Sid 1 (16) Informationssäkerhet Risk- och sårbarhetsanalys 2015-2018 Bakgrund beslutade den 23 december 2014 att fastställa Policy för informationssäkerhet vid Umeå universitet (DNR: FS 1.1.2-1833-14). Policyn utgör grunden i högskolans ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets ramverk för informationssäkerhet och ska utgöra ett stöd för verksamheten i det dagliga arbetet. Arbetet med informationssäkerhet utgår främst från lagar, förordningar, föreskrifter, universitetets egna krav samt avtal. Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) anger bland annat att vid sidan av ovan nämnda policy ska även andra styrande dokument inom området upprättas. Föreliggande analys utgör ett sådant dokument vilket klassificerar myndighetens information med utgångspunkt i krav på konfidentialitet, tillförlitlighet och tillgänglighet och utifrån risk- och sårbarhetsanalyser samt inträffade incidenter avgöra hur risker ska hanteras. Enligt policyn ska risk och sårbarhetsanalysen fastställas för en giltighet på tre år för att spegla förändringar och nya krav i verksamheten men kan revideras tidigare om behov föreligger. Ett sådant behov identifierades i december 2016, varvid risk- och sårbarhetsanalysen reviderades. Parallellt med detta ha även Policy för informationssäkerhet vid Umeå universitet reviderats (DNR: FS 1.1.1-998-17). Modell Ledningssystemet för informationssäkerhet vid Umeå universitet bygger på PDCA-modellen enligt de övergripande stegen Planera, Genomföra, Utvärdera och Förbättra. Varje steg innehåller i sin tur en eller flera processer. En av rektor utsedd arbetsgrupp, under ledning av informationssäkerhetsansvarig har kartlagt universitetets informationssäkerhetsarbete inom en rad områden samt klassificerat dem efter de verksamhetsprocesser som följer Riksarkivets arkivredovisningsmodell (RA-FS 2008:4). 1 Klassificeringen sker därefter utifrån MBS:s modell för klassificering av information med en bedömning av respektive process säkerhetsaspekt (konfidentialitet, tillgänglighet samt riktighet) samt konsekvensnivå enligt COSO-modellen (utvecklad av Committee of Sponsoring Organization) med en riskvärdering utifrån sannolikhet och konsekvens med en skala 1-4 enligt nedan: 1 Arkiv struktureras utifrån vilken process handlingen/informationen tillhör 1
Sid 2 (16) Sannolikhet Hur stor är sannolikheten att risken uppstår i verksamheten? 1= Osannolikt Praktisk taget obefintlig risk 2= Liten sannolikhet Inträffar sannolikt inte under normala omständigheter i vart fall inte frekvent 3= Stor sannolikhet Kan mycket väl inträffa men troligtvis inte särskilt frekvent 4= Mycket stor sannolikhet Inte så mycket om det inträffar utan när och i vilken omfattning Konsekvens Vilken konsekvens får det för verksamheten om risken uppstår? 1= Försumbar Möjlig påverkan på verksamheten 2= Lindrig Konsekvensen är inte försumbar men kan hanteras i det löpande arbetet 3= Allvarlig Allvarliga störningar i verksamheten som kan påverka vårt anseende 4= Mycket allvarlig Omfattande konsekvenser för verksamheten I risk- och sårbarhetsanalysen listas den mest verksamhetskritiska risken för varje process samt vilka förebyggande åtgärder som är vidtagna, eller planeras, för att hantera eller förebygga att risken uppstår. Kolumnen ansvar anger vilken enhet/motsvarande som ansvarar, på informationssäkerhetsansvariges uppdrag, för efterlevnad, kontroll och att vidta ev. åtgärder för respektive process. 2
