Policy för informationssäkerhet

Relevanta dokument
Policy för informations- säkerhet och personuppgiftshantering

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy KS/2018:260

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Myndigheten för samhällsskydd och beredskaps författningssamling

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

1(6) Informationssäkerhetspolicy. Styrdokument

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy

Nya krav på systematiskt informationssäkerhets arbete

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Ledningssystem för Informationssäkerhet

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Bilaga till rektorsbeslut RÖ28, (5)

Ledningssystem för Informationssäkerhet

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Verksamhetsplan Informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Koncernkontoret Enheten för säkerhet och intern miljöledning

Välkommen till enkäten!

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

I Central förvaltning Administrativ enhet

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Riktlinjer informationssäkerhet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhetspolicy

Dnr

Informationssäkerhetspolicy IT (0:0:0)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riktlinjer för informationssäkerhet

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

DATASKYDD (GDPR) Del 2: Förvaltningsledning

Finansinspektionens författningssamling

Policy för informationssäkerhet och dataskydd 2018

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Svar på revisionsskrivelse informationssäkerhet

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Informationssäkerhetspolicy för Nässjö kommun

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Policy för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Policy för säkerhetsarbetet i. Södertälje kommun

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Myndigheten för samhällsskydd och beredskaps författningssamling

Hur värnar kommuner digital säkerhet?

Informationssäkerhetspolicy

REGEL FÖR BEVARANDE AV ELEKTRONISKA HANDLINGAR

Regler för bevarande av elektroniska handlingar vid Mittuniversitetet

REGEL FÖR KRISHANTERING

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Organisation för samordning av informationssäkerhet IT (0:1:0)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Säkerhetspolicy i Linköpings kommun

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Informationssäkerhetspolicy

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Informationssäkerhet, Linköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Ledning och styrning av IT-tjänster och informationssäkerhet

POLICY FÖR TILLGÄNGLIGHET

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Svensk författningssamling

Informationssäkerhet för samhällsviktiga och digitala tjänster

POLICY FÖR JÄMSTÄLLDHET OCH LIKABEHANDLING

Informationssäkerhet - Informationssäkerhetspolicy

Transkript:

30 Policy för informationssäkerhet Publicerad: Beslutsfattare: Lotten Glans Handläggare: Malin Styrman Beslutsdatum: Giltighetstid: Tillsvidare Sammanfattning: Informationssäkerhetspolicyn sammanfattar övergripande mål och principer för Mittuniversitetets arbete med informationssäkerhet. 1/6

Innehållsförteckning 1. Inledning... 3 2. Allmänt... 3 3. Tillämpningsområde... 4 4. Målsättning... 4 5. Principer och arbetssätt... 4 5.1 Principer för informationssäkerheten... 4 5.2 Ledningssystem för informationssäkerhet, LIS... 5 6. Ledning och samordning... 6 7. Förvaltning av policyn... 6 2/6

DNR: 2018/881 1. Inledning Informationssäkerhetspolicyn för Mittuniversitetet fastställer övergripande mål och inriktning med informationssäkerhet samt anger hur ansvaret i dessa frågor är fördelat. Policyn för informationssäkerhet; beskriver betydelsen av informationssäkerhet bestämmer tillämpningsområdet formulerar allmänna informationssäkerhetsmål definierar strategiska utgångspunkter samt arbetssätt definierar ledning och samordning fastställer en kontinuerlig utveckling av regelverket för informationssäkerheten Denna policy utgör grunden i universitetets ledningssystem för informationssäkerhet (LIS). Policyn beskriver ramverket för informationssäkerhet och ska tillsammans med ytterligare styrdokument utgöra ett stöd för verksamheten i det dagliga arbetet. Arbetet med informationssäkerhet utgår främst från lagar, förordningar, föreskrifter, interna och externa krav samt avtal. Myndigheten för samhällsskydd och beredskap (MSB) har utfärdat föreskrifter 1 på området som legat till grund vid framtagandet av policyn. Policyn tar även hänsyn till dataskyddsförordningen 2 som utgör en integrerad del av den totala informationssäkerheten. Dataskyddsförordningen syftar till att skydda personuppgifter och att hindra att personlig information sparas i onödan, att den skyddas från obehörig användning och spridning samt tas bort på begäran. 2. Allmänt Information är en av universitetets viktigaste tillgångar och en förutsättning för att verksamheten ska kunna bedrivas. Mittuniversitetet hanterar dagligen stora mängder information, både i elektronisk och i fysisk form. Informationstillgångar omfattar såväl universitetets information som de resurser som används för att hantera informationen. Att ge våra informationstillgångar ett adekvat skydd är centralt för vårt informationssäkerhetsarbete. Genom ökad användning av tekniska hjälpmedel, sociala medier och olika nätverk samt en förändrad hotbild får informationssäkerhet en växande betydelse. Informationen behöver vara tillgänglig samtidigt som den ska skyddas från att till exempel läcka ut, förvanskas eller förstöras. Om informationen inte hanteras på rätt sätt kan universitetets verksamhet, goda namn och rykte äventyras. Säker hantering av information utgör också en förutsättning för att Mittuniversitetet skall kunna fullgöra uppdraget med att tillhandahålla utbildning, bedriva forskning samt samverka med det omgivande samhället. 1 MSBFS 2016:1 Föreskrifter om statliga myndigheters informationssäkerhet 2 Europaparlamentets och rådets förordning (EU) 2016/679, GDPR 3/6

3. Tillämpningsområde Informationstillgångar är allt som innehåller information och allt som bär på information. Informationssäkerhet begränsas inte till säkerhet i IT-system utan omfattar information i alla dess former och oavsett hur informationen lagras, bearbetas och kommuniceras. Information kan t ex vara i form av text, ljud, bilder och film, och kan hanteras med stöd av IT, papper eller direkt av människor i form av tal. Policyn gäller för hela organisationen och ska implementeras i enlighet med Mittuniversitets organisation och enskilda ansvarområden. 4. Målsättning Målet för informationssäkerhetsarbetet vid Mittuniversitetet är att säkerställa en rimlig nivå för att skydda informationstillgångar mot olika hot. Vidare är målet att skapa en effektiv hantering och rutiner för att tillförsäkra att system och information omfattas av säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet. De tre säkerhetsaspekterna definieras enligt följande: Konfidentialitet att innehållet i informationstillgångarna inte får göras tillgängligt eller avslöjas för obehöriga, Riktighet att information inte förändras, vare sig obehörigen, av misstag eller på grund av driftstörningar, Tillgänglighet att informationstillgångar ska kunna utnyttjas i förväntad utsträckning och inom önskad tid. 5. Principer och arbetssätt 5.1 Principer för informationssäkerheten Arbetet med informationssäkerhet vid Mittuniversitetet ska: anpassas till verksamheten och läggas på en balanserad nivå för att ge ett bra skydd och samtidigt ta hänsyn till effektivitet för de olika verksamhetsområdena, förankras och medvetandegöras hos anställda och studenter vilket utgör en grund i informationssäkerhetsarbetet. Medarbetarna ska involveras i processen och få tillgång till kontinuerlig kompetenshöjning inom området, vara systematiskt och bygga på den etablerade standardserien SS-ISO/IEC 27000 3 med målet att skapa ett LIS, löpande ses över och förbättras, eftersom Mittuniversitetet och dess omvärld, inklusive hotbild, är under ständig förändring, 3 SS-ISO/IEC 27001:2017 samt SS-ISO/IEC 27002:2017 4/6

vara förebyggande och proaktivt, men också ha en god förmåga att kunna hantera incidenter, allvarliga störningar och kriser som ändå kan inträffa, 4 bedrivas i linje med Riksarkivets föreskrifter när det gäller att säkerställa bevarandet av elektroniska handlingar 5. 5.2 Ledningssystem för informationssäkerhet, LIS LIS består av policy, övriga styrdokument, processer och tillhörande resurser som gör att Mittuniversitetet kan säkerställa en god informationssäkerhet. Att upprätthålla en väl avvägd informationssäkerhet säkras genom att etablera och bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av LIS som ska ingå som en naturlig del i verksamheten. Genom arbetet med informationssäkerhet kan kvaliteten i och förtroendet för vår verksamhet ökas. Figur 1: Ledningssystem för informationssäkerhet, MSB 6 De övergripande stegen i ett LIS är; Identifiera & analysera, Utforma, Använda, Utvärdera & förbättra. Varje steg innehåller i sin tur en eller flera delprocesser, se figur 1. De olika delprocesserna kuggar i varandra och bygger tillsammans en helhet i informationssäkerhetsarbetet. Arbetet ska bedrivas med kontinuitet över tiden och omfatta alla delar av universitetets verksamheter och informationstillgångar. 4 MSB 2016:2 Föreskrift om Incidenthantering 5 RA-FS 2009:1, Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar 6 Processmodell baserad på metodstöd på Informationssäkerhet.se, MSB som används vid Mittuniversitetet 5/6

6. Ledning och samordning Grundprincipen är att ansvaret för informationssäkerhet följer det ordinarie verksamhetsansvaret. Nedan beskrivs informationssäkerhetsansvaret för ett antal roller. Mer detaljerade beskrivning av ansvar för respektive roll kommer att beskrivas i riktlinjer för informationssäkerhet och dataskydd. Universitetsledningen har det yttersta ansvaret för informationssäkerheten och för att säkerställa att tillräcklig informationssäkerhet tillgodoses genom hela organisationen. Enligt Mittuniversitetets säkerhetspolicy 7 har rektor det övergripande säkerhetsansvaret. Rektor har delegerat det övergripande ansvaret till förvaltningschefen som är universitetets säkerhetschef. Förvaltningschefen utser ansvarig för samordningen av informationssäkerheten enligt lärosätets ordning (informationssäkerhetschef). Informationssäkerhetschefen är ansvarig för att leda och samordna arbetet med universitetets informationssäkerhet. Chefer och systemägare ansvarar för att informationssäkerheten är god i respektive verksamhet och system och följer gällande policyer och andra styrdokument. Alla anställda och studenter ansvarar för den egna tillämningen av gällande policyer och andra styrdokument inom det egna ansvarsområdet. Dataskyddsombud ska bl a se till att dataskyddsförordningen efterlevs. Det har även inrättats en arbetsgrupp som samordnar de frågor som förordningen aktualiserar inom universitetet 8. 7. Förvaltning av policyn Informationssäkerhetsprocessen inkluderar en regelbunden översyn och eventuell revision av informationssäkerhetspolicyn och övriga styrdokument. I översynen ingår också att säkerställa att regelverket efterlevs. Dessa åtgärder ska genomföras regelbundet genom informationssäkerhetschefens försorg i enlighet med Mittuniversitetets LIS. 7 dnr MIUN 2016/2343 8 dnr MIUN 2018/713 6/6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss