Informationssäkerhet

Information är en av universitetets viktigaste tillgångar och en förutsättning för att verksamheten ska fungera. Informationen måste därför göras tillgänglig och skyddas från att till exempel läcka ut, förvanskas eller förstöras. Informationssäkerhetsarbete är de åtgärder som vidtas för att förhindra hot.

Information är en tillgång för individer och organisationer och en förutsättning för att verksamheten ska fungera. Vår information måste därför skyddas så:

  • att den alltid finns när vi behöver den (tillgänglighet)
  • att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)
  • att endast behöriga personer får ta del av den (konfidentialitet) och
  • att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)

Skyddet måste anpassas efter behovet så att det inte är för klent eller alltför krångligt och dyrt. Informationssäkerhet omfattar både administrativa rutiner med policys och riktlinjer samt tekniskt skydd med bland annat brandväggar och kryptering. Det handlar om att ta ett helhetsgrepp och skapa en fungerande långsiktig process.

Tänk på det här som medarbetare!

  1. Var rädd om ditt lösenord för dator och telefon samt lås din dörr.
  2. Var noga med säkerhetskopiering, virusskydd och uppdateringar av datorer och mobila enheter. Gamla programversioner kan innehålla sårbarheter.
  3. Tänk på var du är och vilka som finns runt om dig när du hanterar information – exempel vid samtal, utskrifter och på skärm.
  4. Använd bara IT-tjänster som du kan hitta hos ITS. De uppfyller alltid kraven på både informationssäkerhet och personuppgiftshantering.
  5. Se upp med försök att lura av dig personliga uppgifter via falska e-postbrev eller webbformulär, sk phishing. Universitetets IT-personal frågar aldrig efter ditt lösenord i e-post.
  6. Lagra inte personuppgifter eller annan känslig information i molntjänster samt tänk på att inte skicka känslig information via e-post.
  7. Surfa med omdöme. Det kan räcka med att besöka en viss webbsida för att din dator eller dina mobila enheter ska smittas med skadlig kod. Anmäl incidenter till abuse@umu.se - de bidrar också med råd och stöd.
  8. Anmäl dina behandlingar av personuppgifter till universitets personuppgiftsombud pulo@umu.se.
  9. Säkerställ att informationen som ska bevaras arkiveras, förbered för arkivering redan när du börjar informationsinsamlandet.

Systematiskt informationssäkerhetsarbete

Hur arbetet ska bedrivas beskrivs i vår Informationssäkerhetspolicy och Ledningssystem Informationssäkerhet. Informationssäkerhetspolicyn beskriver bland annat hur universitet arbetar och vilka roller och ansvar som finns.

Universietet genomför risk- och sårbarhetsanalys (RSA) av det systematiska informationssäkerhetsarbetet. Risk- och sårbarhetsanalysen presenterar olika typer av tänkbara risker:

  1. risker som är relevanta för nå avsedda resultat av ledningssystemet för informationssäkerhet i sin helhet,
  2. informationssäkerhets- och personuppgiftsrisker som hänför sig till förlust av konfidentialitet, riktighet och tillgänglighet för våra informationsbehandlingar, hur troligt det är att de inträffar samt vilka konsekvenser det kan ha för verksamheten och organisationen.

Risk- och sårbarhetsanalysen lägger grunden till handlingsplan för informationssäkerhet.

 

Handlingsplan

Inför varje år upprättar informationssäkerhetsgruppen en handlingsplan för informationssäkerhetsarbetet, vilken fastställs av rektor. 

Handlingsplan för 2021 innefattar kvarstående riskområden från Handlingsplan för informationssäkerhetsarbetet 2020 och åtgärder i risk- och sårbarhetsanalys LIS 2020.

Roller och ansvar

Universitetsstyrelse och rektor

Universitetsstyrelse och rektor har det övergripande ansvaret och rektor utser informationssäkerhetsansvarig.

Informationssäkerhetsansvarig

Informationssäkerhetsansvarig har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av universitets arbete med informationssäkerhet. Informationssäkerhetsansvarig är universitetsdirektören eller den eller de som hen delegerar till.

Informationssäkerhetsgruppen

Informationssäkerhetsgruppen är ett stöd till den informationssäkerhetsansvariga. Gruppen är ett rådgivande beredande organ inom informationssäkerhetsarbetet, och har bland annat ansvar för att se till att ledningssystemet för informationssäkerhet vid Umeå universitet fungerar och efterlevs i alla delar.

Dekan, prefekt eller enhetschef

Dekan, prefekt eller enhetschef har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerheten vid sin fakultet, institution, centrumbildning eller enhet.

Informationsägare

För varje informationstillgång ska det finnas en informationsägare. Informationsägaren har ansvar för informationstillgångens konfidentialitet, tillgänglighet och riktighet.

Informationstillgångar är allt som innehåller information och allt som bär på information, som till exempel information och informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar.

Kontakt

Lagringsytor och samarbetsverktyg

Checklista inför start av forskningsprojekt

Testa dina kunskaper i informationssäkerhet

Myndigheten för samhällsskydd och beredskap har tagit fram en webbutbildning om informationssäkerhet. Den består av tio olika avsnitt som innehåller filmer och frågor som testar dina kunskaper. Du hittar utbildningen här:

https://disa.msb.se/

Bedrägerier och hackning

40 minuters film om bedrägerier och hackning på internet:

https://www.youtube.com/watch?v=hwRm6mHjmBo

Vi varnas för nätfiske, bedrägerier och lösenordsläckor. Men hur ska man kunna skydda sig utan att behöva vara it-säkerhetsexpert? I presentationen förklaras hur bedragare försöker lura oss och visar enkla skydd som alla kan använda.

Filmen finns på Youtube och presentationen ingick i en kunskapsdag anordnad av MSB 2017 i syfte att öka medvetenhet om säkerhet på nätet.

Informationssäkerhetsgruppen

Tillförordnad universitetsdirektör Per Ragnarsson (ordförande)

Informationssäkerhetssamordnare Dan Harnesk, Universitetsledningens kansli (handläggare)

Biträdande förvaltningschef/universitetsjurist Chatarina Larson, Universitetsledningens kansli

Registrator Dennis Jakobsson, Universitetsledningens kansli

Senior Advisor Sören Berglund, IT-enheten

Avdelningschef Jan Gunillasson, Universitetsbiblioteket

Säkerhetssamordnare Lisa Redin, Lokalförsörjningsenheten

Enhetschef Gunilla Stendahl, Kommunikationsenheten

Områdeschef Bo Persson, CEDAR

Universitetslektor Madeleine Ramstedt, Kemiska institutionen

Professor Benoni Edin, Institutionen för integrativ medicinsk biologi

Dan Harnesk
2021-03-16