Sid 3 (16) Processnamn Ansvar* Konfidentialitet Riktighet Tillgänglighet Summa Risk S K Förebyggande åtgärder 1 Leda och planera verksamhet 1.1 Utforma regelverk och styrdokument 1.2 Utforma organisation 1.3 Planera, följa upp och redovisa verksamhet PE 1 4 4 9 Att universitets gemensamma regeloch styrdokument inte revideras, uppdateras och görs kända för organisationen. PE 1 3 4 8 Att rektors delegationsordningar med vidaredelegationer inte tillgängliggörs eller görs kända i organisationen PE 2 4 4 10 Att material till årsredovisning (ÅR) eller hela ÅR förloras under processen 2 3 Att det finns en organisation, struktur och rutiner med ansvariga enheter och tjänstemän för regelverket. Att det finns en organisation, struktur och rutiner för att göra regel- och styrdokument kända. 2 3 Delegationsordning presenteras så att den är tillgänglig och återsökningsbar för medarbetare i organisationen 1 3 Kontinuerlig backuptagning 3
Sid 4 (16) med färdigställande 1.4 Bedriva internrevision PE 3 4 3 10 Att känsliga uppgifter som är underlag till internrevisionsrapport sprids okontrollerat 1 2 Lagring sker så att endast Internrevisionen kommer åt uppgifter 1.5 Hantera remisser PE 1 4 3 8 Att inkomna remisser inte hanteras inom organisationen i tid 2 2 Genom diariesystem samt särskild rutin för påminnelse 1.6 Hantera samarbeten och utvärderingar 1.7 Genomföra beslutsmöten PE 2 4 4 10 Att oriktiga uppgifter finns eller att information saknas vid rapporteringar och utvärderingar till universitetets tillsynsmyndigheter PE 1 4 4 9 Att beslut som fatttas vid universitetet, vilka följer av delegationsordning eller lagstiftning, inte upprättas skriftligt eller protokollförs 2 3 Diarieföring av rapporter m.m. 3 3 Beslutsmöten följs upp årligen Information om och rutiner för möten. 2 Tillhandahålla verksamhetsstöd 4
Sid 5 (16) 2.1 Administrera ekonomi 2.2 Administrera personal 2.3 Administrera lokaler och säkerhet PE 3 4 3 10 Att samtliga bokföringsunderlag inte går att återfinna PERS 1 4 3 8 Att lön ej kan betalas ut Lönesystem går ej att använda vid lönekörningsdatum LOK 1 4 2 7 Att hyresavtal går förlorade 1 3 Samtliga bokföringsunderlag lagras universitetsgemensamt 2 3 Hantering enligt katastrofplan Primula 2 2 Hantering enligt katastrofplan Primula 1 2 Intern kontroll och backup av IT-system 2.3.5 Hantera säkerhet LOK 3 4 2 9 Nödvändig information inom krishantering kan ej distribueras 3 4 Rutiner och checklistor för att nå personal finns. Informationskanaler till studenter behöver förbättras. 2.4 Administrera arkiv och diarium ULK 1 4 4 9 Att kontinuiteten i informationen ej kan säkerställas. 2 3 Backup och godkända arkivlokaler. Uppdatera kontinuerligt mot Riksarkivets föreskrifter. Säkerställ säkerhet i informationsbärarna. 2.5 Administrera data IT 3 4 4 11 Att det sker allvarliga intrång i IT- 5 3 4 IRT incidenthantering
Sid 6 (16) och tele miljön Information i nätverk Besök av IT-chef vid incidenter Tekniska system som stoppar intrånget 2.6 Administrera information och kommunikation 2.6.2 Hantera högtider och evenemang KOM 1 3 3 7 Att universitetets information och kommunikation är bristfällig eller felaktig KOM 1 2 2 5 Att informationsförlust ur Filemaker sker. Att personuppgifter sprids. 2 3 Förbättra rutiner för kvalitetssäkring av information och kommunikation 2 2 Intern kontroll och backup. Utreda om nytt system ska införas 2.7 Hantera juridik ULK 3 4 4 11 Att universitetet och allmänheten inte har tillgång till handlingar och uppgifter. Att vi inte uppfyller kraven enligt den nya dataskyddsförordningen 2 3 Säkerställa att allmänna handlingar hanteras på ett korrekt sätt på institutions-/enhetsnivå. 3 4 Utreda vilka åtgärder som behöver vidtas för att säkerställa att vi uppfyller kraven 2.8 Bedriva biblioteks- UmUB 3 3 3 9 Att personuppgifter 2 3 Följer PUL och sekre- 6
Sid 7 (16) verksamhet 2.9 Administrera universitetsgemensamma projekt 2.10 Administrera miljö och hållbar utveckling 2.11 Tillhandahålla intern service och låneuppgifter sprids Att låneuppgifter är felaktiga Bibliotekssystem inte tillgängligt Översvämning i värdemagasin PE 1 3 3 7 Att beslutade projektplaner inte finns tillgängliga LOK 1 4 4 9 Att stödsystem saknar uppgifter eller innehåller felaktiga uppgifter PE 1 2 2 5 Att lokalvård, posthantering, och hussservice inte fungerar. tesslag 2 2 Backup så att korrekta uppgifter kan återställas 2 2 Revision katastrofplan pga. UmU-kort (pågår) 1 4 Tätning av värdemagasin är genomförd. Vattenavledning kan inte göras eftersom det kräver en ny brandklassning. Värdemagasinet ska dock flyttas. 1 2 Finns tydliga regler för projekt, bl.a. avseende projektplan 2 3 Information till personal Översyn av system för kemikaliehantering 2 2 Ordinarie arbete med hemsida och back-up m.m. Rutiner för postservice 3 Bedriva utbildning på grund och avancerad nivå 7
Sid 8 (16) 3.1 Hantera utbildningsutbudet på grund och avancerad nivå 3.2 Hantera antagning till utbildning på grund och avancerad nivå 3.3 Planera och genomföra utbildning på grund och avancerad nivå 3.4 Hantera studentärenden på grund och avancerad nivå PE 1 3 4 8 Information om ändrade eller inställda utbildningar inte når den enskilda studenten PE 2 4 4 10 Obehörigt intrång i antagningssystemet PE 8 Antagningssystemet ligger nere oplanerat mer än en dag PE 1 4 4 9 Den information eller underlag som ligger till grund för examination är felaktig. PE 2 4 4 10 Att personliga uppgifter sprids till obehöriga i samband med hantering av hälsofrämjande stöd samt pedagogiskt stöd till funktionshindrade studenter 2 3 Förbättra rutiner för kommunikation med studenter och uppdatering av information 1 4 UHR äger systemet och ansvarar för säkerhetshantering, kompletterat med lokala regler för ITsäkerhet 1 3 1 3 Det finns en tydlig examensordning 2 4 Studenthälsans verksamhet omfattas av hälso- och sjukvårdens sekretessbestämmelser (2009:400) och patientdatalagen (2008:355) som bl. a. Reglerar vårdgivares behandling av personuppgifter samt
Sid 9 (16) bestämmelserna om att föra patientjournal. Socialstyrelsen har utfärdat föreskrifter om informationshantering och journalföring i hälsooch sjukvården (SOFS 2008:14). Verksamheten har upphandlat journalsystem från Lorensberg Communication som även hanterar drift. Stödinsatser till funktionshindrade studenter omfattas av sekretess för specialpedagogisk verksamhet (2009:400). Dataregister över ansökningar, intyg/utredningar, beslut och tjänsteanteckningar har Universitets- och högskolerådet (UHR) lagringsansvaret för i systemet Nais. 3.5 Hantera internationellt utbyte och tredjelands-studenter på PE 1 3 3 7 Bristande stöd från IT-stödet Interbas 9 3 2 En förstudie kring systemstödet är genomförd. Interbas kommer
Sid 10 (16) grund- och avancerad nivå på sikt att bytas ut. 3.6 Utfärda examen på grund och avancerad nivå PE 1 4 4 9 Ladok ligger nere oplanerat mer än en vecka Obehörigt intrång i systemet 1 4 Drifts- och SLA-avtalet med ITS samt katastrofplan finns 1 4 Drifts- och SLA-avtal med ITS samt katastrofplan finns. Regelbundna kontroller görs via Ladokkonsortiet. 4 Bedriva utbildning på forskarnivå 4.1 Hantera utbildningsutbudet på forskarnivå PE 1 3 4 8 Information om ändrade eller inställda utbildningar inte når den enskilda forskarstudenten 2 3 Förbättra rutiner för kommunikation med studenter och uppdatering av information. Dock ett färre antal studenter som berörs. 4.2 Hantera forskarutbildning på individnivå 4.3 Hantera disputation och licentiatseminarium PE 2 3 3 8 Att individuella studieplaner inte upprättas PE 1 4 2 7 Bristande dokumentation 2 3 Elektroniskt system för ISP håller på att implementeras. 1 3 Regler för utbildning på forskarnivå vid Umeå universitet 10
Sid 11 (16) 4.4 Planera och genomföra utbildning på forskarnivå 4.5 Hantera studentärenden på forskarnivå 4.6 Hantera internationellt utbyte på forskarnivå 4.7 Utfärda examen på forskarnivå PE 1 3 4 8 Den information eller underlag som ligger till grund för examination är felaktig. PE 2 4 4 10 Att personliga uppgifter sprids till obehöriga. PE 1 3 3 7 Att information om regler och rutiner finns för utbyte på joint-nivå inte tillgängliggörs PE 1 4 4 9 Ladok ligger nere oplanerat mer än en vecka 11 Att obehörigt intrång i systemet sker Underlag till avhandling går förlo- 1 3 Regler för utbildning på forskarnivå vid Umeå universitet 2 4 Regler för utbildning på forskarnivå vid Umeå universitet 3 2 Förbättra rutinerna för att presentera Informationen så att den är tillgänglig och återsökningsbar för medarbetare i organisationen. 1 3 Drifts- och SLA-avtalet med ITS samt katastrofplan finns 1 4 Drifts- och SLA-avtal med ITS samt katastrofplan finns. Regelbundna kontroller görs via Ladokkonsortiet. 1 4 Tillhandahålla och informera om backuptjänster samt den enskildes an-
Sid 12 (16) 5 Bedriva forskning rad svar enligt informationssäkerhetspolicy 5.1 Planera och administrera forskningsprojekt 5.2 Genomföra forskningsprojekt PE 3 4 4 11 Att universitetet inte kan tillhandahålla nödvändig dokumentation till anslagsgivare PE 4 4 4 12 Att projektplaner och avtal förkommer eller inte kan återsökas. Att det inte finns fullgod backup eller lagring av elektronisk information 2 3 Universitetsgemensam databas Raindance innehåller information om samtliga forskningsprojekt 2 4 Alla kontrakt scannas in i Kontraktsdatabasen i Raindance 3 4 Tillhandahålla central backuptjänst Utbildning och information till nyanställda och till nätverk 5.3 Tillgängliggöra forskningsresultat PE 2 4 4 10 Att forskningsmaterial vare sig kan hållas tillgängligt eller återsökas. 2 4 Tillhandahålla en säker och systematiserad lagring av forskningsmaterial såväl under projektets löptid som efter avslutat projekt. 12
Sid 13 (16) 6 Bedriva samverkan 6.1 Bedriva uppdragsutbildning 6.2 Bedriva uppdragsforskning 6.3 Bedriva utveckling av nationella prov m.m. Övrigt Hantera universitetets inkommande förfrågningar och ärenden PE 2 3 3 8 Bristfällig dokumentation PE 3 3 3 9 Att forskningsresultaten sprids till obehörig person PE 4 4 4 12 Att de nationella proven sprids innan provtillfällena Att information förloras i de system som används för att administrera inkommande förfrågningar 2 3 Handläggningsordning för uppdragsutbildning vid Umeå universitet 1 3 Avtalsgranskning av universitetets jurister 1 4 Bra befintliga rutiner på institutionsnivå och hos ITS 2 2 Katastrofplan och riskoch sårbarhetsanalys ska tas fram för Flexite. *Ansvarig enhet/person - Informationssäkerhetsgrupp Planeringsenheten (PE) bitr. universitetsdirektör Per Ragnarsson verksamhetscontroller Inger Duchek, Planeringsenheten Universitetsledningens kansli (ULK) bitr. förvaltningschef/universitetsjurist Chatarina Larson, Universitetsledningens kansli 13
Sid 14 (16) arkivarie Oskar Westergren, Universitetsledningens kansli Lokalförsörjningsenheten (LOK) säkerhetsansvarig Jörgen Sandström, Lokalförsörjningsenheten Universitetsbiblioteket (UmUB) avdelningschef Jan Gunillasson, Universitetsbiblioteket IT-enheten (IT) IT-chef Sören Berglund, IT-enheten IT-strateg Karoline Westerlund, IT-enheten Personalenheten (PERS) bitr. enhetschef Ann-Christin Edlund Personalenheten Kommunikationsenheten (KOM) enhetschef Gunilla Stendahl 14
Sid 15 (16) Prioriteringar Följande fyra risker i risk- och sårbarhetsanalysen bedömer informationssäkerhetsgruppen som särskilt viktiga ur ett informationssäkerhetsperspektiv, alternativt där störst behov föreligger, och där åtgärder bör vidtas. Dessa risker avser även gruppen att fokusera på i det fortsatta arbetet under perioden 2017-2018. Riskerna har sammanställts i en konsekvens- och sannolikhetsmatris på nästa sida. Processnamn Risk Åtgärder Aktiviteter/ansvarig 5.3 Tillgängliggöra forskningsresultat Att forskningsmaterial vare sig kan hållas tillgängligt eller återsökas Tillhandahålla en säker och systematiserad lagring av forskningsmaterial såväl under projektets löptid som efter avslutat projekt. ULK Projektplan för förstudie påbörjad. Projekt eller arbetsgrupp för införande av e-arkiv kommer att tillsättas. 2.5 Administrera data och tele Att det inte finns fullgod backup eller lagring av elektronisk information Tillhandahålla central backuptjänst Utbildning och information till nyanställda och till nätverk PLE/IT Finansiering av central backuptjänst ska säkerställas, därefter implementering av lösning 2.7 Hantera juridik Att vi inte uppfyller kraven enligt den nya dataskyddsförordningen 2.7 Hantera juridik Att universitetet och allmänheten inte har tillgång till handlingar och uppgifter Utreda vilka åtgärder som behöver vidtas för att säkerställa att vi uppfyller kraven Säkerställa att allmänna handlingar hanteras på ett korrekt sätt på institutions- /enhetsnivå, samt utbilda och informera berörda. 15 ULK/LOK Åtgärder och omfattning av arbetet har uppskattats av ULK Informationssäkerhetsansvarig ska rekryteras, som får i uppdrag att leda arbetet ULK Systemstöd för arkivredovisning ska implementeras på institutionsnivå. Process och organisationsförändringar. Utredning av organisationen.
Sid 16 (16) Konsekvens- och sannolikhetsmatris Konsekvens Mycket allvarlig Allvarlig Lindrig - Att forskningsmaterial inte är tillgängligt - Att handlingar och uppgifter inte är tillgängliga - Att backuper saknas - Att vi inte uppfyller dataskyddsförordnin gen Försumb ar Osannolikt Liten sannolikhet Stor sannolikhet Mycket stor sannolikhet Sannolikhet 16