Informationssäkerhet Risk- och sårbarhetsanalys

Relevanta dokument
Informationssäkerhetspolicy för Umeå universitet

HANDLINGSPLAN FÖR INFORMATIONSSÄKERHET 2018

Informationssäkerhetspolicy för Umeå universitet

"tw^ Fastställande av klassificeringsstruktur (KS)

Policy för informationssäkerhet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Projektplan. Förstudie - Förberedelser inför nya dataskyddförordningen. Versionshistorik. Uppdragsgivare Caroline Sjöberg

Fastställande av klassificeringsstruktur

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

REGEL FÖR BEVARANDE AV ELEKTRONISKA HANDLINGAR

RISKANALYS 2019 ENLIGT FÖRORDNING OM INTERN STYRNING OCH KONTROLL (PLAN)

Informationssäkerhetspolicy för Ystads kommun F 17:01

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

STRATEGISKA RÅD VID UMEÅ UNIVERSITET

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Informationssäkerhetspolicy för Ånge kommun

Policy för informations- säkerhet och personuppgiftshantering

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy IT (0:0:0)

Policy för SLU:s hantering av verksamhetsinformation

Informationssäkerhetspolicy

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy KS/2018:260

Verksamhetsplan Informationssäkerhet

REGEL FÖR KRISHANTERING

HISTORISKT. me LINKÖPINGS. Klassificeringsstruktur vid Linköpings universitet version 1.1 UNIVERSITET. Gäller från

VÄGLEDNING INFORMATIONSKLASSNING

Beslut HSN HSN BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Riktlinjer för arbetet med intern kontroll

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Klassificeringsstruktur för verksamhetsbaserad arkivredovisning, version 1.3

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

INSPEKTIONEN 1. Ansvar och organisation Förvaltningschefen är ansvarig för arkivverksamheten vid myndigheten.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Bilaga till rektorsbeslut RÖ28, (5)

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

VERKSAMHETSBERÄT- TELSE 2018 Universitetsförvaltningen

Granskning av landstingets hantering av personuppgifter

Svar på revisionsskrivelse informationssäkerhet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Klassificeringsstruktur för verksamhetsbaserad informationsredovisning, version 1.1

Riktlinjer för intern kontroll

Välkommen till enkäten!

HANDLINGSPLAN FÖR FÖREBYGGANDE AV PLAGIERING

REGEL FÖR UNIVERSITETSGEMENSAMMA STYRDOKUMENT

HISTORISKT LINKÖPINGS UNIVERSITET. Klassificeringsstruktur vid Linköpings universitet version 1.2. Gäller från

1(6) Informationssäkerhetspolicy. Styrdokument

HISTORISKT. Klassificeringsstruktur vid Linköpings universitet version 1.0 LINKÖPINGS UNIVERSITET. Gäller från

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

KLASSIFICERINGSSTRUKTUR VID STOCKHOLMS UNIVERSITET

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Riktlinjer för intern kontroll

Granskning av informationssäkerhet

Klassificeringsstruktur för Karolinska Institutet

Klassificeringsstruktur för Karolinska Institutet

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Juridik och informationssäkerhet

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

HANDLINGSPLAN OCH VERKSAMHETSPLAN 2016

Anvisning om dokumenthantering vid KTH

EKONOMISTYRREGLER VID UMEÅ UNIVERSITET

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Riktlinjer för informationssäkerhet

STUDENTCENTRUM. Vi är kända och efterfrågade för att vi underlättar studentens väg genom universitetet.

Nya krav på systematiskt informationssäkerhets arbete

Informationssäkerhetspolicy

Plan för internkontroll med väsentlighets- och riskanalys 2017 för

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Plan för internkontroll med väsentlighets- och riskanalys 2016 för Stadsarkivet

Organisation för samordning av informationssäkerhet IT (0:1:0)

Vetenskapsrådets informationssäkerhetspolicy

POLICY FÖR E-ARKIV STOCKHOLM

Lunds universitets klassificeringsstruktur version 1.1

Myndigheten för samhällsskydd och beredskaps författningssamling

Rektors delegationsordning

Informationssäkerhetspolicy

Justitiedepartementet Stockholm

Informationssäkerhetspolicy för Vetlanda kommun

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Dnr RA /4384

Hantering av personuppgifter inom Lunds universitet

Plan för internkontroll med väsentlighets- och riskanalys 2018 för

Behandling av personuppgifter vid Göteborgs universitet

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Prefekt Prefekt beslutar om miljöledningssystemet på institutionsnivå. Det innebär att prefekten/motsvarande 1 ansvarar för att:

Transkript:

Sid 1 (16) Informationssäkerhet Risk- och sårbarhetsanalys 2015-2018 Bakgrund beslutade den 23 december 2014 att fastställa Policy för informationssäkerhet vid Umeå universitet (DNR: FS 1.1.2-1833-14). Policyn utgör grunden i högskolans ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets ramverk för informationssäkerhet och ska utgöra ett stöd för verksamheten i det dagliga arbetet. Arbetet med informationssäkerhet utgår främst från lagar, förordningar, föreskrifter, universitetets egna krav samt avtal. Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) anger bland annat att vid sidan av ovan nämnda policy ska även andra styrande dokument inom området upprättas. Föreliggande analys utgör ett sådant dokument vilket klassificerar myndighetens information med utgångspunkt i krav på konfidentialitet, tillförlitlighet och tillgänglighet och utifrån risk- och sårbarhetsanalyser samt inträffade incidenter avgöra hur risker ska hanteras. Enligt policyn ska risk och sårbarhetsanalysen fastställas för en giltighet på tre år för att spegla förändringar och nya krav i verksamheten men kan revideras tidigare om behov föreligger. Ett sådant behov identifierades i december 2016, varvid risk- och sårbarhetsanalysen reviderades. Parallellt med detta ha även Policy för informationssäkerhet vid Umeå universitet reviderats (DNR: FS 1.1.1-998-17). Modell Ledningssystemet för informationssäkerhet vid Umeå universitet bygger på PDCA-modellen enligt de övergripande stegen Planera, Genomföra, Utvärdera och Förbättra. Varje steg innehåller i sin tur en eller flera processer. En av rektor utsedd arbetsgrupp, under ledning av informationssäkerhetsansvarig har kartlagt universitetets informationssäkerhetsarbete inom en rad områden samt klassificerat dem efter de verksamhetsprocesser som följer Riksarkivets arkivredovisningsmodell (RA-FS 2008:4). 1 Klassificeringen sker därefter utifrån MBS:s modell för klassificering av information med en bedömning av respektive process säkerhetsaspekt (konfidentialitet, tillgänglighet samt riktighet) samt konsekvensnivå enligt COSO-modellen (utvecklad av Committee of Sponsoring Organization) med en riskvärdering utifrån sannolikhet och konsekvens med en skala 1-4 enligt nedan: 1 Arkiv struktureras utifrån vilken process handlingen/informationen tillhör 1

Sid 2 (16) Sannolikhet Hur stor är sannolikheten att risken uppstår i verksamheten? 1= Osannolikt Praktisk taget obefintlig risk 2= Liten sannolikhet Inträffar sannolikt inte under normala omständigheter i vart fall inte frekvent 3= Stor sannolikhet Kan mycket väl inträffa men troligtvis inte särskilt frekvent 4= Mycket stor sannolikhet Inte så mycket om det inträffar utan när och i vilken omfattning Konsekvens Vilken konsekvens får det för verksamheten om risken uppstår? 1= Försumbar Möjlig påverkan på verksamheten 2= Lindrig Konsekvensen är inte försumbar men kan hanteras i det löpande arbetet 3= Allvarlig Allvarliga störningar i verksamheten som kan påverka vårt anseende 4= Mycket allvarlig Omfattande konsekvenser för verksamheten I risk- och sårbarhetsanalysen listas den mest verksamhetskritiska risken för varje process samt vilka förebyggande åtgärder som är vidtagna, eller planeras, för att hantera eller förebygga att risken uppstår. Kolumnen ansvar anger vilken enhet/motsvarande som ansvarar, på informationssäkerhetsansvariges uppdrag, för efterlevnad, kontroll och att vidta ev. åtgärder för respektive process. 2

Sid 3 (16) Processnamn Ansvar* Konfidentialitet Riktighet Tillgänglighet Summa Risk S K Förebyggande åtgärder 1 Leda och planera verksamhet 1.1 Utforma regelverk och styrdokument 1.2 Utforma organisation 1.3 Planera, följa upp och redovisa verksamhet PE 1 4 4 9 Att universitets gemensamma regeloch styrdokument inte revideras, uppdateras och görs kända för organisationen. PE 1 3 4 8 Att rektors delegationsordningar med vidaredelegationer inte tillgängliggörs eller görs kända i organisationen PE 2 4 4 10 Att material till årsredovisning (ÅR) eller hela ÅR förloras under processen 2 3 Att det finns en organisation, struktur och rutiner med ansvariga enheter och tjänstemän för regelverket. Att det finns en organisation, struktur och rutiner för att göra regel- och styrdokument kända. 2 3 Delegationsordning presenteras så att den är tillgänglig och återsökningsbar för medarbetare i organisationen 1 3 Kontinuerlig backuptagning 3

Sid 4 (16) med färdigställande 1.4 Bedriva internrevision PE 3 4 3 10 Att känsliga uppgifter som är underlag till internrevisionsrapport sprids okontrollerat 1 2 Lagring sker så att endast Internrevisionen kommer åt uppgifter 1.5 Hantera remisser PE 1 4 3 8 Att inkomna remisser inte hanteras inom organisationen i tid 2 2 Genom diariesystem samt särskild rutin för påminnelse 1.6 Hantera samarbeten och utvärderingar 1.7 Genomföra beslutsmöten PE 2 4 4 10 Att oriktiga uppgifter finns eller att information saknas vid rapporteringar och utvärderingar till universitetets tillsynsmyndigheter PE 1 4 4 9 Att beslut som fatttas vid universitetet, vilka följer av delegationsordning eller lagstiftning, inte upprättas skriftligt eller protokollförs 2 3 Diarieföring av rapporter m.m. 3 3 Beslutsmöten följs upp årligen Information om och rutiner för möten. 2 Tillhandahålla verksamhetsstöd 4

Sid 5 (16) 2.1 Administrera ekonomi 2.2 Administrera personal 2.3 Administrera lokaler och säkerhet PE 3 4 3 10 Att samtliga bokföringsunderlag inte går att återfinna PERS 1 4 3 8 Att lön ej kan betalas ut Lönesystem går ej att använda vid lönekörningsdatum LOK 1 4 2 7 Att hyresavtal går förlorade 1 3 Samtliga bokföringsunderlag lagras universitetsgemensamt 2 3 Hantering enligt katastrofplan Primula 2 2 Hantering enligt katastrofplan Primula 1 2 Intern kontroll och backup av IT-system 2.3.5 Hantera säkerhet LOK 3 4 2 9 Nödvändig information inom krishantering kan ej distribueras 3 4 Rutiner och checklistor för att nå personal finns. Informationskanaler till studenter behöver förbättras. 2.4 Administrera arkiv och diarium ULK 1 4 4 9 Att kontinuiteten i informationen ej kan säkerställas. 2 3 Backup och godkända arkivlokaler. Uppdatera kontinuerligt mot Riksarkivets föreskrifter. Säkerställ säkerhet i informationsbärarna. 2.5 Administrera data IT 3 4 4 11 Att det sker allvarliga intrång i IT- 5 3 4 IRT incidenthantering

Sid 6 (16) och tele miljön Information i nätverk Besök av IT-chef vid incidenter Tekniska system som stoppar intrånget 2.6 Administrera information och kommunikation 2.6.2 Hantera högtider och evenemang KOM 1 3 3 7 Att universitetets information och kommunikation är bristfällig eller felaktig KOM 1 2 2 5 Att informationsförlust ur Filemaker sker. Att personuppgifter sprids. 2 3 Förbättra rutiner för kvalitetssäkring av information och kommunikation 2 2 Intern kontroll och backup. Utreda om nytt system ska införas 2.7 Hantera juridik ULK 3 4 4 11 Att universitetet och allmänheten inte har tillgång till handlingar och uppgifter. Att vi inte uppfyller kraven enligt den nya dataskyddsförordningen 2 3 Säkerställa att allmänna handlingar hanteras på ett korrekt sätt på institutions-/enhetsnivå. 3 4 Utreda vilka åtgärder som behöver vidtas för att säkerställa att vi uppfyller kraven 2.8 Bedriva biblioteks- UmUB 3 3 3 9 Att personuppgifter 2 3 Följer PUL och sekre- 6

Sid 7 (16) verksamhet 2.9 Administrera universitetsgemensamma projekt 2.10 Administrera miljö och hållbar utveckling 2.11 Tillhandahålla intern service och låneuppgifter sprids Att låneuppgifter är felaktiga Bibliotekssystem inte tillgängligt Översvämning i värdemagasin PE 1 3 3 7 Att beslutade projektplaner inte finns tillgängliga LOK 1 4 4 9 Att stödsystem saknar uppgifter eller innehåller felaktiga uppgifter PE 1 2 2 5 Att lokalvård, posthantering, och hussservice inte fungerar. tesslag 2 2 Backup så att korrekta uppgifter kan återställas 2 2 Revision katastrofplan pga. UmU-kort (pågår) 1 4 Tätning av värdemagasin är genomförd. Vattenavledning kan inte göras eftersom det kräver en ny brandklassning. Värdemagasinet ska dock flyttas. 1 2 Finns tydliga regler för projekt, bl.a. avseende projektplan 2 3 Information till personal Översyn av system för kemikaliehantering 2 2 Ordinarie arbete med hemsida och back-up m.m. Rutiner för postservice 3 Bedriva utbildning på grund och avancerad nivå 7

Sid 8 (16) 3.1 Hantera utbildningsutbudet på grund och avancerad nivå 3.2 Hantera antagning till utbildning på grund och avancerad nivå 3.3 Planera och genomföra utbildning på grund och avancerad nivå 3.4 Hantera studentärenden på grund och avancerad nivå PE 1 3 4 8 Information om ändrade eller inställda utbildningar inte når den enskilda studenten PE 2 4 4 10 Obehörigt intrång i antagningssystemet PE 8 Antagningssystemet ligger nere oplanerat mer än en dag PE 1 4 4 9 Den information eller underlag som ligger till grund för examination är felaktig. PE 2 4 4 10 Att personliga uppgifter sprids till obehöriga i samband med hantering av hälsofrämjande stöd samt pedagogiskt stöd till funktionshindrade studenter 2 3 Förbättra rutiner för kommunikation med studenter och uppdatering av information 1 4 UHR äger systemet och ansvarar för säkerhetshantering, kompletterat med lokala regler för ITsäkerhet 1 3 1 3 Det finns en tydlig examensordning 2 4 Studenthälsans verksamhet omfattas av hälso- och sjukvårdens sekretessbestämmelser (2009:400) och patientdatalagen (2008:355) som bl. a. Reglerar vårdgivares behandling av personuppgifter samt

Sid 9 (16) bestämmelserna om att föra patientjournal. Socialstyrelsen har utfärdat föreskrifter om informationshantering och journalföring i hälsooch sjukvården (SOFS 2008:14). Verksamheten har upphandlat journalsystem från Lorensberg Communication som även hanterar drift. Stödinsatser till funktionshindrade studenter omfattas av sekretess för specialpedagogisk verksamhet (2009:400). Dataregister över ansökningar, intyg/utredningar, beslut och tjänsteanteckningar har Universitets- och högskolerådet (UHR) lagringsansvaret för i systemet Nais. 3.5 Hantera internationellt utbyte och tredjelands-studenter på PE 1 3 3 7 Bristande stöd från IT-stödet Interbas 9 3 2 En förstudie kring systemstödet är genomförd. Interbas kommer

Sid 10 (16) grund- och avancerad nivå på sikt att bytas ut. 3.6 Utfärda examen på grund och avancerad nivå PE 1 4 4 9 Ladok ligger nere oplanerat mer än en vecka Obehörigt intrång i systemet 1 4 Drifts- och SLA-avtalet med ITS samt katastrofplan finns 1 4 Drifts- och SLA-avtal med ITS samt katastrofplan finns. Regelbundna kontroller görs via Ladokkonsortiet. 4 Bedriva utbildning på forskarnivå 4.1 Hantera utbildningsutbudet på forskarnivå PE 1 3 4 8 Information om ändrade eller inställda utbildningar inte når den enskilda forskarstudenten 2 3 Förbättra rutiner för kommunikation med studenter och uppdatering av information. Dock ett färre antal studenter som berörs. 4.2 Hantera forskarutbildning på individnivå 4.3 Hantera disputation och licentiatseminarium PE 2 3 3 8 Att individuella studieplaner inte upprättas PE 1 4 2 7 Bristande dokumentation 2 3 Elektroniskt system för ISP håller på att implementeras. 1 3 Regler för utbildning på forskarnivå vid Umeå universitet 10

Sid 11 (16) 4.4 Planera och genomföra utbildning på forskarnivå 4.5 Hantera studentärenden på forskarnivå 4.6 Hantera internationellt utbyte på forskarnivå 4.7 Utfärda examen på forskarnivå PE 1 3 4 8 Den information eller underlag som ligger till grund för examination är felaktig. PE 2 4 4 10 Att personliga uppgifter sprids till obehöriga. PE 1 3 3 7 Att information om regler och rutiner finns för utbyte på joint-nivå inte tillgängliggörs PE 1 4 4 9 Ladok ligger nere oplanerat mer än en vecka 11 Att obehörigt intrång i systemet sker Underlag till avhandling går förlo- 1 3 Regler för utbildning på forskarnivå vid Umeå universitet 2 4 Regler för utbildning på forskarnivå vid Umeå universitet 3 2 Förbättra rutinerna för att presentera Informationen så att den är tillgänglig och återsökningsbar för medarbetare i organisationen. 1 3 Drifts- och SLA-avtalet med ITS samt katastrofplan finns 1 4 Drifts- och SLA-avtal med ITS samt katastrofplan finns. Regelbundna kontroller görs via Ladokkonsortiet. 1 4 Tillhandahålla och informera om backuptjänster samt den enskildes an-

Sid 12 (16) 5 Bedriva forskning rad svar enligt informationssäkerhetspolicy 5.1 Planera och administrera forskningsprojekt 5.2 Genomföra forskningsprojekt PE 3 4 4 11 Att universitetet inte kan tillhandahålla nödvändig dokumentation till anslagsgivare PE 4 4 4 12 Att projektplaner och avtal förkommer eller inte kan återsökas. Att det inte finns fullgod backup eller lagring av elektronisk information 2 3 Universitetsgemensam databas Raindance innehåller information om samtliga forskningsprojekt 2 4 Alla kontrakt scannas in i Kontraktsdatabasen i Raindance 3 4 Tillhandahålla central backuptjänst Utbildning och information till nyanställda och till nätverk 5.3 Tillgängliggöra forskningsresultat PE 2 4 4 10 Att forskningsmaterial vare sig kan hållas tillgängligt eller återsökas. 2 4 Tillhandahålla en säker och systematiserad lagring av forskningsmaterial såväl under projektets löptid som efter avslutat projekt. 12

Sid 13 (16) 6 Bedriva samverkan 6.1 Bedriva uppdragsutbildning 6.2 Bedriva uppdragsforskning 6.3 Bedriva utveckling av nationella prov m.m. Övrigt Hantera universitetets inkommande förfrågningar och ärenden PE 2 3 3 8 Bristfällig dokumentation PE 3 3 3 9 Att forskningsresultaten sprids till obehörig person PE 4 4 4 12 Att de nationella proven sprids innan provtillfällena Att information förloras i de system som används för att administrera inkommande förfrågningar 2 3 Handläggningsordning för uppdragsutbildning vid Umeå universitet 1 3 Avtalsgranskning av universitetets jurister 1 4 Bra befintliga rutiner på institutionsnivå och hos ITS 2 2 Katastrofplan och riskoch sårbarhetsanalys ska tas fram för Flexite. *Ansvarig enhet/person - Informationssäkerhetsgrupp Planeringsenheten (PE) bitr. universitetsdirektör Per Ragnarsson verksamhetscontroller Inger Duchek, Planeringsenheten Universitetsledningens kansli (ULK) bitr. förvaltningschef/universitetsjurist Chatarina Larson, Universitetsledningens kansli 13

Sid 14 (16) arkivarie Oskar Westergren, Universitetsledningens kansli Lokalförsörjningsenheten (LOK) säkerhetsansvarig Jörgen Sandström, Lokalförsörjningsenheten Universitetsbiblioteket (UmUB) avdelningschef Jan Gunillasson, Universitetsbiblioteket IT-enheten (IT) IT-chef Sören Berglund, IT-enheten IT-strateg Karoline Westerlund, IT-enheten Personalenheten (PERS) bitr. enhetschef Ann-Christin Edlund Personalenheten Kommunikationsenheten (KOM) enhetschef Gunilla Stendahl 14

Sid 15 (16) Prioriteringar Följande fyra risker i risk- och sårbarhetsanalysen bedömer informationssäkerhetsgruppen som särskilt viktiga ur ett informationssäkerhetsperspektiv, alternativt där störst behov föreligger, och där åtgärder bör vidtas. Dessa risker avser även gruppen att fokusera på i det fortsatta arbetet under perioden 2017-2018. Riskerna har sammanställts i en konsekvens- och sannolikhetsmatris på nästa sida. Processnamn Risk Åtgärder Aktiviteter/ansvarig 5.3 Tillgängliggöra forskningsresultat Att forskningsmaterial vare sig kan hållas tillgängligt eller återsökas Tillhandahålla en säker och systematiserad lagring av forskningsmaterial såväl under projektets löptid som efter avslutat projekt. ULK Projektplan för förstudie påbörjad. Projekt eller arbetsgrupp för införande av e-arkiv kommer att tillsättas. 2.5 Administrera data och tele Att det inte finns fullgod backup eller lagring av elektronisk information Tillhandahålla central backuptjänst Utbildning och information till nyanställda och till nätverk PLE/IT Finansiering av central backuptjänst ska säkerställas, därefter implementering av lösning 2.7 Hantera juridik Att vi inte uppfyller kraven enligt den nya dataskyddsförordningen 2.7 Hantera juridik Att universitetet och allmänheten inte har tillgång till handlingar och uppgifter Utreda vilka åtgärder som behöver vidtas för att säkerställa att vi uppfyller kraven Säkerställa att allmänna handlingar hanteras på ett korrekt sätt på institutions- /enhetsnivå, samt utbilda och informera berörda. 15 ULK/LOK Åtgärder och omfattning av arbetet har uppskattats av ULK Informationssäkerhetsansvarig ska rekryteras, som får i uppdrag att leda arbetet ULK Systemstöd för arkivredovisning ska implementeras på institutionsnivå. Process och organisationsförändringar. Utredning av organisationen.

Sid 16 (16) Konsekvens- och sannolikhetsmatris Konsekvens Mycket allvarlig Allvarlig Lindrig - Att forskningsmaterial inte är tillgängligt - Att handlingar och uppgifter inte är tillgängliga - Att backuper saknas - Att vi inte uppfyller dataskyddsförordnin gen Försumb ar Osannolikt Liten sannolikhet Stor sannolikhet Mycket stor sannolikhet Sannolikhet 16