Riktlinjer inom ITområdet



Relevanta dokument
Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Säker hantering av mobila enheter och portabla lagringsmedia

Hantering av behörigheter och roller

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

Riktlinjer för Informationssäkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Handledning i informationssäkerhet Version 2.0

IT-policy. Förvaltningen Björn Sandahl, förvaltningschef

Riktlinjer för informationssäkerhet

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Regler för användning av Riksbankens ITresurser

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Bilaga 1 - Handledning i informationssäkerhet

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet

LiU-IT ISY. Kristina Arkad ISY

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Regler för datoranvändning på Åva Gymnasium

Hantering av elektroniskt lagrad information när anställning, studier eller uppdrag vid Uppsala universitet upphör

IT-riktlinjer Nationell information

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Riktlinjer för informationssäkerhet

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Strategi Program Plan Policy» Riktlinjer Regler

Anvisningar för datoranvändning vid Karolinska Institutet

Informationssäkerhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Rikspolisstyrelsens författningssamling

Slutrapport Central licenshantering

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Bilaga 3 Säkerhet Dnr: /

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

Rekryteringsmyndighetens interna bestämmelser

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Organisation för samordning av informationssäkerhet IT (0:1:0)

Regler för användning och hantering av programvaror och programvarulicenser

Riktlinjer för informationssäkerhet

Lösenordsregelverk för Karolinska Institutet

KINDA KOMMUN IT-avdelningen

Bilaga 10 Riktlinjer informationssäkerhet Dnr: /2015 Förfrågningsunderlag

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

IT-Policy Vuxenutbildningen

IT-Säkerhetsinstruktion: Förvaltning

Digital strategi för Strängnäs kommun

Policy och riktlinjer för E-förvaltning och IT-användning inom Falköpings kommun

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

IT-plan för Söderköpings kommun

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Rutiner för fysisk säkerhet

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Kontrakt för lån av personlig dator på Ystad Gymnasium

Informationssäkerhetspolicy

GÖTEBORGS UNIVERSITET IT-policy version sid 2 av Syfte Övergripande Styrning av IT... 3

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Regler för användning och hantering av programvaror samt programvarulicenser vid LTU

Göteborgs universitets IT-strategiska plan

Riktlinjer för användning av applikationer i mobila enheter

REGLER FÖR NYTTJANDE OCH HANTERING AV PROGRAMVAROR OCH PROGRAMVARULICENSER

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad

Regler och instruktioner för verksamheten

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Systemförvaltnings Modell Ystads Kommun(v.0.8)

INSTRUKTION FÖR ARBETSENHET HUMLAB

som finns i skolan. Det hjälp. använder datorn. behandlad.

Säker informationshantering

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Härjedalens Kommuns IT-strategi

Mittuniversitetets riktlinjer för systemförvaltning

Policy för användande av IT

Riktlinjer för inköp och användande av mobiltelefon, dator, läsplatta och mobilt bredband

Dessa regler gäller för Ödeshögs kommun data- och telenät som är i kommunens ägo och som drivs av Ödeshögs kommun.

Riktlinjer för informationsklassning

Måldokument för IT-verksamheten vid Mittuniversitetet

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

E-strategi för Strömstads kommun

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Riktlinjer för egendomsskydd

IT-verksamheten, organisation och styrning

Säkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Transkript:

Riktlinjer inom ITområdet Uppsala universitet Fastställda av universitetsdirektören 2013-06-25 Reviderade 2013-10-30

Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna 3 3 Definitioner 4 4 Omfattning 4 4.1 Användning av Uppsala universitets IT-resurser 4 4.1.1 Användning av universitetets datornät 5 4.1.2 Användning av persondatorer, mobil utrustning och portabla lagringsmedia 5 4.1.3 Anslutning av trådlösa nät (WLAN) till UpUnet och UpUnet-S 6 4.2 Stöd och support 6 4.3 Anskaffning, utveckling och förvaltning av IT-system 6 4.4 Avveckling av IT-utrustning och IT-system 7 4.5 Hantering av programvarulicenser 8 4.6 Serverdrift 8 4.7 Domännamnshantering vid Uppsala universitet 9 2

1 Inledning Utvecklingen inom informationsteknikens område går mycket snabbt vi möter oavbrutet ny teknik som förändrar vår vardag och även vårt förhållningssätt till tekniken. Ett effektivt och säkert utnyttjande av informationsteknik förutsätter tydliga riktlinjer till stöd för verksamma vid Uppsala universitet. Detta dokument avser att beskriva universitetets riktlinjer inom olika informationstekniska områden, baserat på de övergripande mål och strategier som beskrivs i Program för användning och utveckling av IT vid Uppsala universitet, Dnr UFV 2009/872. Till de övergripande riktlinjerna finns riktlinjer och stöddokument på en mer detaljerad nivå. Parallellt med riktlinjer inom IT-området finns riktlinjer inom andra områden med en nära koppling till informationsteknik, som riktlinjer för informationssäkerhet, Dnr UFV 2010/424. 2 Ansvar 2.1 Efterlevnad Ansvaret för efterlevnad av universitetets riktlinjer inom IT-området fördelar sig enligt följande: Rektor har det övergripande ansvaret. Prefekt/motsvarande vid sin institution, avdelning eller motsvarande. Områdesföreståndare för samordning inom sitt intendenturområde. IT-chef för planering, samordning och uppföljning samt kontroll av efterlevnad. Verksamma vid universitetet för att följa riktlinjerna. Ansvaret för externa parter, exempelvis IT-konsulter, avseende tillgång till universitetets IT-resurser ska vid behov tydligt regleras i avtal. 2.2 Uppdatering av riktlinjerna IT-chefen ansvarar för att dessa riktlinjer uppdateras kontinuerligt samt fastställer riktlinjer på detaljerad nivå. Större revideringar av dessa övergripande riktlinjer ska fastställas av universitetsdirektören. 3

3 Definitioner Verksam innefattar i detta dokument kategorierna anställd, student och övrigt verksam. Till övrigt verksam räknas person som ej uppbär lön från universitetet och har en aktiv och tydlig koppling till en institution. Systemägare beskriver i detta dokument den roll som har det övergripande ansvaret för förvaltning och drift av ett eller flera IT-system. Rollen objektägare, som används inom de delar av organisationen som tillämpar pm3-modellen, innefattas i begreppet systemägare. IT-resurser innefattar i detta dokument datornät, datorer och annan informationsteknisk utrustning. IT-utrustning innefattar i detta dokument både stationär och mobil utrustning med syfte att samla in, bearbeta, lagra, visa och/eller kommunicera information. Stationär utrustning innefattar i detta dokument datorer, skrivare och nätverksprodukter med mera. Mobil utrustning innefattar i detta dokument bärbara datorer, olika typer av surf- och läsplattor, mobiltelefoner och liknande. Portabla lagringsmedia innefattar i detta dokument minneskort, USB-minnen, externa hårddiskar och liknande. 4 Omfattning Utöver aktuell lagstiftning gäller nedanstående riktlinjer, där de två inledande avsnitten fokuserar på stödet för den enskilde användaren. 4.1 Användning av Uppsala universitets IT-resurser Följande riktlinjer gäller vid all användning av universitetets IT-resurser, oavsett hur anslutning sker. 4

4.1.1 Användning av universitetets datornät För all användning av datornät vid Uppsala universitet gäller följande: Konton, lösenord och koder är personliga och får endast användas av innehavaren. Tidsbegränsat undantag från denna princip medges för att personadresserad myndighetspost ska kunna hanteras vid tjänstemans frånvaro. Se information angående Medgivande att öppna personadresserad post, Dnr UFV 2011/814. För funktionskonton och tillfälliga konton gäller att en person är ansvarig för kontot. Flera personer kan dock beredas tillgång till kontot. Användning av universitetets datornät syftar till att underlätta studier, forskning och utförande av ordinarie arbetsuppgifter. Annan användning kan vara tillåten under förutsättning att den inte inkräktar på ordinarie arbetsuppgifter eller kommer universitetet till skada. Prefekt/motsvarande svarar för bedömningen. SUNET:s etiska regler reglerar tillåten användning. SUNET fördömer som oetiskt när någon o försöker få tillgång till nätverksresurser utan att ha rätt till det o försöker dölja sin användaridentitet o försöker störa eller avbryta den avsedda användningen av nätverken o uppenbart slösar med tillgängliga resurser (personal, maskinvara eller programvara) o försöker skada eller förstöra den datorbaserade informationen o gör intrång i andras privatliv o försöker förolämpa eller förnedra andra. IT-resurser som ansluts till Uppsala universitets datornät ska ha relevant skydd. 4.1.2 Användning av persondatorer, mobil utrustning och portabla lagringsmedia Personlig utrustning som används vid studier eller i tjänsteutövning ska, oavsett om den ägs av universitetet eller enskild verksam, hanteras på ett säkert sätt som minimerar risken för informationsförluster och intrång i universitetets datornät. Generellt gäller följande: Enheten ska skyddas på ett sådant sätt att känslig information inte kommer i orätta händer. Nivån på skyddet ska bedömas utifrån graden av känslighet på den information som lagras i eller som på annat sätt kan nås via enheten. Innehavaren är ansvarig för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt. 5

För persondatorer, stationära såväl som bärbara, gäller utöver ovanstående att enheten ska skyddas med ett antivirus-program utrustning och den grundläggande programvaran måste vara uppdaterad. I den mån leverantören inte längre underhåller denna får utrustningen inte anslutas till universitetets nät och/eller tjänster. Uppdateringar, antivirus och säkerhetskopiering sköts i normalfallet av ITansvarig/dataansvarig på respektive institution/motsvarande eller av intendenturen. Prefekt/motsvarande kan besluta om undantag från detta. 4.1.3 Anslutning av trådlösa nät (WLAN) till UpUnet och UpUnet-S För att ett WLAN ska få anslutas till UpUnet/UpUnet-S krävs att oidentifierade användare inte tillåts använda nätet och att lösenord och annan känslig information inte exponeras utan krypteras på tillräcklig nivå. 4.2 Stöd och support Stöd och support ska erbjudas samtliga verksamma vid universitetet. Support ges lokalt på olika nivåer i universitetets organisation och via universitetets centrala helpdesk. Studentsupport ger användarstöd och råd till studenter. För att stöd och support ska kunna ges på ett tillfredställande sätt ska en IT-ansvarig/dataansvarig finnas utsedd vid varje institution. en IT-intendent finnas utsedd vid varje intendenturområde. arbetet med support organiseras så att supportfunktioner på lokal nivå, studentsupport och universitetets centrala helpdesk kan samverka för alla verksammas bästa. 4.3 Anskaffning, utveckling och förvaltning av IT-system Väl fungerade IT-system utgör en grundläggande förutsättning i det arbete som bedrivs vid universitetet, både inom kärnverksamhet och stödverksamhet. Faktorer som rör säkerhet, användbarhet och kostnadseffektivitet ska vara vägledande i allt arbete med anskaffning, utveckling och förvaltning av system. Riktlinjerna för informationssäkerhet beskriver de krav som ställs på IT-system som används vid Uppsala universitet och ger stöd i arbetet med att uppfylla dessa. I övrigt gäller följande inom detta område: 6

En systemägare ska finnas utsedd tidigt i processen vid anskaffning/utveckling. Systemet ska ha stöd för en fungerande behörighetsadministration samt autentisering på rätt nivå av säkerhet med avseende på informationens känslighet. Avtal som beskriver överenskommen servicenivå ska upprättas före driftsättning. Ansvarig för förvaltningsorganisationen och ansvarig för driftorganisationen utgör parter vid upprättande av avtal. Efter upphandling/utveckling ska systemet överlämnas till lämplig förvaltningsorganisation. För administrativt arbete och myndighetsutövning ska likartade behov i olika delar av organisationen samordnas via gemensam upphandling/utveckling. Anskaffning via upphandling, egen utveckling eller samverkan med andra lärosäten utgör exempel på alternativa vägar i sammanhanget. Det mest fördelaktiga alternativet med avseende på ekonomi och funktion ska väljas. Allt arbete relaterat till IT-system ska präglas av ett livscykelperspektiv. Frågor som rör exempelvis ekonomi och systemunderhåll ska bedömas med hänsyn tagen till hela systemets livslängd. Grundläggande säkerhetskrav ska beaktas vid nyttjande av extern IT-konsult. En konsult ska följa universitetets regler vad gäller tillträde till datornät och lokaler, undertecknande av sekretessförbindelse etc. Användbarhetsaspekter ska beaktas vid all anskaffning och utveckling. En strävan mot enhetlighet ska vara en naturlig del i allt arbete med utformning av gränssnitt för universitetets olika system. Aspekter som rör tillgänglighet för personer med funktionsnedsättning ska beaktas. 4.4 Avveckling av IT-utrustning och IT-system Avveckling av system och tjänster som spelat ut sin roll kräver, i likhet med anskaffning och utveckling, god planering. Planering inför avveckling ska inkludera följande moment: Analys av konsekvenser. Finns exempelvis samband med andra system som fortfarande är i drift? Användare av systemet och övriga intressenter ska vara väl införstådda med planeringen av avvecklingen. Avtal som inte längre kommer att vara aktuella ska sägas upp. 7

För utrangering av IT-utrustning gäller att utrangerade enheter ska hanteras på ett sådant sätt att känslig information inte kommer i orätta händer. Se riktlinjerna för informationssäkerhet utrangering sker på ett sätt som är korrekt ur miljösynpunkt 4.5 Hantering av programvarulicenser Enbart legal programvara ska användas vid Uppsala universitet. Universitet förväntas, som statlig myndighet, leva upp till grundläggande krav på god ordning bland programvarulicenser. För att skapa denna goda ordning ska vi vid universitetet föra ett licensregister över tecknade licenser, för att därigenom kunna styrka vårt licensinnehav ha en funktion med uppgiften att se till att universitetet hanterar licensiering på ett korrekt sätt, d.v.s. att avtalslicenser betalas för de, och endast de, upphovsrättsligt skyddade programvaror som används i verksamheten informera verksamma vid universitetet gällande regler och ansvar Prefekt/motsvarande ansvarar för information gällande regler och ansvar vid den egna institutionen. Enheten för upphandling och inköp ansvarar för licenshantering och licensregister över de licenser som förmedlas via universitetets centrala programvarudistribution. Prefekt/motsvarande har motsvarande ansvar för programvaror som upphandlas direkt vid institutionen. Licensregister behöver inte inbegripa programvaror som ligger under en öppen licens såsom t.ex. GPL, BSD, Apache eller liknande. 4.6 Serverdrift Definitionen av vad en server är kan skifta från sammanhang till sammanhang. I detta fall syftas på en enhet som, till skillnad mot en persondator, nyttjas av ett flertal personer i syfte att leverera en särskild funktion eller en särskild tjänst. För sådan utrustning gäller följande: En driftorganisation med ett tydligt definierat ansvar för servern ska finnas utsedd. 8

Servern ska vara rätt placerad med avseende på klimat och säkerhet. Serverns användningsområde ska vara vägledande vid bedömning av placering och vilken nivå på säkerhet som kan anses nödvändig. Servern ska konfigureras på ett säkert sätt så att den inte blir till en sårbar punkt i universitetets infrastruktur. Driftorganisationen ansvarar för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt. Vid uppsättning av servrar som kräver särskilt hög nivå av tillgänglighet ska redundans övervägas. Informationsklassning ger stöd i bedömningen. Prefekt/motsvarande är ansvarig för att sådan genomförs. Grundläggande säkerhetskrav ska beaktas vid nyttjande av extern IT-konsult. En konsult ska följa universitetets regler vad gäller tillträde till datornät och lokaler, undertecknande av sekretessförbindelse etc. Administrativ åtkomst till servern ska vara begränsad men ej personberoende. Enheter som inte längre får säkerhetsuppdateringar av tillverkaren av enheten får inte anslutas till universitetets nät och/eller tjänster. 4.7 Domännamnshantering vid Uppsala universitet Uppsala universitets skall använda den registrerade huvuddomänen uu under toppdomänen.se. IT-avdelningen har uppdraget att administrera underdomäner direkt under uu.se. Uppsala universitets domännamnshantering skall vara utformad på sådant sätt att den bidrar till verksamhetens effektivitet speglar den beslutade organisatoriska indelningen, genom att institutioner registreras som en underdomän till uu på formen inst.uu.se. Strukturen baseras på att inst är entydigt och att förkortningen lätt ska kunna associeras till institutionens fullständiga namn. Motsvarande princip gäller även andra organisatoriska enheter som vetenskapsområden, fakulteter och särskilda inrättningar. Prefekt/motsvarande kan föreslå undantag från denna princip. Slutgiltigt beslut i frågor som rör undantag fattas av IT-chefen. baseras på benämningar som är konsekventa och enkla att förstå har samma struktur oavsett tjänst på Internet. Exempel: www.inst.uu.se, nn.nn@inst.uu.se 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss