Informationssäkerhet

Alla informationstillgångar i universitetets verksamheter ska hanteras på ett säkert sätt. Det gäller såväl forskningsdata som undervisningsmaterial och administrativa uppgifter. Här kan du läsa om vad informationssäkerhet är och vad som gäller för dig som medarbetare eller dig som är informationsägare.

Informationstillgångar är allt som innehåller information, till exempel information i informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar.

Informationssäkerhet handlar om att förhindra att information försvinner, förvanskas eller läcker ut. Det gäller oavsett om informationen hanteras elektroniskt, fysiskt eller i samtal mellan kollegor. Ett bra informationsskydd innebär rutiner för hantering, fysiska åtgärder och skydd i form av tekniska lösningar.

När ett nytt projekt startar

Vid varje uppstart av ett nytt projekt bör du som informationsägare:

  • Genomföra en informationsklassning som beskriver information som kommer behandlas och vilka skyddsnivåer som gäller för den. Informationsklassningen är ett bra underlag inför val av IT-tjänst, upphandling av ny IT-tjänst eller inför att ta fram säkerhetsrutiner. 

    På sidan Informationsklassning i inloggat läge finns även mallen anpassad mall för forskningsprojekt med fördefinierade klassningsvärden.

  • Genomföra en risk- och sårbarhetsanalys (RSA) som beskriver vilka sårbarheter, hot och risker som finns med en informationsbehandling till exempel vid elektronisk eller fysisk hantering. En riskanalys ska alltid göras för att bedöma om en ny IT-tjänst kan tas i bruk.

Tänk på det här som medarbetare

Som medarbetare behöver du känna till hur du ska hantera information i ditt arbete. Oavsett skyddsnivå bidrar följande åtgärder alltid till högre informationssäkerhet:

  1. Var rädd om ditt lösenord för dator och telefon samt lås din dörr.
  2. Var noga med säkerhetskopiering, virusskydd och uppdateringar av datorer och mobila enheter. Gamla programversioner kan innehålla sårbarheter.
  3. Tänk på var du är och vilka som finns runt om dig när du hanterar information – exempel vid samtal, utskrifter och på skärm.
  4. Se upp med försök att lura av dig personliga uppgifter via falska e-postbrev eller webbformulär, så kallad phishing. Universitetets IT-personal frågar aldrig efter ditt lösenord i e-post.
  5. Surfa med omdöme. Det kan räcka med att besöka en viss webbsida för att din dator eller dina mobila enheter ska smittas med skadlig kod. Anmäl incidenter till abuse@umu.se – de bidrar också med råd och stöd.
  6. Tänk på att inte skicka känslig information via e-post.
  7. Anmäl dina behandlingar av personuppgifter till universitets personuppgiftsombud pulo@umu.se.
  8. Säkerställ att information som ska bevaras också arkiveras. Förbered för arkivering redan när du börjar samla in information.

För att lära dig mer om frågor kring informationssäkerhetsfrågor kan du gå MSBs grundutbildning i informationssäkerhet. Den hittas här. 

Tänk på det här som informationsägare

Varje informationstillgång ska hanteras med rätt skydd, oavsett den hanteras inom ramen för forskning, studier eller gemensam förvaltning. Det innebär att du som informationsägare måste säkerställa att informationen du ansvarar över är dokumenterad och hanteras på rätt sätt.

Hitta rätt nivå av skydd

Skyddet ska vara anpassat så att det inte blir för komplicerat och inte för dyrt. Målet är rätt skydd snarare än att alltid ha högsta möjliga skydd. Om informationen inte är hemlig är det till exempel onödigt med dyra lösningar eller krångliga rutiner för att skydda informationen från att läcka. Det finns tre aspekter att ta hänsyn till i arbetet med informationssäkerhet:

  • konfidentialitet – att endast behöriga har tillgång till information
  • riktighet – att information är korrekt och oförstörd
  • tillgänglighet – att information finns när vi behöver den

Du som är informationsägare bedömer den aktuella informationen utifrån dessa tre aspekter och anpassar skyddet därefter. Ett exempel är universitetets utrymningsplaner, som innehåller information med höga krav på tillgänglighet och riktighet men som inte alls är konfidentiell.

Roller och ansvar

Universitetsstyrelse och rektor

Universitetsstyrelse och rektor har det övergripande ansvaret och rektor utser informationssäkerhetsansvarig.

Informationssäkerhetsansvarig

Informationssäkerhetsansvarig är universitetsdirektören eller den eller de som hen delegerar till. Personen har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av universitetets arbete med informationssäkerhet.

Dekan, prefekt eller enhetschef

Dekan, prefekt eller enhetschef har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerheten vid sin fakultet, institution, centrumbildning eller enhet.

Informationsägare

För varje informationstillgång ska det finnas en informationsägare. Informationsägaren har ansvar för informationstillgångens konfidentialitet, tillgänglighet och riktighet. Informationsägaren kan vara en forskningsledare eller en prefekt eller chef över ett område.

Systematiskt informationssäkerhetsarbete

Hur arbetet ska bedrivas beskrivs i vår Informationssäkerhetspolicy och Ledningssystem Informationssäkerhet. Informationssäkerhetspolicyn beskriver bland annat hur universitet arbetar och vilka roller och ansvar som finns.

Universitetet genomför risk- och sårbarhetsanalys (RSA) av det systematiska informationssäkerhetsarbetet. Risk- och sårbarhetsanalysen presenterar olika typer av tänkbara risker:

  1. risker som är relevanta för nå avsedda resultat av ledningssystemet för informationssäkerhet i sin helhet,
  2. informationssäkerhets- och personuppgiftsrisker som hänför sig till förlust av konfidentialitet, riktighet och tillgänglighet för våra informationsbehandlingar, hur troligt det är att de inträffar samt vilka konsekvenser det kan ha för verksamheten och organisationen.

Kontakt

Checklista inför start av forskningsprojekt

Bedrägerier och hackning

40 minuters film om bedrägerier och hackning på internet:

https://www.youtube.com/watch?v=hwRm6mHjmBo

Vi varnas för nätfiske, bedrägerier och lösenordsläckor. Men hur ska man kunna skydda sig utan att behöva vara it-säkerhetsexpert? I presentationen förklaras hur bedragare försöker lura oss och visar enkla skydd som alla kan använda.

Filmen finns på Youtube och presentationen ingick i en kunskapsdag anordnad av MSB 2017 i syfte att öka medvetenhet om säkerhet på nätet.

Chatarina Wiklund
2023-03-08