Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet



Relevanta dokument
Bilaga 1 - Handledning i informationssäkerhet

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor)

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet

Organisation för samordning av informationssäkerhet IT (0:1:0)

Hänvisningar till dokumentet Karolinska Riktlinjer för informationssäkerhet

Dnr

Koncernkontoret Enheten för säkerhet och intern miljöledning

Handledning i informationssäkerhet Version 2.0

Informationssäkerhetspolicy för Ånge kommun

Bilaga 3 - Anvisningar Regler för informationssäkerhet vid Karolinska Institutet

Regler och instruktioner för verksamheten

Bilaga till rektorsbeslut RÖ28, (5)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetspolicy IT (0:0:0)

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Riktlinjer, regler och anvisningar för informationssäkerhet vid Karolinska Institutet

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Umeå universitet

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy IT (0:0:0)

Riktlinjer för IT-säkerhet i Halmstads kommun

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Välkommen till enkäten!

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Informationssäkerhetspolicy för Ystads kommun F 17:01

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Svar på revisionsskrivelse informationssäkerhet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinjer för informationssäkerhet

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhet - Informationssäkerhetspolicy

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Riktlinjer för informationssäkerhet

Informations- och IT-säkerhet i kommunal verksamhet

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Informationssäkerhet, Linköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Finansinspektionens författningssamling

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Informationssäkerhetspolicy för Nässjö kommun

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Verksamhetsplan Informationssäkerhet

Informationssäkerhetsanvisningar Förvaltning

Finansinspektionens författningssamling

Nya krav på systematiskt informationssäkerhets arbete

Hantering av behörigheter och roller

Myndigheten för samhällsskydd och beredskaps författningssamling

Inför Karolinska Institutets fördjupade riskanalyser 2012

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

En bild av myndigheternas informationssäkerhetsarbete tillämpning av MSB:s föreskrifter

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Myndigheten för samhällsskydd och beredskaps författningssamling

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Myndigheten för samhällsskydd och beredskaps författningssamling

POLICY INFORMATIONSSÄKERHET

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy. Linköpings kommun

Kommunstyrelsens anvisningar avseende behandlingen av personuppgifter

Policy för informationssäkerhet och dataskydd 2018

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Rikspolisstyrelsens författningssamling

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Regler och riktlinjer för intern styrning och kontroll vid KI

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Transkript:

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med

Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar Innehåll Bilaga 2. Ansvarsbeskrivningar... 1 2.1 Universitetsdirektör... 1 2.2 Säkerhetschef... 1 2.3 Prefekter... 2 2.4 Informationsansvariga... 2 2.5 IT-direktör... 3 2.6 Systemägare... 4 Övriga Bilagor Bilaga 1. Handledning i informationssäkerhet Bilaga 3. Anvisningar 3.1 Genomförande av riskanalyser 3.2 Informationsklassningsmodell KI 3.3 Hantering av personuppgifter 3.4 Kravställning vid drift utanför KI 3.5 Informationshantering vid rekrytering, anställning och avslut av anställning 3.6 Kravställning av kommunikations- och nätverkssäkerhet 3.7 Kravställning av driftsäkerhet och servicenivå 3.8 Åtkomstadministration 3.9 Granskning av åtkomsträttigheter 3.10 Loggning och loggranskning 3.11 Kravställning vid anskaffning och utveckling av system 3.12 Kravställning av systemförvaltning 3.13 Hantering och rapportering av informationssäkerhetsincidenter 3.14 Kontinuitetsplanering 3.15 Krav på hantering av information Revisionshistorik Versionsnummer Datum Ansvarig Ändringar mot tidigare version 1.0 2013-04-01 2.0 Annika Sjöborg, säkerhetschef Ändrad dokumentstruktur uppdelad i tre delar, åtgärder för att förbättra läsbarheten - läsanvisning samt förtydliganden i vissa textavsnitt.

1 (4) Bilaga 2. Ansvarsbeskrivningar 2.1 Universitetsdirektör Enligt rektors delegation har universitetsdirektören det övergripande ansvaret för KI:s verksamhet i administrativt, rättsligt och ekonomiskt avseende. KI:s universitetsdirektör ansvarar avseende informationssäkerhet för: informationssäkerheten på en verksamhetsövergripande nivå samt är ytterst ansvarig för att det finns aktuella och kommunicerade riktlinjer, regler och anvisningar avseende informationssäkerhetsarbetet inom KI. det verksamhetsgemensamma arbetet med informationssäkerhet, bland annat inom kontinuitetsplanering, riskhantering och incidenthantering. att årligen rapportera kring KI:s informationssäkerhetsarbete till konsistoriet. 2.2 Säkerhetschef KI:s säkerhetschef ansvarar avseende informationssäkerhet för att: samordna och koordinera det verksamhetsgemensamma arbetet med informationssäkerhet, bland annat inom kontinuitetsplanering, riskhantering och incidenthantering. säkerställa att det övergripande informationssäkerhetsarbetet bedrivs så effektivt och verksamhetsanpassat som möjligt. utforma övergripande handlingsplaner samt planera och koordinera informationssäkerhetsarbetet på KI i enlighet med den övergripande informationssäkerhetsprocessen. förvalta KI:s ledningssystem för informationssäkerhet och säkerställa att därtill hörande regler och anvisningar hålls aktuella, uppdaterade och kommunicerade. kravställa mot verksamheten avseende informationssäkerhet. Exempelvis avseende övergripande IT-säkerhet och fysisk säkerhet. årligen rapportera följande till KI:s universitetsdirektör: Resultat av granskningar avseende skyddsåtgärder som gjorts i enlighet med KI:s regler och anvisningar. Riskanalyser som utförts avseende informationssäkerheten inom KI. Förbättringsåtgärder som vidtagits avseende informationssäkerheten. Summering och analys av de informationssäkerhetsincidenter som inträffat under året. Efterlevnaden av riktlinjer, regler och anvisningar för informationssäkerhet. representera KI i relationen till andra myndigheter och verksamheter i informationssäkerhetsfrågor.

2 (4) 2.3 Prefekter Som en del i ansvaret för verksamheten inom respektive institution, som framgår i rektors delegation till prefekter inom KI, ingår övergripande ansvar för informationssäkerheten avseende den information som genereras och hanteras inom institutionen. Prefekten ansvarar för att: regelbundet följa upp och rapportera efterlevnaden av informationssäkerhetskrav inom institutionen till KI:s säkerhetschef. alla informationstillgångar inom institutionen har utpekade informationsansvariga samt att tillgångarna informationsklassificeras. För mer information, se Informationsklassningsmodell KI. tid och resurser finns avsatta för informationssäkerhetsarbetet inom institutionen. institutionsövergripande riskanalyser genomförs regelbundet. För mer information, se Anvisning Genomförande av riskanalys. kontinuitetsplanering sker och koordineras på institutionsövergripande nivå. För mer information, se Anvisning Kontinuitetsplanering. säkerställa att alla verksamma inom institutionen får tillräcklig utbildning i informationssäkerhet och att de efterlever fastställda informationssäkerhetsregler. aktiviteter genomförs för att säkerställa att de verksamma har korrekta åtkomsträttigheter i relation till sin roll/uppgift. Detta genom att följa befintliga instruktioner för tilldelning av åtkomsträttigheter samt att aktivt delta i regelbundna granskningar av åtkomsträttigheter. För mer information, se Anvisning Åtkomstadministration och Anvisning Granskning av åtkomsträttigheter. beakta informationssäkerheten vid rekrytering, anställning och uppsägning. För mer information, se Anvisning Informationshantering vid rekrytering, anställning och avslut av anställning. 2.4 Informationsansvariga Inom Karolinska Institutet ska det finnas utsedda informationsansvariga vilka ansvarar för att: informationen klassas enligt KI:s informationsklassningsmodell. För mer information, se Informationsklassningsmodell KI. riskanalyser avseende den specifika informationen och därtill hörande informationstillgångar genomförs regelbundet. För mer information, se Anvisning Genomförande av riskanalys. åtkomsträttigheter för den specifika informationen och därtill hörande informationstillgång är korrekta, att regelbundna granskningar av åtkomsträttigheterna genomförs och att eventuella nödvändiga åtgärder vidtas till följd av resultatet av granskningarna (exempelvis att personer som inte längre ska ha tillgång till informationen i ett visst system tas bort etc.). Arbetet ska genomföras i samarbete med systemägarna för de system som behandlar och tillhandahåller den ak-

3 (4) tuella informationen. För mer information, se Anvisning Åtkomstadministration och Anvisning Granskning av åtkomsträttigheter. agera kravställare mot relevanta systemägare, det vill säga för alla de system där informationen hanteras, avseende val av skyddsåtgärder för den aktuella informationen. loggning och logguppföljning av användaraktiviteter kopplat till informationen genomförs i ändamålsenlig utsträckning. Arbetet ska genomföras i samarbete med systemägarna för de system som behandlar och tillhandahåller informationen. För mer information, se Anvisning Loggning och loggranskning. personuppgifter hanteras i enlighet med Personuppgiftslagen, vilket exempelvis innebär att hanteringen av personuppgifter ska anmälas till KI:s personuppgiftsombud. det i enlighet med såväl gällande lagstiftning (Offentlighets- och sekretesslag 2009:400) som KI:s informationsklassificeringsmodell genomförs en prövning avseende huruvida informationen kan lämnas ut eller inte. Resultatet av prövningen ska dokumenteras och lagras. agera kravställare vad avser hur information som lämnas ut till annan part utanför KI ska hanteras. besluta om hur informationen får hanteras och förvaras, både i digital och i fysisk form, i det fall att detta avviker från KI:s informationsklassificeringsmodell. Beslutar informationsansvarige om att informationen får hanteras på sätt som avviker från KI:s informationsklassificeringsmodell ska detta beslut dokumenteras och lagras. Vid beslut rörande hantering eller förvaring utanför KI ska först en dokumenterad riskanalys genomföras, se Anvisning Genomförande av riskanalys. 2.5 IT-direktör KI:s IT-direktör ansvarar inom informationssäkerhetsområdet för: att säkerställa efterlevnad avseende de informationssäkerhetskrav som ställs på de IT-system, miljöer och komponenter som IT-avdelningen ansvarar för. att utforma detaljerade anvisningar och instruktioner för IT-verksamheten baserat på KI:s regler och anvisningar avseende informationssäkerhet. Anvisningarna ska hållas uppdaterade och följas. KI:s IT-infrastruktur och dess säkerhet. För mer information, se Anvisning Kravställning av kommunikations- och nätverkssäkerhet. att koordinerar det övergripande IT-säkerhetsarbetet inom KI. att säkerställa att IT-personalen (intern och extern) följer gällande regler för informationssäkerhet. att säkerställa att IT-personalen får nödvändig utbildning avseende informationssäkerhet. att säkerställa att anlitade leverantörer inom IT-området uppfyller KI:s krav på informationssäkerhet.

4 (4) att, i samarbete med respektive systemägare för centrala system, besluta om tilldelning av personliga administratörsrättigheter. För mer information, se Anvisning Åtkomstadministration. 2.6 Systemägare KI:s systemägare ansvarar avseende informationssäkerhet för: den övergripande informationssäkerheten avseende det specifika systemet. kravställning avseende systemets driftsäkerhet. För mer information, se Anvisning Kravställning av driftsäkerhet och service. att det regelbundet genomförs riskanalyser för systemet. För mer information, se Anvisning Genomförande av riskanalys. att definiera och följa upp systemets skyddsåtgärder samt säkerställa att dessa är i enlighet med kraven avseende informationssäkerhet. att upprätta samarbete med informationsansvariga avseende de informationstillgångar som hanteras i systemet. att systemförvaltare utses och att kravställning gentemot denne sker avseende informationssäkerhetsarbetet. För mer information, se Anvisning Kravställning av systemförvaltning. att säkerställa att kraven avseende systemutveckling och systemförändring följs. För mer information, se Anvisning Kravställning vid anskaffning och utveckling av system och Anvisning Kravställning av driftsäkerhet. kravställningen av informationssäkerhet och skyddsåtgärder då drift av system sker utanför KI:s verksamhet. För mer information, se Anvisning Kravställning vid drift utanför Karolinska Institutet. att det finns en fastställd anvisning och organisation för administration av åtkomsträttigheter till systemet samt att denna används. För mer information, se Anvisning Åtkomstadministration. att regelbundna granskningar av åtkomsträttigheter i systemet genomförs samt för att anvisningar finns för hur granskningarna ska genomföras. För mer information, se Anvisning Granskning av åtkomsträttigheter. att i samarbete med IT-direktören besluta om och tilldela personliga administratörsrättigheter till centrala system. För mer information, se Anvisning Åtkomstadministration. att funktionalitet för loggning finns i systemet i enlighet med de krav som ställs av respektive informationsansvarig för den information som finns i aktuellt system. Ansvarar även för att systemspecifika instruktioner finns för loggranskning av användaraktiviteter i systemet samt för att regelbundna loggranskningar genomförs i enlighet med informationsansvariges krav. För mer information, se Anvisning Loggning och loggranskning

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss