Riktlinjer för informationssäkerhet

Relevanta dokument
Säker informationshantering

Riktlinjer för Informationssäkerhet

Använd molntjänster på rätt sätt

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Riktlinjer för informationssäkerhet

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Regler för lagring av Högskolan Dalarnas digitala information

Hantering av behörigheter och roller

VÄGLEDNING INFORMATIONSKLASSNING

Säker hantering av mobila enheter och portabla lagringsmedia

Riktlinjer för informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Välkommen Expertanvändarträff Siebel och Phoniro

GOOGLE APPS FOR EDUCATION

Användande av Google Apps For Education

Lathund Personuppgiftslagen (PuL)

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Riktlinjer för egendomsskydd

Vägledning om molntjänster i skolan

Riktlinjer för informationssäkerhet

Regler för användning av Riksbankens ITresurser

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Bilaga 2 till Rutiner för riskhantering (UFV 2018/211) Instruktion för genomförande av informationsklassificering

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Policy för användande av IT

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Personuppgiftsbiträdesavtal

Google kalender I kalendern har eleven sitt personliga schema och även händelser som exempelvis prov, uppgifter, etc.

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

DATASKYDDSFÖRORDNINGEN (GDPR) Information för dig som är forskare

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Personuppgiftsbehandling för forskningsändamål

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Behandling av personuppgifter vid Göteborgs universitet

GDPR. Anders Ahlström

Riktlinje för distansmöten

Riktlinjer för egendomsskydd

Pass 6 Forskningsjuridik

Digitala verktyg och molntjänster

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

PERSONUPPGIFTER SOM BEHANDLAS

Riktlinje för hantering av personuppgifter i e-post och kalender

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Riktlinjer för publicering av personuppgifter på webbplatser 16 KS

Universitetet och Datainspektionen i Molnet

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Dataskyddsförordningen 2018

Riktlinjer för ansökan om etikprövning

Kerstin Wardman, 25 april 2018

Dataskyddsförordningen 2018

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Sammanfattning av riktlinjer

Riktlinjer för informationssäkerhet

Dataskyddsförordningen för prefekter och administrativa chefer

Policy för personuppgiftsbehandling

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

BILAGA Personuppgiftsbiträdesavtal

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

Personuppgiftsbehandling i forskning

DATASKYDDSMANUAL för Saferoad-gruppen

Bilaga 1 - Handledning i informationssäkerhet

Integritet, personuppgifter

Personuppgiftspolicy

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Informationssäkerhetspolicy IT (0:0:0)

Dnr UFV 2018/1965. Kamerabevakning. Rutiner för fysisk säkerhet. Fastställda av: Säkerhetschef

Personuppgiftslagen (PuL) - En kort introduktion

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Integritetspolicy - SoftOne

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Handledning i informationssäkerhet Version 2.0

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationssäkerhetsmånaden 2018

DIGITALA VERKTYG I SKOLAN

Göran Rydeberg, Stockholms universitet

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

PERSONUPPGIFTSLAGEN (PUL)

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Teckna personbiträdesavtal för användande av Googles molntjänst Apps for Education (GAFE)

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

SÅ HÄR GÖR VI I NACKA

Rutiner för fysisk säkerhet

IT-Policy Vuxenutbildningen

Transkript:

Dnr UFV 2015/401 Riktlinjer för informationssäkerhet Medarbetares användning av molntjänster Fastställda av Säkerhetschefen 2015-03-19

Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna 4 3 Definitioner 4 4 Omfattning 4 4.1 Olika typer av molntjänster för enskilda 4 Gemensam lagring 4 Programvaror 4 Webbplatser 5 4.2 Krav på dig som användare 5 Informationsklassning 5 Personuppgifter 5 Inloggning, lösenord och användarprofil 6 Avtalsinnehåll 6 2

1 Inledning Molntjänster innebär att lagring, funktioner, programvara, datorkapacitet eller liknande tillhandahålls av leverantörer som tjänster över Internet. Det finns tjänster som främst är för kommersiellt bruk och sådana som är för privat bruk. Ibland kan gränserna mellan dessa vara oklara, speciellt då det gäller sådana som är allmänt tillgängliga utan direkt kostnad för den enskilde. Antalet molntjänster ökar stadigt och det finns många fördelar med molntjänster för flexibel lagring och delning av information, resurssnål IT-drift, tillgänglighet med mera. Samtidigt finns en osäkerhet runt vad som är lämpligt eller lagligt att lägga ut i molnet. Molntjänster tillhandahålls ofta av internationella företag som lyder under andra länders lagstiftning, och information som hanteras i molnet kan i praktiken hanteras i många olika länder. Syftet med dessa riktlinjer är att ge råd och stöd till enskilda medarbetare och prefekter eller motsvarande i samband med att enskilda medarbetare överväger att använda molntjänster. Övrig användning av molntjänster, exempelvis vid inköp av system eller drift, finns i separata riktlinjer. Se Medarbetarportalen under Stöd och service, Säkerhet, Riktlinjer och stöddokument. Riktlinjerna är en del av Riktlinjer för informationssäkerhet (UFV 2010/424), Riktlinjer inom IT-området (UFV 2013/907) och Hantering av allmänna handlingar (dnr 2770/98). 2 Ansvar 2.1 Efterlevnad Ansvaret för efterlevnad av dessa riktlinjer fördelar sig enligt följande: Prefekt/motsvarande har det övergripande ansvaret vid sin institution, avdelning eller motsvarande. Projektledare och förvaltningsledare m.fl. har det övergripande ansvaret inom respektive område. Säkerhetschef för stöd och uppföljning samt kontroll av efterlevnad. Verksamma inom universitetet för att följa riktlinjerna. Verksamma har ett eget ansvar att hålla sig uppdaterade på universitetets riktlinjer och stöddokument för molntjänster. 3

2.2 Uppdatering av riktlinjerna Säkerhetschefen ansvarar för att riktlinjerna kontinuerligt uppdateras och att underliggande stöddokument fastställs. 3 Definitioner Skyddsvärd information. Information som omfattas av sekretess eller annars ska betraktas som konfidentiell, innehåller känsliga personuppgifter, är verksamhetskritisk, licensskyddad eller skyddad av lagar och förordningar. Ofta kallad känslig information. Känsliga personuppgifter. Enligt personuppgiftslagen är känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Verksamhetskritisk information kan till exempel vara kritisk för en enskild forskare/ forskargrupp, en institution/motsvarande, eller kritisk för hela universitetet som original till avhandlingar, avtalsoriginal, data/information som samlats in över lång tid och/eller inte går att återskapa, samlad information om värdefull egendom med mera. Okrypterad information visas i klartext. Kryptering innebär att informationen kodas så att bara är läsbar för de som har aktuell krypteringsnyckel. 4 Omfattning 4.1 Olika typer av molntjänster för enskilda Gemensam lagring En tjänst som används för att lagra filer (dokument, ljud, bild, video med mera) och som är åtkomlig via Internet. Det finns både gratistjänster (företrädesvis för privat bruk) och betaltjänster. Huvudsyftet med dessa tjänster är att ha en plats för gemensam lagring med andra eller för att praktiskt komma åt sina filer varsomhelst. Ett annat syfte kan vara att undvika att skicka stora filer som bilagor till e-post utan istället hänvisa till gemensam lagring. Om nyttjarna sitter geografiskt utspritt är detta en vanlig metod. Programvaror Tjänster där man kommer åt vissa typer av programvara utan att ha dem installerade lokalt på sin egen dator. Oftast är detta olika typer av prenumerationstjänster. Det kan vara tjänster för ordbehandling, kalkylering, presentationer, bildredigering, enkäter med mera. Även möjligheten till större processorkraft för t ex simuleringar eller bildrendering finns som tjänster. 4

Webbplatser Internetplatser för att publicera och dela information med varandra, som t.ex. sociala media, bloggar och wiki. 4.2 Krav på dig som användare Molntjänster ställer krav på dig som användare att ha överblick över vilken typ av information som du, din grupp, projekt, enhet eller motsvarande har tänkt hantera i molntjänsten, hur skyddsvärd informationen är och på vilka olika sätt den ska hanteras och kunna nås. I de fall informationen bedöms vara kritisk eller väsentlig för verksamheten, eller där informationen varken får förloras, komma på avvägar eller användas av någon obehörig, ska försiktighet råda i användandet av molntjänster. Kryptering kan vara ett sätt att skydda informationen. Molntjänster ska inte användas om det gäller hantering av känsliga personuppgifter eller sekretessbelagd information. Informationsklassning För att veta hur informationen ska skyddas är det nödvändigt att veta vilken information som faktiskt hanteras och utifrån vilka aspekter det finns krav på informationshanteringen. En genomgång av den information som är tänkt att hanteras en informationsklassning ska genomföras innan en molntjänst används. Informationsklassning innebär att information som hanteras bedöms utifrån aspekterna tillgänglighet, konfidentialitet (sekretess) och riktighet. Informationens behov av säkerhetsmässiga åtgärder bestäms utifrån en skala bestående av nivåerna publik, basnivå, hög nivå samt särskilda krav. Stöddokument för informationsklassificering finns i Medarbetarportalen under Stöd och service, Säkerhet, Riktlinjer och stöddokument. Efter informationsklassningen kan användaren, själv eller tillsammans med övriga intressenter, göra en riskbedömning. Säkerhetsenheten kan ge råd och stöd, och vid behov genomföra en mer omfattande risk- och sårbarhetsanalys. Se mer information och stöd i Medarbetarportalen under Stöd och Service, Säkerhet, Informationssäkerhet. Personuppgifter Universitetet är ansvarigt för hanteringen av personuppgifter även om någon annan part (som en molntjänstleverantör) hanterar dem på universitetets uppdrag. Som personuppgift räknas alla uppgifter som direkt eller indirekt kan användas för att identifiera en individ. 5

Om personuppgifter ska behandlas, t.ex. lagras eller bearbetas, måste det säkerställas att behandlingen är tillåten enligt personuppgiftslagen, och vilka säkerhetsåtgärder som måste vidtas för att skydda personuppgifterna. Det övergripande ansvaret för detta har prefekt, ansvarig chef eller liknande, men den enskilde medarbetaren har alltid ett eget ansvar för vad man lagrar i molntjänsten. Inloggning, lösenord och användarprofil Om molntjänsten inte går att nå via universitetets gemensamma webbinloggning (CAS) utan kräver att en egen användarprofil skapas för molntjänsten, så ska inte samma användarkonto eller lösenord användas som används i den gemensamma webbinloggningen. Användare ska följa universitetets riktlinjer för lösenord även vid användandet av molntjänster. Riktlinjerna för lösenordshantering finns i Medarbetarportalen under Stöd och service, Inloggning och konton. Avtalsinnehåll Molntjänstleverantörer använder ofta standardavtal lika för alla kunder/användare, avtal som är utformade på förhand med ibland liten eller ingen möjlighet att göra anpassningar. Oavsett om standardavtal eller speciella avtal används är det viktigt att kontrollera vad och hur avtalet reglerar olika frågor. Den som anlitar en molntjänst ska alltid läsa igenom avtalstexten innan man ansluter till den. Speciellt gäller det att kontrollera vad som gäller vid hantering av bilder då man har fotografens upphovsrätt att ta hänsyn till. I de fall avtalet innebär att molnleverantören tar över eller delar rättigheterna till bilderna måste detta vara godkänt av upphovsmannen. 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss