Åtgärder med anledning av utredning avseende informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Åtgärder med anledning av utredning avseende informationssäkerhet"

Transkript

1 BESLUT Dnr LiU (2) Åtgärder med anledning av utredning avseende informationssäkerhet på institutionsnivå Internrevisionen har i revisionsrapport den 16 januari 2013 valt att fästa universitetsstyrelsens uppmärksamhet på ett antal frågor rörande hanteringen av informationssäkerheten på institutionsnivå. Som resultat uppdrog styrelsen rektor att tillsätta utredningen Stärkt informationssäkerhet på institutionsnivå. Utredarna, universitetsstyrelseledamöterna Jan-Erik Ögren och Margareta Josefsson, har i rapport till rektor den 26 oktober 2013 föreslagit en rad åtgärder rörande hanteringen av informationssäkerheten på LiU. Universitetsstyrelsen vill genom detta beslut understryka vikten av att brister rörande informationssäkerheten inom LiU kontinuerligt åtgärdas samt uppdra åt rektor att säkerställa en robust IT-organisation och teknisk infrastruktur. Rektor ska pröva möjligheten att så långt det bedöms lämpligt genomföra utredarnas förslag. Vidare vill styrelsen peka på behovet av en bred verksamhetsförankring i genomförandet av detta beslut, ytterst i syfte att säkerställa bibehållen hög kvalitet i undervisning och forskning. Styrelsen delar utredarnas syn på att en uppdaterad IT-strategi som tar sin utgångspunkt i LiUs strategikarta samt arbetet med det pågående arbetet med det pedagogiska språnget långsiktigt behöver utarbetas. Universitetsstyrelsen beslutar, i syfte att stärka universitetets informationssäkerhet: 1. att uppdra till rektor att åstadkomma en gemensam, robust, teknisk hantering av LiUs IT-verksamhet och infrastruktur. 2. att uppdra till rektor att införa en gemensam IT-organisation på LiU. Universitetsstyrelsen

2 2(2) Beslut i detta ärende har fattats av universitetsstyrelsen vid dess sammanträde denna dag. I beslutet har deltagit ordföranden Anna Ekström, universitetets rektor Helen Dannetun och övriga ledamöterna, Sebastian Becker, Carin Franzén, Magnus Hall, Paul Håkansson, Margareta Josefsson, Tobias Karlsson, Albin Mannerfelt, Helena Persson, Kerstin Wigzell, Jan-Erik Ögren och Karin Öllinger. Vidare har närvarit prorektor Karin Fälth- Magnusson, personalföreträdarna Krzysztof Marciniak och Gabriel Thott, styrelsens sekreterare Jenny Ljung, chefsjuristen Göran Hessling, kommunikationsdirektören Mariethe Larsson, f.d. studeranderepresentant Niclas Söör, universitetsdirektören Kent Waltersson, samt biträdande IT-direktören Joakim Nejdeby, den sistnämnde föredragande. Anna Ekström Joakim Nejdeby

3 Informationssäkerhet vid Linköpings universitet 15 november 2013 Margareta Josefsson Jan-Erik Ögren

4 Denna version av rapporten har två tillägg jämfört med den rapport som lämnades till rektor den 26 oktober 2013 och som utgjorde bilaga till punkt 67 vid universitetsstyrelsens sammanträde den 7 november Båda tilläggen avser organisationen av nät för kommunikation vid universitetet. Det ena tillägget återfinns i kapitel 6.3 Den tekniska ITmiljön under rubriken Universitetsgemensamt nät, den andra i kapitel 7 som rekommendation 7. Sakinnehållet i tilläggen fanns med tillsammans med övriga rekommendationer vid den föredragning som universitetsstyrelsen tog del av. 2

5 Informationssäkerhet vid Linköpings universitet 1. Sammanfattning Den här rapporten är resultatet av ett uppdrag som rektor lämnade till oss i april Uppdraget föranleddes av en rapport från internrevisionen om informationssäkerhet på institutionsnivå och det därpå följande beslutet 1 i universitetsstyrelsen. Eftersom rapporten är relativt kortfattad nöjer vi oss med att som sammanfattning hänvisa till förslagen i kapitel 7 samt motiven till dessa i kapitel Bakgrund Mängden information har under den senaste tioårsperioden ökat dramatiskt och fortsätter att öka. Sätten att bearbeta, lagra, kommunicera och mångfaldiga information har utvecklats kraftigt med hjälp av ny teknik. Informationssäkerhet har därför blivit en angelägenhet för hela samhället. Inte minst för ett universitet är god informationssäkerhet av stor betydelse. Brister kan till exempel leda till att viktiga forskningsresultat försvinner eller kommer i orätta händer eller att studenter drabbas av förlust av dokumentation om sina studieresultat. Riksdagen beslutade våren 2004 om en ny strategi för informationssäkerheten i samhället. Strategin skulle i huvudsak bäras upp av fyra myndigheter, Krisberedskapsmyndigheten, Postoch telestyrelsen, Försvarets materialverk samt Försvarets radioanstalt. För att underlätta samarbetet mellan dessa bildades 2003 Samverkansgruppen för informationssäkerhet, SAMFI. År 2009 bildades Myndigheten för samhällsskydd och beredskap, MSB, den myndighet som nu har regeringens uppdrag att bland annat verka för hög informationssäkerhet i samhället. Det gör den bland annat genom webbplatsen informationssäkerhet.se. Myndigheter under regeringen har krav på sig att tillämpa ett systematiskt arbete med informationssäkerhet utifrån en standard, Ledningssystem för informationssäkerhet, LIS. Riksrevisionen har sedan 2009 granskat hur olika myndigheter uppfyller detta krav. Linköpings universitet granskades 2009, vilket ledde till en rapport i januari I denna konstaterar Riksrevisionen att ett ramverk finns på plats i form av en policy, men att de fastställda riktlinjerna och kunskaperna hos de ansvariga inte är tillräckliga. Man ansåg också att LiU inte har genomfört riskanalyser och att kontrollåtgärder och rutiner för uppföljning saknas. Påpekandena ledde till att universitetet arbetade igenom Ledningssystemet för informationssäkerhet och fastställde ett antal styrande dokument. Under 2012 genomförde internrevisionen vid Linköpings universitet en granskning av informationssäkerheten på institutionsnivå. Rapporten 3 lämnades till universitetsstyrelsen i januari I den konstaterades några brister gällande outsourcing av system, styrning och övervakning av forskningsprojekt, information och utbildning samt hantering av mobila 1 Universitetsstyrelsens beslut Dnr LiU Granskning av intern styrning och kontroll av informationssäkerheten vid Linköpings universitet Dnr Informationssäkerhet på institutionsnivå. Rapport från Internrevisionen. Dnr LiU

6 enheter och molnapplikationer. Rapporten innehåller också förslag att söka lösningar för en ökad gemensam teknisk hantering av IT för att på så sätt öka informationssäkerheten. På grundval av denna rapport uppdrog rektor till oss att utreda frågan och komma med förslag till lämpliga åtgärder. 3. Uppdraget Rektor beslutade den 4 april 2013 att med anledning av internrevisionens rapport ge oss följande uppdrag 4 : Se över och föreslå hur ansvaret för kontroll och uppföljning av informationssäkerheten ska vara fördelat inom universitetet. Som en följd härav föreslå de förändringar som kan behövas av organisation och delegationsordning. Se över och föreslå möjligheter till ökad gemensam teknisk hantering av IT med syfte att nå hög informationssäkerhet. Särskild uppmärksamhet ska ägnas åt hanteringen av mobila enheter. Se över och föreslå förändringar av processen för outsourcing av IT-lösningar. Särskild uppmärksamhet ska ägnas åt riskanalys, upphandling och uppföljning. Utredningen förutsätts också ta del av exempel på hur andra lärosäten hanterar frågor om informationssäkerhet. 4. Underlag och metod Det styrande underlaget för vårt arbete har varit rektors uppdrag, som beskrivs under kapitel 3. Den underliggande rapporten från Internrevisionen samt MSB:s föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2009:10 5 har också varit vägledande. I arbetet har vi gått igenom de policy och riktlinjer med mera som universitetsstyrelse eller rektor fattat beslut om. Vi har också genomfört ett antal intervjuer samt gjort besök vid några andra lärosäten. 4.1 Policy och riktlinjer Vi har studerat följande policyer: IT-strategi för Linköpings universitet. Dnr LiU 319/ Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet. Dnr LiU Informationssäkerhetspolicy. Dnr LiU Förvaltningsmodell för informationsbehandlande system vid Linköpings universitet. Dnr LiU Fastställande av objektägare för universitetets förvaltningsobjekt. Dnr LiU Användning av molntjänster ett principbeslut. Dnr LiU Uppdrag avseende utredning kring informationssäkerhet på institutionsnivå. Dnr LiU Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet. MSBFS 2009:10 4

7 4.2 Intervjuer Vi har under arbetets gång intervjuat följande personer: Margareta Fallsvik och Leif Blomberg, Internrevisionen Kent Waltersson, universitetsdirektör Joakim Nejdeby, IT-direktör Margaretha Grahn och Anders Fåk, Universitetsbiblioteket P-O Bremer, prefekt IEI Birgitta Öberg, prefekt IMH Stefan Samuelsson, prefekt och Maj-Britt Remneblad adm chef, IBL Lars Nielsen, prefekt ISY Mariam Kamkar, prefekt IDA Mattias Severin, prefekt ITN Roger Klinth, prefekt TEMA David Byers och Johannes Hassmund, LiU-IT Robert Ericsson, f d chef LiU-IT, nu chef studieadministrativa enheten Peter Eriksson, IT-chef IFM Magnus Glänneskog, adm chef ITN Kristina Arkad, teknisk chef ISY Alf Segersäll, supportchef IEI Sussane A Larsson, f d IT-samordnare och Petra Hallqvist, adm chef IMH Peter J Nilsson, ansvarig IT-strategi, IDA 4.3 Andra universitet Vi har besökt fyra andra lärosäten, Chalmers, Luleå tekniska universitet, Umeå universitet och Örebro universitet, för att informera oss om hur de arbetar med informationssäkerhet. 5. Informationssäkerhet vid några andra universitet 5.1 Chalmers Informationen är hämtad från en intervju med Tony Ottosson-Gadd, CIO. IT-organisation Chalmers har en avdelning för IT-styrning, som består av fyra personer med Tony Ottosson- Gadd som chef, och en avdelning för IT-service som består av ca 80 personer. ITorganisationen är centraliserad, en centralisering som påbörjades 2005 och har skett successivt sedan dess. Vinsterna är kostnadseffektivitet och förbättrad leveransförmåga. Den totala IT-kostnaden i dag är på 2004 års nivå. IT-infrastruktur Chalmers har ca 400 servrar, Linux och Windows. PC svarar för ca 80% av alla klienter, Mac för ca 20%, en andel som ständigt ökar. Linuxförekommer enbart marginellt och är på väg ut. För mobila enheter används IOS, Android och Windows. Centralt rekommenderas ca 10 mobila val. 5

8 Chalmers har ett centralt fillager och en gemensam katalogfunktion eller motsvarande och erbjuder ett antal varianter av arbetsplatser, Windows, IOS, Android och Linux. Styrande dokument Chalmers har en policy för informationssäkerhet. Eftersom lärosätet är ett aktiebolag har man ett annat styr- och ledningssystem att förhålla sig till. Revisioner utförs av Ernst&Young AB. Införande, uppföljning och rapportering Ledningen satsar mycket på att få ut informationen om informationssäkerhet till forskargrupperna. Den har däremot inte så stor tilltro till många centrala dokument som ingen läser. CIO gör en årlig rapportering till rektor, där eventuella varningssignaler tas upp. Incidenthantering CIO är ansvarig för incidenthantering, IRT. Resurserna köps från IT-service och motsvarar 1,5 heltidstjänst. Näten övervakas, men aldrig en enskild dator. Övervakning av en enskild dator görs enbart på order från Chalmers säkerhetschef. Chalmers har inte så mycket problem med virus och lösenord, däremot med copyright. Största oron är för säkerhetskopiering och därtill hörande återställningsrutiner. Det kan ta månader att komma upp i full drift efter ett haveri. Genomförda revisioner Revisioner görs inom ramen för Chalmers kvalitetssystem av Ernst&Young AB. En revision av informationssäkerhet kommer att göras 2014 med fokus på säkerhetskopiering. Hantering av molntjänster Box är en godkänd molntjänst, Microsoft Office 365 är under utvärdering. CIO tror mycket på lagring med molntjänster på sikt. Ett viktigt skäl är att hanteringen av egna fillager blir för tungrodd på sikt. Ytterligare avtal av typ Box kan bli aktuella. Framgångsfaktorer Följande faktorer är viktiga framgångsfaktorer: Verksamhetskritiska tjänster, som fillager och e-post måste ha central styrning. Det är viktigt att följa utvecklingen och vara proaktiv när det gäller nya tjänster. Vara noga med riskhantering vid införandet av nya tjänster Kunna erbjuda en palett av tjänster men under ordnade former, styrd valfrihet. 5.2 Luleå tekniska universitet Informationen från Luleå tekniska universitet är hämtad från intervju med universitetsdirektör Staffan Sarbäck och IT-chef Anders Nordin Anders Nordin är CIO och leder en stabsfunktion som består av ytterligare tre personer. Funktionen arbetar strategiskt och med beställarroll mot IT-service, som består av ca 60 personer. Organisatoriskt ser det alltså ut som det gjorde i Linköping före den senaste förändringen av organisationen. Anders uppfattar att ungefär hälften av universiteten har valt att organisera sig med en strategisk avdelning och en supportavdelning som är sidoställda. LTU har sedan några år tillbaka arbetat med att effektivisera sin organisation och sitt arbetssätt. Universitetet har sex institutioner. Den administrativa personalen vid institutionerna och de administrativa medarbetarna hör till den centrala organisationen för 6

9 verksamhetsstöd. I samband med den förändringen har man också flyttat såväl organisatoriskt som fysiskt alla som arbetar med IT-stöd till den centrala enheten IT-service. Det fungerar bra utan stor opposition. Det finns någon institution inom datasidan som vill ha egen support. Varje institution har en IT-samordnare som är kontaktperson mot de centrala funktionerna. Utgångspunkten för arbetet med informationssäkerhet har varit MSBs råd och anvisningar. När arbetet började anlitade man en extern konsult som på ett bra sätt kunde beskriva vad informationssäkerhet handlar om. En styrgrupp tillsattes med fokus på de administrativa delarna. Nu letar man en person som till 30-40% ska kunna arbeta med att driva och stödja det fortsatta arbetet. På sikt behövs också kontaktpersoner vid institutionerna. Arbetet har så här långt lett till att man befinner sig i införandefasen. Anders räknar med att det tar ytterligare ett par år innan allt är genomfört. När det gäller klassificeringen av dokument menar Anders att det måste ske enkelt genom att skapa typer av olika dokument. Än så länge har man arbetat med prefekter och administrativ personal, inte med lärare och forskare. Rektor har delegerat genom universitetsdirektören till CIO att vara ansvarig för informationssäkerhet. På fråga hur stora befogenheter CIO har blir svaret att befogenheterna finns, men att det sedan kan vara svårt att i praktiken peka med hela handen på en institution. En tydlig delegationsordning är av stor vikt. Några institutioner har kvar vissa egna forskningsrelaterade servrar. Gemensam katalogfunktion och e-post är helt centraliserat. Universitetet har inte tagit något beslut om molntjänster men Box rekommenderas. Anders menar att man aldrig kan vara helt säker på en molntjänst, men dessa kommer alltmer att ta över. Ett sätt att öka säkerheten är att kryptera när filer laddas upp i molnet. Det finns inga rekommendationer vad gäller mobila enheter. Biblioteket använder den gemensamma katalogfunktionen. Tekniskt går det även då att lösa att personer utanför universitetet får tillgång till bibliotekets tjänster. Universitetets datorsalar hanteras centralt. I flera fall behöver datorerna innehålla många applikationer. Totalt räknar man med att det finns olika program på datorer i datasalarna. Institutionen lämnar in en lista på vilka programvaror som behövs och IT-service ser till att installera och ge support. Det stöd som studenterna behöver vid användningen av datorerna ges av respektive institutions lärare. Sammantaget verkar arbetet vid LTU vara mycket väl strukturerat. Det finns en genomgående idé och en plan för hur man ska komma framåt. Tillräckliga resurser verkar också vara avsatta. Den centraliserade organisationen är en stor fördel i sammanhanget. 5.3 Umeå universitet Informationen om Umeå universitet är hämtad från intervjuer med Sören Berglund, IT-chef och Karoline Westerlund, IT-strateg. Informationssäkerhet har de senaste åren varit ett aktuellt ämne i Umeå liksom på de flesta andra lärosäten i landet. Orsaken är framför allt de påpekanden som Riksrevisionen gjort. I Umeås fall har brister i informationssäkerheten påpekats vid de tre senaste årens revisioner. Universitetet tycker sig ha åtgärdat bristerna, men tydligen inte så att Riksrevisionen anser att 7

10 kraven är uppfyllda. Internrevisionen i Umeå har inte gjort någon granskning av informationssäkerheten. När jag vid intervjun gick närmare in på vad som gjorts och vad som återstår kunde jag konstatera att det övergripande regelverket verkar finnas på plats. Det består av följande dokument: Informationspolicy för Dokumentet är inte helt aktuellt och består av anvisningar för det allmänna informationsarbetet. Handlar alltså inte specifikt om informationssäkerhet. IT-säkerhetsplan från Planen behandlar de krav som ställs på att de tekniska systemen fungerar, att lagring med mera görs utan att data försvinner eller förvrängs samt att det finns skydd mot intrång och otillåten användning. Regler för användning av universitetets IT-resurser från Reglerna tar upp frågan om behöriga användare, vad som är tillåtet och otillåtet att använda IT-resurserna till och vad man inte får göra på internet. Informationssäkerhetspolicy från Policyn beskriver övergripande vikten av informationssäkerhet för att skydda den information som finns och beskriver hur ansvaret för detta är fördelat vad avser informationsmängd och informationssystem. Policyn ska konkretiseras med regler, riktlinjer och instruktioner. Detta är inte gjort, såvitt jag kunnat utröna. Det finns också blanketter och mallar för ansvarsförbindelser, informationsklassning och riskanalyser. När jag sedan frågade om hur arbetet gått vidare på institutionsnivå verkar det som om det inte skett i någon större utsträckning. Det arbete som gjorts i Linköping för att identifiera olika informationsslag och bedöma risker har knappast alls gjorts i Umeå. Inte heller att konkretisera de olika roller som behöver finnas och bemanna dessa. En orsak till att man inte fullföljt arbetet är att det varit oklart till vem universitetsdirektören ska delegera det övergripande ansvaret för informationssäkerheten. Det har nu bildats en grupp som ska fortsätta arbetet. Den består av ett antal nyckelpersoner inom förvaltningen inklusive arkivarien. Att arkivarien deltar beror på den ändring som Riksarkivet gjort i bestämmelser om hur handlingar ska arkiveras. Ändringen går ut på att informationen ska systematiseras utifrån ett verksamhetsperspektiv istället för enbart utifrån handlingstyp. Denna systematisering kan vara en grund för den klassificering som ska göras när informationssäkerheten bedöms. Sammanfattningsvis blir min slutsats att Umeå har det grundläggande regleverket på plats, men en hel del att göra vad gäller konkretion av regelverket, implementering och förverkligande av det ute i verksamheten. 5.4 Örebro universitet I Örebro intervjuades Ann Öhrn, CIO sedan 2007, och David Hed, ansvarig för informationssäkerheten. 8

11 IT-organisation 2007 centraliserades all administration på Örebro universitet. All IT-personal fick söka tjänster i den nya organisationen. Målet var en 25%-ig effektivisering fick man backa på en del befattningar, men befattningarna inom IT-området förblev centrala. Ingen ITpersonal finns ute på institutionerna. Idag består IT-avdelningen av 35 personer. Kostnaden för IT tas ut som en del av den universitetsgemensamma kostnaden. IT-budgeten är på 35 miljoner och fastställs av universitetsdirektören. All IT-upphandling sker centralt. IT-infrastruktur Örebro universitet har ett centralt fillager och central säkerhetskopiering. Fillagret beskrivs som en intern molntjänst. Universitetet har 80% PC, 20% Mac vilket ökar samt ett fåtal Linux Katalogfunktionen är gemensam vilket bland annat medger central uppdatering av nya mjukvarupaket. En standardarbetsplats är fastställd för anställda. Universitets studentportal och webb är egenutvecklade. För bärbara datorer erbjuds VPN-uppkoppling för distansarbete Institutionerna äger sina datorhallar, men de sköts av IT-avdelningen. OrU arbetar mycket efter ISO Systemförvaltningsmodellen är kärnan i styrningen. Införande, uppföljning och rapportering En systemförvaltningsmodell är införd och ca 65 Service Level Agreements, SLA, är skrivna. IT-chefen träffar systemägarna regelbundet två gånger per år. Incidenthantering Nättrafik, larm och virus följs och övervakas. Enskilda datorer övervakas inte rutinmässigt. Genomförda revisioner Riksrevisionen genomförde en granskning 2011 men hade inga kommentarer på IT-sidan. Universitetets internrevision har inte gjort någon granskning. Hantering av molntjänster För lagring och säkerhetskopiering rekommenderas i första hand det egna fillagret. Molntjänsten Box används och Microsoft Office 365 är under utvärdering. IT-avdelningen bestämmer vilken eller vilka molntjänster som får användas. Framgångsfaktorer Systemförvaltningsmodellen är kärnan i styrningen Centralisering Automatisering, det vill säga man satsar mycket på webbaserade tjänster Fjärrstyrning medger fjärrövervakning och minimerar antalet fysiska besök, samt möjliggör fjärruppdateringar av mjukvarupaket. All IT-personal är centralt placerad vilket medför att man kan hjälpas åt och skifta arbetsuppgifter. En central placering främjar dessutom kompetensutveckling. Viktigt att våga fatta tuffa beslut. 6. Nuläget vid Linköpings universitet och förslag till förändringar Den här nulägesbeskrivningen bygger på det skriftliga underlag vi utgått från samt den information vi fått under intervjuerna. De personer vi intervjuat har på ett bra sätt delat med sig av sin kunskap om hur den egna IT-miljön ser ut och är organiserad liksom om läget när det gäller arbetet med informationssäkerhet. 9

12 Den bild som växer fram är att IT-miljön vid Linköpings universitet är splittrad. Det beskriver vi närmare i det följande. Några har starka egna IT-miljöer och vill att det ska förbli så. Andra ser fördelar med att använda de universitetsgemensamma resurserna för till exempel IT-stöd. Flera har också synpunkter på hur samarbetet med den centrala IT-funktionen fungerar. Den enklaste beskrivningen av det är att det brister i förtroende mellan de olika nivåerna. De som har ansvaret för IT-frågorna på institutionerna känner sig till exempel inte alltid delaktiga i de förändringar som görs. Det enligt vår mening nödvändiga förändringsarbete som ligger framför måste bedrivas så att förtroendet återskapas. En förutsättning för att uppnå god informationssäkerhet är att IT-säkerheten är tillfredsställande. Detta är svårt att uppnå i en splittrad IT-organisation. Olika katalogfunktioner i olika delar av universitetet, lokala e-postservrar och decentraliserade fillager är exempel på detta, och beskrivs närmare i det följande. Vår bild är att de allra flesta ser att IT-organisationen behöver förändras. Vi har under intervjuerna ställt frågan hur IT-organisationen skulle se ut om man byggde upp ett nytt universitet. Alla menar att den då skulle vara annorlunda och mer sammanhållen. Det finns alltså en god grund för att arbeta i den riktningen. 6.1 Policy och styrdokument Det grundläggande dokumentet, Ledningssystem för informationssäkerhetssystem vid Linköpings universitet, beslutades av rektor den 22 november Där beskrivs och fastställs processen för styrning och ledning av informationssäkerheten vid lärosätet. Dokumentet följer de riktlinjer som finns beskrivna i relevanta ISO-standards 7 och på webbplatsen informationssäkerhet.se. I MSBs författning med föreskrifter om statliga myndigheters informationssäkerhet föreskrivs att det också ska finnas en informationssäkerhetspolicy och de övriga styrdokument som behövs. Policy beslutades samtidigt som ledningssystemet 8. I policyn beskrivs bland annat organisationen av och ansvaret för arbetet med informationssäkerheten. I femton bilagor beskrivs kontrollåtgärder för olika moment i systemen för informationsteknik. Två ytterligare beslut kompletterar LIS, nämligen fastställande av objektägare för universitetets förvaltningsobjekt 9 samt Förvaltningsmodell för informationsbehandlande system vid Linköpings universitet 10 Dokumenten beskriver hur olika informationstillgångar samlade i förvaltningsobjekt ska förvaltas och vilka som ska vara objektägare. En viktig uppgift är att kontrollera och följa upp informationssäkerheten. I informationspolicyn slås fast att det ska finnas en informationssäkerhetssamordnare som har det samlade ansvaret för arbetet med informationssäkerhet. I organisationen är det sedan prefekten eller motsvarande som är ansvarig för informationssäkerheten inom sin organisation. Det är naturligt att den som på olika nivåer är ansvarig för informationssäkerheten också arbetar med kontroll och uppföljning av densamma. Informationssäkerhetssamordnaren har ett särskilt ansvar att se till att det finns tydliga rutiner för hur denna kontroll och uppföljning ska gå till. 6 Ledningssystem för informationssäkerhet (LIS) vid Linköpings universitet. Dnr LiU ISO/ICE 27001:2005, ISO/ICE 27002:2005 Information security Security techniques Information security management systems - Requirements 8 Informationssäkerhetspolicy. Dnr LiU Fastställande av objektägare för universitetets förvaltningsobjekt. Dnr LiU Förvaltningsmodell för informationsbehandlande systen vid Linköpings universitet. Dnr LiU

13 Men det behöver också finnas en kontroll och uppföljning som ligger vid sidan om de som har ansvar för informationssäkerheten. Denna ordnas bäst inom ramen för universitetets controllerfunktion. Även internrevisionen, som självständigt granskar universitetets styrning och kontroll, har en roll i detta avseende Universitetsstyrelsen har fattat ett principbeslut om användning av molntjänster 11. Beslutet är allmänt hållet och slår fast att universitetet inte bör motsätta sig användning av molntjänster. Styrelsen överlåter till rektor att besluta om vilka enskilda lösningar som ska tillhandahållas. Sammanfattningsvis kan vi konstatera att de styrande dokumenten vid Linköpings universitet väl fyller de krav som ställs i MSBs förordning Universitetet har en IT-strategi 12 som är fastställd i februari Strategin behöver av flera skäl uppdateras. Viktigast är att den togs fram före det att bestämmelserna om informationssäkerhet började gälla. Den utgår också från övergripande visioner och mål i den strategiska planen för Det finns nu en ny strategikarta. En uppdaterad IT-strategi måste också ta hänsyn till den utveckling som skett inom IT-området de senaste tio åren. Om de förslag som vi lämnar senare i rapporten genomförs, leder också det till ett behov av uppdatering av IT-strategin. 6.2 Genomförande och implementering MSB har på sin webbplats informationssäkerhet.se ett metodstöd för hur arbetet för god informationssäkerhet bör läggas upp och genomföras. En översiktlig beskrivning av de olika stegen beskrivs i följande bild. För varje steg finns en beskrivning av hur arbetet bör bedrivas för att nå goda resultat. 11 Användning av molntjänster ett principbeslut. Dnr LiU IT-strategi för Linköpings universitet. Dnr LiU 319/

14 Linköpings universitet har enligt vår uppfattning genomfört delar av processen på ett bra sätt. Det gäller till exempel policy och styrdokument samt den första genomgången på institutionerna av vilka förvaltningsobjekt som kan identifieras och hur riskerna ska bedömas. Men arbetet med implementeringen måste fortsätta och intensifieras. Det finns anledning att gå tillbaka för att se om det finns saker kvar att göra i de tidigare delarna av processen samt framför allt att fortsätta implementeringen, så att arbetet med informationssäkerhet får acceptans och genomslag i hela verksamheten. För detta behöver en tidplan tas fram och tillräckliga personresurser tillföras. Vi bedömer att det krävs ett tillskott på 50% av heltid under åtminstone ett år. Ett bra sätt att göra information om informationssäkerhet lätt tillgänglig för universitetets medarbetare är att skapa en webbplats. På den kan förutom allmän information även projektplaner med mera finnas. 6.3 Den tekniska IT-miljön En gemensam katalogfunktion Vid vår genomgång av den tekniska IT-miljön kan vi konstatera att flera institutioner använder egna katalogfunktioner. Någon institution har ingen katalogfunktion utan använder ett annat sätt att lagra användarnamn och lösenord samt annan information om användarna. Detta är inte en tillfredsställande ordning utifrån perspektivet informationssäkerhet. En gemensam katalogfunktion är dessutom en grundläggande åtgärd som ger mycket stora möjligheter till gemensamma lösningar för studenter och anställda och goda förutsättningar för samarbete dem emellan. När vi aktualiserat frågan om en gemensam katalogfunktion har vi, från de som har egna, fått argumentet att den LiU-gemensamma katalogfunktion som nu finns, inte fungerar tillräckligt bra för de behov som institutionen har. Det är därför av största vikt att man arbetar tillsammans med institutionerna när en gemensam katalogfunktion ska utformas så att kvalitet och funktionalitet blir god. Ett universitetsgemensamt sätt att lagra filer och att göra säkerhetskopiering Även inom detta område finns olika tekniska lösningar på institutionerna. Några använder det universitetsgemensamma fillagret, andra har byggt upp egna fillager. Någon institution står i begrepp att göra en större investering i ett eget fillager. Detta är inte ett informationssäkert sätt att hantera lagring inom en organisation och dessutom inte en rationell och kostnadseffektiv lösning. Vi kan också utifrån intervjuerna konstatera att det finns en hel del brister när det gäller säkerhetskopiering av särskilt bärbara datorer och mobila enheter. Allt fler leverantörer erbjuder lagring med hjälp av en molntjänst. Några använder denna lagringsmetod, andra menar att den är alltför osäker. Vi tror att molntjänster i framtiden kommer att ta över alltmer av det lagringsbehov som finns. Det är alltså inte meningsfullt att förbjuda molntjänster utan bättre att verka för en ansvarsfull användning Vi föreslår att det gemensamma fillagret ersätter institutionsägda fillager och att universitetet beslutar om vilken eller vilka molntjänster som får användas samt vilken typ av information som är lämplig att lagra i ett moln. Universitetsgemensam e-post Vi ser det som en självklarhet att universitetet ska ha ett gemensamt system för e-post. Så är inte fallet; ett par institutioner har egna servrar för e-post och därmed också egen utformning 12

15 av de anställdas e-postadresser. Som vi har förstått det pågår en avveckling av detta på någon institution. Vi föreslår att återstående institutionsegna e-postservrar avvecklas och att alla anställda använder LiU-e-postadress. Även detta är viktig för att säkra god informationssäkerhet vid universitetet. Universitetsgemensamt nät Det finns institutioner som har och driver egna nät. Detta kan innebära risker för informationssäkerheten vid universitetet. Vi föreslår därför att kvarvarande lokala nät avvecklas, så att alla institutioner är uppkopplade till ett universitetsgemensamt nät. Mobila enheter Synen på användning av mobila enheter som smarta telefoner och surfplattor varierar. En institution skriver i sin policy att endast stationär datorer får användas. Skälet till det uppges vara, att det säkerställer regelbunden säkerhetskopiering. I praktiken förekommer på den institutionen och på alla andra såväl bärbara datorer som mobila enheter. Det är i och för sig sant att det är lättare att säkerställa säkerhetskopiering på stationära datorer än på andra typer av plattformar. Emellertid kommer användningen av mobila enheter att öka. Det är därför viktigt att ha ett proaktivt förhållningssätt. Vi föreslår att användning av olika typer av bärbara datorer och mobila enheter tillåts. Samtidigt måste universitetet ge möjlighet att säkerhetskopiera filer från olika plattformar. Det är också viktigt att informera om vilka typer av information som ur aspekten informationssäkerhet är lämpliga att lagra på mobila enheter och om riskerna med sådana. Standardarbetsplatser Att installera nya datorer är ofta tidskrävande. Nu görs det på flera håll inom universitet, vilket medför stora variationer i såväl hårdvara som mjukvara. Det innebär i sin tur att underhållet av datorerna blir onödigt resurskrävande. Vi föreslår därför att standardarbetsplatser specificeras för såväl stationära som bärbara datorer - för PC, Mac och eventuellt Linux. De utrustas med den programvara som alla behöver varefter ytterligare program kan installeras utifrån de behov som finns. Standardarbetsplatser i kombination med en gemensam katalogfunktion säkerställer också att nödvändiga uppdateringar av programvaror kan göras. Det bidrar till en höjd informationssäkerhet. Datorsalar Man kunde tro att datorsalar används mindre nu, när studenter i allt större utsträckning har egna datorer. Men så är inte fallet. Studenterna arbetar gärna tillsammans på campus. Det gör att tillgång till datorsalar fortfarande är av stor betydelse för en bra campusmiljö. Många datorsalar drivs och administreras av olika institutioner. Det medför bland annat att rutiner för inloggning skiljer sig åt. Det betyder i sin tur att det inte alltid är möjligt för studenterna att gå till en annan datorsal, om den de brukar besöka är fullsatt. Administrationen 13

16 av datorsalarna kräver också mer resurser, när programvara och underhåll ska administreras av flera olika parter. Vi föreslår att datasalarna administreras och drivs centralt. Institutionen beställer vilka programvaror som behövs, IT-avdelningen installerar önskade programvaror och ansvarar för driften. Institutionens lärare ger det stöd som studenterna behöver för att använda en specifik programvara i utbildningen. 6.4 Organisation Den centrala IT-organisationen Universitetsförvaltningens organisation förändrades den 1 juli. Tidigare fanns ett område LiU- IT samt IT-kontoret som tillhörde området Verksamhetsstöd och Avdelningen ledningsstöd. IT-direktören hade ett övergripande processansvar och därmed en nära koppling till Universitetsledningen. LiU-IT och IT-kontoret har nu förts samman till en avdelning, ITavdelningen, som leds av IT-direktören. Avdelningen består av enheterna 1. IT-strategi och projekt 2. IT-support 3. Nätverk, IRT och telefoni 4. Systeminfrastruktur 5. Systemutveckling och systemförvaltning Det finns flera fördelar med en sammanhållen avdelning för IT-frågor. Till exempel blir ansvaret tydligare och rapportvägen till universitetsdirektören enklare. Men det finns också en risk att de viktiga strategi- och utvecklingsfrågor inte ges tillräckligt utrymme. Det beror framför allt på att IT-direktören kommer att behöva använda en hel del tid för operativa frågor och för ledning av de fem enheterna. Vi föreslår därför att man tillsätter en övergripande chef för enheterna 2-5. Det skulle avlasta IT-direktören och ge denne tid för inte minst det viktiga uppdraget som informationssäkerhetssamordnare IT-stödet på institutionerna IT-stödet på institutionerna varierar. Flera institutioner har valt att köpa tjänsten från den centrala supportenheten, andra har byggt upp egna supportorganisationer med en IT-chef som ansvarig och med några anställda tekniker. Det gäller framför allt institutionerna inom teknisk fakultet. Det finns naturliga förklaringar till denna skillnad. De tekniska institutionerna, särskilt de som verkar inom IT-området, började bygga upp sin verksamhet innan en universitetsgemensam supportorganisation var väl utvecklad. Dessa institutioner har också egen kompetens. En decentraliserad organisation av IT-stödet påverkar informationssäkerheten på ett negativt sätt. Ett exempel som kommit fram under våra intervjuer är brister i information om uppdateringar av programvaror i centrala system som alla institutioner är beroende av. Det har ibland lett till att studenter inte kunnat logga in i system som de använder i sin utbildning, det vill säga tillgängligheten till information har brustit. Ett annat exempel är svårigheten att få den kompetensutveckling som behövs och som är anpassad till universitetets gemensamma behov. För en liten lokal organisation kan det också vara svårt att ordna ersättare när medarbetare av olika anledningar är frånvarande. 14

17 De institutioner som valt att låta IT-avdelningen svara för support har mycket goda erfarenheter. De personer som tidigare var anställda på institutionen har förts över till ITavdelningen organisatoriskt, men behållit sin fysiska placering på institutionen. Det gör att närheten till institutionens medarbetare är oförändrad och innebär att fördelen med en decentraliserad organisation kan bibehållas. Vi har föreslagit flera tekniska förändringar i universitetets IT-miljö. En av dessa, en gemensam katalogtjänst som alla använder, har rektor beslutat om för rätt lång tid sedan. Trots det kan vi konstatera att beslutet ännu inte är verkställt. Det kan finnas flera skäl till det, men ett skäl är med säkerhet de svårigheter man möter i en decentraliserad organisation, där de som ska svara för genomförandet har sin organisatoriska hemvist i olika delar av universitetet. Förutsättningarna att på ett effektivt och bra sätt genomföra våra förslag och andra framtida förändringar blir därför mycket bättre i en samlad organisation. Det innebär också att förändringarna lättare kan utarbetas i samråd med berörda och att de därmed blir väl förankrade i hela organisationen. I en decentraliserad organisation uppstår ofta diskussion om brister beror på förhållanden vid till exempel en institution eller vid den centrala funktionen. Med en samlad IT-organisation kan en sådan diskussion inte uppstå. Ansvaret för verksamhetens innehåll och kvalitet ligger tydligt på den gemensamma organisationen och dess ledning och kan utkrävas av såväl institutioner som av universitetets ledning. Vi föreslår alltså att universitetet inför en samlad organisation för IT-stöd. De personer som arbetar med IT-support av olika slag på institutionerna förs organisatoriskt över till ITavdelningen. För att behålla den nära kontakten med institutionens medarbetare och god kunskap om verksamheten ska utgångspunkten vara att de som arbetar med IT-stöd har kvar sin fysiska placering på institutionen. För att säkra mycket god kvalitet i den sammanhållna organisationen föreslår vi att det görs en kompetensinventering av LiU:s samlade kompetens inom IT-området. Parallellt görs en inventering av LiU:s nuvarande och framtida kompetensbehov inom IT-området. Då dessa inventeringar är genomförda, görs en kompetensutvecklingsplan. Vissa forskningsmiljöer med särskilt stora beräknings- eller modelleringsbehov kan behöva egen stödpersonal. Det svarar mot det behov av forskningsingenjörer som finns inom delar av särskilt den tekniska och naturvetenskapliga forskningen. Var denna typ av personer ska höra hemma organisatoriskt behöver utredas särskilt. 6.5 Delegationsordningen Universitetsdirektören beslutade i juni 2013 om delegation till IT-direktören inom ITområdet. Den utgår från rektors delegationsordning 13, fastställd den 11 oktober De tre första punkterna avser modellen för objektförvaltning, ledningssystemet för informationssäkerhet och informationssäkerheten i LiUs IT-system. De följande punkterna avser beslut som rör LiUs gemensamma infrastruktur. Den avslutande punkten är av allmän karaktär och gäller beslut om särskilda regler och riktlinjer i övrigt för verksamheten inom ITområdet. Om universitetet genomför de förslag som vi presenterar i denna rapport, behöver delegationen till IT-direktören ses över. Hög informationssäkerhet förutsätter att policy, 13 Rektors delegationsordning Dnr LiU

18 riktlinjer och andra anvisningar följs i hela verksamheten. Det i sin tur kräver att någon kan påtala brister och fatta beslut om hur dessa brister ska undanröjas. IT-direktören, eller någon annan befattningshavare, måste därför i en delegation ges tillräckligt mandat för att fatta sådana beslut. 6.6 Upphandling Internrevisionen har i sin rapport påpekat att universitetet inte har kontroll över vilka system och vilken information som finns i system som hanteras av externa leverantörer. Det är naturligtvis otillfredsställande med hänsyn till informationssäkerheten. Det är inte rimligt att alla delar av organisationen ska ha de juridiska och IT-tekniska kunskaper som krävs för en informationssäker upphandling av IT-system. Processen för upphandling bör därför ändras så att IT-avdelningen kommer med vid upphandling inom IT-området. Därmed säkerställs informationssäkerheten i det som upphandlas. För den upphandling som sker lokalt i verksamheten måste det finnas tydliga anvisningar för hur informationssäkerheten ska tillgodoses. 6.7 Information och utbildning Under våra intervjuer har det framgått att kunskapen om vikten av god informationssäkerhet och hur man uppnår den finns hos många chefer i organisationen, men brister hos övriga anställda. Internrevisionen har i sin granskning konstaterat att forskningsledare är medvetna om vilken information som är känslig, men att kunskapen om hur sådan information ska hanteras på ett säkert sätt skiftar. Det är därför nödvändigt att ge alla anställda kunskap om hur säker informationshantering kan uppnås. Det finns därför behov av återkommande utbildningar, både allmänna utbildningar och riktade utbildningar särskilt till gruppen forskare. Ett bra komplement till utbildning är att skapa en webbplats för informationssäkerhet. Universitetets webbplats för upphandling är ett bra exempel på en informativ webbplats. Som vi tidigare konstaterat är regler och riktlinjer för informationssäkerhet väl utformade. Dokumenten är emellertid omfattande. Det finns därför anledning att ta fram en kortare beskrivning av begreppet informationssäkerhet och vad man behöver tänka på. 7. Rekommendationer Vi föreslår att följande åtgärder vidtas: 1. Uppdatera universitetets IT-strategi. 2. Fullfölj arbetet med implementeringen av Ledningssystem för informationssäkerhet. Tillför personresurser för det arbetet. 3. Gör de anpassningar som behövs av den nuvarande gemensamma katalogfunktionen och besluta att den ska användas av alla. 4. Ersätt institutionsägda fillager med ett gemensamt fillager med god kapacitet och tillgänglighet. 5. Föreskriv vilken eller vilka molntjänster som får användas. 6. Införliva alla i det gemensamma systemet för e-post så att endast LiU e-postadresser används. 7. Avveckla kvarvarande lokala nät så att alla använder det universitetsgemensamma nätet. 8. Tillhandahåll möjligheter att göra säkerhetskopiering av mobila enheter och informera om vilken information som är olämplig att lagra på dessa. 16

19 9. Specificera standardarbetsplatser för PC och Mac samt eventuellt Linux. 10. Administrera och driv alla datorsalar med universitetsgemensamma resurser. 11. Tillsätt en chef för de fyra enheter inom det IT-avdelningen som arbetar med support, infrastruktur och system. 12. För organisatoriskt över de som arbetar med IT-stöd på institutioner och motsvarande till IT-avdelningen och skapa på så sätt en samlad organisation för den uppgiften. 13. Uppdatera delegationsordningen när föreslagna åtgärder är beslutade. 14. Säkerställ att IT-kompetens finns med när informationsteknik upphandlas. Ge tydliga anvisningar hur informationssäkerheten tillgodoses vid lokala upphandlingar. 15. Genomför återkommande utbildning och informationsinsatser i informationssäkerhet. Anpassa denna till olika målgrupper. 8. Referenser Referenserna återfinns i fotnoter till respektive källa. 17

LiU-IT ISY. Kristina Arkad ISY

LiU-IT ISY. Kristina Arkad ISY LiU-IT ISY Kristina Arkad ISY Service IT- tjänster IT- infrastruktur Serviceområdet IT- avdelningen Projekt och utveckling Applika5on Kvarters-IT området Kvarter Norrköping Kvarter Valla Norr Kvarter US

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Granskning av informationssäkerhet

Granskning av informationssäkerhet 1(1) DNR: SLU ua 2014.1.1.2-841 Exp. den: 2014-06- Styrelsen BESLUT 2014-06-17 Sändlista Granskning av informationssäkerhet Styrelsen beslutar: att fastställa internrevisionens rapport Informationssäkerhet,

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18 MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016 IT-strategigruppen 2013-02-18 INNEHÅLL FÖRVALTNINGSCHEF... 3 REKTOR/F... 3 IT-STRATEG...

Läs mer

IT vid Göteborgs universitet. Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef)

IT vid Göteborgs universitet. Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef) IT vid Göteborgs universitet Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef) Göteborgs universitets organisation GU:s IT-stöd 2005 6 olika distansutbildningssystem 20 olika e-posttjänstsystem

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Högskoledirektör Beslut 2015-03-01 Dnr Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Härmed fastställs reviderad version av informationssäkerhetspolicyn vid Högskolan i Skövde.

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Riktlinjer inom ITområdet

Riktlinjer inom ITområdet Riktlinjer inom ITområdet Uppsala universitet Fastställda av universitetsdirektören 2013-06-25 Reviderade 2013-10-30 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

Kommunens författningssamling IT-strategi ÖFS 2010:17

Kommunens författningssamling IT-strategi ÖFS 2010:17 Kommunens författningssamling IT-strategi ÖFS 2010:17 Fastställd av Kommunfullmäktige 2010-09-27, 113 (dnr KS 2010.85 005) Ersätter författningssamling 2001:15 Utfärdare: Monika Smidestam Kategori: Styrdokument

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

IT-verksamhet centralt och lokalt

IT-verksamhet centralt och lokalt 1(1) SLU.ua.2014.1.1.2-2016 Exp. den: Dubbelklicka här för att redigera Styrelsen BESLUT 2014-11-06 Rektor IT-verksamhet centralt och lokalt Styrelsen beslutar att fastställa internrevisionens rapport

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

4. Inriktning och övergripande mål

4. Inriktning och övergripande mål Lednings- och verksamhetsstöd IT-policy Bilaga 2 LS 14/06 HANDLÄGGARE DATUM DIARIENR Ante Grubbström 2005-12-19 IT-policy för samtliga verksamheter i Landstinget Sörmland 1. Definition Med IT informationsteknologi

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning Revisionsrapport Sveriges Lantbruksuniversitet Box 7070 750 07 Uppsala Datum Dnr 2009-03-30 32-2008-0760 Sveriges Lantbruksuniversitets årsredovisning 2008 Riksrevisionen har granskat Sveriges Lantbruksuniversitets

Läs mer

Inför Karolinska Institutets fördjupade riskanalyser 2012

Inför Karolinska Institutets fördjupade riskanalyser 2012 Bilaga 4 Inför Karolinska Institutets fördjupade riskanalyser 2012 Universitetsförvaltningen Ledningskansliet Fastställd av rektor Dnr 1977/2012-010 INNEHÅLL 1 Inledning... 1 2 Metodbeskrivning... 1 2.1

Läs mer

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun 2012 2014 Ledning och styrning av IT i kommunen Kommunen har sedan många år en central IT-avdelning med ansvar för drift

Läs mer

Revisionsrapport från Riksrevisionen avseende projektredovisning och kvalitetssäkring av årsredovisningen vid universitetet

Revisionsrapport från Riksrevisionen avseende projektredovisning och kvalitetssäkring av årsredovisningen vid universitetet 2008-06-11 BESLUT LiU 2008/01358 1(2) Riksrevisionen Revisionsrapport från Riksrevisionen avseende projektredovisning och kvalitetssäkring av årsredovisningen vid universitetet Riksrevisionen har i revisionsrapport

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Handlingsplan baserad på Gatukontorets IT-strategi 2011

Handlingsplan baserad på Gatukontorets IT-strategi 2011 Handlingsplan baserad på Gatukontorets IT-strategi 2011 Status: Bruttolista Version: 2012-03-20 Innehåll INTRODUKTION... 3 REDOVISNING AV ETT PROJEKT/UTREDNING... 4 HUVUDPROJEKT: ÖKAD MOBILITET... 5 1.

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Ändring i delegationsordning / attestordning

Ändring i delegationsordning / attestordning RÄTTELSEBESLUT 1 2010-09-30 (Korrigerat 2010-12-20) Dnr EK 2010/43 Ändring i delegationsordning / attestordning Bakgrund 2009-01-01 infördes en ny organisation för gemensam förvaltning och service, under

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Revisionsplan för Linköpings universitet 2008.

Revisionsplan för Linköpings universitet 2008. 1(6) Revisionsplan för Linköpings universitet 2008. 1. Inledning (IR) vid Linköpings universitet bedrivs enligt Internrevisionsförordningen (2006:1228) samt internrevisionens instruktion, Dnr LiU 220/07-10,

Läs mer

FÖRFATTNINGSSAMLING 1 (6)

FÖRFATTNINGSSAMLING 1 (6) FÖRFATTNINGSSAMLING 1 (6) YZ 2 ANVISNINGAR FÖR IT-VERKSAMHETEN I LOMMA KOMMUN 1. SYFTE OCH STYRDOKUMENT 1.1 Syfte Syftet med Anvisningar för Lomma kommuns IT-verksamhet är att säkerställa att IT stödjer

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet

Läs mer

Verksamhetsrapport för Internrevisonen 2012

Verksamhetsrapport för Internrevisonen 2012 2013-02-18 BESLUT Dnr LiU-2012-00034 Verksamhetsrapport för Internrevisonen 2012 Chefen för internrevisionen, Margareta Fallsvik har den 18 januari 2013, till universitetsstyrelsen och rektor avgett rapport

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Styrande dokument inom IT-området

Styrande dokument inom IT-området SID 1 (6) Bilaga 6a Styrande dokument inom IT-området Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt genomförande inom Skolplattform Stockholm Box 22049, 104 22

Läs mer

IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05

IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05 IT-Strategi 2004-10-12 1(7) IT-strategi 2005-01-14 KF 10/05 IT-Strategi 2004-10-12 2(7) Innehåll 1 Inledning...3 1.1 Bakgrund...3 2 Intention...3 3 Ledning och ansvar...4 4 Nuläge...5 5 Strategier och

Läs mer

Inköp av licenser för ny IT-infrastruktur i Luleå kommun

Inköp av licenser för ny IT-infrastruktur i Luleå kommun Kommunstyrelsen 2012-04-16 89 221 Arbets- och personalutskottet 2012-03-12 65 142 Dnr 12.122-01 aprilks10 Inköp av licenser för ny IT-infrastruktur i Luleå kommun Bilaga: Specifikation inköp licenser Ärendebeskrivning

Läs mer

Intern styrning och kontroll

Intern styrning och kontroll Intern styrning och kontroll Fastställd av rektor 2014-02-04 Innehållsförteckning Inledning 3 1 Processen för intern styrning och kontroll 3 1.1 Riskanalyser 4 1.1.1 Riskidentifikation 4 1.1.2 Riskvärdering

Läs mer

PLAN WEBBORGANISATION MIUN.SE

PLAN WEBBORGANISATION MIUN.SE MITTUNIVERSITETET Styrdokument PLAN WEBBORGANISATION MIUN.SE DNR MIUN 2013/1089 Publicerad: 2013-06-27 Beslutsfattare: Universitetsdirektör Yasmine Lindström Handläggare: Kicki Strandh Beslutsdatum: 2013-06-19

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

IT-Policy Vuxenutbildningen

IT-Policy Vuxenutbildningen IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Använd molntjänster på rätt sätt

Använd molntjänster på rätt sätt 2013-02-13 E-samhället i praktiken Använd molntjänster på rätt sätt Molntjänster kan spara pengar och göra information mer tillgänglig för kommuner och landsting. Den viktigaste bedömningen vid val av

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Uppgifter och beslutanderätter till avdelningschefer vid universitetsförvaltningen

Uppgifter och beslutanderätter till avdelningschefer vid universitetsförvaltningen UFV 2011/1902 Uppgifter och beslutanderätter till avdelningschefer vid Fastställd av universitetsdirektören 2012-01-12 Reviderad 2012-09-04 Innehållsförteckning 1 Förutsättningar 3 Organisation och ansvarsfördelning

Läs mer

Projekt: Utgåva: Status: Sida: ASF Aktiv Systemförvaltning 002 Beslut 1(7) ANALYS SYSTEMFÖRVALTNINGSMODELLER

Projekt: Utgåva: Status: Sida: ASF Aktiv Systemförvaltning 002 Beslut 1(7) ANALYS SYSTEMFÖRVALTNINGSMODELLER ASF Aktiv Systemförvaltning 002 Beslut 1(7) ASF AKTIV SYSTEMFÖRVALTNING ANALYS SYSTEMFÖRVALTNINGSMODELLER ASF Aktiv Systemförvaltning 002 Beslut 2(7) Namn (person/organisation/grupp) Styrgrupp Refererade

Läs mer

Verksamhetsrapport för Internrevisionen 2013.

Verksamhetsrapport för Internrevisionen 2013. 2014-02-04 RAPPORT Dnr LiU-2014-00015 1(9) Verksamhetsrapport för Internrevisionen 2013. Revisionsplanen för 2013, dnr LiU-2012/02045, beskriver internrevisionens (IR:s) planerade aktiviteter för verksamhetsåret.

Läs mer

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18 IT-Policy för Tanums kommun ver 1.0 Antagen av Kommunfullmäktige 2013-03-18 1 Inledning Tanums kommuns övergripande styrdokument inom IT-området är IT-Policy för Tanums kommun. Policyn anger kommunens

Läs mer

Mötesanteckningar: Helpdesk/ Ärendehantering Referensgruppsmöte 2, Förvaltningsgruppen ekonomi

Mötesanteckningar: Helpdesk/ Ärendehantering Referensgruppsmöte 2, Förvaltningsgruppen ekonomi Projektmöte Utgåva: A Sidan 1 av 6 Mötesanteckningar: Helpdesk/ Ärendehantering 2, en ekonomi Närvarande Ej närvarande Annika Josefsson Michael Morin Ola Viestam Stefan Andersson Jörgen Johansson, Sigma

Läs mer

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Granskning av IT:s nytta ur ett verksamhetsperspektiv Revisionsrapport* Granskning av IT:s nytta ur ett verksamhetsperspektiv Finspångs kommun 15 maj 2009 Matti Leskelä *connectedthinking Innehållsförteckning 1 Bakgrund och syfte...3 2 Metod...3 3 Sammanfattande

Läs mer

E-strategi för Skellefteå kommun

E-strategi för Skellefteå kommun 1 E-strategi för Skellefteå kommun 1. Sammanfattning Informationstekniken kommer att spela en mycket viktig roll för Skellefteå kommun i strävan att på ett effektivt och framgångsrikt sätt ge service till

Läs mer

Uppföljning av Organisation 2013 sammanfattande rapport

Uppföljning av Organisation 2013 sammanfattande rapport Rapport 141031 Dnr: 2014/54-1.2 Karin Lundhgren Uppföljning av Organisation 2013 sammanfattande rapport Så gjordes uppföljningen I februari 2014 beslutade rektor att den nya organisationen som trädde i

Läs mer

Regler för redovisning av bisysslor för lärare samt anställda som omfattas av Chefsavtalet

Regler för redovisning av bisysslor för lärare samt anställda som omfattas av Chefsavtalet Umeå universitet Rektor Regel Dnr 300-3114-12 2013-12-17 Ansvarig enhet: Universitetsledningens kansli Giltighetstid: 5 år Sid 1 (8) Regler för redovisning av bisysslor för lärare samt anställda som omfattas

Läs mer

Riktlinjer för IT. DANDERYDS KOMMUN Kommunledningskontoret Elisabeth Hammerman. 2013-02-26 Dnr KS 2013/0082 Riktlinjer

Riktlinjer för IT. DANDERYDS KOMMUN Kommunledningskontoret Elisabeth Hammerman. 2013-02-26 Dnr KS 2013/0082 Riktlinjer 1(14) för IT Beslutsinstans: Kommundirektör Beslutsdatum: Giltighetstid: Tillsvidare na har behandlats i förvaltningschefsgruppen den 21 februari 2013. Dokumentet IT-strategi för Danderyds kommun 2010-2014

Läs mer

STYRDOKUMENT Plan för IT-utveckling 2013-2015

STYRDOKUMENT Plan för IT-utveckling 2013-2015 Utgivare: Kommunledningsförvaltningen Kansli Gäller från: Lagakraftvunnet beslut Antagen: KF 145, 2012-11-05 STYRDOKUMENT Plan för IT-utveckling 2013-2015 Plan för IT- utveckling 2013-2015 Innehåll BAKGRUND...2

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Avropsförfrågan från ramavtalsområde it-tjänster, e-förvaltningsstödjande tjänster 2010 med specifik avgränsning till framtagande av strategidokument

Avropsförfrågan från ramavtalsområde it-tjänster, e-förvaltningsstödjande tjänster 2010 med specifik avgränsning till framtagande av strategidokument Administrativa avdelningen Eva Emfel 1 (7) från ramavtalsområde it-tjänster, e-förvaltningsstödjande tjänster 2010 med specifik avgränsning till framtagande av strategidokument Uppdraget i korthet Delta

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) REMISSVAR DNR: 5.1.1-2015- 0781 Justitiedepartementet 103 33 Stockholm Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) Riksrevisionen

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

Projektplan: Administrativa roller

Projektplan: Administrativa roller 1 (6) Projektplan: Administrativa roller Projektledare: Linda Lundberg Uppdragsgivare: Ulf Heyman Datum: 2010-06-14 1. Bakgrund och motiv Vid institutionerna finns idag ett antal olika befattningar vilka

Läs mer

Här hittar du svar på några av de vanligaste frågorna om projektet Skolplattform Stockholm.

Här hittar du svar på några av de vanligaste frågorna om projektet Skolplattform Stockholm. Frågor och svar Här hittar du svar på några av de vanligaste frågorna om projektet Skolplattform Stockholm. Varför behövs en ny skolplattform? Skolans verksamhetssystem behöver förnyas. Dagens system är

Läs mer

IT-strategiska insatser 2012-2013

IT-strategiska insatser 2012-2013 Sid 1 IT-strategiska insatser 2012-2013 Prioriterad från IT-strategi och Handlingsplan fastställd av universitetsstyrelsen 2009-11-05, styrelsens beslut om IT-strategiska insatser 2010-04-15, dnr 100-802-09,

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Övergripande riktlinjer för IS/IT-verksamheten

Övergripande riktlinjer för IS/IT-verksamheten 1(7) 2004-03-19 Handläggare, titel, telefon Roger Eriksson, Teknisk IT-strateg, 011-151391 Peter Andersson, IT-strateg, 011 15 11 39 Övergripande riktlinjer för IS/IT-verksamheten Inledning De i Program

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Revisionsplan för internrevisionen vid Sida

Revisionsplan för internrevisionen vid Sida Revisionsplan för internrevisionen vid Sida Verksamhetsåret 2008 STYRELSEN FÖR INTERNATIONELLT UTVECKLINGSSAMARBETE Sekretariatet för utvärdering och intern revision Revisionsplan för internrevisionen

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING

SOLLENTUNA FÖRFATTNINGSSAMLING för Sollentuna kommun Antagen av fullmäktige 2011-10-19, 125 Innehållsförteckning 1 Inledning... 2 1.1... 2 1.2 E-vision... 2 1.3 Informationssäkerhetspolicy... 2 2 Styrande principer... 2 2.1 Fokusera

Läs mer

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Åstorps kommuns Övergripande IT-policy för Åstorps kommun Åstorps kommuns Övergripande IT-policy för Åstorps kommun Beslutat av Kommunfullmäktige 2014-03-24 36 Dnr 2014/23 Innehåll 1 ÖVERGRIPANDE IT-POLICY FÖR ÅSTORPS KOMMUN...3 1.1 MÅL...3 1.2 SYFTE...3 2 ANSVAR

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer