Informationstillgångar är allt som innehåller information, till exempel information i informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar.
Informationssäkerhet handlar om att förhindra att information försvinner, förvanskas eller läcker ut. Det gäller oavsett om informationen hanteras elektroniskt, fysiskt eller i samtal mellan kollegor. Ett bra informationsskydd innebär rutiner för hantering, fysiska åtgärder och skydd i form av tekniska lösningar.
När ett nytt projekt startar
Vid varje uppstart av ett nytt projekt bör du som informationsägare:
- Genomföra en informationsklassning som beskriver information som kommer behandlas och vilka skyddsnivåer som gäller för den. Informationsklassningen är ett bra underlag inför val av IT-tjänst, upphandling av ny IT-tjänst eller inför att ta fram säkerhetsrutiner.
På sidan Informationsklassning i inloggat läge finns även mallen anpassad mall för forskningsprojekt med fördefinierade klassningsvärden.
- Genomföra en risk- och sårbarhetsanalys (RSA) som beskriver vilka sårbarheter, hot och risker som finns med en informationsbehandling till exempel vid elektronisk eller fysisk hantering. En riskanalys ska alltid göras för att bedöma om en ny IT-tjänst kan tas i bruk.
Tänk på det här som medarbetare
Som medarbetare behöver du känna till hur du ska hantera information i ditt arbete. Oavsett skyddsnivå bidrar följande åtgärder alltid till högre informationssäkerhet:
- Var rädd om ditt lösenord för dator och telefon samt lås din dörr.
- Var noga med säkerhetskopiering, virusskydd och uppdateringar av datorer och mobila enheter. Gamla programversioner kan innehålla sårbarheter.
- Tänk på var du är och vilka som finns runt om dig när du hanterar information – exempel vid samtal, utskrifter och på skärm.
- Se upp med försök att lura av dig personliga uppgifter via falska e-postbrev eller webbformulär, så kallad phishing. Universitetets IT-personal frågar aldrig efter ditt lösenord i e-post.
- Surfa med omdöme. Det kan räcka med att besöka en viss webbsida för att din dator eller dina mobila enheter ska smittas med skadlig kod. Anmäl incidenter till abuse@umu.se – de bidrar också med råd och stöd.
- Tänk på att inte skicka känslig information via e-post.
- Anmäl dina behandlingar av personuppgifter till universitets personuppgiftsombud pulo@umu.se.
- Säkerställ att information som ska bevaras också arkiveras. Förbered för arkivering redan när du börjar samla in information.
För att lära dig mer om frågor kring informationssäkerhetsfrågor kan du gå MSBs grundutbildning i informationssäkerhet. Den hittas här.
Tänk på det här som informationsägare
Varje informationstillgång ska hanteras med rätt skydd, oavsett den hanteras inom ramen för forskning, studier eller gemensam förvaltning. Det innebär att du som informationsägare måste säkerställa att informationen du ansvarar över är dokumenterad och hanteras på rätt sätt.
Hitta rätt nivå av skydd
Skyddet ska vara anpassat så att det inte blir för komplicerat och inte för dyrt. Målet är rätt skydd snarare än att alltid ha högsta möjliga skydd. Om informationen inte är hemlig är det till exempel onödigt med dyra lösningar eller krångliga rutiner för att skydda informationen från att läcka. Det finns tre aspekter att ta hänsyn till i arbetet med informationssäkerhet:
- konfidentialitet – att endast behöriga har tillgång till information
- riktighet – att information är korrekt och oförstörd
- tillgänglighet – att information finns när vi behöver den
Du som är informationsägare bedömer den aktuella informationen utifrån dessa tre aspekter och anpassar skyddet därefter. Ett exempel är universitetets utrymningsplaner, som innehåller information med höga krav på tillgänglighet och riktighet men som inte alls är konfidentiell.
Roller och ansvar
Universitetsstyrelse och rektor
Universitetsstyrelse och rektor har det övergripande ansvaret och rektor utser informationssäkerhetsansvarig.
Informationssäkerhetsansvarig
Informationssäkerhetsansvarig är universitetsdirektören eller den eller de som hen delegerar till. Personen har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av universitetets arbete med informationssäkerhet.
Dekan, prefekt eller enhetschef
Dekan, prefekt eller enhetschef har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerheten vid sin fakultet, institution, centrumbildning eller enhet.
Informationsägare
För varje informationstillgång ska det finnas en informationsägare. Informationsägaren har ansvar för informationstillgångens konfidentialitet, tillgänglighet och riktighet. Informationsägaren kan vara en forskningsledare eller en prefekt eller chef över ett område.
Systematiskt informationssäkerhetsarbete
Hur arbetet ska bedrivas beskrivs i vår Informationssäkerhetspolicy och Ledningssystem Informationssäkerhet. Informationssäkerhetspolicyn beskriver bland annat hur universitet arbetar och vilka roller och ansvar som finns.
Universitetet genomför risk- och sårbarhetsanalys (RSA) av det systematiska informationssäkerhetsarbetet. Risk- och sårbarhetsanalysen presenterar olika typer av tänkbara risker:
- risker som är relevanta för nå avsedda resultat av ledningssystemet för informationssäkerhet i sin helhet,
- informationssäkerhets- och personuppgiftsrisker som hänför sig till förlust av konfidentialitet, riktighet och tillgänglighet för våra informationsbehandlingar, hur troligt det är att de inträffar samt vilka konsekvenser det kan ha för verksamheten och organisationen.