Bilaga till rektorsbeslut RÖ28, 2011 1(5) Informationssäkerhetspolicy vid Konstfack 1 Inledning Information är en tillgång som tillsammans med personal, studenter och egendom är avgörande för Konstfack verksamhet och behöver därför ha ett gott skydd. Rätt information ska vara tillgänglig för rätt person när den behövs (och på ett spårbart sätt) samt vara och förbli riktig. Den ökande användningen av informationsteknik och internetbaserade informationstjänster innebär att Konstfacks informationsresurser utsatts för ett växande antal hot och därmed en ökad sårbarhet. Informationssäkerhetspolicyn utgör grunden för informationssäkerhetsarbetet vid Konstfack och beskriver på en övergripande nivå de säkerhetskrav som ställs på våra informationssystem vid normal verksamhet och i tänkbara krissituationer. 2 Ansvarsfördelning Rektor har det övergripande ansvaret för informationssäkerheten vid Konstfack Prefekt/motsvarande har ansvaret för informationssäkerheten vid sin institution/enhet Förvaltningschefen ansvarar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerhet vid Konstfack samt utser systemägare för respektive informationssystem Systemägaren har det övergripande och yttersta ansvaret för den verksamhet som systemet ska stödja och att riktlinjer för respektive informationssystem efterlevs. Systemägaren fattar de avgörande besluten om systemet, om nyutveckling, vidareutveckling, förvaltning och avveckling. Systemansvarig utses av systemägare och har ansvar för administrationen och den dagliga användningen av informationssystemet. Ser till att systemägarens mål förvekligas i praktiken samt kanaliserar önskemål, begäran och krav på ändringar, värderar och prioriterar dessa, beställer och bevakar att beslutade ändringar genomförs. IT-säkerhetsorganisation vid Konstfack: Cheferna inom förvaltning och bibliotek under ledning av förvaltningschefen. Personuppgiftsombud: Utses av förvaltningschef och ser till att personuppgifter behandlas på ett korrekt och lagligt sätt och enligt god sed inom Konstfack. Verksamma vid Konstfack ansvarar för att följa riktlinjerna vid användningen av högskolans informationsresurser. Om verksamma vid Konstfack underlåter att följa riktlinjerna kan högskolan komma att vidta åtgärder, se förvaltningschefens delegation till IT-chef.
3 Definitioner Bilaga till rektorsbeslut RÖ28, 2011 2(5) Informationstillgångar innefattar all elektronisk, pappersbaserad, muntlig eller på annat sätt lagrad eller kommunicerad information samt de informationssystem (hård- och mjukvara) och kommunikationslösningar som hanterar informationen. Informationssäkerhet syftar till att upprätthålla önskad nivå av sekretess, riktighet, tillgänglighet och spårbarhet för högskolans informationstillgångar. Informationssäkerhetspolicyn är ett dokument som ska ange övergripande mål och inriktning samt styr organisationens informationssäkerhetsarbete. Ledningssystem för informationssäkerhet (LIS). Process för styrning och ledning av informationssäkerhetsarbetet vid Konstfack, vilket bland annat omfattar organisation, resurser samt tekniska respektive administrativa säkerhetsåtgärder. Skyddsnivå för en informationsresurs ska utformas enligt gällande lagar och förordningar. I övrigt ska skyddsnivåer väljas utgående från fortlöpande och systematiska risk- och hotbildsanalyser samt konsekvenser av störningar. Skyddsåtgärder ska väljas utgående från fortlöpande och systematiska risk- och hotbildsanalyser samt konsekvenser av störningar. Skyddsåtgärder ska, där det är möjligt, baseras på etablerade standarder eller de facto-standarder inom informationssäkerhetsområdet. SS-ISO/IEC 27001. Svensk och internationell standard som tillhandahåller en modell för att upprätta, införa och driva, övervaka och granska, samt underhålla och förbättra ett ledningssystem för informationssäkerhet. 4 Mål Det övergripande målet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn Konstfacks respektive allmänhetens behov. Informationssäkerhetsarbetet syftar till att stödja Konstfacks möjligheter att enligt LIS följa Myndigheten för samhällsskydd och beredskap (MBS) föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10). För Konstfack informationssäkerhetsarbete ska gälla att: berörd personal respektive studenter har relevant kunskap och förståelse om gällande informationssäkerhet informationsförsörjningen är säker, effektiv och bidrar till ökat skydd och stöd för medarbetare, samverkande partners och tredje man ingångna avtal är kända och följs krishanteringsförmågan upprätthålls alla investeringar i form av information och teknisk utrustning har skydd i tillräcklig grad det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation hotbilden för varje enskilt informationssystem som är av vikt för vår verksamhet analyseras fortlöpande händelser i informationssystemen som kan leda till negativa konsekvenser förebyggs årliga mål för arbetet framgår av verksamhetsplaneringen
5 Strategi Bilaga till rektorsbeslut RÖ28, 2011 3(5) Informationssäkerhetsarbetet ska sträva efter att balansera risker (sannolikhet och konsekvens) mot kostnader för skyddsåtgärder. Informationssäkerhetsarbetet är en del av Konstfacks arbete med intern styrning och kontroll, se avsnitt om riskanalys i Konstfacks årliga verksamhetsplan. I verksamhetsplaneringen för informationssäkerhet anges: vad som ska göras under året och hur behov av personella och ekonomiska resurser när och hur genomförande, uppföljning, utvärdering och avrapportering ska ske när, hur och vilka medarbetare/funktion som ska informeras och utbildas. Samtliga informationssystem ska vara identifierade och förtecknade. Av förteckningen ska framgå vem som är systemägare. 6 Avgränsningar och omfattning Informationssäkerhetsarbetet ska vara strukturerat i fyra processteg: planering, genomförande, uppföljning och förbättring. Det anger övergripande krav på skyddsåtgärder inom de säkerhetsområden som omfattas av LIS. Konstfacks regelverk för fjärråtkomst samt installation/användning av programvara, Internet och elektronisk post anges i Konstfack IT-policy. 6.1 Planering Implementering av LIS och löpande förbättringsåtgärder planeras i samband med verksamhetsoch systemförvaltningsplanering på högskoleövergripande nivå, för en institution/motsv samt för varje enskilt informationssystem. Uppföljning görs regelbundet, t.ex. i den löpande förvaltningsstyrningen. Ändringskrav på informationssystem som medförs av LIS ska baseras på risk- och hotbildsanalyser och ange skyddsåtgärder för de säkerhetsområden som anges i 6.2 Genomförande, se anvisningar för riskanalys. Löpande förbättringsåtgärder ska införas som ett resultat av periodiskt uppföljnings- och förbättringsarbete, se nedan. Säkerhetsförbättringar kan även ske vid exempelvis allvarliga incidenter, införande av nya informationssystem eller IT-tjänster, säkerhetsuppdateringar i programvaror, etc. 6.2 Genomförande Det operativa säkerhetsarbetet som innebär att driva, mäta och följa upp så att LIS, enligt planering och beslut ovan, ger avsedd säkerhetsnivå inom följande områden. Riktlinjer för informationssäkerhet Konstfacks riktlinjer för informationssäkerhet (detta dokument) anger övergripande mål och regler för högskolans informationssäkerhetsarbete. Organisation av informationssäkerheten Ansvar för informationssäkerhetsarbetet följer högskolans organisation samt delegationer/- vidaredelegationer (se punkt 2 Ansvar). Ansvaret för externa parter avseende tillgång till högskolans informationstillgångar (utnyttjande, förvaltning, underhåll etc.) ska vid behov tydligt regleras i avtal.
Bilaga till rektorsbeslut RÖ28, 2011 4(5) Hantering av informationstillgångar Grundläggande krav för hantering av Konstfacks informationstillgångar är att: de ska vara identifierade och dokumenterade skyddsåtgärder ska tas med hänsyn till behov av sekretess, korrekthet och tillgänglighet hantering av allmänna handlingar ska ske enligt lag, förordning samt Konstfacks lokala riktlinjer Personalresurser och säkerhet Verksamhetsansvarig ansvarar för att verksamma vid institutionen/arbetsenheten undertecknar den ansvarsförbindelse för att få tillgång till högskolans informationssystem, relevant information om riktlinjerna. samt att tillhandahålla Förvaltningschefen, eller av denne utsedd ansvarige, ansvarar för att aktuell och lättillgänglig information om informationssäkerhetspolicyn finns på högskolans webbplats. Informations- och utbildningsinsatser ska erbjudas de verksamma. För ytterligare stöd finns möjlighet att kontakta IT-säkerhetsorganisationen eller Personuppgiftsombud. Informationssystem som innehåller känslig information ska ha särskilda ansvarsförbindelser för systemens administratörer och andra användare med högre behörigheter (exempelvis LADOK, Agresso, Palasso). Fysisk och miljörelaterad säkerhet Lokaler och utrustning som är avsedda för drift av högskolans informationshantering ska vara utrustade med ett väl avvägt skydd mot intrång, otillåten användning, stöld, brand och annan skada. Styrning av kommunikation och drift Vid driftsättning och daglig drift av högskolans informationssystem ska anvisningar för korrekt och säker datakommunikation och drift följas. Styrning av åtkomst Inom Konstfack baseras åtkomsträtten till information på offentlighetsprincipen samt på offentlighets- och sekretesslagen, personuppgiftslagen (PUL) och tryckfrihetsförordningen. Alla informationssystem ska ha rutiner och system för behörighetskontroll för att förhindra otillåten åtkomst, förändring eller förstöring av information. Dessa ska följa högskolans anvisningar för styrning av åtkomst till respektive informationssystem. Anskaffning, utveckling och underhåll av informationssystem För att säkerställa att säkerhet är en integrerad del av högskolans informationssystem Riskanalys ska genomföras i alla utvecklings- och anskaffningsprojekt. Ansvarig: Projektägare/motsv Planering och uppföljning av skyddsåtgärder ska göras som en del av det löpande förvaltningsarbetet med befintliga informationssystem. Ansvarig: Systemägare/motsv. Avveckling av informationssystem ska ske på ett kontrollerat sätt. Ansvarig: Systemägare/motsv. Uppdaterad dokumentation om inventarier och licenser ska finnas: Systemägare/motsv Vid extern drift ska det säkerställas att leverantörer garanterar skydd mot skadlig kod. Ansvarig: Systemägare/motsv Hantering av informationssäkerhetsincidenter Löpande bevakning, uppföljning och rapportering av informationssäkerhetsincidenter, t.ex. om en dator utsatts för intrång eller intrångsförsök, ska göras av högskolan IT-säkerhetsorganisation. Verksamma ska vid behov rapportera informationssäkerhetsincidenter.
Bilaga till rektorsbeslut RÖ28, 2011 5(5) Kontinuitetsplanering för verksamheten Avbrottsplanering ska ske för informationssystem som stödjer verksamhet där längre avbrott kan orsaka stor skada för högskolan, verksamma vid högskolan och andra berörda. Rutiner ska finnas för återläsningstest av säkerhetskopierad data. En återstartsplan ska finnas för återgång till drift av ordinarie system. Planering av avbrott och återstart ska följas upp regelbundet. Efterlevnad För att säkerställa efterlevnad av LIS i förvaltningsobjekt, informationssystem och utvecklingsprojekt samt att högskolans säkerhetsarbete följer tillämpliga lagar, föreskrifter och avtalsförpliktelser ska: Riskanalyser ska genomföras på regelbundet. Ansvarig: Systemägare/motsv eller prefekt/motsv. Säkerhetsanalyser ska göras vid särskilda behov. Ansvarig: Förvaltningschef. Omvärldsbevakning av tillämplig lagstiftning och föreskrifter om statliga myndigheters informationssäkerhetsarbete ska ske på löpande basis. Ansvarig: Förvaltningschef. 6.3 Uppföljning Uppföljning och rapportering av hur LIS fungerar i verksamheten ska ske med avseende på uppsatta mål, praktisk erfarenhet och efterlevnad. Förslag på förbättringsåtgärder läggs till grund för prioriteringar och beslut, se nedan. Uppföljning av informationssäkerhetsincidenter Systemansvariga/prefekter/enhetschefer ska på regelbunden basis följa upp och rapportera följande statistik till förvaltningschefen: inrapporterade informationssäkerhetsincidenter under den senaste perioden och förändringar jämfört med tidigare perioder sammanställning av förebyggande eller korrigerande åtgärder under denna och föregående perioder och utfall av dessa Uppföljning av efterlevnad Högskolans IT-säkerhetsorganisation ska på regelbunden basis följa upp och rapportera följande resultat till förvaltningschefen: genomförda risk - och säkerhetsanalyser genomförda interna och externa revisioner avseende informationssäkerhet konsekvenser av genomförda och kommande förändringar i tillämpliga lagar, föreskrifter och avtalsförpliktelser 6.4 Förbättring Ständiga förbättringar enligt LIS med avseende på funktionalitet och kvalitet genom korrigerande och förebyggande åtgärder, samt för bättre efterlevnad genom information och utbildning. Förbättringsåtgärder ska vara baserade på ledningsbeslut, revisioner eller annan relevant information. Förslag och prioriteringar av förbättringar enligt LIS ska ingå som en del av förvaltningschefens löpande planering och uppföljning av informationssäkerhetsarbetet samt utgöra underlag för den årliga verksamhetsplanen. För respektive förvaltningsobjekt eller för ett enskilt informationssystem ska förslag och prioriteringar av förbättringsåtgärder ingå i det ordinarie systemförvaltningsarbetet samt utgöra underlag för den årliga verksamhetsplanen. Implementering Implementering av dessa riktlinjer och underliggande stöddokument ska ske genom att aktuell och lättillgänglig information tillhandahålls på högskolans webbplats olika informations- och utbildningsinsatser erbjuds de verksamma. särskild uppmärksamhet ägnas implementering av riktlinjerna i systemförvaltningsarbetet