Informationssäkerhet

Alla informationstillgångar i universitetets verksamheter ska hanteras på ett säkert sätt. Det gäller såväl forskningsdata som undervisningsmaterial och administrativa uppgifter. Här kan du läsa om vad informationssäkerhet är och vad som gäller för dig som medarbetare eller dig som är informationsägare.

Informationstillgångar är allt som innehåller information, till exempel information i informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar.

Informationssäkerhet handlar om att förhindra att information försvinner, förvanskas eller läcker ut. Det gäller oavsett om informationen hanteras elektroniskt, fysiskt eller i samtal mellan kollegor. Ett bra informationsskydd innebär rutiner för hantering, fysiska åtgärder och skydd i form av tekniska lösningar.

Tänk på det här som medarbetare

Som medarbetare behöver du känna till hur du ska hantera information i ditt arbete. Oavsett skyddsnivå bidrar följande åtgärder alltid till högre informationssäkerhet:

  1. Var rädd om ditt lösenord för dator och telefon samt lås din dörr.
  2. Var noga med säkerhetskopiering, virusskydd och uppdateringar av datorer och mobila enheter. Gamla programversioner kan innehålla sårbarheter.
  3. Tänk på var du är och vilka som finns runt om dig när du hanterar information – exempel vid samtal, utskrifter och på skärm.
  4. Se upp med försök att lura av dig personliga uppgifter via falska e-postbrev eller webbformulär, så kallad phishing. Universitetets IT-personal frågar aldrig efter ditt lösenord i e-post.
  5. Surfa med omdöme. Det kan räcka med att besöka en viss webbsida för att din dator eller dina mobila enheter ska smittas med skadlig kod. Anmäl incidenter till abuse@umu.se – de bidrar också med råd och stöd.
  6. Lagra inte personuppgifter eller annan känslig information i molntjänster samt tänk på att inte skicka känslig information via e-post.
  7. Anmäl dina behandlingar av personuppgifter till universitets personuppgiftsombud pulo@umu.se.
  8. Säkerställ att information som ska bevaras också arkiveras. Förbered för arkivering redan när du börjar samla in information.

Tänk på det här som informationsägare

Varje informationstillgång ska hanteras med rätt skydd, oavsett den hanteras inom ramen för forskning, studier eller gemensam förvaltning. Det innebär att du som informationsägare måste säkerställa att informationen du ansvarar över är dokumenterad och hanteras på rätt sätt. Umeå universitet har en informationssäkerhetspolicy som beskriver hur arbetet ska bedrivas.

Hitta rätt nivå av skydd

Skyddet ska vara anpassat så att det inte blir för komplicerat och inte för dyrt. Målet är rätt skydd snarare än att alltid ha högsta möjliga skydd. Om informationen inte är hemlig är det till exempel onödigt med dyra lösningar eller krångliga rutiner för att skydda informationen från att läcka. Det finns tre aspekter att ta hänsyn till i arbetet med informationssäkerhet:

  • konfidentialitet – att endast behöriga har tillgång till information
  • riktighet – att information är korrekt och oförstörd
  • tillgänglighet – att information finns när vi behöver den

Du som är informationsägare bedömer den aktuella informationen utifrån dessa tre aspekter och anpassar skyddet därefter. Ett exempel är universitetets utrymningsplaner, som innehåller information med höga krav på tillgänglighet och riktighet men som inte alls är konfidentiell.

När ett nytt projekt startar

Vid varje uppstart av ett nytt projekt bör du som informationsägare:

  • Genomföra en informationsklassning som beskriver information som kommer behandlas och vilka skyddsnivåer som gäller för den. Informationsklassningen är ett bra underlag inför val av IT-tjänst, upphandling av ny IT-tjänst eller inför att ta fram säkerhetsrutiner.
  • Genomföra en risk- och sårbarhetsanalys (RSA) som beskriver vilka sårbarheter, hot och risker som finns med en informationsbehandling till exempel vid elektronisk eller fysisk hantering. En riskanalys ska alltid göras för att bedöma om en ny IT-tjänst kan tas i bruk.

Roller och ansvar

Universitetsstyrelse och rektor

Universitetsstyrelse och rektor har det övergripande ansvaret och rektor utser informationssäkerhetsansvarig.

Informationssäkerhetsansvarig

Informationssäkerhetsansvarig är universitetsdirektören eller den eller de som hen delegerar till. Personen har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av universitetets arbete med informationssäkerhet.

Informationssäkerhetsgruppen

Informationssäkerhetsgruppen är ett stöd till den informationssäkerhetsansvariga. Gruppen är ett rådgivande beredande organ, och har bland annat ansvar för att se till att ledningssystemet för informationssäkerhet vid Umeå universitet fungerar och efterlevs i alla delar.

Dekan, prefekt eller enhetschef

Dekan, prefekt eller enhetschef har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerheten vid sin fakultet, institution, centrumbildning eller enhet.

Informationsägare

För varje informationstillgång ska det finnas en informationsägare. Informationsägaren har ansvar för informationstillgångens konfidentialitet, tillgänglighet och riktighet. Informationsägaren kan vara en forskningsledare eller en prefekt eller chef över ett område.

Systematiskt informationssäkerhetsarbete

Hur arbetet ska bedrivas beskrivs i vår Informationssäkerhetspolicy och Ledningssystem Informationssäkerhet. Informationssäkerhetspolicyn beskriver bland annat hur universitet arbetar och vilka roller och ansvar som finns.

Universitetet genomför risk- och sårbarhetsanalys (RSA) av det systematiska informationssäkerhetsarbetet. Risk- och sårbarhetsanalysen presenterar olika typer av tänkbara risker:

  1. risker som är relevanta för nå avsedda resultat av ledningssystemet för informationssäkerhet i sin helhet,
  2. informationssäkerhets- och personuppgiftsrisker som hänför sig till förlust av konfidentialitet, riktighet och tillgänglighet för våra informationsbehandlingar, hur troligt det är att de inträffar samt vilka konsekvenser det kan ha för verksamheten och organisationen.

Risk- och sårbarhetsanalysen lägger grunden till handlingsplan för informationssäkerhet. 

Handlingsplan

Inför varje år upprättar informationssäkerhetsgruppen en handlingsplan för informationssäkerhetsarbetet, vilken fastställs av rektor. 

Handlingsplan för 2021 innefattar kvarstående riskområden från Handlingsplan för informationssäkerhetsarbetet 2020 och åtgärder i risk- och sårbarhetsanalys LIS 2020.

Kontakt

Lagringsytor och samarbetsverktyg

Checklista inför start av forskningsprojekt

Testa dina kunskaper i informationssäkerhet

Myndigheten för samhällsskydd och beredskap har tagit fram en webbutbildning om informationssäkerhet. Den består av tio olika avsnitt som innehåller filmer och frågor som testar dina kunskaper. Du hittar utbildningen här:

https://disa.msb.se/

Bedrägerier och hackning

40 minuters film om bedrägerier och hackning på internet:

https://www.youtube.com/watch?v=hwRm6mHjmBo

Vi varnas för nätfiske, bedrägerier och lösenordsläckor. Men hur ska man kunna skydda sig utan att behöva vara it-säkerhetsexpert? I presentationen förklaras hur bedragare försöker lura oss och visar enkla skydd som alla kan använda.

Filmen finns på Youtube och presentationen ingick i en kunskapsdag anordnad av MSB 2017 i syfte att öka medvetenhet om säkerhet på nätet.

Informationssäkerhetsgruppen

Tillförordnad universitetsdirektör Per Ragnarsson (ordförande)

Informationssäkerhetssamordnare Dan Harnesk, Universitetsledningens kansli (handläggare)

Enhetschef/universitetsjurist Chatarina Larson, Universitetsledningens kansli

Registrator Dennis Jakobsson, Universitetsledningens kansli

Senior Advisor Sören Berglund, IT-enheten

Avdelningschef Jan Gunillasson, Universitetsbiblioteket

Säkerhetssamordnare Lisa Redin, Lokalförsörjningsenheten

Enhetschef Gunilla Stendahl, Kommunikationsenheten

Områdeschef Bo Persson, CEDAR

Universitetslektor Madeleine Ramstedt, Kemiska institutionen

Professor Benoni Edin, Institutionen för integrativ medicinsk biologi

Chatarina Wiklund
2021-08-26