Riktlinjer för Informationssäkerhet

Relevanta dokument
Riktlinjer för informationssäkerhet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Rekommenderad policy för dataradering och hantering av it-utrustning

Säker informationshantering

Säker hantering av mobila enheter och portabla lagringsmedia

Regler för lagring av Högskolan Dalarnas digitala information

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Riktlinjer för informationssäkerhet

Välkommen Expertanvändarträff Siebel och Phoniro

Riktlinjer inom ITområdet

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Riktlinjer för egendomsskydd

Personuppgiftsbiträdesavtal

Personuppgiftspolicy

Rutiner för fysisk säkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Papperskopia av dokumentet endast giltigt med röd stämpel: Registrerad kopia.

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Riktlinjer för egendomsskydd

Bilaga 3 Säkerhet Dnr: /

Riktlinje för hantering av personuppgifter i e-post och kalender

Använd molntjänster på rätt sätt

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Intern IT Policy fo r Riksfo rbundet Hjä rtlung

PERSONUPPGIFTER SOM BEHANDLAS

Riktlinjer för informationsklassning

Hantering av behörigheter och roller

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

Riktlinjer för informationssäkerhet

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

Punkt 21 Riktlinje för fritextfält

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

SÄKERHETSBILAGA FÖR TJÄNSTEPRODUCENTER

Riktlinjer för informationssäkerhet

Vägledning om molntjänster i skolan

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

(5) Integritetspolicy - Kumla Bostäder AB

INTEGRITETSPOLICY FÖR VERKSAMHETEN

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

Vilka är Ibas Kroll Ontrack? Räddning av brända hårddiskar Oförutsedda utgifter Norrmän i rymddräkt

Integritetspolicy för externa kontakter inom Fastighetspartner i Göteborg AB

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

PERSONUPPGIFTSBITRÄDESAVTAL

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Riktlinjer för informationssäkerhet

Hallsbergs Bostadsstiftelses integritetspolicy

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Vad är en personuppgift och vad är en behandling av personuppgifter

Bilaga 1 - Handledning i informationssäkerhet

Göran Rydeberg, Stockholms universitet

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Personuppgiftslagen (PuL) - En kort introduktion

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Integritet, personuppgifter

SafeSimplex. laddad av SUEZ. från hemlighet till återvinning med. säker destruktion av ert sekretessmaterial. SafeSimplex

Hantering av elektroniskt lagrad information när anställning, studier eller uppdrag vid Uppsala universitet upphör

Riktlinjer för informationssäkerhet

INFORMATIONSSÄKERHET OCH DATASKYDD

BILAGA Personuppgiftsbiträdesavtal

REKRYTERINGSHUSET. RekryteringsHuset i Sverige AB Integritetspolicy

Svensk författningssamling

GDPR. Anders Ahlström

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Riktlinjer för egendomsskydd

Mertzig Asset Management AB

Bilaga - Personuppgiftsbiträdesavtal

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

Programvarutillgångars hantering från anskaffning till avveckling

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Riktlinjer för informationssäkerhet

Dnr UFV 2018/1965. Kamerabevakning. Rutiner för fysisk säkerhet. Fastställda av: Säkerhetschef

Policy för personuppgiftsbehandling

Riktlinjer för informationssäkerhet

VÄGLEDNING INFORMATIONSKLASSNING

Personuppgiftsbiträde

Lathund Personuppgiftslagen (PuL)

Riktlinjer för informationssäkerhet

Information om allergi/specialkost Information avseende allergi/specialkost får inte registreras i Vittraboken.

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Södertörns brandförsvarsförbund

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Transkript:

Dnr 2014/1279 Riktlinjer för Informationssäkerhet Hantering av utrangerad (avvecklad) IT-utrustning Fastställda av säkerhetschefen 2014-12-08

Innehåll 1 Inledning 3 2 Ansvar vid bedömning 3 3 Definitioner 3 4 Omflyttning av utrustning 4 4.1 Inom institution/motsvarande 4 4.2 Inom universitetet 4 5 Avveckling/utrangering 4 5.1 Allmänt 4 5.2 Försäljning 5 5.2.1 Utrustning utan skyddsvärd information 5 5.2.2 Utrustning med skyddsvärd information 5 5.3 CD, DVD, band 5 6 Kryptering och säker radering 6 7 Servrar och serverbaserade lagringssystem 6 8 Leasad/hyrd utrustning 6 9 Fysisk destruktion 7 2

1 Inledning Teknisk utrustning som servrar, nätverksskrivare, kopiatorer, persondatorer, bärbara datorer, smarta telefoner, läsplattor, minnesenheter, datamedia med flera digitala lagringsmedier kan innehålla skyddsvärd information. När utrustningen ska flytta mellan användare inom en institution/motsvarande, mellan institutioner/motsvarande inom universitetet, avvecklas eller avyttras (kasseras, bytas bort eller försäljas) är det viktigt att förhindra obehörig åtkomst till den skyddsvärda informationen. Riktlinjen ska vara ett stöd i det arbetet och baseras på Förordningen om överlåtelse av statens lösa egendom (SFS 1996:1191) Förordningen om producentansvar för elektriska och elektroniska produkter (SFS 2005:209) Regler för försäljning av inventarier (UFV 2008/159) och regelverket för universitetets anläggningsregister Riktlinjer för informationssäkerhet (UFV 2010/424) Riktlinjer inom IT-området (UFV 2013/907) Riktlinjen för avfallshantering (UFV 2007/551) 2 Ansvar vid bedömning Prefekt/motsvarande har på sin institution/motsvarande det övergripande ansvaret att bedöma om det finns risk att teknisk utrustning innehåller, eller har innehållit, okrypterad skyddsvärd information. För teknisk utrustning där driften hanteras av IT-avdelningen gäller att respektive objektägare/systemägare vid behov i samråd med IT-chefen har ansvaret att bedöma om det finns risk att utrustningen innehåller, eller har innehållit, okrypterad skyddsvärd information. Säkerhetschefen ansvarar för att aktuell och korrekt information om kryptering, säker radering med mera finns tillgängligt i riktlinjer, stöddokument och i Medarbetarportalen. 3 Definitioner Skyddsvärd information. Information som omfattas av sekretess eller annars ska betraktas som konfidentiell, innehåller känsliga personuppgifter, är verksamhetskritisk, licensskyddad eller skyddad av lagar och förordningar. Ofta kallad känslig information. Känsliga personuppgifter. Enligt personuppgiftslagen är känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. 3

Verksamhetskritisk information kan till exempel vara kritisk för en enskild forskare/forskargrupp, en institution/motsvarande, eller kritisk för hela universitetet som original till avhandlingar, avtalsoriginal, data/information som samlats in över lång tid och/eller inte går att återskapa, samlad information om värdefull egendom med mera. Okrypterad information är läsbar för alla. Kryptering innebär att informationen kodas så att den inte går att läsa utan en nyckel för dekryptering. Se avsnittet om kryptering och säker radering. 4 Omflyttning av utrustning Omflyttning av utrustning omfattar ej CD, DVD eller band. 4.1 Inom institution/motsvarande När IT-utrustning, oavsett typ, ska flytta till en annan användare eller ett annat användningsområde inom samma institution/motsvarande är det tillräckligt med en systemåterställning om inte prefekt/motsvarande bedömer att en säker radering måste ske. 4.2 Inom universitetet När IT-utrustning, oavsett typ, ska flytta till en annan institution/motsvarande men kvarstå inom universitetet, så ska informationen raderas på ett säkert sätt. Se avsnittet om säker radering nedan. 5 Avveckling/utrangering 5.1 Allmänt All IT-utrustning ska hanteras enligt riktlinjer inom IT-området, avsnittet 4.4 Avveckling av IT-utrustning och IT-system, vilket bland annat innebär att utrangerade enheter ska hanteras på ett sådant sätt att känslig information inte kommer i orätta händer utrangering ska ske på ett sätt som är korrekt ur miljösynpunkt Säkerhetsenheten ska kontaktas vid hantering av utrustning från samverkan/uppdragsforskning eller annat med särskilda sekretesskrav. Utrustning som kasseras är elektronikavfall och ska hantera enligt riktlinjen för avfallshantering. Enligt förordningen 2005:209 om producentansvar för elektriska och elektroniska produkter, ska elektronikleverantör återta utrangerad och kasserad IT- 4

utrustning. För att utrangerad och kasserad utrustning med informationsbärande delar ska kunna återlämnas till leverantören måste leverantören kunna visa upp en av universitetets säkerhetschef godkänd process för säker destruktion. Om det går att demontera hårddisk, flashminne eller annan lagringsmedia från utrustningen är det enbart lagringsmedia som behöver destrueras. 5.2 Försäljning En eventuell försäljning av utrustning ska ske enligt reglerna för försäljning av inventarier och förordningen om överlåtelse av statens lösa egendom. Det innebär att universitetet enbart får avyttra egendom som blivit obrukbar eller inte behövs i verksamheten. Den avyttring som innebär försäljning ska genomföras affärsmässigt. 5.2.1 Utrustning utan skyddsvärd information Utrustning som prefekt/motsvarande bedömer aldrig innehållit skyddsvärd information, eller där lagringsmedia varit krypterad under hela användningstiden, kan avyttras efter att lagringsmedia raderats på ett säkert sätt. Se även avsnittet om servrar och serverbaserade lagringssystem. 5.2.2 Utrustning med skyddsvärd information För utrustning som prefekt/motsvarande bedömer har, eller kan ha, innehållit okrypterad skyddsvärd information gäller följande: Om lagringsmedia (t.ex. hårddiskar) går att demontera kan utrustningen avyttras utan lagringsmedia, eller med nytt oanvänt media installerat. Smarta telefoner, plattor, USB-minnen, SSD-diskar och liknande som inte kan demonteras får inte försäljas utan ska kasseras. För utrustning som är en del i komplexa servermiljöer, serverbaserade lagringssystem med mera ska dessutom samråd ske med säkerhetsenheten innan en eventuell försäljning. Om informationen varit krypterad anses utrustningen vara utan skyddsvärd information, se 5.2.1 ovan. 5.3 CD, DVD, band CD- eller DVD-skivor går inte att rensa. Skivor som bedöms innehålla skyddsvärd information och inte ska arkiveras ska därför destrueras när de utrangeras. Säkerhetskopieringsband (backupband) ska avmagnetiseras och kasseras när de utrangeras. Band ska inte försäljas. 5

6 Kryptering och säker radering Kryptering är ett sätt att öka säkerheten för informationen, till exempel ett e-post meddelande eller ett dokument, genom att förvränga innehållet så att det bara kan läsas av någon med rätt nyckel för dekryptering. Det finns ett antal olika tekniker och stöd för kryptering och det är viktigt att välja en tillräckligt bra teknik för att få en ökad säkerhet. Säker radering innebär att informationen raderas på ett sätt så att den inte går att återskapa ens med användandet av speciella återskapningsprogram. I Medarbetarportalen under Stöd och Service, Säkerhet finns tips på lämpliga programvaror för både kryptering och säker radering och kryptering, information om möjligheterna till hårdvarubaserad kryptering, länkar till ytterligare information, samt kontaktuppgifter till säkerhetsenheten. Kontakta säkerhetsenheten för rådgivning och hjälp rörande kryptering och/eller säker radering av olika typer av lagringsmedia. 7 Servrar och serverbaserade lagringssystem Servrar, komplexa servermiljöer och serverbaserade lagringssystem (som SAN) innehåller ofta en stor mängd information från olika källor. Hur lagringssystemet är uppbyggt påverkar i vilken mån lagringsmedier kan raderas. Kontakta säkerhetsenheten för rådgivning och hjälp rörande möjligheterna för dessa typer av teknisk utrustning. För leasad eller hyrd utrustning, som till exempel kopiatorer, nätverksskrivare, och i förekommande fall SAN-tjänster, se avsnittet om hyrd utrustning nedan. För försäljning, se avsnitt 5.2 Försäljning ovan. För kassering, se avsnitt 9 Fysisk destruktion nedan. 8 Leasad/hyrd utrustning Vid återlämning av leasad eller hyrd utrustning är det viktigt att återställning, radering av information eller destruering av lagringsmedier är tydligt reglerat i avtal med leverantören. Avtalet ska även reglera de fall då utrustning tillfälligt återlämnas på grund av service, teknikproblem eller liknande. 6

9 Fysisk destruktion Fysisk destruktion innebär att förstöra utrustningen fullständigt genom att till exempel bränna upp, skära sönder, krossa eller smälta den så att återställning av data blir omöjligt. Destrueringen är förenad med risker rörande till exempel glassplitter, gasutveckling eller eld och ska enbart utföras av behörig personal. För de campus/intendenturområden där intendenturen har utrustning för destruering till exempel korsstrimlande dokumentförstörare som även kan hantera CD/DVD/USBminnen eller utrustning för avmagnetisering kan institutionen/motsvarande vända sig dit. Utrustning där informationen ej går att radera på grund av hårdvarufel eller liknande ska destrueras om prefekt/motsvarande bedömer att utrustningen kan innehålla eller ha innehållit skyddsvärd information. Kontakta säkerhetsenheten för rådgivning och hjälp. 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss