Ledningssystem för Informationssäkerhet

Relevanta dokument
Ledningssystem för Informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Bilaga till rektorsbeslut RÖ28, (5)

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Plan för informationssäkerhet vid Högskolan Dalarna 2015

ISO/IEC och Nyheter

Riktlinjer för informationssäkerhet

Riktlinjer för säkerhetsarbetet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Rutiner för fysisk säkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Hantering av behörigheter och roller

Policy för informationssäkerhet

Riktlinjer för informationssäkerhet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Vilket mervärde ger certifiering dig?

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy. Linköpings kommun

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Svar på revisionsskrivelse informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Ånge kommun

Fortsättning av MSB:s metodstöd

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Ledningens genomgång

Informationssäkerhetspolicy för Ystads kommun F 17:01

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Granskning av informationssäkerhet

Riktlinjer för informationssäkerhet

I Central förvaltning Administrativ enhet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Myndigheten för samhällsskydd och beredskaps författningssamling

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Välkommen till enkäten!

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Ledningssystem för IT-tjänster

Process för intern styrning och kontroll

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy

Fortsättning av MSB:s metodstöd

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Informationssäkerhetspolicy KS/2018:260

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy

Svensk Standard SS ISO/IEC SS

Informationssäkerhetspolicy för Katrineholms kommun

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Bilaga 3 Säkerhet Dnr: /

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Policy för informations- säkerhet och personuppgiftshantering

Utforma policy och styrdokument

Systemförvaltningsmodell för LiU

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Administrativ säkerhet

Regler och instruktioner för verksamheten

Finansinspektionens författningssamling

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Finansinspektionens författningssamling

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Riktlinjer för informationssäkerhet

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy IT (0:0:0)

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Finansinspektionens författningssamling

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetsanvisningar Förvaltning

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Riktlinje för Riskanalys och Intern kontroll

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Plan för intern kontroll 2017

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Transkript:

Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Innehåll 1 Inledning... 3 2 Organisationens förutsättningar... 4 3 Ledarskap... 5 4 Planering... 5 5 Stöd... 6 6 Verksamhet... 7 7 Utvärdering av prestanda... 7 8 Förbättringar... 8 2

1 Inledning Det övergripande målet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska sträva efter Rätt säkerhet, dvs. att balansera risker mot kostnader för skyddsåtgärder, och Styrd säkerhet, dvs. styras och utföras enligt Uppsala universitets ledningssystem för informationssäkerhet, LIS. Universitetets LIS är baserat på svensk standard SS-ISO/IEC 27001:2014 för att därmed kunna uppfylla kraven i myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2016:1. Arbetet med LIS vid Uppsala universitet beskrivs enligt de sju avsnitten i ISO 27001:2014 och omfattas av säkerhetsåtgärder grupperade under fjorton rubriker i ISO 27002:2014: Informationssäkerhetspolicy Organisation av informationssäkerhetsarbetet Personalsäkerhet Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet Anskaffning, utveckling och underhåll av system Leverantörsrelationer Hantering av informationssäkerhetsincidenter Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet Efterlevnad 3

LIS beskriver säkerhetsmål för vilka en balanserad säkerhetsnivå och lämpliga säkerhetsåtgärder ska planeras, genomföras, följas upp och kontinuerligt förbättras vid behov. Grundläggande för IT- och informationssäkerhetsarbetet är kontinuerlig uppföljning och förbättring, ofta beskrivet genom den s.k. PDCA-cykeln ( Plan-Do-Check-Act ), samt aktiv dialog med ledning och verksamhet. Som stöd i det dagliga arbetet finns policydokument, riktlinjer, rutiner och andra stöddokument inom informationssäkerhet fastställda och publicerade i Medarbetarportalen under Stöd och service Säkerhet Riktlinjer. Nedan presenteras universitetets LIS utifrån de sju avsnitten i ISO 27001:2014 2 Organisationens förutsättningar Organisationens förutsättningar (förstå organisationen, intressenter och dess förutsättningar, bestämma omfattningen av LIS) Organisationen ska avgöra vilka externa och interna frågor som är relevanta för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten med sitt LIS Det övergripande målet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska sträva efter Rätt säkerhet, dvs. att balansera risker mot kostnader för skyddsåtgärder, och Styrd säkerhet, dvs. styras och utföras enligt universitetets LIS. För att säkerställa att universitetets informationsresurser får ett heltäckande och adekvat skydd skall LIS, universitetets ledningssystem för informationssäkerhet, följas. LIS är baserat på svensk standard SS-ISO/IEC 27001 för att därmed kunna uppfylla kraven i 4

myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1). I styrdokumentet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Informationssäkerhet (UFV 2017/97) anges de säkerhetskrav som ställs på universitetets informationssystem, såväl vid normal verksamhet som i tänkbara krissituationer. Konkretisering av dessa riktlinjer presenteras i ett antal underliggande rutiner och stöddokument som finns i Medarbetarportalen under Stöd och service Säkerhet Riktlinjer. Föreskrifter som berör informationssäkerhet: Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet, MSBFS 2016:1 Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter, MSBFS 2016:2 3 Ledarskap Ledarskap (Ledarskap och engagemang, policy, befattningar, ansvar) I universitets övergripande styrdokument för informationssäkerhet (ISO 27001:2014 informationssäkerhetspolicy) beskrivs ansvar, roller och omfattning: Rektor har det övergripande ansvaret för säkerheten vid Uppsala universitet. Säkerhetschefen samordnar universitetets säkerhetsarbete samt är stödjande och rådgivande till prefekter/motsvarande. Vid behov rapporterar säkerhetschefen direkt till rektor. Vid varje institution/motsvarande är prefekt/motsvarande ansvarig för säkerheten. Intendenturen bistår prefekter/motsvarande och ansvarar för samordning av säkerhetsarbetet inom intendenturområdet. Varje medarbetare ska aktivt arbeta för ökad säkerhet, samt påpeka brister till överordnad. 4 Planering Planering (Åtgärder för att hantera risker och möjligheter, bedömning och behandling av informationssäkerhetsrisker, informationssäkerhetsmål) Detta processteg innebär att planera för, och följa upp, införandet av LIS, samt löpande förbättringsåtgärder. Planeringen av införandet av LIS ska, liksom löpande säkerhetsförbättringar, vara baserade på anvisningar i Riskhantering av informationssystem (UFV 2015/322), se Medarbetarportalen Stöd och service Säkerhet Informationssäkerhet. 5

Riskhantering av universitetets centrala system är en integrerad del av universitetets systemförvaltningsmodell. Detta innebär att varje förvaltningsområde ska genomföra en s.k. nula gesanalys av informationssäkerheten en gång per år. Analysen ligger sedan som underlag för prioriteringar och beslut om förbättringar i förvaltningsplan och budget för nästkommande verksamhetsår. Informationssäkerhetsarbetet har integrerats i det årshjul som anger hur förvaltningsarbetet ska bedrivas, se bild nedan. För kärnverksamheten sker motsvarande genom det årliga arbetet med dels universitetets årliga risk- och sårbarhetsanalys (RSA), dels arbete och uppföljning enligt föreskriften om statliga myndigheters riskhantering och föreskriften om statliga myndigheters informationssäkerhet. Underlaget är avgränsat till frågor kring förebyggande och avhjälpande risk- och skadehantering, samt säkerhetsrelaterade och informationssa kerhetsrelaterade frågor, tillsammans med frågor rörande andra lagrum inom samma eller liknande ämnesområden. Underlaget inhämtas från universitetets alla institutioner, centra, intendenturer och avdelningar på förvaltningen. 5 Stöd Stöd (resurser, kompetens, medvetenhet, kommunikation, information) Säkerhetschefen ansvarar för att aktuell och lättillgänglig information om riktlinjerna för informationssäkerhet finns tillgängliga på universitetets webbplats. Informations- och utbildningsinsatser om informationssäkerhetsarbetet ska kunna erbjudas vid respektive institution/motsvarande. För ytterligare stöd finns möjlighet att kontakta universitetets säkerhetsavdelning. 6

Grundläggande utbildningar erbjuds både via lärarledda tillfällen och via internetbaserade kurser. Utöver detta erbjuds målgruppsanpassade kurser och informationsträffar enligt behov och önskemål. Kommunikation med verksamheten sker bland annat via e-postlistor och olika forum för bland annat IT-ansvariga och universitets förvaltningsorganisation. 6 Verksamhet Verksamhet (planering och styrning av verksamheten, samt bedömning och behandling av informationssäkerhetsrisker) Informationssäkerhetskraven identifieras med hjälp av olika åtgärder som t.ex. härledning från författningar och interna regelverk, riskanalyser, analys av incidenter och resultat från genomförda informationsklassificeringar. Rutinerna för riskanalyser av informationssystem (UFV 2015/322), beskriver universitetets process för genomförande av informationsklassificering, konsekvensanalys, riskanalys och nulägesbedömning. Nulägesbedömningen baseras på de 14 avsnitten i ISO 27002 som beskriver säkerhetsmål och åtgärder. Stöddokument för momenten finns i Medarbetarportalen under Stöd och service Säkerhet Informationssäkerhet. 7 Utvärdering av prestanda Utvärdering av prestanda (övervakning mätning, analys och utvärdering, internrevision, ledningens genomgång) Periodisk uppföljning och rapportering av hur säkerhetsarbetet fungerar i verksamheten med avseende på uppsatta mål, praktisk erfarenhet och efterlevnad utförs i huvudsak av universitetets säkerhetsavdelning. Analys och rapportering av följande statistik ska göras till universitetets säkerhetschef på regelbunden basis: Informationssäkerhetsincidenter Resultat av genomförda riskanalyser, Resultat av interna eller externa IT-revisioner Konsekvenser av eventuella förändringar i tillämpliga lagar, föreskrifter eller avtalsförpliktelser 7

8 Förbättringar Förbättringar (Avvikelse och korrigerande åtgärd, ständig förbättring) Ständiga förbättringar av LIS med avseende på funktionalitet och kvalitet uppnås genom korrigerande och förebyggande åtgärder information och utbildning omvärldsbevakning Förslag och prioriteringar av förbättringar i LIS ska ingå som en del av säkerhetschefens löpande planering och uppföljning av informationssäkerhetsarbetet samt utgöra underlag för den årliga verksamhetsplanen. För respektive e-område eller för ett enskilt informationssystem ska förslag och prioriteringar av förbättringsåtgärder ingå i det ordinarie förvaltningsarbetet samt utgöra underlag för den årliga förvaltningsplanen. Det årliga arbetet med riskhantering ur ett säkerhetsperspektiv i kärnverksamheten följs upp genom besök vid institutioner utifrån identifierade behov. 8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss