Föreskrifter för IT-området vid Kungl. Musikhögskolan

Transkript

1 Föreskrifter för IT-området Fastställda av högskolestyrelsen. Kungl. Musikhögskolan i Stockholm Royal College of Music Valhallavägen 105 Box SE Stockholm Sweden Tel Fax info@kmh.se

2 2/12 Föreskrifter för IT-området

3 Föreskrifter för IT-området 3/12 Föreskrifter för IT-området vid Kungl. Musikhögskolan 1 Syfte Dessa föreskrifter stipulerar vad som gäller avseende IT-miljön i Stockholm (KMH). Detta inkluderar även användning av KMH:s IT-resurser samt åtgärder för att förebygga störningar och som därigenom leder till en tryggad informationshantering. Utgångspunkten för föreskrifterna är att datorresurser, datornät, kringutrustning och konton ägs och drivs av KMH för användning i av KMH auktoriserad verksamhet. 2 IT-säkerhet Med IT-säkerhet menas de åtgärder som vidtas för att säkra IT-systemens tillgänglighet samt riktighet, inklusive spårbarhet och sekretess avseende data. IT-säkerhetsarbetet vid KMH ska förhindra att störningar i datanät, datorer och datasystem orsakar allvarliga konsekvenser för KMH som helhet samt för anställda och studenter. Det ska finnas en samordnande IT-säkerhetsansvarig som är rådgivande i ITsäkerhetsfrågor. 2.1 Tillgänglighet Alla IT-system vid KMH ska präglas av öppenhet, tillgänglighet och användbarhet. Det säkerställs genom att beakta relevanta standarder. Användbarhet och användarvänlighet ska beaktas från början oavsett om det gäller inköp eller egenutveckling av system. 2.2 Informationsklassning Informationssäkerhetsnivån på data som finns i KMH:s system ska vara fastställd enligt KMH:s modell för informationsklassning. Nivån fastställs i samband med nyutveckling av system och dokumenteras av systemägaren. Informationsklassningen utgör underlag för vilken säkerhet som ska gälla för hantering av behörighet till data och kommunikationslösning för systemet. 2.3 Datakommunikation KMH:s krav på tillgänglighet, riktighet och sekretess i datakommunikationen ska vara fastställd utifrån KMH:s gemensamma krav. Kommunikationslösningen ska motsvara dessa krav och endast användas för sådan information den är anpassad för.

4 4/12 Föreskrifter för IT-området 2.4 Skydd av IT-resurser Endast de som har tilldelats behörighet skall ha åtkomst till KMH:s IT-system och den information och de processer som de hanterar. Det ska finnas riktlinjer och rutiner för säkerställande av sekretess, riktighet och aktualitet av informationen i IT-systemen. Omfattningen av loggning av IT-systemen ska ske utifrån de säkerhetskrav som finns för att kunna spåra, upptäcka och åtgärda felaktigheter och oegentligt användande. 2.5 Nätverket KMH:s krav på tillgänglighet, riktighet, spårbarhet och sekretess i datakommunikationen ska vara fastställd med utgångspunkt från den totala kravbilden för de system som ingår i KMH:s IT-miljö. Kommunikationslösningen ska motsvara dessa krav. Det ska finnas en aktuell beskrivning över KMH:s nätverk. I denna beskrivning ska det finnas en förteckning över samtliga anslutningar och vilka tjänster som är tillåtna Inkoppling till nätverket Inkoppling av fast utrustning får endast ske av IT-avdelningen. Inkoppling av mobil utrustning ska ske i enlighet med KMH:s rutiner. IT-chefen är ansvarig för att det finns information om vilka administratörer som har behörighet att administrera KMH:s nätverk Extern åtkomst All extern åtkomst till KMH:s lokala nätverk ska ske genom av KMH fastställd säker anslutning. Beroende på tilldelad behörighet kan användare även ha tillgång till vissa av KMH:s IT-tjänster via Kontinuitets-, avbrotts- och krisplanering Det ska finnas fastställda kontinuitets-, avbrotts- och krisplaner för KMH:s verksamhetskritiska IT-system. Rektor beslutar i samråd med förvaltningschefen vilka system som är verksamhetskritiska. För övriga system fastställer systemägaren om kontinuitets-, avbrotts- och krisplaner ska finnas. Kontinuitets-, avbrotts- och krisplaneringen ska beskriva vad som avses med normalt respektive onormalt läge för systemet. Förebyggande och skadebegränsande hanteringsrutiner ska finnas. Inom ramen för det normala läget ska det klarläggas hur man bibehåller kontinuitet, samt vilka krav det ställer avseende driftshanteringen i fråga om förebyggande av avbrott, begränsad skada samt återställande av data. För det onormala läget ska krisplanering klarlägga krisscenarios och därtill kopplade hanteringsrutiner för IT-verksamheten, i syfte att begränsa skador och på sikt återställa normal driftsituation. 2.7 Incidenter

5 Föreskrifter för IT-området 5/12 Alla incidenter som uppstår i IT-miljön ska anmälas till IT-säkerhetsansvarig, som ansvarar för att incidenten registreras och, i allvarliga fall, även till ledningen. En incident omfattar en situation som kan utgöra hot mot IT-miljön eller de data den hanterar. En incident kan bl.a. avse följande: Misstänkta intrång och intrångsförsök Brott mot sekretess Upptäckt av skadlig programvara (t.ex. virus) Försök av obehörig att få åtkomst till behörighetsuppgifter (t.ex. phishing) Användande av annans behörighet Olaglig verksamhet Stulen/borttappad utrustning Otillåten datatrafik Fel på IT-system och driftavbrott Avsiktligt framkallade driftavbrott 3 Förvaltning av system En förvaltningsorganisation ska finnas dokumenterad för respektive system vilken beskriver hur organisation och arbetsformer är utformade. En systemägare, en systemansvarig och driftsansvarig måste finnas för respektive system. Systemägare är lägst avdelningschef och ansvarar för de data som systemet innehåller. Ansvarsfördelningen mellan den avdelning/ institution som äger systemet och IT-avdelningen ska tydligt framgå av dokumentationen. Support för användning av verksamhetssystem tillhandahålls av respektive systemförvaltningsorganisation. Regelbundna möten ska hållas inom respektive systemförvaltningsorganisation för uppföljning av beslutad förvaltningsplan. 4 Drift och underhåll 4.1 Intern drift IT-avdelningen ansvarar för drift och underhåll av KMH:s IT-resurser, IT-infrastruktur och för de system som är driftgodkända och implementerade i KMH:s IT-miljö. Ansvarsfördelning mellan den avdelning/institution som äger ett system och IT-avdelningen ska vara dokumenterad. 4.2 Extern drift För de system som har extern drift ska ett avtal finnas mellan KMH och den externa leverantören som reglerar ansvarsförhållanden mellan leverantören och KMH. Avtalet ska säkerställa att leverantören förbinder sig att uppfylla den IT-säkerhetsnivå som beslutats att gälla för systemet samt att personuppgifter behandlas i enlighet med PUL. KMH:s mall för särskilda villkor vid extern drift ska ifyllas och ingå i avtalet.

6 6/12 Föreskrifter för IT-området 4.3 Driftdokumentation Systemägare ansvarar för att driftdokumentation finns och uppdateras vid förändringar i ITsystemet. Driftdokumentationen ska innehålla beskrivning av hur systemet ska installeras och konfigureras. Kopia av uppdaterad driftdokumentation ska förvaras skyddad och åtskild från driftstället. 5 IT-styrning Utveckling av nya system samt vidareutveckling av befintliga system och IT-infrastruktur ska beslutas och prioriteras av KMH:s ledning. IT-utveckling ska ske i samklang med KMH:s övriga verksamhetsutveckling. Prioriteringarna ska göras med utgångspunkt från gällande verksamhetsstrategi och tillgängliga resurser. Vidareutveckling av befintliga system ska dokumenteras i en årlig förvaltningsplan vilken beskriver aktiviteter som ska genomföras under året. Prioritering och beslut av både nya och befintliga system ska ske i samband med budgetarbetet. Prioriteringen ska resultera i en årlig IT-plan som beslutas av rektor. Om behov av nya system uppstår under året, vilka faller utanför beslutad IT-plan och förvaltningsplaner, ska beslut fattas i särskild ordning av rektor respektive förvaltningschef. 6 IT-inköp och systemutveckling KMH strävar efter att i första hand upphandla standardsystem eller andra beprövade system, t.ex. system som utvecklats av andra högskolor. Egenutveckling ska endast ske i undantagsfall, när standardsystem eller motsvarande inte uppfyller KMH:s behov. 6.1 Löpande IT-inköp Löpande inköp av hård- och mjukvara ska ske centralt av IT-avdelningen efter inkommen och av chef godkänd beställning från avdelning/institution. Kostnader för upphandling/ inköp belastar beställande avdelning/institution. IT-avdelningen ansvarar för licenser för mjukvara ingående i basutbud/standard. Respektive avdelning/institution ansvarar för att föra register över samt att förvara licensuppgifter och installationsskivor för egna inköpta programvaror som inte ingår i KMH:s basutbud/standard. 6.2 Utveckling/anskaffning av system Upphandling av verksamhetssystem ska ske i samråd med IT-avdelningen och genom beslut av förvaltningschefen. IT-avdelningen sammanställer hela KMH:s IT-behov årligen i samband med budgetarbetet. (Se även avsnitt 5 IT-styrning). Arbetet med utveckling/anskaffning ska bedrivas systematiskt i en projektarbetsform som projektet själv väljer. Allt eget utvecklingsarbete ska följa IT-avdelningens systemutvecklingsprocess. Vid nyutveckling/anskaffning av system ska den data som systemet kommer att innehålla informationsklassas. KMH:s modell för informationsklassning ska användas (se avsnitt 2.2).

7 Föreskrifter för IT-området 7/12 Tillgängligheten till informationen i IT-systemen ska säkras utifrån verksamhetens krav, både under systemens levnad och för framtida behov av informationen. Inom ramen för ny- och vidareutveckling av IT-system ska en plan tas fram för säkrande av tillgång till informationen efter att systemet tagits ur drift. (Se även avsnitt 2.5 Kontinuitets-, avbrottsoch krisplanering Driftgodkännande Nyutvecklade IT-system ska innan driftsättning testas och driftgodkännas. ITsäkerhetsansvarig ansvarar för att innan driftsättning sker, göra en säkerhetsgranskning av systemet vilken ligger till grund för beslutet. IT-chefen beslutar om driftsgodkännande av systemet i KMH:s IT-miljö. 6.3 Avveckling av system Vid avveckling av system ska en plan utarbetas som beskriver hur detta ska genomföras. Data i systemet ska säkerställas på ett sådant sätt att gällande lagar, förordningar och interna regler efterföljs, samt att data behandlas i enlighet med den informationsklassningsnivå som fastställts för systemet. 7 Användning av IT-resurser 7.1 Åtkomst till IT-resurser Behörighet till KMH:s IT-resurser ska godkännas av berörd chef före tilldelning. Samtliga användare ska, innan de tilldelas behörighet, på av KMH beslutad ansvarsförbindelse, skriftligt intyga att de tagit del av KMH:s regler för användning av högskolans IT-resurser. Till behörigheten hör en användaridentitet och ett lösenord. Behörigheten och därtill hörande resurser får endast användas av behörig innehavare. Lösenordet ska vara utformat i enlighet med gällande lösenordsrutiner och lösenordet som tillhör behörighet måste hållas hemligt. Behörigheten är tidsbegränsad och kommer att upphöra när studierna, anställningen, projektet eller motsvarande upphör. KMH har rätt att avsluta en användares behörighet om denne varit inaktiv mer än sex månader såvida ingen annan överenskommelse finns. 7.2 Regler för användning Sabotage eller störande verksamhet mot systemet eller andra användare samt intrång eller försök till intrång i system, lokalt såväl som på system utanför KMH, är förbjudet. Det är inte tillåtet att utnyttja felkonfigureringar, programfel eller andra metoder i syfte att skaffa utökade systemrättigheter eller annan behörighet än som är utdelade av systemansvariga. Kommersiell användning av KMH:s datorresurser är förbjuden om inte annat överenskommits.

8 8/12 Föreskrifter för IT-området Utrustningen får inte användas för att betrakta, ladda ned, skriva ut eller på annat sätt hantera pornografiskt, rasistiskt eller på annat sätt trakasserande material. All olaglig hantering samt illegal nedladdning av upphovsrättsligt material på KMH-ägd utrustning är förbjuden. IT-avdelningen förbehåller sig rätten att vid upptäckt av sådant material omedelbart radera detta samt rapportera detta till ledningen. Endast material där det klart framgår att spridning är tillåten får kopieras eller distribueras. Allt upphovsrättsligt skyddat material får enbart kopieras eller distribueras med tillåtelse från rättighetsinnehavaren. Det är ej tillåtet att dölja sin identitet vid användning av KMH:s IT-resurser (nät eller därtill kopplade IT-resurser). Alla som upptäcker fel, brister, regelbrott, oegentligheter eller andra problem ska rapportera detta omgående till systemansvarig eller IT-avdelningen. KMH förbehåller sig rätten att inskränka möjligheten att publicera och distribuera material via KMH:s IT-resurser. KMH:s anslutning till Internet sker via SUNET och användare måste därmed följa SUNET:s etiska regler. 7.3 Påföljder och åtgärder vid regelbrott KMH kommer att anmäla brott mot dessa föreskrifter samt mot gällande lagstiftning till disciplinnämnd/personalansvarsnämnd och i grövre fall polis, vilket kan leda till kontohavarens avstängning från studier och rättsliga påföljder. Systemansvariga har rätt att vid grundad misstanke om regelbrott hindra tillgång till KMH:s dator, nät, och systemresurser. För systemansvariga med behörigheter till andras information gäller tystnadsplikt, dock inte mot rättsvårdande myndigheter. För att sköta den dagliga driften, samt kontrollera att dessa föreskrifter efterlevs, har systemansvariga rätt att inom sitt ansvarsområde och utan förvarning övervaka KMH:s system och kontrollera innehållet i trafik, data e.d. som finns lagrade eller är under befordran. 8 Arbetsstationer KMH tillhandahåller arbetsstationer anslutna till KMH:s nätverk för de anställda som så behöver för sitt arbete. KMH erbjuder därutöver gemensamma arbetsstationer tillgängliga för personal och studenter i allmänna utrymmen och i datasalar. Hård- och mjukvarustandard för KMH:s datorer fastställs av IT-avdelningen. Standarder revideras löpande i samband med verksamhetsplanering. All installation och uppgradering av hård- och mjukvara på KMH-ägd utrustning ska göras av IT-avdelningen. Eventuella avvikelser ska godkännas av IT-avdelningen. Vid anskaffning av ny utrustning eller programvara ska godkännande ske av IT-avdelningen för att kvalitetssäkra produkten. (Se även 13.2 Utveckling/anskaffning av system.)

9 Föreskrifter för IT-området 9/12 9 Skrivare KMH tillhandahåller multifunktionsskrivare (skrivare/kopiator) tillgängliga i nätverket för personal och studenter. Serviceavdelningen ansvarar för att samordna underhåll av dessa. IT-avdelningen ansvarar för att funktioner för utskrift är tillgängliga i nätverket för av KMH installerade skrivare. 10 Datalagring Respektive student och anställd har tillgång till en personlig mapp för att lagra filer på den gemensamma filservern. Även respektive avdelning/institution har tillgång till en egen mapp på den gemensamma filservern, enbart tillgänglig för avdelningens respektive institutionens användare. I IT-miljön finns virtuella arbetsrum där användaren kan lagra filer för avgränsade arbetsgrupper, undervisningsgrupper eller projektgrupper. Tilldelning av personliga och organisatoriska mappar sker i enlighet KMH:s rutiner för behörighetstilldelning. (För säkerhetskopiering se avsnitt 13.) 11 E-post KMH är en statlig myndighet och måste följa offentlighetsprincipen, vilket medför att all inkommande e-post är allmän handling. KMH:s personal måste även beakta gällande lagar rörande arkivregler, offentliga handlingar, sekretess etc. som gäller för myndigheter Anställds e-post Externt inkommen e-post till anställd är att betrakta som inkommen handling och ska i förekommande fall behandlas på samma sätt som fysiskt inkomna handlingar d.v.s, i de fall de enligt arkivreglerna ska diarieföras, skickas till registrator. Central loggning sker av KMH:s inkommande och utgående e-post-trafik. E-postloggar är offentlig handling och kan vid en eventuell förfrågan komma att lämnas ut. E-postmeddelanden som inte är arbetsmaterial är att betrakta som allmänna handlingar och kan komma att lämnas ut vid förfrågan. E-post får användas privat om det inte innebär olägenhet för KMH, men e-post som inte rör den anställdes tjänst vid KMH ska alltid skiljas från meddelanden som rör myndighetens verksamhet. E-post inkommen till KMH får vidarebefordras till en extern e-postadress, dock är det inte tillåtet att svara på e-post i tjänsten med en extern e-postadress. Inkommen e-post måste öppnas och åtgärdas innan den raderas. Vid frånvaro, d.v.s. vid semester, tjänsteresa m.m. bör ett automatsvar användas där det framgår när användaren är tillbaka samt en hänvisning till vem man ska kontakta i brådskande ärenden.

10 10/12 Föreskrifter för IT-området 11.2 Students e-post Studenters och studentkårens e-postbrevlådor omfattas inte av offentlighetsprincipen eftersom studenters e-post inte utgör myndighetens handlingar. Student som tjänstgör som anställd på KMH ska ha ett separat e-postkonto i egenskap av anställd. 12 IT-support IT-avdelningen tillhandahåller teknisk support för hård- och mjukvara som ingår i basutbudet/standard. Med basutbud/standard avses licensierad mjuk- och hårdvara som är distribuerad av IT-avdelningen. IT-avdelningen fastställer basutbud/standard årligen i samband med verksamhetsplaneringen. Den tekniska supporten omfattar teknisk funktionalitet av hård- och mjukvara. För verksamhetssystem som finns i KMH:s IT-miljö, men där systemansvaret ligger utanför IT-avdelningen, tillhandahålls support och tilldelning av behörighet av den avdelning där systemägarskapet finns. (Se även avsnitt 3 Förvaltning av system.) 12.1 Begränsningar IT-avdelningen ger inte support i användning av mjukvaror. Om fel uppstår på KMH-ägd IT-utrustning som är placerad utanför KMH:s lokaler (t.ex. i hemmet) ansvarar användaren för att transportera utrustningen till KMH. Ingen support ges utanför KMH:s lokaler eller nätverk. Eventuella program som användare själv köpt in och installerat på KMH-ägd utrustning kommer att raderas om datorn, pga av mjukvaruuppdatering eller fel, måste ominstalleras. Användaren ansvarar själv för att ominstallera sådana program efter godkännande av ITavdelningen.

11 Föreskrifter för IT-området 11/12 13 Säkerhetskopiering IT-avdelningen genomför central säkerhetskopiering av data i KMH:s nätverk i enlighet med vad som är fastställt för respektive system Anställdas data Anställdas lagrade filer på den gemensamma filservern d.v.s. anställdas personliga mappar, institutioners och avdelningars och arbetsgruppers gemensamma mappar, säkerhetskopieras varje natt. Data kan återställas sju kalenderdagar tillbaka. Data lagrat på den gemensamma filservern som är bild-, musik- eller filmfiler omfattas inte rutinmässigt av den centrala säkerhetskopieringen. Användaren ansvarar själv för att säkerhetskopiera dessa. Anställda med arbetsuppgifter som som kräver säkerhetskopiering av bild-, musik- eller filmfiler kan genom särskild överenskommelse mellan IT-avdelningen och respektive avdelningschef, prefekt eller motsvarande omfattas av säkerhetskopiering Studenters data Studenters data som är lagrad i de personliga mapparna på den gemensamma filservern säkerhetskopieras varje natt. Data lagrat på den gemensamma filservern som är bild-, musikeller filmfiler omfattas dock inte av IT-avdelningens centrala säkerhetskopiering. Studenten har alltid det yttersta ansvaret att själv säkerhetskopiera egen data Data i verksamhetssystem Data i verksamhetssystem säkerhetskopieras i enlighet med vad som har beslutats och dokumenterats mellan IT-avdelningen och respektive systemägare. Systemägare ska fatta beslut och överlämna dokumenterade direktiv till IT-avdelningen gällande vilka data som ska kopieras, hur ofta samt var den ska förvaras. Vid extern drift av system ska motsvarande information finnas angivet i avtalet med aktuell leverantör Lokalt lagrade filer Användarna ansvarar själva för att säkerhetskopiera lokalt lagrade filer på mobila datorer eller arbetsstationer Mobila datorer En utökad risk föreligger för att mobila datorer blir stulna, kvarglömda, tappade eller går sönder. Användare av mobila datorer har därför alltid själv huvudansvaret för att säkerställa att data som lagras på den mobila datorn säkerhetskopieras samt att data skyddas i enlighet med motsvarande nivå av informationsklassning (se avsnitt 2.2).

12 Kungl. Musikhögskolan i Stockholm Royal College of Music Valhallavägen 105 Box SE Stockholm Sweden Tel Fax info@kmh.se