Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030
Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regelverket avser säkerheten i IT-system, det vill säga data- och informationssystem, datanät, datorer och övrig datautrustning och äger tillämpning i alla delar av KIs verksamhet. Genom dessa regler och riktlinjer, tillsammans med tillämpningsanvisningar, etableras standarder för användning av dator- och informationssystem, nätverk och andra informationstekniska (IT) resurser vid Karolinska Institutet (KI), i syfte att stödja KIs uppdrag att genom forskning, utbildning och information medverka till att förbättra människors hälsa. Reglerna skall tillämpas av den som använder KIs IT-resurser. Detta inkluderar således alla anställda, anknutna, forskar- och grundutbildningsstudenter, gäster och andra som använder KIs IT-resurser. Reglerna enligt bilaga äger tillämpning från och med 2009-01-01. Beslut i detta ärende har fattats av universitetsdirektör Karin Röding i närvaro av biträdande universitetsdirektör Marie Tell efter föredragning av Hans Nordlöf. Karin Röding Hans Nordlöf Beredning med: Christina Hallgren Annika Sjöborg Bilaga: Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet
Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Dnr 5581/2008-030 INNEHÅLL 1 Tillämpningsområde...1 2 Syfte...1 3 Ansvarsfördelning...1 4 Stöd...1 5 Risk- och sårbarhetsanalys...2 6 Säkerhetsnivåer och skyddsåtgärder...2 7 Kvalitetssäkring...2 8 Utbildning...2 9 Upphandling, utveckling och avveckling...2 10 Granskning och revision...3 11 Regelbrott och påföljder...3 Utgivare: Karolinska Institutet Universitetsförvaltningen Version: 1.0 Vid frågor om dessa regler, kontakta Hans Nordlöf, IT-centrum
Karolinska Institutet - Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet 1(3) Regler och riktlinjer fastställda av universitetsdirektören för tillämpning från och med 2009-01-01. 1 Tillämpningsområde Dessa riktlinjer och regler avser säkerheten i IT-system, det vill säga data- och informationssystem, datanät, datorer och övrig datautrustning och äger tillämpning i alla delar av KIs verksamhet. Kompletteras av anvisningar i särskild ordning. Prefekt kan besluta om kompletterande lokala regler och anvisningar. 2 Syfte IT-säkerheten skall skydda universitetet, anställda, studerande och andra berörda, så att störningar i IT-systemen inte orsakar omfattande skada eller kostnader. IT-säkerheten skall också säkerställa att IT-systemen kan utnyttjas effektivt och utan onödiga störningar. Detta innebär samtidigt en kontinuerlig omprövning av vidtagna säkerhetsåtgärder så att största möjliga öppenhet kan erbjudas studenter, forskare och lärare. 3 Ansvarsfördelning Universitetsdirektören har det yttersta ansvaret för IT-säkerheten vid universitetet i enlighet med rektors delegation. Prefekt/motsvarande ansvarar för IT-säkerheten vid institutionen/motsvarande. Om särskild systemägare är utsedd, ansvarar denne för IT-säkerheten i respektive IT-system. Ansvaret för praktiska skyddsåtgärder för IT-säkerhet ska vara tydligt fördelat. Anställda och studerande ansvarar för säkerheten i sin egen användning av KIs IT-system. Anställda och studerande skall underteckna en särskild ansvarsförbindelse som tydliggör deras ansvar. Ansvaret för IT-säkerheten skall regleras tydligt i alla avtal med leverantörer, uppdragsgivare eller samarbetspartners som avser nyttjande, förvaltning eller underhåll av IT-system. 4 Stöd Inom Karolinska Institutet finns en central stödfunktion för säkerhetsfrågor - säkerhetsforum - direkt underställd universitetsdirektören.
Karolinska Institutet - Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet 2(3) 5 Risk- och sårbarhetsanalys Risk- och sårbarhetsanalyser skall genomföras regelbundet för alla verksamhetskritiska system, avseende risken för intrång, otillåten användning, sabotage eller stöld. Analysen skall omfatta systemen samt kringutrustning som behövs för deras funktion. Risk- och sårbarhetsanalysen skall omfatta metoder för att bemöta hot, beskrivning av normal drift samt upprättande av en plan för att återkomma i normal drift efter IT-säkerhetsrelaterade störningar. 6 Säkerhetsnivåer och skyddsåtgärder Säkerhetsnivå och skyddsåtgärder för IT-system skall väljas utgående från fortlöpande och systematiska bedömningar av hotbilden och av konsekvenserna av störningar. Säkerhetsnivåer och skyddsåtgärder skall väljas så att nyttan är rimlig i förhållande till de direkta och indirekta kostnaderna för skyddet. IT-säkerheten skall vara utformad i enlighet med gällande lagar och regler. IT-system anslutna till SUNET skall uppfylla SUNETs krav på säkerhet. Se Anvisningar för datoranvändning vid Karolinska Institutet, dnr 5581/2008-030. Skyddsåtgärder skall, där det är möjligt, baseras på standarder eller de facto-standarder. 7 Kvalitetssäkring IT-systemen skall skyddas mot oavsiktlig eller obehörig förändring, förlust, förstöring, åtkomst eller kopiering av information. IT-systemen skall också skyddas mot funktionsstörningar, intrång, otillåten användning, stöld, brand och annan skada. Kvalitetssäkring av system och tjänster enligt väldokumenterade regler och anvisningar skall göras där det är möjligt. 8 Utbildning Prefekter/motsvarande ansvarar för att alla personer som nyttjar KIs IT-resurser får den information och utbildning om IT-säkerhet och skyddsåtgärder som behövs för att upprätthålla avsedd säkerhetsnivå. Som en del i utbildningen skall studerande/forskarstuderande få tillräcklig information och utbildning om IT-säkerhet. 9 Upphandling, utveckling och avveckling IT-säkerhetskraven skall alltid utredas vid utveckling eller upphandling av IT-system. Kraven skall dokumenteras och ingå i kravspecifikationer och avtal. IT-system som avvecklas omfattas också av dessa säkerhetsregler. Speciellt viktigt är att utrustning destrueras på ett
Karolinska Institutet - Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet 3(3) sätt som förhindrar oavsiktlig informationsspridning. Det skall upprättas anvisningar för hur man avvecklar IT-system vid Karolinska Institutet. 10 Granskning och revision IT-säkerheten vid universitetet skall granskas regelbundet. Resultatet av granskningen skall årligen redovisas för universitetsdirektör. 11 Regelbrott och påföljder Brott mot IT-säkerhetsregler kan medföra avstängning från IT-system genom beslut av prefekt/motsvarande enligt anvisningar som universitetsdirektören meddelar. Allvarligare fall av missbruk eller andra liknande regelbrott skall anmälas till personalansvarsnämnden när det gäller anställda, och till disciplinnämnden för studenter när frågan berör studerande. Misstankar om brottslig verksamhet skall polisanmälas. Sådan anmälan skall ske genom universitetsdirektörens försorg.