Riktlinjer för informationssäkerhet

Relevanta dokument
Riktlinjer för informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Riktlinjer för informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Instruktion för elektronisk signering av dokument

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Riktlinjer för ansökan om etikprövning

Välkommen Expertanvändarträff Siebel och Phoniro

Lathund Personuppgiftslagen (PuL)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Integritet, personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Bilaga 2 till Rutiner för riskhantering (UFV 2018/211) Instruktion för genomförande av informationsklassificering

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige. Nürnbergskoden 1947

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Riktlinjer för Informationssäkerhet

Integritet, personuppgifter

Bilaga Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Högskolans ansvar för etiken i studentarbeten. Lotta Wendel Etikrådet Hälsa och Samhälle

Användande av Google Apps For Education

Personuppgifter i forskningen vilka regler gäller?

Riktlinje för hantering av personuppgifter i e-post och kalender

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Rutin vid kryptering av e post i Outlook

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Riktlinjer för e-posthantering i Norrköpings kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Policy för personuppgiftsbehandling

Regler för lagring av Högskolan Dalarnas digitala information

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Säkerhet vid behandling av personuppgifter i forskning

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige.

Personuppgifter i forskning riktlinje för SLSO

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Försvarets radioanstalts (FRA) behandling av personuppgifter

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Punkt 21 Riktlinje för fritextfält

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Bilaga - Personuppgiftsbiträdesavtal

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

BILAGA Personuppgiftsbiträdesavtal

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Juridiska förutsättningar för kommunikation i Poosty

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Personuppgiftsbiträdesavtal

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Personuppgiftslagen (PuL) - En kort introduktion

Svensk författningssamling

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Visselblåsarfunktion för Upplands Väsby kommun

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Forskningsetiska anvisningar för examens-

PERSONUPPGIFTSLAGEN (PUL)

Anmälan av personuppgiftsincident

Använd molntjänster på rätt sätt

(5) Integritetspolicy - Kumla Bostäder AB

Svensk författningssamling

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Personuppgiftsbehandling för forskningsändamål

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för elektroniska utlämnanden

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Rutiner för e-tjänster

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Ledningens informationssäkerhet

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Svensk författningssamling

Förteckning över personuppgifter som behandlas i C3 Connect

Arbetsordning för forskningsetiska kommittén vid Karlstads universitet

JURIDIKEN SOM MÖJLIGGÖR REGISTERBASERAD FORSKNING

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Hallsbergs Bostadsstiftelses integritetspolicy

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Instruktion till mall för registerförteckning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Anmälan av personuppgiftsincident

Vad är en personuppgift och vad är en behandling av personuppgifter

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet

Transkript:

Riktlinjer för informationssäkerhet Säkrare elektronisk kommunikation - Tvåfaktorautentisering - Kryptering och signering av e-post - Elektronisk signering av dokument Fastställda av: Säkerhetschef 2014-03-09 Reviderade: 2015-02-06

Innehållsförteckning 1 Inledning... 3 2 Syfte... 3 3 Mål... 3 4 Omfattning... 4 4.1 Tvåfaktorautentisering... 4 4.2 Kryptering och signering av e-post... 4 4.2.1 Inledning... 4 4.2.2 Kryptering av känsliga personuppgifter... 4 4.2.3 Kryptering av annan känslig information... 5 4.3 Elektronisk signering av dokument... 5 5 Genomförande... 5 6 Bilagor... 5 2

1 Inledning Säkrare elektronisk kommunikation definieras i detta dokument som användning av en eller flera av nedanstående tjänster vid kommunikation av känslig information över nätet, t.ex. via e-post Tvåfaktorautentisering Kryptering och signering av e-post Elektronisk signering av dokument 2 Syfte Att elektronisk kommunikation av känslig information vid universitetet sker enligt gällande lagar och förordningar. Att ge stöd till universitetets verksamheter som har behov av förhöjd inloggningssäkerhet till informationssystem och IT-tjänster som hanterar känslig information med avseende på sekretess, riktighet och tillgänglighet. Att elektronisk signering av dokument även ska bidra till effektivisering av dokumentflöden inom universitetet genom att reducera behovet av att skriva ut, faxa eller skicka med vanlig post. 3 Mål Att alla informationssystem och IT-tjänster som hanterar känslig information med höga krav på sekretess, riktighet eller tillgänglighet, ska Införa tvåfaktorautentisering vid inloggning till systemet/tjänsten enligt avsnitt 5.1 i dessa riktlinjer Att känsliga personuppgifter enligt 13 personuppgiftslagen (PUL) och annan för universitetet känslig information som kommuniceras via e-post, ska Krypteras enligt avsnitt 5.2 i dessa riktlinjer Att elektroniska dokument av karaktären avtal, beslutsprotokoll eller som innehåller känslig information och där motsvarande pappersdokument skulle ha undertecknats med en handskriven namnteckning, ska Signeras elektroniskt enligt avsnitt 5.3 i dessa riktlinjer för att skydda ett dokuments integritet och autenticitet (äkthet) Att även andra typer av dokument som idag skrivs ut, undertecknas för hand och faxas eller skickas med post istället använder elektronisk signering för att effektivisera interna och externa dokumentflöden med avseende på tid och kostnad. 3

4 Omfattning 4.1 Tvåfaktorautentisering Vissa informationssystem och IT-miljöer inom universitetet lagrar och hanterar information med höga eller särskild höga krav på skyddsåtgärder med avseende på sekretess, riktighet eller tillgänglighet, t.ex. forskningsdata, skyddade identiteter och andra känsliga personuppgifter. För att säkerställa att endast behöriga personer har åtkomst till sådan information bör s.k. stark autentisering användas. Detta innebär att en användare vid inloggning måste identifiera sig med två faktorer; något man vet och något man har (t.ex. en säkerhetsdosa eller ett s.k. smart kort). Beroende på jurisdiktioner (sakområden) finns det dock olika krav, eller tillitsnivåer, på den andra faktorn. 4.2 Kryptering och signering av e-post 4.2.1 Inledning Kryptering av e-post är en process där man använder mottagarens certifikat för att kryptera innehållet i ett brev på ett sådant sätt att endast personer med tillgång till mottagarens certifikat kan läsa innehållet i klartext. Signering av e-post verifierar för mottagaren att brevets innehåll inte har förändrats mellan avsändande och mottagande. En elektronisk signatur, eller underskrift, identifierar, precis som en vanlig handskriven underskrift, personen som skickar e-post. 4.2.2 Kryptering av känsliga personuppgifter Personuppgiftslagen (PUL) Uppsala universitet har enligt personuppgiftslagen (1998:204) en skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas vid myndigheten. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna, och hur känsliga de behandlade personuppgifterna är Definitioner Med känsliga personuppgifter avses enligt 13 personuppgiftslagen (1998:204): Personuppgifter som avslöjar - ras eller etniskt ursprung, - politiska åsikter, - religiös eller filosofisk övertygelse, eller - medlemskap i fackförening, samt Personuppgifter som rör hälsa eller sexualliv Med sekretesskyddade uppgifter avses uppgifter som omfattas av sekretess enligt bestämmelserna i offentlighets- och sekretesslagen (2009:400). Särskilda bestämmelser om behandling av personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden finns i 21 personuppgiftslagen. 4

När ska kryptering ske E-postmeddelanden ska krypteras när informationen innehåller känsliga personuppgifter, sekretesskyddade uppgifter eller personuppgifter om lagöverträdelser m.m. enligt 21 personuppgiftslagen enligt Definitioner ovan. Vem är skyldig att kryptera e-post med känsliga personuppgifter Alla medarbetare och övriga verksamma vid Uppsala universitet. Hur ska krypteringen ske Se avsnitt 5.2. 4.2.3 Kryptering av annan känslig information Enligt universitetets Riktlinjer för lösenordshantering (UFV 2013/1490) ska lösenord aldrig kommuniceras via e-post. Det kan även finnas goda skäl att överväga att kryptera e-post som innehåller känslig forskningsinformation, tentamensuppgifter, inköps- och upphandlingsinformation etc. 4.3 Elektronisk signering av dokument En elektronisk signatur, eller underskrift, identifierar, precis som en vanlig handskriven underskrift, personen som undertecknar ett dokument. En elektronisk underskrift svår att förfalska, eftersom den innehåller krypterad information som är unik för undertecknaren. Den kan lätt verifieras och informerar mottagarna om dokumentet har ändrats eller inte efter det att undertecknaren signerade dokumentet. För att kunna signera ett dokument krävs ett s.k. elektroniskt ID som kan liknas vid ett elektroniskt körkort eller pass som bevisar en persons identitet. 5 Genomförande 5.1 Tvåfaktorautentisering N.B. En tjänst för tvåfaktorautentisering som är integrerad med universitetets gemensamma inloggningstjänst (AKKA) är planerad för utveckling och införande under2015-2016. 5.2 Kryptering och signering av e-post Se Bilaga 2 Instruktion för kryptering och signering av e-post. 5.3 Elektronisk signering av dokument Se Bilaga 3 Instruktion för elektronisk signering av dokument. 6 Bilagor Bilaga 2 Instruktion för kryptering och signering av e-post. Bilaga 3 Instruktion för elektronisk signering av dokument. 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss