Åtgärder med anledning av utredning avseende informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Åtgärder med anledning av utredning avseende informationssäkerhet"

Transkript

1 BESLUT Dnr LiU (2) Åtgärder med anledning av utredning avseende informationssäkerhet på institutionsnivå Internrevisionen har i revisionsrapport den 16 januari 2013 valt att fästa universitetsstyrelsens uppmärksamhet på ett antal frågor rörande hanteringen av informationssäkerheten på institutionsnivå. Som resultat uppdrog styrelsen rektor att tillsätta utredningen Stärkt informationssäkerhet på institutionsnivå. Utredarna, universitetsstyrelseledamöterna Jan-Erik Ögren och Margareta Josefsson, har i rapport till rektor den 26 oktober 2013 föreslagit en rad åtgärder rörande hanteringen av informationssäkerheten på LiU. Universitetsstyrelsen vill genom detta beslut understryka vikten av att brister rörande informationssäkerheten inom LiU kontinuerligt åtgärdas samt uppdra åt rektor att säkerställa en robust IT-organisation och teknisk infrastruktur. Rektor ska pröva möjligheten att så långt det bedöms lämpligt genomföra utredarnas förslag. Vidare vill styrelsen peka på behovet av en bred verksamhetsförankring i genomförandet av detta beslut, ytterst i syfte att säkerställa bibehållen hög kvalitet i undervisning och forskning. Styrelsen delar utredarnas syn på att en uppdaterad IT-strategi som tar sin utgångspunkt i LiUs strategikarta samt arbetet med det pågående arbetet med det pedagogiska språnget långsiktigt behöver utarbetas. Universitetsstyrelsen beslutar, i syfte att stärka universitetets informationssäkerhet: 1. att uppdra till rektor att åstadkomma en gemensam, robust, teknisk hantering av LiUs IT-verksamhet och infrastruktur. 2. att uppdra till rektor att införa en gemensam IT-organisation på LiU. Universitetsstyrelsen

2 2(2) Beslut i detta ärende har fattats av universitetsstyrelsen vid dess sammanträde denna dag. I beslutet har deltagit ordföranden Anna Ekström, universitetets rektor Helen Dannetun och övriga ledamöterna, Sebastian Becker, Carin Franzén, Magnus Hall, Paul Håkansson, Margareta Josefsson, Tobias Karlsson, Albin Mannerfelt, Helena Persson, Kerstin Wigzell, Jan-Erik Ögren och Karin Öllinger. Vidare har närvarit prorektor Karin Fälth- Magnusson, personalföreträdarna Krzysztof Marciniak och Gabriel Thott, styrelsens sekreterare Jenny Ljung, chefsjuristen Göran Hessling, kommunikationsdirektören Mariethe Larsson, f.d. studeranderepresentant Niclas Söör, universitetsdirektören Kent Waltersson, samt biträdande IT-direktören Joakim Nejdeby, den sistnämnde föredragande. Anna Ekström Joakim Nejdeby

3 Informationssäkerhet vid Linköpings universitet 15 november 2013 Margareta Josefsson Jan-Erik Ögren

4 Denna version av rapporten har två tillägg jämfört med den rapport som lämnades till rektor den 26 oktober 2013 och som utgjorde bilaga till punkt 67 vid universitetsstyrelsens sammanträde den 7 november Båda tilläggen avser organisationen av nät för kommunikation vid universitetet. Det ena tillägget återfinns i kapitel 6.3 Den tekniska ITmiljön under rubriken Universitetsgemensamt nät, den andra i kapitel 7 som rekommendation 7. Sakinnehållet i tilläggen fanns med tillsammans med övriga rekommendationer vid den föredragning som universitetsstyrelsen tog del av. 2

5 Informationssäkerhet vid Linköpings universitet 1. Sammanfattning Den här rapporten är resultatet av ett uppdrag som rektor lämnade till oss i april Uppdraget föranleddes av en rapport från internrevisionen om informationssäkerhet på institutionsnivå och det därpå följande beslutet 1 i universitetsstyrelsen. Eftersom rapporten är relativt kortfattad nöjer vi oss med att som sammanfattning hänvisa till förslagen i kapitel 7 samt motiven till dessa i kapitel Bakgrund Mängden information har under den senaste tioårsperioden ökat dramatiskt och fortsätter att öka. Sätten att bearbeta, lagra, kommunicera och mångfaldiga information har utvecklats kraftigt med hjälp av ny teknik. Informationssäkerhet har därför blivit en angelägenhet för hela samhället. Inte minst för ett universitet är god informationssäkerhet av stor betydelse. Brister kan till exempel leda till att viktiga forskningsresultat försvinner eller kommer i orätta händer eller att studenter drabbas av förlust av dokumentation om sina studieresultat. Riksdagen beslutade våren 2004 om en ny strategi för informationssäkerheten i samhället. Strategin skulle i huvudsak bäras upp av fyra myndigheter, Krisberedskapsmyndigheten, Postoch telestyrelsen, Försvarets materialverk samt Försvarets radioanstalt. För att underlätta samarbetet mellan dessa bildades 2003 Samverkansgruppen för informationssäkerhet, SAMFI. År 2009 bildades Myndigheten för samhällsskydd och beredskap, MSB, den myndighet som nu har regeringens uppdrag att bland annat verka för hög informationssäkerhet i samhället. Det gör den bland annat genom webbplatsen informationssäkerhet.se. Myndigheter under regeringen har krav på sig att tillämpa ett systematiskt arbete med informationssäkerhet utifrån en standard, Ledningssystem för informationssäkerhet, LIS. Riksrevisionen har sedan 2009 granskat hur olika myndigheter uppfyller detta krav. Linköpings universitet granskades 2009, vilket ledde till en rapport i januari I denna konstaterar Riksrevisionen att ett ramverk finns på plats i form av en policy, men att de fastställda riktlinjerna och kunskaperna hos de ansvariga inte är tillräckliga. Man ansåg också att LiU inte har genomfört riskanalyser och att kontrollåtgärder och rutiner för uppföljning saknas. Påpekandena ledde till att universitetet arbetade igenom Ledningssystemet för informationssäkerhet och fastställde ett antal styrande dokument. Under 2012 genomförde internrevisionen vid Linköpings universitet en granskning av informationssäkerheten på institutionsnivå. Rapporten 3 lämnades till universitetsstyrelsen i januari I den konstaterades några brister gällande outsourcing av system, styrning och övervakning av forskningsprojekt, information och utbildning samt hantering av mobila 1 Universitetsstyrelsens beslut Dnr LiU Granskning av intern styrning och kontroll av informationssäkerheten vid Linköpings universitet Dnr Informationssäkerhet på institutionsnivå. Rapport från Internrevisionen. Dnr LiU

6 enheter och molnapplikationer. Rapporten innehåller också förslag att söka lösningar för en ökad gemensam teknisk hantering av IT för att på så sätt öka informationssäkerheten. På grundval av denna rapport uppdrog rektor till oss att utreda frågan och komma med förslag till lämpliga åtgärder. 3. Uppdraget Rektor beslutade den 4 april 2013 att med anledning av internrevisionens rapport ge oss följande uppdrag 4 : Se över och föreslå hur ansvaret för kontroll och uppföljning av informationssäkerheten ska vara fördelat inom universitetet. Som en följd härav föreslå de förändringar som kan behövas av organisation och delegationsordning. Se över och föreslå möjligheter till ökad gemensam teknisk hantering av IT med syfte att nå hög informationssäkerhet. Särskild uppmärksamhet ska ägnas åt hanteringen av mobila enheter. Se över och föreslå förändringar av processen för outsourcing av IT-lösningar. Särskild uppmärksamhet ska ägnas åt riskanalys, upphandling och uppföljning. Utredningen förutsätts också ta del av exempel på hur andra lärosäten hanterar frågor om informationssäkerhet. 4. Underlag och metod Det styrande underlaget för vårt arbete har varit rektors uppdrag, som beskrivs under kapitel 3. Den underliggande rapporten från Internrevisionen samt MSB:s föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2009:10 5 har också varit vägledande. I arbetet har vi gått igenom de policy och riktlinjer med mera som universitetsstyrelse eller rektor fattat beslut om. Vi har också genomfört ett antal intervjuer samt gjort besök vid några andra lärosäten. 4.1 Policy och riktlinjer Vi har studerat följande policyer: IT-strategi för Linköpings universitet. Dnr LiU 319/ Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet. Dnr LiU Informationssäkerhetspolicy. Dnr LiU Förvaltningsmodell för informationsbehandlande system vid Linköpings universitet. Dnr LiU Fastställande av objektägare för universitetets förvaltningsobjekt. Dnr LiU Användning av molntjänster ett principbeslut. Dnr LiU Uppdrag avseende utredning kring informationssäkerhet på institutionsnivå. Dnr LiU Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet. MSBFS 2009:10 4

7 4.2 Intervjuer Vi har under arbetets gång intervjuat följande personer: Margareta Fallsvik och Leif Blomberg, Internrevisionen Kent Waltersson, universitetsdirektör Joakim Nejdeby, IT-direktör Margaretha Grahn och Anders Fåk, Universitetsbiblioteket P-O Bremer, prefekt IEI Birgitta Öberg, prefekt IMH Stefan Samuelsson, prefekt och Maj-Britt Remneblad adm chef, IBL Lars Nielsen, prefekt ISY Mariam Kamkar, prefekt IDA Mattias Severin, prefekt ITN Roger Klinth, prefekt TEMA David Byers och Johannes Hassmund, LiU-IT Robert Ericsson, f d chef LiU-IT, nu chef studieadministrativa enheten Peter Eriksson, IT-chef IFM Magnus Glänneskog, adm chef ITN Kristina Arkad, teknisk chef ISY Alf Segersäll, supportchef IEI Sussane A Larsson, f d IT-samordnare och Petra Hallqvist, adm chef IMH Peter J Nilsson, ansvarig IT-strategi, IDA 4.3 Andra universitet Vi har besökt fyra andra lärosäten, Chalmers, Luleå tekniska universitet, Umeå universitet och Örebro universitet, för att informera oss om hur de arbetar med informationssäkerhet. 5. Informationssäkerhet vid några andra universitet 5.1 Chalmers Informationen är hämtad från en intervju med Tony Ottosson-Gadd, CIO. IT-organisation Chalmers har en avdelning för IT-styrning, som består av fyra personer med Tony Ottosson- Gadd som chef, och en avdelning för IT-service som består av ca 80 personer. ITorganisationen är centraliserad, en centralisering som påbörjades 2005 och har skett successivt sedan dess. Vinsterna är kostnadseffektivitet och förbättrad leveransförmåga. Den totala IT-kostnaden i dag är på 2004 års nivå. IT-infrastruktur Chalmers har ca 400 servrar, Linux och Windows. PC svarar för ca 80% av alla klienter, Mac för ca 20%, en andel som ständigt ökar. Linuxförekommer enbart marginellt och är på väg ut. För mobila enheter används IOS, Android och Windows. Centralt rekommenderas ca 10 mobila val. 5

8 Chalmers har ett centralt fillager och en gemensam katalogfunktion eller motsvarande och erbjuder ett antal varianter av arbetsplatser, Windows, IOS, Android och Linux. Styrande dokument Chalmers har en policy för informationssäkerhet. Eftersom lärosätet är ett aktiebolag har man ett annat styr- och ledningssystem att förhålla sig till. Revisioner utförs av Ernst&Young AB. Införande, uppföljning och rapportering Ledningen satsar mycket på att få ut informationen om informationssäkerhet till forskargrupperna. Den har däremot inte så stor tilltro till många centrala dokument som ingen läser. CIO gör en årlig rapportering till rektor, där eventuella varningssignaler tas upp. Incidenthantering CIO är ansvarig för incidenthantering, IRT. Resurserna köps från IT-service och motsvarar 1,5 heltidstjänst. Näten övervakas, men aldrig en enskild dator. Övervakning av en enskild dator görs enbart på order från Chalmers säkerhetschef. Chalmers har inte så mycket problem med virus och lösenord, däremot med copyright. Största oron är för säkerhetskopiering och därtill hörande återställningsrutiner. Det kan ta månader att komma upp i full drift efter ett haveri. Genomförda revisioner Revisioner görs inom ramen för Chalmers kvalitetssystem av Ernst&Young AB. En revision av informationssäkerhet kommer att göras 2014 med fokus på säkerhetskopiering. Hantering av molntjänster Box är en godkänd molntjänst, Microsoft Office 365 är under utvärdering. CIO tror mycket på lagring med molntjänster på sikt. Ett viktigt skäl är att hanteringen av egna fillager blir för tungrodd på sikt. Ytterligare avtal av typ Box kan bli aktuella. Framgångsfaktorer Följande faktorer är viktiga framgångsfaktorer: Verksamhetskritiska tjänster, som fillager och e-post måste ha central styrning. Det är viktigt att följa utvecklingen och vara proaktiv när det gäller nya tjänster. Vara noga med riskhantering vid införandet av nya tjänster Kunna erbjuda en palett av tjänster men under ordnade former, styrd valfrihet. 5.2 Luleå tekniska universitet Informationen från Luleå tekniska universitet är hämtad från intervju med universitetsdirektör Staffan Sarbäck och IT-chef Anders Nordin Anders Nordin är CIO och leder en stabsfunktion som består av ytterligare tre personer. Funktionen arbetar strategiskt och med beställarroll mot IT-service, som består av ca 60 personer. Organisatoriskt ser det alltså ut som det gjorde i Linköping före den senaste förändringen av organisationen. Anders uppfattar att ungefär hälften av universiteten har valt att organisera sig med en strategisk avdelning och en supportavdelning som är sidoställda. LTU har sedan några år tillbaka arbetat med att effektivisera sin organisation och sitt arbetssätt. Universitetet har sex institutioner. Den administrativa personalen vid institutionerna och de administrativa medarbetarna hör till den centrala organisationen för 6

9 verksamhetsstöd. I samband med den förändringen har man också flyttat såväl organisatoriskt som fysiskt alla som arbetar med IT-stöd till den centrala enheten IT-service. Det fungerar bra utan stor opposition. Det finns någon institution inom datasidan som vill ha egen support. Varje institution har en IT-samordnare som är kontaktperson mot de centrala funktionerna. Utgångspunkten för arbetet med informationssäkerhet har varit MSBs råd och anvisningar. När arbetet började anlitade man en extern konsult som på ett bra sätt kunde beskriva vad informationssäkerhet handlar om. En styrgrupp tillsattes med fokus på de administrativa delarna. Nu letar man en person som till 30-40% ska kunna arbeta med att driva och stödja det fortsatta arbetet. På sikt behövs också kontaktpersoner vid institutionerna. Arbetet har så här långt lett till att man befinner sig i införandefasen. Anders räknar med att det tar ytterligare ett par år innan allt är genomfört. När det gäller klassificeringen av dokument menar Anders att det måste ske enkelt genom att skapa typer av olika dokument. Än så länge har man arbetat med prefekter och administrativ personal, inte med lärare och forskare. Rektor har delegerat genom universitetsdirektören till CIO att vara ansvarig för informationssäkerhet. På fråga hur stora befogenheter CIO har blir svaret att befogenheterna finns, men att det sedan kan vara svårt att i praktiken peka med hela handen på en institution. En tydlig delegationsordning är av stor vikt. Några institutioner har kvar vissa egna forskningsrelaterade servrar. Gemensam katalogfunktion och e-post är helt centraliserat. Universitetet har inte tagit något beslut om molntjänster men Box rekommenderas. Anders menar att man aldrig kan vara helt säker på en molntjänst, men dessa kommer alltmer att ta över. Ett sätt att öka säkerheten är att kryptera när filer laddas upp i molnet. Det finns inga rekommendationer vad gäller mobila enheter. Biblioteket använder den gemensamma katalogfunktionen. Tekniskt går det även då att lösa att personer utanför universitetet får tillgång till bibliotekets tjänster. Universitetets datorsalar hanteras centralt. I flera fall behöver datorerna innehålla många applikationer. Totalt räknar man med att det finns olika program på datorer i datasalarna. Institutionen lämnar in en lista på vilka programvaror som behövs och IT-service ser till att installera och ge support. Det stöd som studenterna behöver vid användningen av datorerna ges av respektive institutions lärare. Sammantaget verkar arbetet vid LTU vara mycket väl strukturerat. Det finns en genomgående idé och en plan för hur man ska komma framåt. Tillräckliga resurser verkar också vara avsatta. Den centraliserade organisationen är en stor fördel i sammanhanget. 5.3 Umeå universitet Informationen om Umeå universitet är hämtad från intervjuer med Sören Berglund, IT-chef och Karoline Westerlund, IT-strateg. Informationssäkerhet har de senaste åren varit ett aktuellt ämne i Umeå liksom på de flesta andra lärosäten i landet. Orsaken är framför allt de påpekanden som Riksrevisionen gjort. I Umeås fall har brister i informationssäkerheten påpekats vid de tre senaste årens revisioner. Universitetet tycker sig ha åtgärdat bristerna, men tydligen inte så att Riksrevisionen anser att 7

10 kraven är uppfyllda. Internrevisionen i Umeå har inte gjort någon granskning av informationssäkerheten. När jag vid intervjun gick närmare in på vad som gjorts och vad som återstår kunde jag konstatera att det övergripande regelverket verkar finnas på plats. Det består av följande dokument: Informationspolicy för Dokumentet är inte helt aktuellt och består av anvisningar för det allmänna informationsarbetet. Handlar alltså inte specifikt om informationssäkerhet. IT-säkerhetsplan från Planen behandlar de krav som ställs på att de tekniska systemen fungerar, att lagring med mera görs utan att data försvinner eller förvrängs samt att det finns skydd mot intrång och otillåten användning. Regler för användning av universitetets IT-resurser från Reglerna tar upp frågan om behöriga användare, vad som är tillåtet och otillåtet att använda IT-resurserna till och vad man inte får göra på internet. Informationssäkerhetspolicy från Policyn beskriver övergripande vikten av informationssäkerhet för att skydda den information som finns och beskriver hur ansvaret för detta är fördelat vad avser informationsmängd och informationssystem. Policyn ska konkretiseras med regler, riktlinjer och instruktioner. Detta är inte gjort, såvitt jag kunnat utröna. Det finns också blanketter och mallar för ansvarsförbindelser, informationsklassning och riskanalyser. När jag sedan frågade om hur arbetet gått vidare på institutionsnivå verkar det som om det inte skett i någon större utsträckning. Det arbete som gjorts i Linköping för att identifiera olika informationsslag och bedöma risker har knappast alls gjorts i Umeå. Inte heller att konkretisera de olika roller som behöver finnas och bemanna dessa. En orsak till att man inte fullföljt arbetet är att det varit oklart till vem universitetsdirektören ska delegera det övergripande ansvaret för informationssäkerheten. Det har nu bildats en grupp som ska fortsätta arbetet. Den består av ett antal nyckelpersoner inom förvaltningen inklusive arkivarien. Att arkivarien deltar beror på den ändring som Riksarkivet gjort i bestämmelser om hur handlingar ska arkiveras. Ändringen går ut på att informationen ska systematiseras utifrån ett verksamhetsperspektiv istället för enbart utifrån handlingstyp. Denna systematisering kan vara en grund för den klassificering som ska göras när informationssäkerheten bedöms. Sammanfattningsvis blir min slutsats att Umeå har det grundläggande regleverket på plats, men en hel del att göra vad gäller konkretion av regelverket, implementering och förverkligande av det ute i verksamheten. 5.4 Örebro universitet I Örebro intervjuades Ann Öhrn, CIO sedan 2007, och David Hed, ansvarig för informationssäkerheten. 8

11 IT-organisation 2007 centraliserades all administration på Örebro universitet. All IT-personal fick söka tjänster i den nya organisationen. Målet var en 25%-ig effektivisering fick man backa på en del befattningar, men befattningarna inom IT-området förblev centrala. Ingen ITpersonal finns ute på institutionerna. Idag består IT-avdelningen av 35 personer. Kostnaden för IT tas ut som en del av den universitetsgemensamma kostnaden. IT-budgeten är på 35 miljoner och fastställs av universitetsdirektören. All IT-upphandling sker centralt. IT-infrastruktur Örebro universitet har ett centralt fillager och central säkerhetskopiering. Fillagret beskrivs som en intern molntjänst. Universitetet har 80% PC, 20% Mac vilket ökar samt ett fåtal Linux Katalogfunktionen är gemensam vilket bland annat medger central uppdatering av nya mjukvarupaket. En standardarbetsplats är fastställd för anställda. Universitets studentportal och webb är egenutvecklade. För bärbara datorer erbjuds VPN-uppkoppling för distansarbete Institutionerna äger sina datorhallar, men de sköts av IT-avdelningen. OrU arbetar mycket efter ISO Systemförvaltningsmodellen är kärnan i styrningen. Införande, uppföljning och rapportering En systemförvaltningsmodell är införd och ca 65 Service Level Agreements, SLA, är skrivna. IT-chefen träffar systemägarna regelbundet två gånger per år. Incidenthantering Nättrafik, larm och virus följs och övervakas. Enskilda datorer övervakas inte rutinmässigt. Genomförda revisioner Riksrevisionen genomförde en granskning 2011 men hade inga kommentarer på IT-sidan. Universitetets internrevision har inte gjort någon granskning. Hantering av molntjänster För lagring och säkerhetskopiering rekommenderas i första hand det egna fillagret. Molntjänsten Box används och Microsoft Office 365 är under utvärdering. IT-avdelningen bestämmer vilken eller vilka molntjänster som får användas. Framgångsfaktorer Systemförvaltningsmodellen är kärnan i styrningen Centralisering Automatisering, det vill säga man satsar mycket på webbaserade tjänster Fjärrstyrning medger fjärrövervakning och minimerar antalet fysiska besök, samt möjliggör fjärruppdateringar av mjukvarupaket. All IT-personal är centralt placerad vilket medför att man kan hjälpas åt och skifta arbetsuppgifter. En central placering främjar dessutom kompetensutveckling. Viktigt att våga fatta tuffa beslut. 6. Nuläget vid Linköpings universitet och förslag till förändringar Den här nulägesbeskrivningen bygger på det skriftliga underlag vi utgått från samt den information vi fått under intervjuerna. De personer vi intervjuat har på ett bra sätt delat med sig av sin kunskap om hur den egna IT-miljön ser ut och är organiserad liksom om läget när det gäller arbetet med informationssäkerhet. 9

12 Den bild som växer fram är att IT-miljön vid Linköpings universitet är splittrad. Det beskriver vi närmare i det följande. Några har starka egna IT-miljöer och vill att det ska förbli så. Andra ser fördelar med att använda de universitetsgemensamma resurserna för till exempel IT-stöd. Flera har också synpunkter på hur samarbetet med den centrala IT-funktionen fungerar. Den enklaste beskrivningen av det är att det brister i förtroende mellan de olika nivåerna. De som har ansvaret för IT-frågorna på institutionerna känner sig till exempel inte alltid delaktiga i de förändringar som görs. Det enligt vår mening nödvändiga förändringsarbete som ligger framför måste bedrivas så att förtroendet återskapas. En förutsättning för att uppnå god informationssäkerhet är att IT-säkerheten är tillfredsställande. Detta är svårt att uppnå i en splittrad IT-organisation. Olika katalogfunktioner i olika delar av universitetet, lokala e-postservrar och decentraliserade fillager är exempel på detta, och beskrivs närmare i det följande. Vår bild är att de allra flesta ser att IT-organisationen behöver förändras. Vi har under intervjuerna ställt frågan hur IT-organisationen skulle se ut om man byggde upp ett nytt universitet. Alla menar att den då skulle vara annorlunda och mer sammanhållen. Det finns alltså en god grund för att arbeta i den riktningen. 6.1 Policy och styrdokument Det grundläggande dokumentet, Ledningssystem för informationssäkerhetssystem vid Linköpings universitet, beslutades av rektor den 22 november Där beskrivs och fastställs processen för styrning och ledning av informationssäkerheten vid lärosätet. Dokumentet följer de riktlinjer som finns beskrivna i relevanta ISO-standards 7 och på webbplatsen informationssäkerhet.se. I MSBs författning med föreskrifter om statliga myndigheters informationssäkerhet föreskrivs att det också ska finnas en informationssäkerhetspolicy och de övriga styrdokument som behövs. Policy beslutades samtidigt som ledningssystemet 8. I policyn beskrivs bland annat organisationen av och ansvaret för arbetet med informationssäkerheten. I femton bilagor beskrivs kontrollåtgärder för olika moment i systemen för informationsteknik. Två ytterligare beslut kompletterar LIS, nämligen fastställande av objektägare för universitetets förvaltningsobjekt 9 samt Förvaltningsmodell för informationsbehandlande system vid Linköpings universitet 10 Dokumenten beskriver hur olika informationstillgångar samlade i förvaltningsobjekt ska förvaltas och vilka som ska vara objektägare. En viktig uppgift är att kontrollera och följa upp informationssäkerheten. I informationspolicyn slås fast att det ska finnas en informationssäkerhetssamordnare som har det samlade ansvaret för arbetet med informationssäkerhet. I organisationen är det sedan prefekten eller motsvarande som är ansvarig för informationssäkerheten inom sin organisation. Det är naturligt att den som på olika nivåer är ansvarig för informationssäkerheten också arbetar med kontroll och uppföljning av densamma. Informationssäkerhetssamordnaren har ett särskilt ansvar att se till att det finns tydliga rutiner för hur denna kontroll och uppföljning ska gå till. 6 Ledningssystem för informationssäkerhet (LIS) vid Linköpings universitet. Dnr LiU ISO/ICE 27001:2005, ISO/ICE 27002:2005 Information security Security techniques Information security management systems - Requirements 8 Informationssäkerhetspolicy. Dnr LiU Fastställande av objektägare för universitetets förvaltningsobjekt. Dnr LiU Förvaltningsmodell för informationsbehandlande systen vid Linköpings universitet. Dnr LiU

13 Men det behöver också finnas en kontroll och uppföljning som ligger vid sidan om de som har ansvar för informationssäkerheten. Denna ordnas bäst inom ramen för universitetets controllerfunktion. Även internrevisionen, som självständigt granskar universitetets styrning och kontroll, har en roll i detta avseende Universitetsstyrelsen har fattat ett principbeslut om användning av molntjänster 11. Beslutet är allmänt hållet och slår fast att universitetet inte bör motsätta sig användning av molntjänster. Styrelsen överlåter till rektor att besluta om vilka enskilda lösningar som ska tillhandahållas. Sammanfattningsvis kan vi konstatera att de styrande dokumenten vid Linköpings universitet väl fyller de krav som ställs i MSBs förordning Universitetet har en IT-strategi 12 som är fastställd i februari Strategin behöver av flera skäl uppdateras. Viktigast är att den togs fram före det att bestämmelserna om informationssäkerhet började gälla. Den utgår också från övergripande visioner och mål i den strategiska planen för Det finns nu en ny strategikarta. En uppdaterad IT-strategi måste också ta hänsyn till den utveckling som skett inom IT-området de senaste tio åren. Om de förslag som vi lämnar senare i rapporten genomförs, leder också det till ett behov av uppdatering av IT-strategin. 6.2 Genomförande och implementering MSB har på sin webbplats informationssäkerhet.se ett metodstöd för hur arbetet för god informationssäkerhet bör läggas upp och genomföras. En översiktlig beskrivning av de olika stegen beskrivs i följande bild. För varje steg finns en beskrivning av hur arbetet bör bedrivas för att nå goda resultat. 11 Användning av molntjänster ett principbeslut. Dnr LiU IT-strategi för Linköpings universitet. Dnr LiU 319/

14 Linköpings universitet har enligt vår uppfattning genomfört delar av processen på ett bra sätt. Det gäller till exempel policy och styrdokument samt den första genomgången på institutionerna av vilka förvaltningsobjekt som kan identifieras och hur riskerna ska bedömas. Men arbetet med implementeringen måste fortsätta och intensifieras. Det finns anledning att gå tillbaka för att se om det finns saker kvar att göra i de tidigare delarna av processen samt framför allt att fortsätta implementeringen, så att arbetet med informationssäkerhet får acceptans och genomslag i hela verksamheten. För detta behöver en tidplan tas fram och tillräckliga personresurser tillföras. Vi bedömer att det krävs ett tillskott på 50% av heltid under åtminstone ett år. Ett bra sätt att göra information om informationssäkerhet lätt tillgänglig för universitetets medarbetare är att skapa en webbplats. På den kan förutom allmän information även projektplaner med mera finnas. 6.3 Den tekniska IT-miljön En gemensam katalogfunktion Vid vår genomgång av den tekniska IT-miljön kan vi konstatera att flera institutioner använder egna katalogfunktioner. Någon institution har ingen katalogfunktion utan använder ett annat sätt att lagra användarnamn och lösenord samt annan information om användarna. Detta är inte en tillfredsställande ordning utifrån perspektivet informationssäkerhet. En gemensam katalogfunktion är dessutom en grundläggande åtgärd som ger mycket stora möjligheter till gemensamma lösningar för studenter och anställda och goda förutsättningar för samarbete dem emellan. När vi aktualiserat frågan om en gemensam katalogfunktion har vi, från de som har egna, fått argumentet att den LiU-gemensamma katalogfunktion som nu finns, inte fungerar tillräckligt bra för de behov som institutionen har. Det är därför av största vikt att man arbetar tillsammans med institutionerna när en gemensam katalogfunktion ska utformas så att kvalitet och funktionalitet blir god. Ett universitetsgemensamt sätt att lagra filer och att göra säkerhetskopiering Även inom detta område finns olika tekniska lösningar på institutionerna. Några använder det universitetsgemensamma fillagret, andra har byggt upp egna fillager. Någon institution står i begrepp att göra en större investering i ett eget fillager. Detta är inte ett informationssäkert sätt att hantera lagring inom en organisation och dessutom inte en rationell och kostnadseffektiv lösning. Vi kan också utifrån intervjuerna konstatera att det finns en hel del brister när det gäller säkerhetskopiering av särskilt bärbara datorer och mobila enheter. Allt fler leverantörer erbjuder lagring med hjälp av en molntjänst. Några använder denna lagringsmetod, andra menar att den är alltför osäker. Vi tror att molntjänster i framtiden kommer att ta över alltmer av det lagringsbehov som finns. Det är alltså inte meningsfullt att förbjuda molntjänster utan bättre att verka för en ansvarsfull användning Vi föreslår att det gemensamma fillagret ersätter institutionsägda fillager och att universitetet beslutar om vilken eller vilka molntjänster som får användas samt vilken typ av information som är lämplig att lagra i ett moln. Universitetsgemensam e-post Vi ser det som en självklarhet att universitetet ska ha ett gemensamt system för e-post. Så är inte fallet; ett par institutioner har egna servrar för e-post och därmed också egen utformning 12

15 av de anställdas e-postadresser. Som vi har förstått det pågår en avveckling av detta på någon institution. Vi föreslår att återstående institutionsegna e-postservrar avvecklas och att alla anställda använder LiU-e-postadress. Även detta är viktig för att säkra god informationssäkerhet vid universitetet. Universitetsgemensamt nät Det finns institutioner som har och driver egna nät. Detta kan innebära risker för informationssäkerheten vid universitetet. Vi föreslår därför att kvarvarande lokala nät avvecklas, så att alla institutioner är uppkopplade till ett universitetsgemensamt nät. Mobila enheter Synen på användning av mobila enheter som smarta telefoner och surfplattor varierar. En institution skriver i sin policy att endast stationär datorer får användas. Skälet till det uppges vara, att det säkerställer regelbunden säkerhetskopiering. I praktiken förekommer på den institutionen och på alla andra såväl bärbara datorer som mobila enheter. Det är i och för sig sant att det är lättare att säkerställa säkerhetskopiering på stationära datorer än på andra typer av plattformar. Emellertid kommer användningen av mobila enheter att öka. Det är därför viktigt att ha ett proaktivt förhållningssätt. Vi föreslår att användning av olika typer av bärbara datorer och mobila enheter tillåts. Samtidigt måste universitetet ge möjlighet att säkerhetskopiera filer från olika plattformar. Det är också viktigt att informera om vilka typer av information som ur aspekten informationssäkerhet är lämpliga att lagra på mobila enheter och om riskerna med sådana. Standardarbetsplatser Att installera nya datorer är ofta tidskrävande. Nu görs det på flera håll inom universitet, vilket medför stora variationer i såväl hårdvara som mjukvara. Det innebär i sin tur att underhållet av datorerna blir onödigt resurskrävande. Vi föreslår därför att standardarbetsplatser specificeras för såväl stationära som bärbara datorer - för PC, Mac och eventuellt Linux. De utrustas med den programvara som alla behöver varefter ytterligare program kan installeras utifrån de behov som finns. Standardarbetsplatser i kombination med en gemensam katalogfunktion säkerställer också att nödvändiga uppdateringar av programvaror kan göras. Det bidrar till en höjd informationssäkerhet. Datorsalar Man kunde tro att datorsalar används mindre nu, när studenter i allt större utsträckning har egna datorer. Men så är inte fallet. Studenterna arbetar gärna tillsammans på campus. Det gör att tillgång till datorsalar fortfarande är av stor betydelse för en bra campusmiljö. Många datorsalar drivs och administreras av olika institutioner. Det medför bland annat att rutiner för inloggning skiljer sig åt. Det betyder i sin tur att det inte alltid är möjligt för studenterna att gå till en annan datorsal, om den de brukar besöka är fullsatt. Administrationen 13

16 av datorsalarna kräver också mer resurser, när programvara och underhåll ska administreras av flera olika parter. Vi föreslår att datasalarna administreras och drivs centralt. Institutionen beställer vilka programvaror som behövs, IT-avdelningen installerar önskade programvaror och ansvarar för driften. Institutionens lärare ger det stöd som studenterna behöver för att använda en specifik programvara i utbildningen. 6.4 Organisation Den centrala IT-organisationen Universitetsförvaltningens organisation förändrades den 1 juli. Tidigare fanns ett område LiU- IT samt IT-kontoret som tillhörde området Verksamhetsstöd och Avdelningen ledningsstöd. IT-direktören hade ett övergripande processansvar och därmed en nära koppling till Universitetsledningen. LiU-IT och IT-kontoret har nu förts samman till en avdelning, ITavdelningen, som leds av IT-direktören. Avdelningen består av enheterna 1. IT-strategi och projekt 2. IT-support 3. Nätverk, IRT och telefoni 4. Systeminfrastruktur 5. Systemutveckling och systemförvaltning Det finns flera fördelar med en sammanhållen avdelning för IT-frågor. Till exempel blir ansvaret tydligare och rapportvägen till universitetsdirektören enklare. Men det finns också en risk att de viktiga strategi- och utvecklingsfrågor inte ges tillräckligt utrymme. Det beror framför allt på att IT-direktören kommer att behöva använda en hel del tid för operativa frågor och för ledning av de fem enheterna. Vi föreslår därför att man tillsätter en övergripande chef för enheterna 2-5. Det skulle avlasta IT-direktören och ge denne tid för inte minst det viktiga uppdraget som informationssäkerhetssamordnare IT-stödet på institutionerna IT-stödet på institutionerna varierar. Flera institutioner har valt att köpa tjänsten från den centrala supportenheten, andra har byggt upp egna supportorganisationer med en IT-chef som ansvarig och med några anställda tekniker. Det gäller framför allt institutionerna inom teknisk fakultet. Det finns naturliga förklaringar till denna skillnad. De tekniska institutionerna, särskilt de som verkar inom IT-området, började bygga upp sin verksamhet innan en universitetsgemensam supportorganisation var väl utvecklad. Dessa institutioner har också egen kompetens. En decentraliserad organisation av IT-stödet påverkar informationssäkerheten på ett negativt sätt. Ett exempel som kommit fram under våra intervjuer är brister i information om uppdateringar av programvaror i centrala system som alla institutioner är beroende av. Det har ibland lett till att studenter inte kunnat logga in i system som de använder i sin utbildning, det vill säga tillgängligheten till information har brustit. Ett annat exempel är svårigheten att få den kompetensutveckling som behövs och som är anpassad till universitetets gemensamma behov. För en liten lokal organisation kan det också vara svårt att ordna ersättare när medarbetare av olika anledningar är frånvarande. 14

17 De institutioner som valt att låta IT-avdelningen svara för support har mycket goda erfarenheter. De personer som tidigare var anställda på institutionen har förts över till ITavdelningen organisatoriskt, men behållit sin fysiska placering på institutionen. Det gör att närheten till institutionens medarbetare är oförändrad och innebär att fördelen med en decentraliserad organisation kan bibehållas. Vi har föreslagit flera tekniska förändringar i universitetets IT-miljö. En av dessa, en gemensam katalogtjänst som alla använder, har rektor beslutat om för rätt lång tid sedan. Trots det kan vi konstatera att beslutet ännu inte är verkställt. Det kan finnas flera skäl till det, men ett skäl är med säkerhet de svårigheter man möter i en decentraliserad organisation, där de som ska svara för genomförandet har sin organisatoriska hemvist i olika delar av universitetet. Förutsättningarna att på ett effektivt och bra sätt genomföra våra förslag och andra framtida förändringar blir därför mycket bättre i en samlad organisation. Det innebär också att förändringarna lättare kan utarbetas i samråd med berörda och att de därmed blir väl förankrade i hela organisationen. I en decentraliserad organisation uppstår ofta diskussion om brister beror på förhållanden vid till exempel en institution eller vid den centrala funktionen. Med en samlad IT-organisation kan en sådan diskussion inte uppstå. Ansvaret för verksamhetens innehåll och kvalitet ligger tydligt på den gemensamma organisationen och dess ledning och kan utkrävas av såväl institutioner som av universitetets ledning. Vi föreslår alltså att universitetet inför en samlad organisation för IT-stöd. De personer som arbetar med IT-support av olika slag på institutionerna förs organisatoriskt över till ITavdelningen. För att behålla den nära kontakten med institutionens medarbetare och god kunskap om verksamheten ska utgångspunkten vara att de som arbetar med IT-stöd har kvar sin fysiska placering på institutionen. För att säkra mycket god kvalitet i den sammanhållna organisationen föreslår vi att det görs en kompetensinventering av LiU:s samlade kompetens inom IT-området. Parallellt görs en inventering av LiU:s nuvarande och framtida kompetensbehov inom IT-området. Då dessa inventeringar är genomförda, görs en kompetensutvecklingsplan. Vissa forskningsmiljöer med särskilt stora beräknings- eller modelleringsbehov kan behöva egen stödpersonal. Det svarar mot det behov av forskningsingenjörer som finns inom delar av särskilt den tekniska och naturvetenskapliga forskningen. Var denna typ av personer ska höra hemma organisatoriskt behöver utredas särskilt. 6.5 Delegationsordningen Universitetsdirektören beslutade i juni 2013 om delegation till IT-direktören inom ITområdet. Den utgår från rektors delegationsordning 13, fastställd den 11 oktober De tre första punkterna avser modellen för objektförvaltning, ledningssystemet för informationssäkerhet och informationssäkerheten i LiUs IT-system. De följande punkterna avser beslut som rör LiUs gemensamma infrastruktur. Den avslutande punkten är av allmän karaktär och gäller beslut om särskilda regler och riktlinjer i övrigt för verksamheten inom ITområdet. Om universitetet genomför de förslag som vi presenterar i denna rapport, behöver delegationen till IT-direktören ses över. Hög informationssäkerhet förutsätter att policy, 13 Rektors delegationsordning Dnr LiU

18 riktlinjer och andra anvisningar följs i hela verksamheten. Det i sin tur kräver att någon kan påtala brister och fatta beslut om hur dessa brister ska undanröjas. IT-direktören, eller någon annan befattningshavare, måste därför i en delegation ges tillräckligt mandat för att fatta sådana beslut. 6.6 Upphandling Internrevisionen har i sin rapport påpekat att universitetet inte har kontroll över vilka system och vilken information som finns i system som hanteras av externa leverantörer. Det är naturligtvis otillfredsställande med hänsyn till informationssäkerheten. Det är inte rimligt att alla delar av organisationen ska ha de juridiska och IT-tekniska kunskaper som krävs för en informationssäker upphandling av IT-system. Processen för upphandling bör därför ändras så att IT-avdelningen kommer med vid upphandling inom IT-området. Därmed säkerställs informationssäkerheten i det som upphandlas. För den upphandling som sker lokalt i verksamheten måste det finnas tydliga anvisningar för hur informationssäkerheten ska tillgodoses. 6.7 Information och utbildning Under våra intervjuer har det framgått att kunskapen om vikten av god informationssäkerhet och hur man uppnår den finns hos många chefer i organisationen, men brister hos övriga anställda. Internrevisionen har i sin granskning konstaterat att forskningsledare är medvetna om vilken information som är känslig, men att kunskapen om hur sådan information ska hanteras på ett säkert sätt skiftar. Det är därför nödvändigt att ge alla anställda kunskap om hur säker informationshantering kan uppnås. Det finns därför behov av återkommande utbildningar, både allmänna utbildningar och riktade utbildningar särskilt till gruppen forskare. Ett bra komplement till utbildning är att skapa en webbplats för informationssäkerhet. Universitetets webbplats för upphandling är ett bra exempel på en informativ webbplats. Som vi tidigare konstaterat är regler och riktlinjer för informationssäkerhet väl utformade. Dokumenten är emellertid omfattande. Det finns därför anledning att ta fram en kortare beskrivning av begreppet informationssäkerhet och vad man behöver tänka på. 7. Rekommendationer Vi föreslår att följande åtgärder vidtas: 1. Uppdatera universitetets IT-strategi. 2. Fullfölj arbetet med implementeringen av Ledningssystem för informationssäkerhet. Tillför personresurser för det arbetet. 3. Gör de anpassningar som behövs av den nuvarande gemensamma katalogfunktionen och besluta att den ska användas av alla. 4. Ersätt institutionsägda fillager med ett gemensamt fillager med god kapacitet och tillgänglighet. 5. Föreskriv vilken eller vilka molntjänster som får användas. 6. Införliva alla i det gemensamma systemet för e-post så att endast LiU e-postadresser används. 7. Avveckla kvarvarande lokala nät så att alla använder det universitetsgemensamma nätet. 8. Tillhandahåll möjligheter att göra säkerhetskopiering av mobila enheter och informera om vilken information som är olämplig att lagra på dessa. 16

19 9. Specificera standardarbetsplatser för PC och Mac samt eventuellt Linux. 10. Administrera och driv alla datorsalar med universitetsgemensamma resurser. 11. Tillsätt en chef för de fyra enheter inom det IT-avdelningen som arbetar med support, infrastruktur och system. 12. För organisatoriskt över de som arbetar med IT-stöd på institutioner och motsvarande till IT-avdelningen och skapa på så sätt en samlad organisation för den uppgiften. 13. Uppdatera delegationsordningen när föreslagna åtgärder är beslutade. 14. Säkerställ att IT-kompetens finns med när informationsteknik upphandlas. Ge tydliga anvisningar hur informationssäkerheten tillgodoses vid lokala upphandlingar. 15. Genomför återkommande utbildning och informationsinsatser i informationssäkerhet. Anpassa denna till olika målgrupper. 8. Referenser Referenserna återfinns i fotnoter till respektive källa. 17

Kompetensutveckling av lärare

Kompetensutveckling av lärare 2013-09-04 BESLUT Dnr LiU-2011-01727 1(1) Kompetensutveckling av lärare Universitetsstyrelsen beslutar godkänna bifogad rapport om kompetensutveckling av lärare - uppföljning av vidtagna åtgärder och bedömning

Läs mer

LiU-IT ISY. Kristina Arkad ISY

LiU-IT ISY. Kristina Arkad ISY LiU-IT ISY Kristina Arkad ISY Service IT- tjänster IT- infrastruktur Serviceområdet IT- avdelningen Projekt och utveckling Applika5on Kvarters-IT området Kvarter Norrköping Kvarter Valla Norr Kvarter US

Läs mer

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet 2010-11-22 Beslut 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 IT-strategi för Linköpings universitet. Där fastslås

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Onsdagen den 23 april2014 kl Åsundasalen, Storgården, Rimforsa

Onsdagen den 23 april2014 kl Åsundasalen, Storgården, Rimforsa 1(6) Tid: Lokal: Onsdagen den 23 april2014 kl. 8.30-12.00 Åsundasalen, Storgården, Rimforsa Närvarande: Ledamöter: Anna Ekström Helen Dannetun Magnus Hall Paul Håkansson Margareta Josefsson Helena Persson

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Revisionsberättelse för universitetet avseende räkenskapsåret 2015

Revisionsberättelse för universitetet avseende räkenskapsåret 2015 2016-04-20 DNR LIU-2016-00657 BESLUT 1(2) Revisionsberättelse för universitetet avseende räkenskapsåret 2015 Riksrevisionen har i revisionsberättelse för Linköpings universitet avseende räkenskapsåret

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Uppföljning av interrevisionens revisionsrapport: upphandling

Uppföljning av interrevisionens revisionsrapport: upphandling 2013-04-12 BESLUT Dnr LiU-2011-02040 1(2) Uppföljning av interrevisionens revisionsrapport: upphandling Universitetsstyrelsen har i sitt ställningstagande den 17 februari 2012 till internrevisionens upphandlingsrapport

Läs mer

IT-verksamheten, organisation och styrning

IT-verksamheten, organisation och styrning IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1

Läs mer

Granskning av informationssäkerhet

Granskning av informationssäkerhet 1(1) DNR: SLU ua 2014.1.1.2-841 Exp. den: 2014-06- Styrelsen BESLUT 2014-06-17 Sändlista Granskning av informationssäkerhet Styrelsen beslutar: att fastställa internrevisionens rapport Informationssäkerhet,

Läs mer

En ny strategikarta för Linköpings universitet

En ny strategikarta för Linköpings universitet 2012-12-07 BESLUT Dnr LiU-2012-01028 USP 2012-6.5 1(2) En ny strategikarta för Linköpings universitet Under 2004 genomförde Linköpings universitet för första gången ett strategiarbete i syfte att skapa

Läs mer

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18 MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016 IT-strategigruppen 2013-02-18 INNEHÅLL FÖRVALTNINGSCHEF... 3 REKTOR/F... 3 IT-STRATEG...

Läs mer

Göteborgs universitets IT-strategiska plan 2010 2012

Göteborgs universitets IT-strategiska plan 2010 2012 Göteborgs universitets IT-strategiska plan 2010 2012 Förord Våren 2009 påbörjades arbetet med att ta fram en it-strategisk plan för Göteborgs universitet. Syftet med en sådan plan är att den ska vägleda

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Revisionsrapport: Riksrevisionen om Linköpings universitets årsredovisning 2012

Revisionsrapport: Riksrevisionen om Linköpings universitets årsredovisning 2012 2013-06-10 BESLUT Dnr LiU-2012-01353 1(2) Regeringen Utbildningsdepartementet Revisionsrapport: Riksrevisionen om Linköpings universitets årsredovisning 2012 Riksrevisionen har i revisionsrapport, daterad

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Instruktion för miljöledningssystemet vid Linköpings universitet

Instruktion för miljöledningssystemet vid Linköpings universitet BESLUT Dn r LiU-2014-01 075 1 (2) Instruktion för miljöledningssystemet vid har sedan slutet av nittiotalet haft regeringens uppdrag att införa och underhålla ett miljöledningssystem. Sedan 20 l O omfattas

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Hantering och riktlinjer för balanserad kapitalförändring inom universitet

Hantering och riktlinjer för balanserad kapitalförändring inom universitet 2013-04-12 BESLUT Dnr LiU-2013-000528 1(5) Hantering och riktlinjer för balanserad kapitalförändring universitet Inledning Linköpings universitet har under åren 2009-2011 redovisat överskott motsvarande

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

IT vid Göteborgs universitet. Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef)

IT vid Göteborgs universitet. Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef) IT vid Göteborgs universitet Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef) Göteborgs universitets organisation GU:s IT-stöd 2005 6 olika distansutbildningssystem 20 olika e-posttjänstsystem

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 07-05-24 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 Publicerad Beslutsfattare

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

4. Inriktning och övergripande mål

4. Inriktning och övergripande mål Lednings- och verksamhetsstöd IT-policy Bilaga 2 LS 14/06 HANDLÄGGARE DATUM DIARIENR Ante Grubbström 2005-12-19 IT-policy för samtliga verksamheter i Landstinget Sörmland 1. Definition Med IT informationsteknologi

Läs mer

Dokument: Objektägare-ITs placering. Författare Malin Zingmark, Förnyad förvaltning

Dokument: Objektägare-ITs placering. Författare Malin Zingmark, Förnyad förvaltning Dokument: Objektägare-ITs placering Författare Malin Zingmark, Förnyad förvaltning Version A Sida 1 av 9 Datum 2015-03-25 Bil p 820 : 1 Objektägare-ITs placering Innehåll Objektägare-ITs placering... 1

Läs mer

Svar på revisionsskrivelse informationssäkerhet

Svar på revisionsskrivelse informationssäkerhet TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till

Läs mer

Rapport från Placeringsrådet för LiUS Linköpings universitet samförvaltade stiftelser

Rapport från Placeringsrådet för LiUS Linköpings universitet samförvaltade stiftelser 2015-06-04 DNR LIU2015-01012 BESLUT 1(1) Rapport från Placeringsrådet för LiUS Linköpings universitet samförvaltade stiftelser Universitetsstyrelsen beslutar i sin funktion som förvaltarstyrelse för LiUS

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Högskoledirektör Beslut 2015-03-01 Dnr Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Härmed fastställs reviderad version av informationssäkerhetspolicyn vid Högskolan i Skövde.

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Revisionsrapport: Informationssäkerheten i den tekniska miljön

Revisionsrapport: Informationssäkerheten i den tekniska miljön 1(11) Styrelse och rektor Revisionsrapport: Informationssäkerheten i den tekniska miljön SAMMANFATTNING Internrevisionen (IR) har granskat och lämnar förslag till förbättringar inom området för den tekniska

Läs mer

Åtgärder med anledning av internrevisionens granskning av IT-verksamheten vid Umeå universitet

Åtgärder med anledning av internrevisionens granskning av IT-verksamheten vid Umeå universitet Sid 1 (6) Åtgärder med anledning av internrevisionens granskning av IT-verksamheten vid Umeå universitet Bakgrund Internrevisionen har på universitetsstyrelsens uppdrag granskat universitetets ITverksamhet.

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 11-09-14 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 ( rev. September

Läs mer

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy EDA KOMMUN nformationssäkerhet - Informationssäkerhetspolicy Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål... 2 3 Organisation, roller

Läs mer

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Vetlanda kommun 1 (10) Informationssäkerhetspolicy för Vetlanda kommun Dokumenttyp: Policy Beslutad av: Kommunfullmäktige (2015-12-16 202) Gäller för: Alla kommunens verksamheter Giltig fr.o.m.: 2015-12-16 Dokumentansvarig:

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Bilaga 1 - Handledning i informationssäkerhet

Bilaga 1 - Handledning i informationssäkerhet Bilaga 1 - Handledning i informationssäkerhet Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Bilagor Bilaga 1. Handledning i informationssäkerhet

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet 2010-11-22 Beslut Dm LiU-2010-01529 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 TT-strategi för Linköpings universitet.

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Vetenskapsrådets informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17

Läs mer

Tillämpning av förordningen om intern styrning och kontroll

Tillämpning av förordningen om intern styrning och kontroll 2008-06-11 BESLUT LiU-2008/00613 Tillämpning av förordningen om intern styrning och kontroll Universitetsstyrelsen beslutar godkänna principerna för det framlagda förslaget till tillämpning av förordningen

Läs mer

Verksamhetsrapport för Internrevisionen 2007.

Verksamhetsrapport för Internrevisionen 2007. Styrelse och rektor 1(6) Verksamhetsrapport för 2007. Revisionsplanen för 2007, dnr LiU 1298/06-25, beskriver internrevisionens (IR:s) planerade aktiviteterna för verksamhetsåret. Nedan redovisas genomförda

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport. 1(5) KS 2008/0177 Översyn av IT- och telefonidrift - lägesrapport Bakgrund Under det gångna året har inträffat ett antal driftstopp inom IT och telefoni som fått allvarliga konsekvenser genom att för verksamheten

Läs mer

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Innehåll 1 Inledning... 3 2 Organisationens förutsättningar... 4 3 Ledarskap... 5 4 Planering...

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet

Läs mer

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll Revisionsrapport Örebro universitet Fakultetsgatan 1 701 82 Örebro Datum Dnr 2009-03-30 32-2008-0701 Örebro universitets årsredovisning 2008 Riksrevisionen har granskat Örebro universitets årsredovisning,

Läs mer

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning 2008. 1. Sammanfattning Revisionsrapport Sveriges Lantbruksuniversitet Box 7070 750 07 Uppsala Datum Dnr 2009-03-30 32-2008-0760 Sveriges Lantbruksuniversitets årsredovisning 2008 Riksrevisionen har granskat Sveriges Lantbruksuniversitets

Läs mer

IT-Policy Vuxenutbildningen

IT-Policy Vuxenutbildningen IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2014/1308 Riktlinjer för informationssäkerhet Säkerhetskopiering och loggning Fastställda av Säkerhetschef 2014-11-25 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy. Linköpings kommun Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481

Läs mer

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18 IT-Policy för Tanums kommun ver 1.0 Antagen av Kommunfullmäktige 2013-03-18 1 Inledning Tanums kommuns övergripande styrdokument inom IT-området är IT-Policy för Tanums kommun. Policyn anger kommunens

Läs mer

Regler och riktlinjer för intern styrning och kontroll vid KI

Regler och riktlinjer för intern styrning och kontroll vid KI Riktlinjer Dnr: 1795/2009-010 2009-06-01 Sid: 1 / 9 Universitetsförvaltningen Ledningskansliet Regler och riktlinjer för intern styrning och kontroll vid KI Riktlinjerna är fastställda av konsistoriet

Läs mer

Systemförvaltningsmodell för LiU

Systemförvaltningsmodell för LiU 2006-01-11 Bilaga Dnr LiU 447/05-10 1(6) Systemförvaltningsmodell för LiU För att säkerställa att LiUs systemförvaltning bedrivs med fokus på verksamhetens nytta och på ett tydligt och enhetligt sätt använder

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

PLAN WEBBORGANISATION MIUN.SE

PLAN WEBBORGANISATION MIUN.SE MITTUNIVERSITETET Styrdokument PLAN WEBBORGANISATION MIUN.SE DNR MIUN 2013/1089 Publicerad: 2013-06-27 Beslutsfattare: Universitetsdirektör Yasmine Lindström Handläggare: Kicki Strandh Beslutsdatum: 2013-06-19

Läs mer

gb,aof9-0y 4 / 7e)./ 3

gb,aof9-0y 4 / 7e)./ 3 gb,aof9-0y 4 / 7e)./ 3 e e LINKOPINGS UNIVERSITET 2017-02-13 DNR LIU-2017-00684 BESLUT 1(2) Beslut om inrättande av och instruktion för avtalscentrumet C-research Linköpings universitet har under en följd

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetsanvisningar Förvaltning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Förvaltning i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

Inför Karolinska Institutets fördjupade riskanalyser 2012

Inför Karolinska Institutets fördjupade riskanalyser 2012 Bilaga 4 Inför Karolinska Institutets fördjupade riskanalyser 2012 Universitetsförvaltningen Ledningskansliet Fastställd av rektor Dnr 1977/2012-010 INNEHÅLL 1 Inledning... 1 2 Metodbeskrivning... 1 2.1

Läs mer

Kommunens författningssamling IT-strategi ÖFS 2010:17

Kommunens författningssamling IT-strategi ÖFS 2010:17 Kommunens författningssamling IT-strategi ÖFS 2010:17 Fastställd av Kommunfullmäktige 2010-09-27, 113 (dnr KS 2010.85 005) Ersätter författningssamling 2001:15 Utfärdare: Monika Smidestam Kategori: Styrdokument

Läs mer

En bild av kommunernas informationssäkerhetsarbete 2015

En bild av kommunernas informationssäkerhetsarbete 2015 En bild av kommunernas informationssäkerhetsarbete 2015 En bild av kommunernas informationssäkerhetsarbete 2015 En bild av kommunernas informations säkerhetsarbete 2015 Myndigheten för samhällsskydd och

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Normerande beslut: Roller, ansvar och befogenheter inom miljöledningssystemet

Normerande beslut: Roller, ansvar och befogenheter inom miljöledningssystemet Miljöenheten Eddi Omrcen Aschebergsgatan 44 Box 170, 405 30 Göteborg 031 786 15 45 eddi.omrcen@gu.se REKTORSBESLUT 1 / 2 2012-11-19 dnr V 2012/796 Rektor Normerande beslut: Roller, ansvar och befogenheter

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

--&- kile g?idey

--&- kile g?idey 111111/ l e U LINKÖPINGS NIVERS ITET --&- kile7779.7-g?idey 2017-05-11 DNR L1U-2017-01739 1(5) Universitetets huvuduppgifter är undervisning, forskning och samverkan med det omgivande samhället. En väl

Läs mer

HANDLÄGGNINGSORDNING FÖR STYRDOKUMENT

HANDLÄGGNINGSORDNING FÖR STYRDOKUMENT STYRDOKUMENT Dnr V 2013/970 HANDLÄGGNINGSORDNING FÖR STYRDOKUMENT Publicerad Beslutsfattare Ansvarig funktion medarbetarportalen.gu.se/styrdokument Rektor Universitetsledningens stab Beslutsdatum 2014-01-20

Läs mer

Ändring i delegationsordning / attestordning

Ändring i delegationsordning / attestordning RÄTTELSEBESLUT 1 2010-09-30 (Korrigerat 2010-12-20) Dnr EK 2010/43 Ändring i delegationsordning / attestordning Bakgrund 2009-01-01 infördes en ny organisation för gemensam förvaltning och service, under

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

Grundläggande IT-strategi för Falkenbergs kommun 2009-04-23 Kommunledningskontoret IT-avdelningen

Grundläggande IT-strategi för Falkenbergs kommun 2009-04-23 Kommunledningskontoret IT-avdelningen Grundläggande IT-strategi för Falkenbergs kommun 2009-04-23 Kommunledningskontoret IT-avdelningen Antagen av Kommunfullmäktige 2000-11-30 138, reviderad 2009-04-23 57 IT-strategi för Falkenbergs kommun...

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Inköp av licenser för ny IT-infrastruktur i Luleå kommun

Inköp av licenser för ny IT-infrastruktur i Luleå kommun Kommunstyrelsen 2012-04-16 89 221 Arbets- och personalutskottet 2012-03-12 65 142 Dnr 12.122-01 aprilks10 Inköp av licenser för ny IT-infrastruktur i Luleå kommun Bilaga: Specifikation inköp licenser Ärendebeskrivning

Läs mer

Riktlinjer inom ITområdet

Riktlinjer inom ITområdet Riktlinjer inom ITområdet Uppsala universitet Fastställda av universitetsdirektören 2013-06-25 Reviderade 2013-10-30 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2015/401 Riktlinjer för informationssäkerhet Medarbetares användning av molntjänster Fastställda av Säkerhetschefen 2015-03-19 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

Tal till Kungl. Krigsvetenskapsakademien

Tal till Kungl. Krigsvetenskapsakademien C LAES N O R G R E N R I K S R E V I S O R Tal till Kungl. Krigsvetenskapsakademien Riksrevisor Claes Norgren talar om informationssäkerhet inför Kungl. Krigsvetenskapsakademien, Försvarshögskolan 27 april

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer