Ledningssystem för Informationssäkerhet

Transkript

1 Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställd av Säkerhetschefen

2 Innehåll 1 Inledning Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Utvärdering av prestanda Förbättringar

3 1 Inledning Det övergripande målet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska sträva efter rätt säkerhet, dvs. att balansera risker mot kostnader för skyddsåtgärder, och styrd säkerhet, dvs. styras och utföras enligt Uppsala universitets ledningssystem för informationssäkerhet, LIS. Universitetets LIS är baserat på svensk standard SS-ISO/IEC 27001:2014 för att uppfylla kraven i myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2016:1. Arbetet med LIS vid Uppsala universitet beskrivs enligt de sju avsnitten i ISO 27001:2014 och omfattas av säkerhetsåtgärder grupperade under fjorton rubriker i ISO 27002:2014: Informationssäkerhetspolicy Organisation av informationssäkerhetsarbetet Personalsäkerhet Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet Anskaffning, utveckling och underhåll av system Leverantörsrelationer Hantering av informationssäkerhetsincidenter Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet Efterlevnad 3

4 LIS beskriver säkerhetsmål för vilka en balanserad säkerhetsnivå och lämpliga säkerhetsåtgärder ska planeras, genomföras, följas upp och kontinuerligt förbättras vid behov. Grundläggande för IT- och informationssäkerhetsarbetet är kontinuerlig uppföljning och förbättring, ofta beskrivet genom den s.k. PDCA-cykeln ( Plan-Do-Check-Act ), samt aktiv dialog med ledning och verksamhet. Som stöd i det dagliga arbetet finns policydokument, riktlinjer, rutiner och andra dokument inom informationssäkerhet fastställda och publicerade i Medarbetarportalen under Stöd och service Mål- och regelsamlingen, samt Stöd och service Säkerhet Riktlinjer. Nedan presenteras universitetets LIS utifrån de sju avsnitten i ISO 27001: Organisationens förutsättningar Organisationens förutsättningar (förstå organisationen, intressenter och dess förutsättningar, bestämma omfattningen av LIS) Organisationen ska avgöra vilka externa och interna frågor som är relevanta för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten med sitt LIS Det övergripande målet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska säkerställa att universitetets informationsresurser får ett adekvat, relevant och heltäckande skydd. Arbetet ska styras och utföras enligt universitetet LIS samt sträva efter att balansera risker mot kostnader för skyddsåtgärder. I styrdokumentet rutiner för informationssäkerhet (UFV 2017/93) anges de säkerhetskrav som ställs på universitetets informationssystem, såväl vid normal verksamhet som i tänkbara krissituationer. 4

5 I Medarbetarportalen under Stöd och service Säkerhet Riktlinjer och rutiner finns konkreta underliggande rutiner och stöddokument. 3 Ledarskap Ledarskap (Ledarskap och engagemang, policy, befattningar, ansvar) I universitets övergripande styrdokument rutiner för informationssäkerhet (UFV 2017/93) motsvarar ISO 27001:2014 informationssäkerhetspolicy beskrivs ansvar, roller och omfattning: Rektor har det övergripande ansvaret för säkerheten vid Uppsala universitet. Säkerhetschefen samordnar universitetets säkerhetsarbete samt är stödjande och rådgivande till prefekter/motsvarande. Vid behov rapporterar säkerhetschefen direkt till rektor. Vid varje institution/motsvarande är prefekt/motsvarande ansvarig för säkerheten. Intendenturen bistår prefekter/motsvarande och ansvarar för samordning av säkerhetsarbetet inom intendenturområdet. Varje medarbetare ska aktivt arbeta för ökad säkerhet, samt påpeka brister till överordnad. 4 Planering Planering (Åtgärder för att hantera risker och möjligheter, bedömning och behandling av informationssäkerhetsrisker, informationssäkerhetsmål) Detta processteg innebär att planera för, och följa upp, införandet av LIS, förvaltning av LIS samt löpande förbättringsåtgärder och ska baseras på rutiner för riskhantering (UFV 2018/211). Riskhantering av universitetets centrala system är en integrerad del av universitetets systemförvaltningsmodell. Detta innebär att varje förvaltningsområde ska genomföra en nulägesanalys av informationssäkerheten en gång per år. Analysen ligger sedan som underlag för prioriteringar och beslut om förbättringar i förvaltningsplan och budget för nästkommande verksamhetsår. Informationssäkerhetsarbetet har integrerats i det årshjul som anger hur förvaltningsarbetet ska bedrivas, se bild nedan. 5

6 System som förvaltas av intendenturer, institutioner eller motsvarande ska även de årligen genomföra en nulägesanalys av informationssäkerheten. Dessutom utökas underlaget genom universitetets årliga risk- och sårbarhetsanalys (RSA), och arbete och uppföljning enligt föreskriften om statliga myndigheters riskhantering och föreskriften om statliga myndigheters informationssäkerhet. Underlaget är avgränsat till frågor kring förebyggande och avhjälpande risk- och skadehantering, samt säkerhetsrelaterade och informationssäkerhetsrelaterade frågor, tillsammans med frågor rörande andra lagrum inom samma eller liknande ämnesområden. Underlaget inhämtas från universitetets alla institutioner, centra, intendenturer och avdelningar på förvaltningen. 5 Stöd Stöd (resurser, kompetens, medvetenhet, kommunikation, information) Säkerhetschefen ansvarar för att aktuell och lättillgänglig information om riktlinjerna för informationssäkerhet finns tillgängliga på universitetets webbplats. Informations- och utbildningsinsatser om informationssäkerhetsarbetet ska kunna erbjudas vid respektive institution/motsvarande. För ytterligare stöd finns möjlighet att kontakta universitetets säkerhetsavdelning. Grundläggande utbildningar erbjuds både via lärarledda tillfällen och via internetbaserade kurser. Utöver detta erbjuds målgruppsanpassade kurser och informationsträffar enligt behov och önskemål. 6

7 Kommunikation med verksamheten sker bland annat via e-postlistor och olika forum för bland annat IT-ansvariga och universitets förvaltningsorganisation. 6 Verksamhet Verksamhet (planering och styrning av verksamheten, samt bedömning och behandling av informationssäkerhetsrisker) Informationssäkerhetskraven identifieras med hjälp av olika åtgärder som t.ex. härledning från författningar och interna regelverk, riskanalyser, analys av incidenter och resultat från genomförda informationsklassificeringar. Rutinerna för riskhantering (UFV 2018/211), beskriver universitetets process för genomförande av avgränsning, konsekvensanalys, informationsklassificering, nulägesanalys/kravanalys, riskanalys samt hantering av identifierade säkerhetsbrister. Kravanalysen baseras på de 14 avsnitten i ISO som beskriver säkerhetsmål och åtgärder, och ger en bild av nuläget. Stöddokument för momenten finns i Medarbetarportalen under Stöd och service Säkerhet Informationssäkerhet. 7 Utvärdering av prestanda Utvärdering av prestanda (övervakning mätning, analys och utvärdering, internrevision, ledningens genomgång) Periodisk uppföljning och rapportering av hur säkerhetsarbetet fungerar i verksamheten med avseende på uppsatta mål, praktisk erfarenhet och efterlevnad utförs i huvudsak av universitetets säkerhetsavdelning. Analys och rapportering av följande statistik ska göras till universitetets säkerhetschef på regelbunden basis: Informationssäkerhetsincidenter Resultat av genomförda riskanalyser, Resultat av interna eller externa IT-revisioner Konsekvenser av eventuella förändringar i tillämpliga lagar, föreskrifter eller avtalsförpliktelser 7

8 8 Förbättringar Förbättringar (Avvikelse och korrigerande åtgärd, ständig förbättring) Ständiga förbättringar av LIS med avseende på funktionalitet och kvalitet uppnås genom korrigerande och förebyggande åtgärder information och utbildning omvärldsbevakning Förslag och prioriteringar av förbättringar i LIS ska ingå som en del av säkerhetschefens löpande planering och uppföljning av informationssäkerhetsarbetet samt utgöra underlag för den årliga verksamhetsplanen. För respektive e-område eller för ett enskilt informationssystem ska förslag och prioriteringar av förbättringsåtgärder ingå i det ordinarie förvaltningsarbetet samt utgöra underlag för den årliga förvaltningsplanen. Det årliga arbetet med riskhantering ur ett säkerhetsperspektiv i kärnverksamheten följs upp genom besök vid institutioner utifrån identifierade behov. 8