Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )



Relevanta dokument
Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

GÖTEBORGS UNIVERSITET IT-policy version sid 2 av Syfte Övergripande Styrning av IT... 3

Riktlinjer för informationsklassning

Informationssäkerhetspolicy för Ånge kommun

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy för Ystads kommun F 17:01

IT-säkerhetsinstruktion Förvaltning

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

1(6) Informationssäkerhetspolicy. Styrdokument

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Gemensamma anvisningar för informationsklassning. Motala kommun

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Dnr

GRUND - SLA. Beslutsdatum Detta dokument syftar till att beskriva grund SLA vid Göteborgs universitet STYRDOKUMENT

Riktlinjer för IT-säkerhet i Halmstads kommun

Finansinspektionens författningssamling

POLICY INFORMATIONSSÄKERHET

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Informationssäkerhetspolicy för Umeå universitet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Åklagarmyndighetens författningssamling

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

Policy för informationssäkerhet

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetsanvisning

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Hantering av behörigheter och roller

Informationssäkerhetspolicy. Linköpings kommun

REGLER FÖR FORSKNINGSINFRASTRUKTUR VID GÖTEBORGS UNIVERSITET

IT-Säkerhetsinstruktion: Förvaltning

Regler avseende nyttjande av Göteborgs universitets (GU) lokaler för fester och arrangemang. Publiceringsdatum Juni Beslutsdatum

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Informationssäkerhetsanvisningar Förvaltning

Beslutsdatum reviderade

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Strategi Program Plan Policy» Riktlinjer Regler

IT-säkerhetspolicy. Fastställd av KF

Informationssäkerhetspolicy för Vetlanda kommun

STRIT Beställarorganisation

IT-Policy. Tritech Technology AB

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

REGLER FÖR FORSKNINGSINFRASTRUKTURER VID GÖTEBORGS UNIVERSITET

Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet

IT-plan för Söderköpings kommun

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Metod för klassning av IT-system och E-tjänster

Informationssäkerhetspolicy KS/2018:260

Policy för informations- säkerhet och personuppgiftshantering

Informations- och IT-säkerhet i kommunal verksamhet

Finansinspektionens författningssamling

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet

Regler för uppdrag med särskilda säkerhets- och.

Härjedalens Kommuns IT-strategi

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Riktlinje för informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Riktlinjer. Informationssäkerhet och systemförvaltning

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Nässjö kommun

IT-säkerhetsinstruktion

Systemförvaltningshandbok

Riktlinje för Systemförvaltning

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Informationssäkerhetspolicy

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Normerande beslut: Roller, ansvar och befogenheter inom miljöledningssystemet

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

IT vid Göteborgs universitet. Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef)

Systemförvaltningshandbok

Erfarenheter från IRTverksamhet. Einar Hillbom UMDAC Umeå Universitet

Riktlinjer för IT och informationssäkerhet - förvaltning

ROLLER, ANSVAR OCH BEFOGENHETER INOM MILJÖLEDNINGSSYSTEMET

Regler för IT-säkerhet vid Göteborgs universitet anger. Publiceringsdatum Juni 2007 (senaste rev. dec 2013)

Informationsklassning och systemsäkerhetsanalys en guide

SÅ HÄR GÖR VI I NACKA

Transkript:

Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare www.gu.se Rektor Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Dokumentsansvarig Giltighetstid Sammanfattning Leif Bouvin Tillsvidare Bilaga Definition av roller och begrepp anger definitioner av roller och begrepp som används i policy, regler och riktlinjer för IT-säkerhet samt i övriga styrdokument avseende IT. Fastighetsavdelningen Haraldsgatan 5, Box 100, SE 405 30 Göteborg 031 786 0000, 031 786 1142 (fax) www.gu.se

November 2014 Definition av roller och begrepp En befattningshavare kan, främst när det gäller mindre system, ha flera av nedanstående roller. För att förebygga oegentligheter får kombination av roller som medger behörighet till en transaktion och samtidigt behörighet till att dölja transaktionen genom t.ex. radering av logg, inte ske. T.ex. får en personaladministratör som har behörighet till transaktioner i det personaladministrativa systemet inte samtidigt vara IT-leveransansvarig eller systemadministratör för aktuellt system. Det principiella sambandet mellan nedanstående roller framgår av Principskiss avseende roller och ansvar på sidan 6. Användare Person som tilldelats behörighet till Göteborgs universitets IT-resurser och som ska gå att identifiera. Behörighetsadministratör Behörighetsadministratör utses av behörighetsansvarig och ansvarar för inregistrering och avregistrering av behörigheter enligt behörighetsansvarigs beslut. Administratören ansvarar också för att beslut om behörighetstilldelning arkiveras enligt fastställda arkivkrav. Behörighetsansvarig Behörighetsansvarig beslutar om tilldelning av behörigheter till universitetets gemensamma och lokala system samt ansvarar för uppföljning av tilldelade behörigheter. Tilldelningen och uppföljningen ska följa av informationsägare, systemägare och tekniskt ansvarig fastställda regler. Behörighetsansvariga är prefekt, enhetschef i gemensamma förvaltningen, bibliotekschef för bibliotek inom universitetsbiblioteket, chef för fakultetskansli, föreståndare för nationell enhet eller motsvarande. Sidan 2 av 8

GU- gemensamma system System som hela Göteborgs universitet kan använda sig av t ex personalsystem, ekonomisystem, e-post. Incident Manager (IM) En IT- incident är en händelse som gör att en IT-tjänst är helt eller delvis otillgänglig. Incident Manager är den roll inom IT-service som ansvarar för att bedöma omfattningen av incidenten. IM leder och samordnar arbetet för att så snabbt som möjligt hitta en åtgärd som återställer IT-tjänstens tillgänglighet. Incident Response Team (IRT) IRT är den grupp inom IT- service som arbetar med att säkra universitetets ITresurser dels genom att analysera nätverkstrafiken, dels genom att leta efter och informera om kända säkerhetshål som kan förekomma i systemen. Om en incident inträffat tar IRT fram underlag för åtgärder genom analys och spårning. IRT hanterar också externa sk abuseanmälningar som inkommer till GU. Informationsklassning Information klassificeras i termer av dess värde, legala krav, känslighet och betydelse för organisationen. Ansvarig för informationsklassningen är informationsägaren. Informationsklassning ska säkerställa att informationen erhåller en lämplig skyddsnivå. Som hjälp används kriterierna konfidentialitet, riktighet, spårbarhet och tillgänglighet. Med konfidentialitet avses att informationen inte får göras tillgänglig eller avslöjas för obehöriga. Med riktighet avses att informationen inte ska kunna förändras och förvanskas av misstag eller av någon obehörig. Med spårbarhet avses att skapandet och förändringar av information skall kunna härledas till den som gjort det. Med tillgänglighet avses att informationen ska finnas till hands för behöriga användare då den behövs. Resultatet från de fyra olika klassificeringar skall utgöra det samlade kravet på nivån för skyddet av den aktuella informationen eller IT-systemet. Informationsägare All information skall ha en informationsägare. Informationsägare är den som är utfärdare och/eller fastställare av viss information och som svarar för att informationen är riktig, tillförlitlig och för det sätt på vilken den får sin spridning. Informationsägaren ansvarar för: att informationen klassas utifrån kriterierna konfidentialitet, riktighet, spårbarhet och tillgänglighet, Sidan 3 av 8

att utifrån informationsklassningens resultat i samråd med systemförvaltaren utarbeta säkerhetskraven för hantering och behandling av informationen. Säkerhetskraven ska anges med inriktning på konfidentialitet, riktighet, spårbarhet och tillgänglighet, att utifrån informationsklassningens resultat i samråd med systemförvaltaren utarbeta regler för behörighetstilldelning. Följande uppställning ger exempel på vem som räknas som informationsägare i olika fall, om inget annat beslutats. Kategori Fastställda dokument Data i informationssystem All annan information Ägare (om ej annat anges) Den som fastställt dokumentet Systemägaren eller processägare Utfärdaren Informationsägare kan delegera de dagliga uppgifterna avseende hantering av informationen till t ex systemförvaltare eller tjänsteansvarig. Isolerat nät Ett isolerat nät har inga som helst kopplingar till Internet eller andra nätverk. Inga IT-system utanför det isolerade nätet skall ha möjlighet att kommunicera med ITsystem i ett isolerat nät. IT-infrastruktur Grundläggande gemensam konfiguration av servrar, klienter, operativsystem, nätverk, arbetsstationer, skrivare, programvaror, databaser etc. IT-leveransägare För den tekniska driftsäkerheten ska en IT-leveransansvarig tjänsteman finnas utsedd. IT-leveransägare ansvarar för att analyser av den tekniska säkerheten genomförs med hänsyn till konfidentialitet, riktighet, spårbarhet och tillgänglighet samt att påvisade brister åtgärdas. att informationsägarens säkerhetskrav uppfylls tekniskt. Till exempel chefen för IT-enheten respektive ansvarig för verksamhetsunik IT vid fakultet, institution eller motsvarande. IT-leveransansvarig Ansvarar för den tekniska förvaltningen av systemet utifrån IT-leveransägarens direktiv. Den IT-leveransansvarig skall ha goda kunskaper om systemets konstruktion, datahantering och tekniska säkerhetslösningar samt övergripande kunskaper om den verksamhet som systemet stödjer. Sidan 4 av 8

IT-resurser Med IT-resurser menas datorer, mobiltelefoner, programvaror, licenser och all annan kringutrustning som nyttjas i samband med hantering av information i digital form. IT-system Med IT-system avses utrustning och programvara som behandlar, d.v.s. insamlar, bearbetar, lagrar samt distribuerar information och utbyter data mellan funktionsenheter med hjälp av dataöverföring och i enlighet med tekniskt protokoll. IT-tjänst Funktion som användare nyttjar och som är baserad på IT-infrastruktur och GUgemensamma IT-system. Processägare Processägaren har till uppgift att från ett helhetsperspektiv koordinera och leda utvecklingen av den tilldelade processen. Processägaren ansvarar för att processen är ändamålsenlig, effektiv, flexibel och etablerad. I processägarens uppgifter ingår: att förbättra processen (med avseende på effektivitet och kundtillfredställelse), att avgränsa processen, att vara informationsägare för information i system som stödjer processen, att identifiera delprocesser och ange ansvariga för dessa, att klarlägga vad processen skall resultera i (dvs. behov och krav som skall mötas), att planera och följa upp processen så att önskat resultat uppnås. Processägaren skall arbeta i nära kontakt med berörda funktioner/verksamheter, avdelningar och informationsägare. Redundans Egenskap där man genom mångfaldigande av en funktion syftar till att säkerställa kontinuerlig drift och ökad feltolerans. Oftast åstadkommes detta genom dubblering av kritiska funktioner t ex reservkraft, diskar. Skyddat nät I ett skyddat nät regleras så väl inkommande som utgående trafik vilket innebär att det finns regler för hur IT-tjänster i det skyddade nätet får kommunicera med ITtjänster utanför det skyddade nätet. Restriktionen ligger i infrastrukturen och är inte en del av IT-tjänstens autentisering som exempelvis ett påloggningsförfarande. Brandväggar är exempel på hur man skapar skyddade nät. Sidan 5 av 8

Service Level Agreement (SLA) SLA är ett avtal som upprättas mellan systemägare och IT-leveransägare med avsikt att garantera en viss nivå av service och support. System I IT-säkerhetsdokumenten definieras system som ett vidare begrepp vilket innefattar inte bara IT-system utan även de manuella rutinerna och mänskliga resurser som hör samman med ett IT-system. Systemadministratör Ansvarar för att fastställda säkerhetskrav tillämpas i den tekniska administrationen och driften av IT-systemen. Systemadministratör får inte vara användare av de administrativa system som han är systemadministratör för. T.ex. får en personaladministratör som har behörighet till transaktioner i det personaladministrativa systemet inte samtidigt vara systemadministratör för aktuellt system. Systemförvaltare Ansvarar för systemförvaltningen utifrån systemägarens direktiv avseende tillämpningen, användarnas krav och behov. Systemförvaltaren skall ha en djup kunskap om den verksamhet som systemet ska stödja samt övergripande kunskap om tekniken som tillämpas i systemet. Systemförvaltningsplan Är ett operativt styrdokument för system vars syfte är att klargöra, för respektive ingående applikation/system, vad som skall göras i förvaltningsarbetet samt hur förvaltningen ska utföras och styras under det kommande året. Även budgetförutsättningarna beskrivs genom beskrivning av aktiviteter/leveranser som skall utföras och hur dessa resurssätts Systemområde En uppsättning av system inom ett närliggande verksamhetsområde Systemägare För varje IT-system skall en systemägare (systemansvarig tjänsteman) finnas utsedd. Systemägare skall tillvarata användarnas krav och ha det övergripande ansvaret för att IT-systemet stödjer verksamheten och verksamhetens mål. Systemägare ansvarar för: att informationsägarens säkerhetskrav genomförs. Säkerhetskraven ska anges med inriktning på konfidentialitet, riktighet, spårbarhet och tillgänglighet, att informationsägarens regler för behörighetstilldelning säkerställs att IT-levaransägarens säkerhetskrav uppfylls. Sidan 6 av 8

Verksamhetsspecifikt system System som används som arbetsstöd av få användare lokalt på en institution eller avdelning. Sidan 7 av 8

Principskiss avseende roller och ansvar System- och driftsorganisation Linjeorganisation (System och drift-/tekniskt ansvar) (Övergripande IT-säkerhets- ansvar) Rektor Systemägare IT-leveransägare Informationsägare Dekanus, motsv. Systemförvaltare IT-leveransansvarig. Prefekt, motsv Systemadministratör Användare Användare Anmärkning I system- och driftsorganisationen kan en befattningshavare, främst när det gäller mindre IT-system, inneha flera av ovanstående roller. IT-leveransägare utses för universitetsgemensam nivå respektive fakultet, institution eller motsvarande. Systemägare utses av lägst prefekt eller motsvarande. Sidan 8 av 8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss