Informationssäkerhetsarbetet följs upp och samordnas genom ledningssystemet för informationssäkerhet (LIS).
Målsättning
Målet för informationssäkerhetsarbetet vid Umeå universitet är att skydda våra informationstillgångar mot relevanta hot och risker och att ha förutsättningar att upprätthålla informationssäkerheten även om oönskade händelser som störningar, incidenter eller kriser inträffar. Vi vill skapa en effektiv hantering genom ändamålsenliga rutiner och avvägda säkerhetsåtgärder som säkerställer att system och information skyddas med avseende på säkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet.
Ledningssystemet (LIS)
Aktiviteter i Ledningssystemet.
Ledning och styrning
Årligen analysera gällande lagstiftning och föreskrifter samt planera nästkommande års prioriterade arbete med informationssäkerhet. Här ingår att prioritera identifierade förbättringsåtgärder och att bereda en årlig genomgång med universitetsledningen.
Verksamhetsanalys
Aktiviteter för det faktiska informationssäkerhetsarbetet. Utgångspunkten är informationsklassning och risk och sårbarhetsanalys som utifrån respektive resultat fastställer tekniska och organisatoriska säkerhetsåtgärder.
Incidenthantering genomförs enligt fastställd process och omfattar IT-säkerhetsincidenter såväl som personuppgiftsincidenter.
System- och informationsägare för IT-system och -tjänster som hanterar verksamhetskritiska informationstillgångar ska planera för att kunna fortsätta verksamhet relaterat systemet på en rimlig nivå, om systemet utsätts för någon form av störning. (Kontinuitetsplanering)
Utbildning och övning
Alla anställda uppmanas att gå en grundläggande informationssäkerhetsutbildning och att löpande uppdatera sina kunskaper kring informationssäkerhet.
Olika roller inom universitet utbildas/informeras även utifrån specifika behov. Till exempel via workshops kring informationsklassningar och risk- och sårbarhetsanalyser, utbildning för nyanställda och nya chefer.
Planer för att upprätthålla verksamheten vid olika typer av störningar ska återkommande övas.
Utvärdering
Uppföljning av verksamhetsanalys och utbildningsinsatser genom MSB:s – Infosäkkollen och Umu's riskregister.
Universitetet genomför risk- och sårbarhetsanalys (RSA) av det systematiska informationssäkerhetsarbetet. Risk- och sårbarhetsanalysen presenterar olika typer av tänkbara risker:
- risker som är relevanta för nå avsedda resultat av ledningssystemet för informationssäkerhet i sin helhet,
- informationssäkerhets- och personuppgiftsrisker som hänför sig till förlust av konfidentialitet, riktighet och tillgänglighet för våra informationsbehandlingar, hur troligt det är att de inträffar samt vilka konsekvenser det kan ha för verksamheten och organisationen.
Roller och ansvar
Universitetsstyrelse och rektor
Universitetsstyrelse och rektor har det övergripande ansvaret och rektor utser informationssäkerhetsansvarig.
Informationssäkerhetsansvarig
Informationssäkerhetsansvarig är universitetsdirektören eller den eller de som hen delegerar till. Personen har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av universitetets arbete med informationssäkerhet.
Dekan, prefekt eller enhetschef
Dekan, prefekt eller enhetschef har ansvar för planering, samordning, uppföljning och kontroll av efterlevnad av informationssäkerheten vid sin fakultet, institution, centrumbildning eller enhet.
Informationsägare
För varje informationstillgång ska det finnas en informationsägare. Informationsägaren har ansvar för informationstillgångens konfidentialitet, tillgänglighet och riktighet. Informationsägaren kan vara en forskningsledare eller en prefekt eller chef över ett område.