Informationssäkerhet

Information är en av universitetets viktigaste tillgångar och en förutsättning för att verksamheten ska fungera. Informationen måste därför göras tillgänglig och skyddas från att till exempel läcka ut, förvanskas eller förstöras. Informationssäkerhetsarbete är de åtgärder som vidtas för att förhindra hot.

Information är en tillgång för individer och organisationer och en förutsättning för att verksamheten ska fungera. Vår information måste därför skyddas så:

  • att den alltid finns när vi behöver den (tillgänglighet)
  • att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)
  • att endast behöriga personer får ta del av den (konfidentialitet) och
  • att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)

Skyddet måste anpassas efter behovet så att det inte är för klent eller alltför krångligt och dyrt. Informationssäkerhet omfattar både administrativa rutiner med policys och riktlinjer samt tekniskt skydd med bland annat brandväggar och kryptering. Det handlar om att ta ett helhetsgrepp och skapa en fungerande långsiktig process.

Tänk på det här som medarbetare!

  1. Var rädd om ditt lösenord för dator och telefon samt lås din dörr.
  2. Var noga med säkerhetskopiering, virusskydd och uppdateringar av datorer och mobila enheter. Gamla programversioner kan innehålla sårbarheter.
  3. Tänk på var du är och vilka som finns runt om dig när du hanterar information – exempel vid samtal, utskrifter och på skärm.
  4. Använd bara IT-tjänster som du kan hitta hos ITS. De uppfyller alltid kraven på både informationssäkerhet och personuppgiftshantering.
  5. Se upp med försök att lura av dig personliga uppgifter via falska e-postbrev eller webbformulär, sk phishing. Universitetets IT-personal frågar aldrig efter ditt lösenord i e-post.
  6. Lagra inte personuppgifter eller annan känslig information i molntjänster samt tänk på att inte skicka känslig information via e-post.
  7. Surfa med omdöme. Det kan räcka med att besöka en viss webbsida för att din dator eller dina mobila enheter ska smittas med skadlig kod. Anmäl incidenter till abuse@umu.se - de bidrar också med råd och stöd.
  8. Anmäl dina behandlingar av personuppgifter till universitets personuppgiftsombud pulo@umu.se.
  9. Säkerställ att informationen som ska bevaras arkiveras, förbered för arkivering redan när du börjar informationsinsamlandet.

Styrande dokument

Hur arbetet ska bedrivas beskrivs i vår Informationssäkerhetspolicy och Risk- och sårbarhetsanalys. Informationssäkerhetspolicyn beskriver bland annat hur universitet arbetar och vilka roller och ansvar som finns. Risk- och sårbarhetsanalysen presenterar olika typer av tänkbara risker för våra informationstillgångar, hur troligt det är att de inträffar samt vilka konsekvenser det kan ha för verksamheten och organisationen.

Prioriterade områden

Följande fyra risker i risk- och sårbarhetsanalysen bedöms som särskilt viktiga ur ett informationssäkerhetsperspektiv, alternativt i störst behov av åtgärder för att säkra information:

  1. Att forskningsmaterial inte kan hållas tillgängligt eller återfinnas
  2. Att det inte finns fullgod backup eller lagring av elektronisk information
  3. Att universitetet inte uppfyller kraven enligt EUs nya dataskyddsförordning
  4. Att universitetet och allmänheten inte har tillgång till handlingar eller uppgifter

Roller och ansvar

Universitetsstyrelse och rektor har det övergripande ansvaret och rektor utser informationssäkerhetsansvarig.

Informationssäkerhetsansvarig har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av universitets arbete med informationssäkerhet. Informationssäkerhetsansvarig är universitetsdirektören eller den eller de som hen delegerar till.

Informationssäkerhetsgruppen är ett stöd till den informationssäkerhetsansvariga. Gruppen är ett rådgivande beredande organ inom informationssäkerhetsarbetet, och har bland annat ansvar för att se till att ledningssystemet för informationssäkerhet vid Umeå universitet fungerar och efterlevs i alla delar.

Dekan, prefekt eller enhetschef har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerheten vid sin fakultet, institution, centrumbildning eller enhet.

För varje informationstillgång ska det finnas en informationsägare. Informationsägaren har ansvar för informationstillgångens konfidentialitet, tillgänglighet och riktighet.

Informationstillgångar är allt som innehåller information och allt som bär på information, som till exempel information och informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar.

Informationssäkerhetsgruppen

Biträdande universitetsdirektör Per Ragnarsson (ordförande)

Verksamhetscontroller Inger Duchek, Planeringsenheten (sekreterare och handläggare)

Biträdande förvaltningschef/universitetsjurist Chatarina Larson, Universitetsledningens kansli

Arkivarie Oskar Westergren, Universitetsledningens kansli

IT-chef Sören Berglund, IT-enheten

IT-strateg Karoline Westerlund, IT-enheten

Områdeschef Ann-Christin Edlund, Personalenheten

Avdelningschef Jan Gunillasson, Universitetsbiblioteket

Säkerhetsansvarig Jörgen Sandström, Lokalförsörjningsenheten

Enhetschef Gunilla Stendahl, Kommunikationsenheten

Områdeschef Bo Persson, CEDAR

Professor Per Gardeström, Institutionen för fysiologisk botanik

Inger Duchek
2017-06-14