ledningens genomgång

Ledningens genomgång Ledningens genomgång www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance,

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Redovisning av hur integritet och säkerhet beaktas i satsningen på IT i skolan

Redovisning av hur integritet och säkerhet beaktas i satsningen på IT i skolan Tjänsteutlåtande 2012-05-08 Sidan 1 av 1 Dnr BUN 2011/80-5 Barn-och ungdomsnämnden Redovisning av hur integritet och säkerhet beaktas i satsningen på IT i skolan Förslag till beslut Barn- och ungdomsnämnden

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Det här är.se Stiftelsen för Internetinfrastruktur grundades 1997. Verka för positiv utveckling

Läs mer

Revisionsrapport Rutiner för arkivering. Östersunds Kommun

Revisionsrapport Rutiner för arkivering. Östersunds Kommun Revisionsrapport Rutiner för arkivering Östersunds Kommun 18 Januari 2013 Innehåll Sammanfattning... 1 1. Inledning... 2 2. Resultat... 3 3. Revisionell bedömning... 5 Sammanfattning Uppdrag och Bakgrund

Läs mer

Ändring i delegationsordning / attestordning

Ändring i delegationsordning / attestordning RÄTTELSEBESLUT 1 2010-09-30 (Korrigerat 2010-12-20) Dnr EK 2010/43 Ändring i delegationsordning / attestordning Bakgrund 2009-01-01 infördes en ny organisation för gemensam förvaltning och service, under

Läs mer

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun 1(5) 4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun Nedanstående lagar, förordningar allmänna råd ligger till grund för omvårdnadsdokumentationen.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Regler för universitetsgemensamma projekt och uppdrag

Regler för universitetsgemensamma projekt och uppdrag Umeå universitet, 901 87 Dokumenttyp: Regel Rektor Dnr: 100-733-10 Datum: 2010-04-13 Ansvarig enhet: Planeringsenheten Giltighetstid: Tillsvidare Sid 1 (9) Regler för universitetsgemensamma projekt och

Läs mer

Riktlinje för Riskanalys och Intern kontroll

Riktlinje för Riskanalys och Intern kontroll Diarienummer: 2015/560-KS-004 Riktlinje för Riskanalys och Intern kontroll Beslutad av kommunstyrelsen 2015 XX - XX program policy handlingsplan riktlinje 1 Riktlinje för Riskanalys och Intern kontroll

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt

Läs mer

Skolorna visar brister i att hantera personuppgifter

Skolorna visar brister i att hantera personuppgifter Skolorna visar brister i att hantera personuppgifter www.datainspektionen.se Checklista för skolor Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna till för skolor som

Läs mer