Ledningssystem för Informationssäkerhet

Relevanta dokument
Ledningssystem för Informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Bilaga till rektorsbeslut RÖ28, (5)

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

ISO/IEC och Nyheter

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Riktlinjer för säkerhetsarbetet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för informationssäkerhet

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Rutiner för fysisk säkerhet

Hantering av behörigheter och roller

Policy för informationssäkerhet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Vilket mervärde ger certifiering dig?

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy. Linköpings kommun

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy inom Stockholms läns landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Riktlinjer för informationssäkerhet

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy för Ystads kommun F 17:01

Riktlinjer för informationssäkerhet

Fortsättning av MSB:s metodstöd

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Ånge kommun

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Ledningens genomgång

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Granskning av informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

Ledningssystem för IT-tjänster

Myndigheten för samhällsskydd och beredskaps författningssamling

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Välkommen till enkäten!

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy

Process för intern styrning och kontroll

Rutin för hantering av styrande dokument vid Uppsala universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Regler och instruktioner för verksamheten

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Fortsättning av MSB:s metodstöd

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Systemförvaltningsmodell för LiU

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Policy för informations- säkerhet och personuppgiftshantering

Administrativ säkerhet

Bilaga 3 Säkerhet Dnr: /

Svensk Standard SS ISO/IEC SS

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Policy för säkerhetsarbetet i. Södertälje kommun

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Informationssäkerhetspolicy för Katrineholms kommun

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Utforma policy och styrdokument

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy

Finansinspektionens författningssamling

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Finansinspektionens författningssamling

Riktlinjer för informationssäkerhet

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Informationssäkerhetspolicy IT (0:0:0)

Finansinspektionens författningssamling

Informationssäkerhetspolicy

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Organisation för samordning av informationssäkerhet IT (0:1:0)

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

1(6) Informationssäkerhetspolicy. Styrdokument

Plan för intern kontroll 2017

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Riktlinje för Riskanalys och Intern kontroll

Informationssäkerhetspolicy

Transkript:

Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställd av Säkerhetschefen 2016-04-26

Innehåll 1 Inledning... 3 2 Organisationens förutsättningar... 4 3 Ledarskap... 5 4 Planering... 5 5 Stöd... 6 6 Verksamhet... 7 7 Utvärdering av prestanda... 7 8 Förbättringar... 8 2

1 Inledning Det övergripande målet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska sträva efter rätt säkerhet, dvs. att balansera risker mot kostnader för skyddsåtgärder, och styrd säkerhet, dvs. styras och utföras enligt Uppsala universitets ledningssystem för informationssäkerhet, LIS. Universitetets LIS är baserat på svensk standard SS-ISO/IEC 27001:2014 för att uppfylla kraven i myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2016:1. Arbetet med LIS vid Uppsala universitet beskrivs enligt de sju avsnitten i ISO 27001:2014 och omfattas av säkerhetsåtgärder grupperade under fjorton rubriker i ISO 27002:2014: Informationssäkerhetspolicy Organisation av informationssäkerhetsarbetet Personalsäkerhet Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet Anskaffning, utveckling och underhåll av system Leverantörsrelationer Hantering av informationssäkerhetsincidenter Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet Efterlevnad 3

LIS beskriver säkerhetsmål för vilka en balanserad säkerhetsnivå och lämpliga säkerhetsåtgärder ska planeras, genomföras, följas upp och kontinuerligt förbättras vid behov. Grundläggande för IT- och informationssäkerhetsarbetet är kontinuerlig uppföljning och förbättring, ofta beskrivet genom den s.k. PDCA-cykeln ( Plan-Do-Check-Act ), samt aktiv dialog med ledning och verksamhet. Som stöd i det dagliga arbetet finns policydokument, riktlinjer, rutiner och andra dokument inom informationssäkerhet fastställda och publicerade i Medarbetarportalen under Stöd och service Mål- och regelsamlingen, samt Stöd och service Säkerhet Riktlinjer. Nedan presenteras universitetets LIS utifrån de sju avsnitten i ISO 27001:2014 2 Organisationens förutsättningar Organisationens förutsättningar (förstå organisationen, intressenter och dess förutsättningar, bestämma omfattningen av LIS) Organisationen ska avgöra vilka externa och interna frågor som är relevanta för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten med sitt LIS Det övergripande målet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska säkerställa att universitetets informationsresurser får ett adekvat, relevant och heltäckande skydd. Arbetet ska styras och utföras enligt universitetet LIS samt sträva efter att balansera risker mot kostnader för skyddsåtgärder. I styrdokumentet rutiner för informationssäkerhet (UFV 2017/93) anges de säkerhetskrav som ställs på universitetets informationssystem, såväl vid normal verksamhet som i tänkbara krissituationer. 4

I Medarbetarportalen under Stöd och service Säkerhet Riktlinjer och rutiner finns konkreta underliggande rutiner och stöddokument. 3 Ledarskap Ledarskap (Ledarskap och engagemang, policy, befattningar, ansvar) I universitets övergripande styrdokument rutiner för informationssäkerhet (UFV 2017/93) motsvarar ISO 27001:2014 informationssäkerhetspolicy beskrivs ansvar, roller och omfattning: Rektor har det övergripande ansvaret för säkerheten vid Uppsala universitet. Säkerhetschefen samordnar universitetets säkerhetsarbete samt är stödjande och rådgivande till prefekter/motsvarande. Vid behov rapporterar säkerhetschefen direkt till rektor. Vid varje institution/motsvarande är prefekt/motsvarande ansvarig för säkerheten. Intendenturen bistår prefekter/motsvarande och ansvarar för samordning av säkerhetsarbetet inom intendenturområdet. Varje medarbetare ska aktivt arbeta för ökad säkerhet, samt påpeka brister till överordnad. 4 Planering Planering (Åtgärder för att hantera risker och möjligheter, bedömning och behandling av informationssäkerhetsrisker, informationssäkerhetsmål) Detta processteg innebär att planera för, och följa upp, införandet av LIS, förvaltning av LIS samt löpande förbättringsåtgärder och ska baseras på rutiner för riskhantering (UFV 2018/211). Riskhantering av universitetets centrala system är en integrerad del av universitetets systemförvaltningsmodell. Detta innebär att varje förvaltningsområde ska genomföra en nulägesanalys av informationssäkerheten en gång per år. Analysen ligger sedan som underlag för prioriteringar och beslut om förbättringar i förvaltningsplan och budget för nästkommande verksamhetsår. Informationssäkerhetsarbetet har integrerats i det årshjul som anger hur förvaltningsarbetet ska bedrivas, se bild nedan. 5

System som förvaltas av intendenturer, institutioner eller motsvarande ska även de årligen genomföra en nulägesanalys av informationssäkerheten. Dessutom utökas underlaget genom universitetets årliga risk- och sårbarhetsanalys (RSA), och arbete och uppföljning enligt föreskriften om statliga myndigheters riskhantering och föreskriften om statliga myndigheters informationssäkerhet. Underlaget är avgränsat till frågor kring förebyggande och avhjälpande risk- och skadehantering, samt säkerhetsrelaterade och informationssäkerhetsrelaterade frågor, tillsammans med frågor rörande andra lagrum inom samma eller liknande ämnesområden. Underlaget inhämtas från universitetets alla institutioner, centra, intendenturer och avdelningar på förvaltningen. 5 Stöd Stöd (resurser, kompetens, medvetenhet, kommunikation, information) Säkerhetschefen ansvarar för att aktuell och lättillgänglig information om riktlinjerna för informationssäkerhet finns tillgängliga på universitetets webbplats. Informations- och utbildningsinsatser om informationssäkerhetsarbetet ska kunna erbjudas vid respektive institution/motsvarande. För ytterligare stöd finns möjlighet att kontakta universitetets säkerhetsavdelning. Grundläggande utbildningar erbjuds både via lärarledda tillfällen och via internetbaserade kurser. Utöver detta erbjuds målgruppsanpassade kurser och informationsträffar enligt behov och önskemål. 6

Kommunikation med verksamheten sker bland annat via e-postlistor och olika forum för bland annat IT-ansvariga och universitets förvaltningsorganisation. 6 Verksamhet Verksamhet (planering och styrning av verksamheten, samt bedömning och behandling av informationssäkerhetsrisker) Informationssäkerhetskraven identifieras med hjälp av olika åtgärder som t.ex. härledning från författningar och interna regelverk, riskanalyser, analys av incidenter och resultat från genomförda informationsklassificeringar. Rutinerna för riskhantering (UFV 2018/211), beskriver universitetets process för genomförande av avgränsning, konsekvensanalys, informationsklassificering, nulägesanalys/kravanalys, riskanalys samt hantering av identifierade säkerhetsbrister. Kravanalysen baseras på de 14 avsnitten i ISO 27002 som beskriver säkerhetsmål och åtgärder, och ger en bild av nuläget. Stöddokument för momenten finns i Medarbetarportalen under Stöd och service Säkerhet Informationssäkerhet. 7 Utvärdering av prestanda Utvärdering av prestanda (övervakning mätning, analys och utvärdering, internrevision, ledningens genomgång) Periodisk uppföljning och rapportering av hur säkerhetsarbetet fungerar i verksamheten med avseende på uppsatta mål, praktisk erfarenhet och efterlevnad utförs i huvudsak av universitetets säkerhetsavdelning. Analys och rapportering av följande statistik ska göras till universitetets säkerhetschef på regelbunden basis: Informationssäkerhetsincidenter Resultat av genomförda riskanalyser, Resultat av interna eller externa IT-revisioner Konsekvenser av eventuella förändringar i tillämpliga lagar, föreskrifter eller avtalsförpliktelser 7

8 Förbättringar Förbättringar (Avvikelse och korrigerande åtgärd, ständig förbättring) Ständiga förbättringar av LIS med avseende på funktionalitet och kvalitet uppnås genom korrigerande och förebyggande åtgärder information och utbildning omvärldsbevakning Förslag och prioriteringar av förbättringar i LIS ska ingå som en del av säkerhetschefens löpande planering och uppföljning av informationssäkerhetsarbetet samt utgöra underlag för den årliga verksamhetsplanen. För respektive e-område eller för ett enskilt informationssystem ska förslag och prioriteringar av förbättringsåtgärder ingå i det ordinarie förvaltningsarbetet samt utgöra underlag för den årliga förvaltningsplanen. Det årliga arbetet med riskhantering ur ett säkerhetsperspektiv i kärnverksamheten följs upp genom besök vid institutioner utifrån identifierade behov. 8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss