Riktlinjer för säkerhetsarbetet vid Uppsala universitet



Relevanta dokument
Bilaga till rektorsbeslut RÖ28, (5)

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Riktlinjer för informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för informationssäkerhet

Rutiner för fysisk säkerhet

Riktlinjer för säkerhetsarbetet

Informationssäkerhetspolicy för Umeå universitet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

Hantering av behörigheter och roller

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy KS/2018:260

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy IT (0:0:0)

Policy för informationssäkerhet

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy för Nässjö kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

I Central förvaltning Administrativ enhet

Finansinspektionens författningssamling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Koncernkontoret Enheten för säkerhet och intern miljöledning

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Myndigheten för samhällsskydd och beredskaps författningssamling

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhet - Informationssäkerhetspolicy

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Svar på revisionsskrivelse informationssäkerhet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Vetlanda kommun

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Granskning av informationssäkerhet

SÅ HÄR GÖR VI I NACKA

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Fortsättning av MSB:s metodstöd

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Dnr

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Säkerhetspolicy för Västerviks kommunkoncern

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Informationssäkerhetsanvisningar Förvaltning

Riktlinjer för informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Policy för informationssäkerhet

Informationssäkerhetspolicy för Ånge kommun

1 (7) Arbetsgången enligt BITS-konceptet

Regler och instruktioner för verksamheten

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinjer för informationssäkerhet

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Administrativ säkerhet

Informationssäkerhetspolicy

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Hur värnar kommuner digital säkerhet?

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Informationssäkerhet, Linköpings kommun

Informationssäkerhetspolicy

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Policy och strategi för informationssäkerhet

RIKTLINJER FÖR IT-SÄKERHET

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Informationssäkerhetspolicy för Katrineholms kommun

Transkript:

Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31

Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3 5 Mål 4 6 Strategier 4 7 Omfattning 5 7.1 Planering 5 7.2 Genomförande 5 7.2.1 Säkerhetspolicy 5 7.2.2 Organisation av informationssäkerheten 6 7.2.3 Hantering av tillgångar 6 7.2.4 Personalresurser och säkerhet 6 7.2.5 Fysisk och miljörelaterad säkerhet 6 7.2.6 Styrning av kommunikation och drift 6 7.2.7 Styrning av åtkomst 7 7.2.8 Anskaffning, utveckling och underhåll av informationssystem 7 7.2.9 Hantering av informationssäkerhetsincidenter 7 7.2.10 Kontinuitetsplanering för verksamheten 7 7.2.11 Efterlevnad 7 7.3 Uppföljning 8 7.3.1 Uppföljning av informationssäkerhetsincidenter 8 7.3.2 Uppföljning av efterlevnad 8 7.4 Förbättring 8 8 Implementering 9 2

1 Inledning Till följd av ökande användning av informationsteknik och internetbaserade informationstjänster utsätts universitetets informationsresurser för ett växande antal och en större bredd av hot, vilket medfört en större sårbarhet. Information är en tillgång som i likhet med personal och egendom är avgörande för vår verksamhet och måste följaktligen få ett adekvat skydd. Detta dokument avser att beskriva universitetets ledningssystem för informationssäkerhet (LIS) som är baserat på svensk standard SS-ISO/IEC 27001 och Riktlinjer för säkerhetsarbetet vid Uppsala universitet, Dnr UFV 2009/1929. Syftet med riktlinjerna är att de ska utgöra en grund för informationssäkerhetsarbetet vid universitetet samt ge en övergripande beskrivning av de säkerhetskrav som ställs på våra informationssystem, såväl vid normal verksamhet som i tänkbara krissituationer. 2 Ansvar Ansvaret för efterlevnad av universitetets riktlinjer för informationssäkerhet fördelar sig enligt följande: Rektor har det övergripande ansvaret Prefekt/motsvarande har ansvaret vid sin institution/avdelning Säkerhetschefen ansvarar för planering, samordning, uppföljning och kontroll av efterlevnad Systemägare/Objektägare har vid sidan av ovanstående befattningar ansvaret för implementering och efterlevnad av riktlinjerna inom sitt informationssystem/förvaltningsobjekt, inklusive där ingående informationsresurser. Verksamma vid universitetet ansvarar för att följa riktlinjerna vid egen användning av universitetets informationsresurser. 3 Underlåtelse Om verksamma vid Uppsala universitet underlåter att följa riktlinjerna kan universitetet komma att vidta relevanta åtgärder. 4 Definitioner Informationsresurser innefattar all elektronisk, pappersbaserad, muntlig eller på annat sätt lagrad eller kommunicerad information samt de informationssystem (hård- och mjukvara) och kommunikationslösningar som hanterar informationen. syftar till att upprätthålla önskad nivå av sekretess, riktighet, tillgänglighet och spårbarhet för universitetets informationsresurser. spolicy (Säkerhetspolicy i SS-ISO/IEC27001) är ett övergripande dokument som anger mål och inriktning samt styr organisationens informationssäkerhetsarbete. Motsvaras vid Uppsala universitet av dessa riktlinjer för informationssäkerhet. 3

Ledningssystem för informationssäkerhet (LIS). Process för styrning och ledning av informationssäkerhetsarbetet vid Uppsala universitet, vilket bland annat omfattar organisation, resurser samt tekniska respektive administrativa säkerhetsåtgärder. MSB. Myndigheten för samhällsskydd och beredskap. MSBFS 2009:10. MSB:s föreskrifter om statliga myndigheters informationssäkerhet. PDCA-modellen ( Plan-Do-Check-Act ). En strukturerad process för planering, genomförande, uppföljning och kontinuerlig förbättring som används i ISO s (International Organization for Standardization) olika ledningssystem, känd och använd under sin engelska förkortning Pm3. Den systemförvaltningsmodell som används vid Uppsala universitet. Skyddsnivå för en informationsresurs ska utformas enligt gällande lagar och förordningar. I övrigt ska skyddsnivåer väljas utgående från fortlöpande och systematiska risk- och hotbildsanalyser samt konsekvenser av störningar. Skyddsåtgärder ska väljas utgående från fortlöpande och systematiska risk- och hotbildsanalyser samt konsekvenser av störningar. Skyddsåtgärder ska, där det är möjligt, baseras på etablerade standarder eller de facto-standarder inom informationssäkerhetsområdet. SS-ISO/IEC 27001. Svensk och internationell standard som tillhandahåller en modell för att upprätta, införa och driva, övervaka och granska, samt underhålla och förbättra ett ledningssystem för informationssäkerhet. 5 Mål Det övergripande målet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till behoven hos universitetet, verksamma vid universitetet och allmänheten. Avsikten med att bedriva informationssäkerhetsarbetet enligt LIS är att följa MSB:s föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2009:10. 6 Strategier sarbetet ska sträva efter att balansera risker (sannolikhet och konsekvens) mot kostnader för skyddsåtgärder. Uppnådd balans benämns Rätt säkerhet. sarbetet ska styras och utföras enligt universitetets LIS och enligt nedanstående process för planering, genomförande, uppföljning och förbättring (den s.k. PDCA-modellen, se punkt 4 Definitioner). Detta benämns Styrd säkerhet. 4

7 Omfattning Detta avsnitt är strukturerat enligt de fyra processtegen planering, genomförande, uppföljning och förbättring. Det anger övergripande krav på skyddsåtgärder inom de säkerhetsområden som omfattas av LIS. 7.1 Planering Implementering av LIS och därefter löpande förbättringsåtgärder bör planeras i samband med verksamhets- eller systemförvaltningsplanering och göras på universitetsövergripande nivå, för en institution/motsv., för ett förvaltningsobjekt eller ett enskilt informationssystem. Uppföljning görs sedan på regelbunden basis, t.ex. i den löpande förvaltningsstyrningen. Såväl införande av LIS som tillkommande ändringskrav ska vara baserade på risk- och hotbildsanalyser och ange beslutade skyddsåtgärder för de säkerhetsområden som anges i 7.2 Genomförande. För detta finns anvisningar för risk- och hotbildsanalyser. Löpande förbättringsåtgärder ska införas som ett resultat av periodiskt uppföljnings- och förbättringsarbete i punkt 7.3 Uppföljning och 7.4 Förbättring. Därutöver kan säkerhetsförbättringar vid behov införas utom plan, t.ex. vid allvarliga incidenter, införande av nya informationssystem eller IT-tjänster, säkerhetsuppdateringar i programvaror, etc. 7.2 Genomförande Det operativa säkerhetsarbetet som innebär att driva, mäta och följa upp så att LIS, enligt planering och beslut i punkt 7.1, ger avsedd säkerhetsnivå inom följande områden. 7.2.1 Säkerhetspolicy Uppsala universitets riktlinjer för informationssäkerhet (detta dokument) anger övergripande mål och regler för universitetets informationssäkerhetsarbete. 5

7.2.2 Organisation av informationssäkerheten Ansvar för informationssäkerhetsarbetet följer universitetets linjeorganisation (se punkt 2 Ansvar). Ansvaret för externa parter avseende tillgång till universitetets informationsresurser (utnyttjande, förvaltning, underhåll etc.) ska vid behov tydligt regleras i avtal. 7.2.3 Hantering av tillgångar Grundläggande krav för hantering av universitetets informationsresurser är att: de ska vara identifierade och dokumenterade skyddsåtgärder med avseende på sekretess, riktighet och tillgänglighet är baserade på universitetets anvisningar för informationsklassificering handhavande av allmänna handlingar sker enligt handboken Hantering av allmänna handlingar vid universitetet, Dnr 2770/98. 7.2.4 Personalresurser och säkerhet Prefekt/motsv. ansvarar för att verksamma vid institutionen/motsvarande undertecknar en ansvarsförbindelse för att få tillgång till universitetets informationssystem, samt att därefter tillhandahålla relevant information om riktlinjerna. Säkerhetschefen ansvarar för att aktuell och lättillgänglig information om riktlinjerna finns på universitetets webbplats. Informations- och utbildningsinsatser ska erbjudas de verksamma. För ytterligare stöd finns möjlighet att kontakta IT-säkerhetsorganisationen. Informationssystem som innehåller känslig information ska ha speciella ansvarsförbindelser för systemens administratörer och andra användare med högre behörigheter. 7.2.5 Fysisk och miljörelaterad säkerhet Lokaler och utrustning som är avsedda för universitetets informationshantering ska vara utrustade med ett väl avvägt skydd mot intrång, otillåten användning, stöld, brand och annan skada. 7.2.6 Styrning av kommunikation och drift Vid driftssättning och daglig drift av universitetets informationssystem ska universitetets anvisningar för korrekt och säker datakommunikation och drift följas. 6

7.2.7 Styrning av åtkomst Inom universitetet baseras åtkomsträtten till information på offentlighetsprincipen samt på offentlighets- och sekretesslagen, personuppgiftslagen (PUL) och tryckfrihetsförordningen. Alla informationssystem ska ha rutiner och system för behörighetskontroll för att förhindra otillåten åtkomst, förändring eller förstöring av information. Dessa ska följa universitetets anvisningar för styrning av åtkomst till universitetets informationssystem. 7.2.8 Anskaffning, utveckling och underhåll av informationssystem För att säkerställa att säkerhet är en integrerad del av universitetets informationssystem ska en risk- och hotbildsanalys enligt anvisningarna för risk- och hotbildsanalyser genomföras i alla utvecklings- och anskaffningsprojekt. Ansvarig: Projektägare/motsv planering och uppföljning av skyddsåtgärder göras som en del av det löpande förvaltningsarbetet med befintliga informationssystem. Ansvarig: Systemägare/motsv avveckling av informationssystem ske på ett kontrollerat sätt. Ansvarig: Systemägare/ motsv. 7.2.9 Hantering av informationssäkerhetsincidenter Löpande bevakning, uppföljning och rapportering av informationssäkerhetsincidenter, t.ex. om en dator utsatts för intrång eller intrångsförsök, ska göras av universitets IT-säkerhetsorganisation. Verksamma ska vid behov kunna rapportera informationssäkerhetsincidenter. 7.2.10 Kontinuitetsplanering för verksamheten Avbrottsplanering ska genomföras för alla informationssystem som stödjer verksamhet där längre avbrott kan orsaka stor skada för universitetet, verksamma vid universitetet och andra berörda. Baserad på prioriteringar i verksamheternas avbrottsplaner ska en återstartsplan finnas inom ITorganisationen för återgång till drift av ordinarie system. Såväl avbrotts- som återstartsplaner ska testas regelbundet. 7.2.11 Efterlevnad För att säkerställa efterlevnad av LIS i förvaltningsobjekt, informationssystem och utvecklingsprojekt samt att universitetets säkerhetsarbete följer tillämpliga lagar, föreskrifter och avtalsförpliktelser ska: risk- och hotbildsanalyser enligt anvisningarna för risk- och hotbildsanalyser genomföras på regelbunden basis. Ansvarig: Systemägare/motsv eller prefekt/motsv. säkerhetsanalyser enligt anvisningarna för informationssäkerhetsanalyser göras vid särskilda behov. Ansvarig: Säkerhetschef. omvärldsbevakning av tillämplig lagstiftning och föreskrifter om statliga myndigheters informationssäkerhetsarbete ske på löpande basis. Ansvarig: Säkerhetschef. 7

7.3 Uppföljning I detta processteg görs periodisk uppföljning och rapportering av hur LIS fungerar i verksamheten med avseende på uppsatta mål, praktisk erfarenhet och efterlevnad. Förslag på förbättringsåtgärder läggs till grund för prioriteringar och beslut i punkt 7.4 Förbättring. 7.3.1 Uppföljning av informationssäkerhetsincidenter Universitets IT-säkerhetsorganisation ska på regelbunden basis följa upp och rapportera följande statistik till säkerhetschefen: inrapporterade incidenter enligt punkt 7.2.9 Hantering av informationssäkerhetsincidenter under den senaste perioden och förändringar jämfört med tidigare perioder sammanställning av förebyggande eller korrigerande åtgärder under denna och föregående perioder och utfall av dessa 7.3.2 Uppföljning av efterlevnad Universitets IT-säkerhetsorganisation ska på regelbunden basis följa upp och rapportera följande resultat till säkerhetschefen: genomförda risk/hotbilds- och säkerhetsanalyser genomförda interna och externa revisioner avseende informationssäkerhet konsekvenser av genomförda och kommande förändringar i tillämpliga lagar, föreskrifter och avtalsförpliktelser 7.4 Förbättring Ständiga förbättringar av LIS med avseende på funktionalitet och kvalitet genom korrigerande och förebyggande åtgärder, samt för bättre efterlevnad genom information och utbildning. Förbättringsåtgärder ska vara baserade på ledningsbeslut, revisioner eller annan relevant information enligt punkt 7.3. 8

Förslag och prioriteringar av förbättringar i LIS ska ingå som en del av säkerhetschefens löpande planering och uppföljning av informationssäkerhetsarbetet samt utgöra underlag för den årliga verksamhetsplanen. Se även anvisningarna för förvaltning av LIS. För respektive förvaltningsobjekt eller för ett enskilt informationssystem ska förslag och prioriteringar av förbättringsåtgärder ingå i det ordinarie systemförvaltningsarbetet samt utgöra underlag för den årliga förvaltningsplanen. 8 Implementering Implementering av dessa riktlinjer och underliggande stöddokument ska ske genom att aktuell och lättillgänglig information tillhandahålls på universitets webbplats olika informations- och utbildningsinsatser erbjuds de verksamma. en IT-säkerhetsorganisation är tillgänglig för kontakt via telefon, e-post och webb samt för riktade informations- och utbildningssatsningar. särskild uppmärksamhet ägnas implementering av riktlinjerna i systemförvaltningsarbetet 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss