Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Relevanta dokument
Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Ånge kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

FörvaltningsrnodelI för informationsbehandlande system vid Linköpings universitet

Administrativ säkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Policy för informationssäkerhet

ISO/IEC och Nyheter

1(6) Informationssäkerhetspolicy. Styrdokument

Myndigheten för samhällsskydd och beredskaps författningssamling

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Informationsklassning , Jan-Olof Andersson

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinjer för riskhantering vid Linköpings universitet

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Finansinspektionens författningssamling

Informationssäkerhetspolicy

Informationsklassning och systemsäkerhetsanalys en guide

Modell för klassificering av information

Policy för informationssäkerhet

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy KS/2018:260

VÄGLEDNING INFORMATIONSKLASSNING

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Finansinspektionens författningssamling

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Riktlinjer för informationssäkerhet


Intern kontroll - plan för 2017

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Svar på revisionsskrivelse informationssäkerhet

Beslut om riktlinjer för tillgång till IT- och tekniska resurser vid LiU

Välkommen till enkäten!

Bilaga till rektorsbeslut RÖ28, (5)

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Riktlinjer för informationssäkerhet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Kompletteringsuppgift: Verksamhetsanalys och riskanalys

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

ANVISNINGAR OCH MALL FÖR RISKANALYS 2016

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

RUTIN FÖR RISKANALYS

Reglemente för intern kontroll samt riktlinjer för intern kontroll

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Riktlinjer för informationssäkerhet

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

IQ( cap /4

Prefekt Prefekt beslutar om miljöledningssystemet på institutionsnivå. Det innebär att prefekten/motsvarande 1 ansvarar för att:

ISO 14001:2015 Naturvårdsverket Stefan Larsson/6DS

Granskning av informationssäkerhet

RISKANALYS FÖR Humanistiska fakulteten. DATUM: Förslag BESLUTAD AV: Humanistiska fakultetsstyrelsen. KONTAKTPERSON: Mats Andrén

Internrevisionsrapport 2018

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Myndigheten för samhällsskydd och beredskaps författningssamling

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

BESLUT. Instruktion för informationsklassificering

RISKANALYS Humanistiska fakulteten. Dnr V 2017/701 DATUM: BESLUTAD AV: Humanistiska fakultetsstyrelsen. KONTAKTPERSON: Anna Nordling

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

RISKANALYS Humanistiska fakulteten. Dnr V 2016/705. DATUM: Förslag till beslut BESLUTAD AV: Humanistiska fakultetsstyrelsen

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

g_6 2_0,18-0,2 Rektors delegation av beslutanderätten i allmänna avtalsärenden samt avtalsfrågor rörande utbildning och forskning m.m.

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Revisionsrapport: Informationssäkerheten i den tekniska miljön

Fortsättning av MSB:s metodstöd

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Metodstöd 2

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Riktlinje för riskhantering

Transkript:

2010-11-22 Beslut 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 IT-strategi för Linköpings universitet. Där fastslås att tillämpningen av IT inom universitetet skall vara kostnadseffektiv, säker, driftsäker och pålitlig. Detta dokument tar sin utgångspunkt i detta. Arbetet med informationssäkerhetsarbetet på LiU syftar till att säkerställa att universitetets informationstillgångar har den konfidentialitet, riktighet och tillgänglighet som verksamheten behöver. För att åstadkomma detta räcker det inte med enskilda tekniska åtgärder. Informationssäkerhetsarbetet utgår från ledningsnivån och omfattar alla verksamma på LiU, inklusive medarbetare och studenter. I ett särskilt beslut, Informationssäkerhetspolicy, fastställs LiUs övergripande Informationssäkerhetspolicy och för LiU särskilt anpassade kontrollåtgärder. Definitioner och termer Nedan återfinns de termer och definitioner som används i LiUs Ledningssystem för informationssäkerhet samt Informationssäkerhetspolicy inklusive kontrollåtgärder. Term Informationssäkerhet Konfidentialitet Riktighet Tillgänglighet Informationstillgång Betydelse Bevarande av konfidentialitet, riktighet och tillgänglighet hos information (ISO 27002:2.5) Egenskapen att information inte tillgängliggörs eller avslöjas till obehöriga individer, enheter, eller processer (ISO 27001:3.3) Egenskapen att skydda exaktheten och fullständigheten gällande [informations-]tillgångar (ISO 27001:3.8) Egenskapen [för information] att vara åtkomlig och användbar vid begäran av en behörig enhet (ISO 27001:3.2) Informationstillgångar kan vara en eller flera av: information och informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar. (ISO 27002:7.1.1) Universitetsledningen

2 (9) Kontrollåtgärd / säkerhetsåtgärd Risk Hot Sårbarhet Riskanalys Riskbehandling Åtgärd för hantering av risk, innefattandes policyer, rutiner, riktlinjer, förfaranden eller organisationsstrukturer vilka kan vara av administrativ, teknisk, ledningsmässig eller juridisk karaktär (ISO 27002 2.2) I detta dokument avses informationssäkerhetsrisk. En informationssäkerhetsrisk definieras som potential att ett givet hot utnyttjar sårbarheter hos en informationstillgång eller grupp av informationstillgångar och därigenom orsakar skada för organisationen. (ISO 27005:2008 3.2) Potentiell orsak till en oönskad incident, vilken kan resultera i skada på ett system eller organisation. (ISO 27002:2005 2.16) Svaghet gällande [informations-]tillgång eller grupp av [informations-]tillgång, vilken kan utnyttjas av ett eller flera hot. (ISO 27002:2005 2.17) Systematisk användning av information för att kartlägga källor till, och för att uppskatta, risken. (ISO 27002:2005 2.10) Process för val och införande av åtgärder för att begränsa risk. (ISO 27002:2005 2.14) Processer LiUs Ledningssystem för informationssäkerhet bygger på ISO 27001:2006, ISO 27002:2005, ISO 27005:2008 och www.informationssäkerhet.se. Ledningssystemet för informationssäkerhet genomförs i stegen Planera, Genomföra, Utvärdera och Förbättra. Varje sådant steg består av en eller flera processer. Figur 1 Baserad på processmodell från www.informationssäkerhet.se I den grundläggande analysen är utgångspunkten en årligen återkommande inventering som förtecknar LiUs samtliga informationstillgångar. Denna inventering genomförs per institution/enhet. Informationstillgångar kan vara en eller flera av: information och informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människors kunskap och immateriella tillgångar. En eller flera informationstillgångar grupperas till ett objekt. Varje objekt informationsklassificeras ur perspektiven konfidentialitet, riktighet och tillgänglighet i nivåerna allvarlig, betydande, måttlig och ingen/försumbar. Se bilaga 2

3 (9) Klassificeringskriterier. Den sammanvägda informationsklassificeringen är den högsta nivån som uppnåtts i något av de tre perspektiven. Baserat på informationsklass väljs ut vilka objekt som skall riskanalyseras. Baserat på riskanalysen väljs ut vilka objekt för vilka riskbehandling krävs. För alla objekt som får en sammanvägd informationsklassificering på betydande eller allvarlig skall en riskanalys genomföras. Därutöver skall dessa objektförvaltas i enlighet med LiUs beslutade objektförvaltningsmodell. I riskanalysen skall hot mot utvalda informationstillgångar och sårbarheter som kan realisera hoten identifieras. För varje kombination av hot och sårbarhet skall sannolikheten för att de inträffar bedömas såväl som allvarlighetsgraden när de uppträtt. Därefter vägs sannolikhet och allvarlighet ihop, enligt bilaga 3. För de hot där den sammanvägda nivån blir högre än eller lika med hög skall en riskbehandling genomföras. Utvalda risker enligt ovan måste behandlas på något av dessa fyra sätt: Sätta in lämpliga kontrollåtgärder för att minska eller eliminera risken Medvetet och objektivt acceptera risken (under förutsättning att detta är förenligt med LiUs regler och kriterier för riskacceptans, se nedan) Undvika risken genom att inte tillåta aktiviteter som kan orsaka att risken uppkommer Överföra risken till andra parter, t.ex. genom vitesbaserade kontrakt med extern part. Baserat på resultaten från riskbehandlingen revideras kontrollåtgärderna per institution/enhet så att nya risker tas om hand. Riskerna sammanförs per enhet i en riskbehandlingsplan och verkställs per enhet och ansvarig för detta är prefekten/enhetschefen. Alla riskanalyser och riskbehandlingsplaner skall dokumenteras och skickas till Informationssäkerhetssamordnaren. Detta för att fånga upp de fall en ny kontrollåtgärd tas fram. Detta för att eventuellt revidera LiUs informationssäkerhetspolicy med kontrollåtgärder. Övervakningen av informationssäkerheten på LiU genomförs i enlighet med LiUs informationssäkerhetspolicy. Intern och i förkommande fall extern granskning av arbetet med ledningssystemet för informationssäkerhet, informationssäkerhetspolicyn med tillhörande kontrollåtgärder samt andra styrande dokument genomförs årligen. Fokus för granskningen är främst på kontrollåtgärdernas existens, tillräcklighet och de har avsedd verkan. Universitetsledningen informeras med utgångspunkt i övervakningen och granskningen ovan. Genomgången ligger till grund för de förbättringar som eventuellt måste vidtas inom ledningssystemet för informationssäkerhet, informationssäkerhetspolicyn med tillhörande kontrollåtgärder och andra styrande dokument.

4 (9) Ledningssystemet för informationssäkerhet utgör ett av de riskområden som återfinns inom LiUs arbete med förordningen för intern styrning och kontroll (FISK). Ansvar Informationssäkerhetssamordnaren ansvarar för att Ta fram riktlinjer och mallar för genomförandet av inventering, riskanalys och riskbehandling. Kommunicera förbättringsåtgärder inom LiU för att öka medvetenheten om de åtgärder och förändringar som görs. Kommunicera resultatet från övervakning och granskning samt de risker som överstiger den sammanvägda informationsklassen på mycket hög till ansvarig för LiUs arbete med FISK. Regler och kriterier för riskacceptans För vissa risker kan riskbehandlingen komma att bli att medvetet och objektivt acceptera risken. Detta måste tydligt dokumenteras och rapporteras till Informationssäkerhetssamordnaren. Detta får enbart ske i dessa fall: LiU kan inte påverka risken utan den har en tydligt extern påverkan. Om den årliga kostnaden för nödvändiga kontrollåtgärder överstiger den årliga kostnaden för utfallet för risken. Detta beslut ersätter det tidigare beslutet Dnr LiU 1686/02-14 och skall publiceras i LiUs regelverk. I detta ärende har Rektor Mille Millnert beslutat efter föredragning av IT-direktör Joakim Nejdeby. Mille Millnert Kopia till Universitetsledningen Fakulteterna Institutionerna Universitetsbiblioteket Universitetsförvaltningen NSC Internrevisionen De lokala fackliga organisationerna Marie Ekström Lorentzon, LiU LES Joakim Nejdeby

5 (9) Bilaga 1. Klassificeringskriterier Klassificering av informationstillgångar vid Linköpings universitet sker enligt Modell för klassificering av information Rekommendationer utgiven av Myndigheten för samhällskydd och beredskap (MSB). Vid användning av skall bedömning göras utifrån konsekvens för hela myndigheten Linköpings universitet. En informationstillgång som för en mindre verksamhet inom universitetet exempelvis kan ge allvarlig konsekvens vid brott mot konfidentialitet behöver inte ge en allvarlig konsekvens för myndigheten i helhet. För att informationsklassning skall vara konsekvent ges förtydligande exempel på nästföljande sida. Syftet med dessa exempel är att ge en gemensam referensram kring de olika nivåerna. Med påverkan på enskild individ i nedanstående tabell menas personskada eller kränkning av individs rättighet. Tabell 1Tabellen nedan är hämtad från Modell för klassificering av information, MSB 0049-09. Säkerhetsaspekt Konsekvensnivå Allvarlig / katastrofal Betydande Måttlig Ingen eller försumbar Konfidentialitet Riktighet konfidentialitet innebär allvarlig/katastrofal negativ påverkan på egen eller annan konfidentialitet innebär betydande negativ påverkan på egen eller annan konfidentialitet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild Information där det inte föreligger krav på konfidentialitet, eller där förlust av konfidentialitet inte medför någon eller endast försumbar negativ påverkan på egen eller annan riktighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan riktighet innebär betydande negativ påverkan på egen eller annan riktighet innebär måttlig negativ påverkan på egen eller annan tillgångar, eller på enskild Information där det inte föreligger krav på riktighet, eller där förlust av riktighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan Tillgänglighet tillgänglighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan tillgänglighet innebär betydande negativ påverkan på egen eller annan tillgänglighet innebär måttlig negativ påverkan på egen eller annan Information där det inte föreligger krav på tillgänglighet, eller där förlust av tillgänglighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan.

6 (9)

7 (9) Nivå Allvarlig / katastrofal Exempel Om händelsen medför att fler än 1000 studenter väljer att inte söka till LiU i första hand på grund av att utbildningen eller examen inte värderas lika högt som motsvarande examen vid andra lärosäten. Det kan vara faktiska händelser eller rykten om händelser. Förfalskade studieresultat registreras i Ladok. Om händelsen medför att forskningsfinansiärer (motsvarande över 100 miljoner kronor per år) väljer att inte medverka i forskningsprojekt vid LiU, då resultat från LiU inte skattas lika högt eller ifrågasätts mer än vid motsvarande lärosäten. Annan ekonomisk förlust, t.ex. vid stöld eller förskingring motsvarande över 100 miljoner kronor. Allvarlig negativ påverkan på individs rättighet eller liv och hälsa. T.ex. genom att röja en skyddad identitet eller att händelsen leder till personskada/dödsfall. Betydande Om händelsen medför att fler än 100 studenter väljer att inte söka till LiU i första hand på grund av att utbildningen eller examen inte värderas lika högt som motsvarande examen vid andra lärosäten. Det kan vara faktiska händelser eller rykten om händelser. Om händelsen medför att forskningsfinansiärer (motsvarande över 10 miljoner kronor per år) väljer att inte medverka i forskningsprojekt vid LiU, då resultat från LiU inte skattas lika högt eller ifrågasätts mer än vid motsvarande lärosäten. Annan ekonomisk förlust, t.ex. vid stöld eller förskingring motsvarande över 10 miljoner kronor. Betydande negativ påverkan på individs rättighet eller liv och hälsa. Om följden av händelsen kräver extra resurser i verksamheten (personal, utveckling, mjuk/hårdvara) för att hanteras. Måttlig Om händelsen medför att forskningsfinansiärer (motsvarande över 1 miljon kronor per år) väljer att inte medverka i forskningsprojekt vid LiU, då resultat från LiU inte skattas lika högt eller ifrågasätts mer än vid motsvarande lärosäten. Annan ekonomisk förlust, t.ex. vid stöld eller förskingring motsvarande över 1 miljon kronor. Måttlig negativ påverkan på individs rättighet eller liv och hälsa. Ingen eller försumbar Se definition i föregående tabell.

8 (9) Bilaga 2. Riskanalys Riskanalysen skall genomföras enligt riktlinjer från informationssäkerhetssamordnaren. För varje hot görs en bedömning av sannolikheten för att hotet mot den specifika informationstillgången ska uppträda. Nivå Exempel Sannolik Inträffar i genomsnitt flera gånger varje år Möjlig Inträffar i genomsnitt en gång per år Mindre sannolik Inträffar i genomsnitt en gång var 10:e år Osannolik Inträffar i genomsnitt en gång var 100:e år För varje hot en bedömning av konsekvensen av hotet mot den specifika informationstillgången när det har uppträtt. Nivå Exempel Allvarlig / katastrofal Allvarlig/katastrofal negativ påverkan på egen eller annan Betydande Måttlig Ingen eller försumbar Betydande negativ påverkan på egen eller annan organisation och dess Måttlig negativ påverkan på egen eller annan organisation och dess Ingen eller försumbar negativ påverkan på egen eller annan

9 (9) Sannolikheten och konsekvensen förs in i denna tabell: Allvarlig / katastrofal Medium Hög Mycket hög Extremt hög Betydande Låg Medium Hög Mycket hög Måttlig Mycket låg Låg Medium Hög Försumbar Extremt låg Mycket låg Låg Medium Osannolik Mindre sannolik Möjlig Sannolik Alla händelser som hamnar på nivåerna extremt hög, mycket hög och hög skall riskbehandlas.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss