30 Policy för informationssäkerhet Publicerad: Beslutsfattare: Lotten Glans Handläggare: Malin Styrman Beslutsdatum: Giltighetstid: Tillsvidare Sammanfattning: Informationssäkerhetspolicyn sammanfattar övergripande mål och principer för Mittuniversitetets arbete med informationssäkerhet. 1/6
Innehållsförteckning 1. Inledning... 3 2. Allmänt... 3 3. Tillämpningsområde... 4 4. Målsättning... 4 5. Principer och arbetssätt... 4 5.1 Principer för informationssäkerheten... 4 5.2 Ledningssystem för informationssäkerhet, LIS... 5 6. Ledning och samordning... 6 7. Förvaltning av policyn... 6 2/6
DNR: 2018/881 1. Inledning Informationssäkerhetspolicyn för Mittuniversitetet fastställer övergripande mål och inriktning med informationssäkerhet samt anger hur ansvaret i dessa frågor är fördelat. Policyn för informationssäkerhet; beskriver betydelsen av informationssäkerhet bestämmer tillämpningsområdet formulerar allmänna informationssäkerhetsmål definierar strategiska utgångspunkter samt arbetssätt definierar ledning och samordning fastställer en kontinuerlig utveckling av regelverket för informationssäkerheten Denna policy utgör grunden i universitetets ledningssystem för informationssäkerhet (LIS). Policyn beskriver ramverket för informationssäkerhet och ska tillsammans med ytterligare styrdokument utgöra ett stöd för verksamheten i det dagliga arbetet. Arbetet med informationssäkerhet utgår främst från lagar, förordningar, föreskrifter, interna och externa krav samt avtal. Myndigheten för samhällsskydd och beredskap (MSB) har utfärdat föreskrifter 1 på området som legat till grund vid framtagandet av policyn. Policyn tar även hänsyn till dataskyddsförordningen 2 som utgör en integrerad del av den totala informationssäkerheten. Dataskyddsförordningen syftar till att skydda personuppgifter och att hindra att personlig information sparas i onödan, att den skyddas från obehörig användning och spridning samt tas bort på begäran. 2. Allmänt Information är en av universitetets viktigaste tillgångar och en förutsättning för att verksamheten ska kunna bedrivas. Mittuniversitetet hanterar dagligen stora mängder information, både i elektronisk och i fysisk form. Informationstillgångar omfattar såväl universitetets information som de resurser som används för att hantera informationen. Att ge våra informationstillgångar ett adekvat skydd är centralt för vårt informationssäkerhetsarbete. Genom ökad användning av tekniska hjälpmedel, sociala medier och olika nätverk samt en förändrad hotbild får informationssäkerhet en växande betydelse. Informationen behöver vara tillgänglig samtidigt som den ska skyddas från att till exempel läcka ut, förvanskas eller förstöras. Om informationen inte hanteras på rätt sätt kan universitetets verksamhet, goda namn och rykte äventyras. Säker hantering av information utgör också en förutsättning för att Mittuniversitetet skall kunna fullgöra uppdraget med att tillhandahålla utbildning, bedriva forskning samt samverka med det omgivande samhället. 1 MSBFS 2016:1 Föreskrifter om statliga myndigheters informationssäkerhet 2 Europaparlamentets och rådets förordning (EU) 2016/679, GDPR 3/6
3. Tillämpningsområde Informationstillgångar är allt som innehåller information och allt som bär på information. Informationssäkerhet begränsas inte till säkerhet i IT-system utan omfattar information i alla dess former och oavsett hur informationen lagras, bearbetas och kommuniceras. Information kan t ex vara i form av text, ljud, bilder och film, och kan hanteras med stöd av IT, papper eller direkt av människor i form av tal. Policyn gäller för hela organisationen och ska implementeras i enlighet med Mittuniversitets organisation och enskilda ansvarområden. 4. Målsättning Målet för informationssäkerhetsarbetet vid Mittuniversitetet är att säkerställa en rimlig nivå för att skydda informationstillgångar mot olika hot. Vidare är målet att skapa en effektiv hantering och rutiner för att tillförsäkra att system och information omfattas av säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet. De tre säkerhetsaspekterna definieras enligt följande: Konfidentialitet att innehållet i informationstillgångarna inte får göras tillgängligt eller avslöjas för obehöriga, Riktighet att information inte förändras, vare sig obehörigen, av misstag eller på grund av driftstörningar, Tillgänglighet att informationstillgångar ska kunna utnyttjas i förväntad utsträckning och inom önskad tid. 5. Principer och arbetssätt 5.1 Principer för informationssäkerheten Arbetet med informationssäkerhet vid Mittuniversitetet ska: anpassas till verksamheten och läggas på en balanserad nivå för att ge ett bra skydd och samtidigt ta hänsyn till effektivitet för de olika verksamhetsområdena, förankras och medvetandegöras hos anställda och studenter vilket utgör en grund i informationssäkerhetsarbetet. Medarbetarna ska involveras i processen och få tillgång till kontinuerlig kompetenshöjning inom området, vara systematiskt och bygga på den etablerade standardserien SS-ISO/IEC 27000 3 med målet att skapa ett LIS, löpande ses över och förbättras, eftersom Mittuniversitetet och dess omvärld, inklusive hotbild, är under ständig förändring, 3 SS-ISO/IEC 27001:2017 samt SS-ISO/IEC 27002:2017 4/6
vara förebyggande och proaktivt, men också ha en god förmåga att kunna hantera incidenter, allvarliga störningar och kriser som ändå kan inträffa, 4 bedrivas i linje med Riksarkivets föreskrifter när det gäller att säkerställa bevarandet av elektroniska handlingar 5. 5.2 Ledningssystem för informationssäkerhet, LIS LIS består av policy, övriga styrdokument, processer och tillhörande resurser som gör att Mittuniversitetet kan säkerställa en god informationssäkerhet. Att upprätthålla en väl avvägd informationssäkerhet säkras genom att etablera och bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av LIS som ska ingå som en naturlig del i verksamheten. Genom arbetet med informationssäkerhet kan kvaliteten i och förtroendet för vår verksamhet ökas. Figur 1: Ledningssystem för informationssäkerhet, MSB 6 De övergripande stegen i ett LIS är; Identifiera & analysera, Utforma, Använda, Utvärdera & förbättra. Varje steg innehåller i sin tur en eller flera delprocesser, se figur 1. De olika delprocesserna kuggar i varandra och bygger tillsammans en helhet i informationssäkerhetsarbetet. Arbetet ska bedrivas med kontinuitet över tiden och omfatta alla delar av universitetets verksamheter och informationstillgångar. 4 MSB 2016:2 Föreskrift om Incidenthantering 5 RA-FS 2009:1, Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar 6 Processmodell baserad på metodstöd på Informationssäkerhet.se, MSB som används vid Mittuniversitetet 5/6
6. Ledning och samordning Grundprincipen är att ansvaret för informationssäkerhet följer det ordinarie verksamhetsansvaret. Nedan beskrivs informationssäkerhetsansvaret för ett antal roller. Mer detaljerade beskrivning av ansvar för respektive roll kommer att beskrivas i riktlinjer för informationssäkerhet och dataskydd. Universitetsledningen har det yttersta ansvaret för informationssäkerheten och för att säkerställa att tillräcklig informationssäkerhet tillgodoses genom hela organisationen. Enligt Mittuniversitetets säkerhetspolicy 7 har rektor det övergripande säkerhetsansvaret. Rektor har delegerat det övergripande ansvaret till förvaltningschefen som är universitetets säkerhetschef. Förvaltningschefen utser ansvarig för samordningen av informationssäkerheten enligt lärosätets ordning (informationssäkerhetschef). Informationssäkerhetschefen är ansvarig för att leda och samordna arbetet med universitetets informationssäkerhet. Chefer och systemägare ansvarar för att informationssäkerheten är god i respektive verksamhet och system och följer gällande policyer och andra styrdokument. Alla anställda och studenter ansvarar för den egna tillämningen av gällande policyer och andra styrdokument inom det egna ansvarsområdet. Dataskyddsombud ska bl a se till att dataskyddsförordningen efterlevs. Det har även inrättats en arbetsgrupp som samordnar de frågor som förordningen aktualiserar inom universitetet 8. 7. Förvaltning av policyn Informationssäkerhetsprocessen inkluderar en regelbunden översyn och eventuell revision av informationssäkerhetspolicyn och övriga styrdokument. I översynen ingår också att säkerställa att regelverket efterlevs. Dessa åtgärder ska genomföras regelbundet genom informationssäkerhetschefens försorg i enlighet med Mittuniversitetets LIS. 7 dnr MIUN 2016/2343 8 dnr MIUN 2018/713 6/6