Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Relevanta dokument
Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

Riktlinjer för informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för informationssäkerhet

Riktlinjer för Informationssäkerhet

Riktlinjer för informationssäkerhet

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Hantering av behörigheter och roller

Koncernkontoret Enheten för säkerhet och intern miljöledning

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Rutiner för fysisk säkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy

Riktlinjer för säkerhetsarbetet

Informationssäkerhetspolicy KS/2018:260

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Policy för informationssäkerhet

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Riktlinjer för informationssäkerhet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

SÅ HÄR GÖR VI I NACKA

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy. Linköpings kommun

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

VÄGLEDNING INFORMATIONSKLASSNING

Informationssäkerhetspolicy IT (0:0:0)

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Fortsättning av MSB:s metodstöd

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Ånge kommun

Säker informationshantering

Riktlinjer för informationssäkerhet vid Stockholms universitet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Finansinspektionens författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Hur värnar kommuner digital säkerhet?

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Rikspolisstyrelsens författningssamling

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Riktlinjer för informationssäkerhet

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhetsanvisningar Förvaltning

Riktlinjer för informationssäkerhet

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor)

ISO/IEC och Nyheter

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhet, Linköpings kommun

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Bilaga 1 - Handledning i informationssäkerhet

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

I Central förvaltning Administrativ enhet

Regler för lagring av Högskolan Dalarnas digitala information

Välkommen till enkäten!

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Informationssäkerhetspolicy

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Bilaga 3 Säkerhet Dnr: /

Policy för personuppgiftsbehandling

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Riktlinjer informationssäkerhet

Transkript:

Dnr UFV 2017/93 Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2017-05-22

Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Definitioner 3 4 Omfattning 4 4.1 Informationssäkerhetspolicy 4 4.2 Organisation av informationssäkerhetsarbetet 4 4.3 Personalsäkerhet 5 4.4 Hantering av tillgångar 5 4.5 Styrning av åtkomst 6 4.6 Kryptering 6 4.7 Fysisk och miljörelaterad säkerhet 6 4.8 Driftsäkerhet 6 4.9 Kommunikationssäkerhet 6 4.10 Anskaffning, utveckling och underhåll av system 7 4.11 Leverantörsrelationer 7 4.12 Hantering av informationssäkerhetsincidenter 7 4.13 Kontinuitet och redundans 7 4.14 Efterlevnad 8 2

1 Inledning Syftet med nedanstående rutiner är att de ska utgöra en grund för informationssäkerhetsarbetet vid universitetet samt ge en övergripande beskrivning av de säkerhetskrav som ställs på universitetets informationssystem, såväl vid normal verksamhet som i tänkbara krissituationer. Rutinerna är baserade på riktlinjer för säkerhetsarbetet vid Uppsala universitet (UFV 2009/1929) och MSB:s föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet (MSBFS 2016:1). Rutinerna ersätter tidigare riktlinjer för informationssäkerhet (UFV 2010/424). 2 Ansvar Ansvaret för genomförande och tillsyn av informationssäkerheten följer det delegerade verksamhetsansvaret (ordinarie linjeansvar). Det innebär att den som är ansvarig för en verksamhet också är ansvarig för genomförande och tillsyn av dess informationssäkerhet. Se vidare avsnitt 4.2 Organisation av informationssäkerhetsarbetet. 3 Definitioner Informationssäkerhet. Säkerhet för informationstillgångar avseende förmågan att upprätthålla önskad tillgänglighet, riktighet, konfidentialitet (sekretess) och spårbarhet. Informationsresurser eller informationstillgångar omfattar såväl universitetets information som de resurser som används för att hantera informationen. Begreppet innefattar all elektronisk, pappersbaserad, muntlig eller på annat sätt lagrad eller kommunicerad information samt de informationssystem (hård- och mjukvara) och kommunikationslösningar som hanterar informationen. IS/IT-system. Informationssystem (IS) system som håller data och information, till exempel Raindance, Primula, Uppdok/Ladok, DiVA. Informationsteknologi (IT) teknologin som håller systemen, t.ex. datorer, telefoni, servrar, kommunikationsutrustning och annan teknisk utrustning. Skyddsvärd information. Information som omfattas av sekretess eller annars ska betraktas som konfidentiell, innehåller känsliga personuppgifter, är verksamhetskritisk, licensskyddad eller skyddad av lagar och förordningar. Ofta kallad känslig information. Känsliga personuppgifter. Personuppgifter är all slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Enligt Personuppgiftslagen 1 är 1 Personuppgiftslagen (1998:204) ersätts 2018-05-25 av Europaparlamentets och rådets förordning (EU) 2016/679 3

känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv. Verksamhetskritisk information kan till exempel vara kritisk för en enskild forskare/forskargrupp, en institution/motsvarande, eller kritisk för hela universitetet som original till avhandlingar, avtalsoriginal, data/information som samlats in över lång tid och/eller inte går att återskapa, samlad information om värdefull egendom med mera. Känslig information kan vara verksamhetskritisk och vice versa. 4 Omfattning 4.1 Informationssäkerhetspolicy Universitetets rutiner för informationssäkerhet (detta dokument) anger övergripande mål och regler för universitetets informationssäkerhetsarbete. 4.2 Organisation av informationssäkerhetsarbetet Ansvar för informationssäkerhetsarbetet följer universitetets linjeorganisation. Rektor har det övergripande ansvaret för verkställigheten av informationssäkerhetsarbetet, och ett kontrollansvar att utförandet följer det delegerade ansvaret. Chefer inom universitetet ansvarar för att information om informationssäkerhetsarbetet sprids, att resurser efter behov avsätts för arbetet, att medarbetare ges tillräcklig kunskap, samt att de arbetsmetoder som används bidrar till god informationssäkerhet. Personuppgiftsombud ska se till att personuppgifter behandlas lagligt och korrekt, påpeka eventuella brister i behandlingen, samt föra en förteckning över universitetets behandlingar av personuppgifter. Säkerhetschefen ansvarar för att samordna och utveckla informationssäkerhetsarbetet utforma och förvalta regelverk för informationssäkerhet stödja verksamheten i informationssäkerhetsfrågor säkerställa att krav på informationssäkerhet beaktas i samband med anskaffning, utveckling och drift av IS/IT-system hantera säkerhetsrelaterad informationsspridning och utbildning hantera allvarliga säkerhetsincidenter Alla medarbetare ska följa universitetets mål och strategier, föreskrifter, riktlinjer och övriga beslut. Avvikelser, brister, risker och incidenter rapporteras till närmaste chef. Se även avsnitt 4.12 Hantering av Informationssäkerhetsincidenter. 4

4.3 Personalsäkerhet Om en bakgrundskontroll vid anställning önskas ska den utföras i enlighet med relevanta författningar och etiska krav, samt stå i proportion till verksamhetskrav, klassificering av den information personen kommer att ges behörighet till, samt de upplevda riskerna. Prefekt/motsvarande ansvarar för att medarbetare är tillräckligt informerade om sina roller och ansvar ifråga om informationssäkerhet innan de ges åtkomst till universitetets informationssystem. Medarbetarna ska även erhålla relevant information om riktlinjer och övriga regelverk, samt möjligheterna till utbildning. Alla medarbetare ska erbjudas lämplig utbildning och fortbildning för ökad medvetenhet i den omfattning som är relevant för deras befattning. Grundläggande utbildningar ska erbjudas både via lärarledda tillfällen och via internetbaserade kurser. Utöver det ska målgruppsanpassade kurser och informationsträffar erbjudas utifrån verksamhetens behov och önskemål. Säkerhetschefen ansvarar för att aktuell och lättillgänglig information om riktlinjer, utbildningsmöjligheter med mera finns på universitetets interna webb. 4.4 Hantering av tillgångar Universitetets informationstillgångar ska vara skyddade på ett säkert sätt med avseende på tillgänglighet, riktighet och konfidentialitet. Arbetet med informationssäkerhet ska sträva efter att balansera risker trolig frekvens och konsekvenser mot kostnader för skyddsåtgärder. Arbetet ska för varje område planeras, styras och utföras strukturerat. Immateriella rättigheter ska skyddas genom att inköp av programvaror eller licenser sker via universitetets licensregister och att gällande bestämmelser rörande upphovsrätt följs. Hantering av inventarier ska följa universitetets regelverk för anläggningsregister. Löpande förbättringsåtgärder ska införas som ett resultat av kontinuerlig uppföljning. Därutöver ska säkerhetsförbättringar införas vid behov, t.ex. vid allvarliga incidenter. Grundläggande krav för hantering av universitetets informationsresurser är att Resurserna ska vara identifierade och dokumenterade. Skyddsåtgärder med avseende på riktighet, tillgänglighet och konfidentialitet ska baseras på informationsklassificering se rutiner för riskanalyser av informationssystem (UFV 2015/322), bilaga 1a, Informationsklassificering. Informationssystem som innehåller skyddsvärd information ska ha ansvarsförbindelser för systemets administratörer och andra användare med högre behörigheter. Allmänna handlingar hanteras enligt Hantering av allmänna handlingar vid universitetet (2770/98). 5

Externa parters tillgång till och hantering av universitetets informationsresurser (utnyttjande, förvaltning, underhåll etc.) ska regleras i avtal. 4.5 Styrning av åtkomst Inom universitetet baseras åtkomsträtten till informationen bland annat på tryckfrihetsförordningen, offentlighets- och sekretesslagen och personuppgiftslagen. Alla informationssystem ska ha rutiner och system för behörighetskontroll i syfte att förhindra otillåten åtkomst, förändring eller förstöring av information. Avsnittet Styrning av åtkomst i rutiner för anskaffning och drift av IT-system (UFV 2016/1944) anger detaljerade säkerhetskrav. 4.6 Kryptering Okrypterad information är läsbar för alla. Kryptering innebär att informationen kodas så att den inte går att läsa utan en nyckel för dekryptering. Skyddsvärd information i informationssystem och IT-tjänster ska skyddas genom kryptering, antingen av informationen i sig, lagringsmedia eller kommunikationsvägarna. Se universitetets rutiner för säkrare elektronisk kommunikation (UFV 2014/389). 4.7 Fysisk och miljörelaterad säkerhet Lokaler och utrustning där universitetets informationstillgångar förvaras och hanteras ska vara utrustade med väl avvägda skydd gällande brand, intrång, stöld, elförsörjning, klimat, otillåten användning och andra skador eller störningar. Se avsnittet Fysisk och miljörelaterad säkerhet i rutiner för anskaffning och drift av ITsystem (UFV 2016/1944). 4.8 Driftsäkerhet Driftrutiner och ansvar ska syfta till att säkerställa korrekt och säker drift av informationsbehandlingsresurser. Vid driftsättning och daglig drift av universitetets informationssystem ska universitetets riktlinjer inom IT-området (UFV 2016/896) följas. Förutom de övergripande riktlinjerna finns även riktlinjer för produktionssättning av IT-system (UFV 2014/1171), liksom rutiner för anskaffning och drift av IT-system (UFV 2016/1944). 4.9 Kommunikationssäkerhet Rutiner för hantering av nätverk och nätverkstjänster ska säkerställa korrekt skydd av information i nätverk och dess stödjande informationsbehandlingsresurser. 6

Vid dataöverföring i interna och externa nätverk ska rutiner för anskaffning och drift av IT-system (UFV 2016/1944) och rutiner för säkrare elektronisk kommunikation (UFV 2014/389) följas. 4.10 Anskaffning, utveckling och underhåll av system Rutiner vid anskaffning, utveckling och underhåll av system ska säkerställa att system och tjänster svarar mot universitetets krav på god informationssäkerhet och bidra till att upprätthålla en hög nivå av säkerhet i driftmiljöer och i universitetets datornät. Informationssäkerhet ska hanteras som en integrerad del av IT-system över hela livscykeln. Universitetets rutiner för anskaffning och drift av IT-system (UFV 2016/1944) ska följas vid såväl anskaffning som utveckling och underhålla av system. Universitetets rutiner för säker systemutveckling (2014/1307) ska följas vid egenutveckling av system. Avveckling av system ska följa universitetets rutiner för utrangerad utrustning (UFV 2014/1279) Se även universitetets riktlinjer inom IT-området (UFV 2016/896). 4.11 Leverantörsrelationer Informationssäkerhetskrav enligt universitetets riktlinjer ska vara reglerade i avtal med externa leverantörer. Rutiner för anskaffning och drift av IT-system (UFV 2016/1944) innehåller stöd för kravställning i samband med anskaffning och drift. 4.12 Hantering av informationssäkerhetsincidenter Universitetets verksamma ska alltid rapportera alla typer av informationssäkerhetsincidenter till universitetets servicedesk. Löpande bevakning, uppföljning och rapportering av informationssäkerhetsincidenter ska göras av universitetets säkerhetsavdelning. Incidenter med koppling till informationssäkerhet ska rapporteras enligt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av IT-incidenter (MSBFS 2016:2). Servicedesk ansvarar för sammanställning av relevant information och rapportering till MSB. 4.13 Kontinuitet och redundans Avbrottsplanering ska genomföras för alla informationssystem där längre avbrott eller andra störningar kan orsaka stor skada för universitet, verksamma vid universitetet eller andra berörda. Baserad på prioriteringar i verksamheternas avbrottsplaner ska en återstartsplan finnas inom IT-organisationen för återgång till drift av ordinarie system. 7

Såväl avbrotts- som återstartsplaner ska vara dokumenterade och testas regelbundet. Se universitetets riktlinjer för kris- och kontinuitetshantering (UFV 2015/1058). 4.14 Efterlevnad För att säkerställa att informationssäkerhetsarbetet bedrivs i enlighet med universitetets regler och riktlinjer, samt författningsenliga och avtalsmässiga informationssäkerhetskrav, ska E-områdesansvariga/systemägare tillse att informationssäkerhetsarbetet ingår i den årliga verksamhetsplaneringen för e-områden och informationssystem. Säkerhetsavdelningen löpande genomföra o Granskningar av teknisk efterlevnad för att säkerställa att skyddsåtgärder införts korrekt o IT-säkerhetsgranskningar, sårbarhetsgranskningar och penetrationstester o Omvärldsbevakning gällande både lagstiftning och risker för externa hot Projektägare tillse att en bedömning av informationssäkerhetsrisker genomföras i ett tidigt skede av projekt för att identifiera nödvändiga säkerhetsåtgärder. 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss