Vetenskapsrådets informationssäkerhetspolicy 1 (6)
Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17 PA3 Diverse uppdateringar Mari Hamrén 2014-01-17 PA4 Uppdatering roller Jonas Jeppson 2014-01-20 A GD-beslut Sven Stafström 2 (6)
1 BAKGRUND Vetenskapsrådet har en ledande roll för att utveckla svensk forskning av högsta vetenskapliga kvalitet och bidrar därmed till samhällets utveckling. Myndigheten är beroende av att forskarsamhället, allmänhet och övriga intressenter har ett starkt förtroende för verksamheten. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. En bra informationssäkerhet förbättrar förtroendet för myndigheten, håller ner direkta och indirekta kostnader samt minskar risken för rättsliga processer. Denna informationssäkerhetspolicy gäller för informationssäkerhet inom Vetenskapsrådet och kompletterar myndighetens övriga policys inom bland annat it och kommunikation. Denna policy beskriver myndighetens ramverk för informationssäkerheten. Policyn med tillhörande riktlinjer ska vara ett stöd för verksamheten kring informationssäkerhet i det dagliga arbetet inom myndigheten. 1.1 Allmänt om myndighetens informationssäkerhet Information är en av myndighetens viktigaste tillgångar och hanteringen av den är en viktig del i arbetet. Arbetet med informationssäkerhet utgår framförallt från lagar, förordningar och föreskrifter. Myndigheten för samhällsskydd och beredskaps(msb) föreskrifter om statliga myndigheters informationssäkerhet har använts som utgångspunkt verksamhetens egna krav avtal som har koppling till informationssäkerhet Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Informationssäkerheten omfattar Vetenskapsrådets informationstillgångar utan undantag. Med informationssäkerhet avses att säkerställa Riktighet Att information inte kan förändras vare sig av obehöriga, av misstag eller på grund av funktionsstörning. Informationen ska vara tillförlitlig, korrekt och fullständig. Sekretess Att innehållet i dokument, information och handlingar etc. inte görs tillgängliga eller avslöjas för obehörig. Spårbarhet Att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt användare, skrivare, dator eller system/program. Det ska gå att se vem som tagit del av informationen, vilka förändringar som har hänt och av vem dessa har utförts. Tillgänglighet Att information och informationstillgångar kan utnyttjas efter behov, i förväntad utsträckning och inom önskad tid utifrån de krav som ställs på verksamheten. 3 (6)
Informationssäkerheten är en integrerad del av verksamheten. Alla som hanterar informationstillgångar har ett ansvar att upprätthålla informationssäkerheten. Det är också ett ansvar för chefer på alla nivåer att aktivt verka för en positiv attityd till arbetet gällande detta. All verksamhet inom Vetenskapsrådet omfattas av denna informationssäkerhetspolicy. Det gäller även externa verksamheter som anknyter till myndigheten. Den som använder myndighetens informationstillgångar på ett sätt som strider mot denna policy kan bli föremål för disciplinära, alternativt rättsliga, åtgärder. Myndighetens informationssäkerhetsarbete ska säkerställa att Lagar, förordningar och föreskrifter efterföljs Ingångna avtal med påverkan på informationssäkerheten är kända och följs Informationsförsörjningen är säker, effektiv och bidrar till ökat skydd och stöd för verksamheten All verksamhetskritisk information är säkerhetsklassad och säkerhetskopierad enligt Vetenskapsrådets informationsklassificering Alla verksamhetskritiska informationssystem är dokumenterade och uppfyller krav på säkerhet Det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation Medarbetare har kunskap om gällande informationssäkerhetsregler som finns beskrivna i Riktlinjer för användandet av Vetenskapsrådets it-resurser En årlig revision av informationssäkerheten ska genomföras enligt riktlinjer under särskilt avsnitt nedan 2 ROLLER OCH ANSVAR Verksamhetscontrollern ansvarar för uppföljningen av säkerhetsarbetet på myndigheten och leder den årliga uppföljningen. Säkerhetschefen ansvarar för att upprätthålla säkerheten enligt gällande planer och policys och ansvarar för att riskanalys med efterföljande åtgärdsplan följs upp samt svarar för att krishanteringsplanen kontinuerligt uppdateras. Säkerhetsansvariga ansvarar för löpande arbetsuppgifter rörande säkerhet under året och rapporterar till säkerhetschefen. It-strategen leder den årliga uppdateringen av informationssäkerhetspolicyn Systemägarna har det övergripande ansvaret för att respektive system samt dess användning uppfyller kraven i informationssäkerhetspolicyn inklusive medföljande riktlinjer. 4 (6)
Systemförvaltarna har det operativa informationssäkerhetsansvaret för respektive system. Systemförvaltaren fungerar i hög grad som systemägarens utförare och säkerställer att kraven på informationssäkerhet verkställs. Arkivarien har tillsynsansvar för att informationen hanteras enligt myndighetens arkivpolicy. Arkivarien är också ansvarig för att årligen revidera informationsklassificering. 3 INFORMATIONSSÄKERHETSKRAV 3.1 Informationsklassning Information som hanteras i myndigheten ska finnas klassificerad med avseende på krav på sekretess, riktighet, tillgänglighet och spårbarhet i Vetenskapsrådets informationsklassificering. 3.2 Informationssystem Samtliga informationssystem ska vara identifierade och förtecknade. Av förteckningen ska framgå vem som är systemägare och systemförvaltare. Samtliga informationssystem ska ha en systemdokumentation enligt mall på intranätet. Alla informationssystem som lagrar information med minst en hög säkerhetsklassning enligt avsnitt 3.1 ska minst klara den basnivå för informationssäkerhet som MSB rekommenderar (BITS Basnivå för informationssäkerhet). Detta ska dokumenteras i systemdokumentationen. 3.3 Användning av myndighetens informationstillgångar Samtliga användare av myndighetens informationstillgångar är skyldiga att känna till och efterleva Riktlinjer för användandet av Vetenskapsrådets itresurser. Samtliga användare ska regelbundet få den utbildning som behövs för att informationssäkerheten ska upprätthållas. 3.4 Rutiner vid programförändring Samtliga programförändringar som genomförs i myndighetens system ska följa Vetenskapsrådets rutiner vid programförändring och dokumenteras i myndighetens system för ärendehantering. 3.5 Kontinuitetsplanering Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. Den övergripande kontinuitetsplanen ägs av verksamhetscontrollern med informationssäkerhetsansvarig som bistår med de olika informationstillgångarnas samlade krav. 5 (6)
För respektive informationstillgångs kontinuitetsplan är systemägaren övergripande ansvarig och systemförvaltaren operativt ansvarig. Kontinuitetsplanen inkluderas som en del av systemdokumentationen. 4 UPPFÖLJNING Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att regler efterlevs, beslutade åtgärder är genomförda samt att policys och riktlinjer revideras. En årlig uppföljning ska genomföras som omfattar En uppdatering av policys och riktlinjer för att spegla förändringar och nya krav i verksamheten Att genomföra stickprov för återläsning av säkerhetskopierad data Uppföljning av att Riktlinjer för användandet av Vetenskapsrådets itresurser efterlevs och identifiering av eventuella åtgärder Att dokumentera uppföljningen i Vetenskapsrådets ärendehanteringssystem 5 BILAGOR OCH RELATERADE DOKUMENT Informationssäkerhetspolicyn har följande dokument som utgångspunkt Förordning (1995:1300) om statliga myndigheters riskhantering Förordning (2007:603) om intern styrning och kontroll Myndighetsförordning (2007:515) Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) Vetenskapsrådets it-strategi Riskanalysen Följande dokument lyder under informationssäkerhetspolicyn Vetenskapsrådets informationsklassificering (under framtagning) Riktlinjer för användandet av Vetenskapsrådets it-resurser Hantering av elektroniska identiteter på Vetenskapsrådet Vetenskapsrådets rutiner vid programförändring (under framtagning) 6 (6)