Informationssäkerhet
Varför behövs informationssäkerhet?
För att kunna utföra ditt arbete och uppdrag som medarbetare, forskare eller student både producerar du och har tillgång till stora mängder information och data nödvändiga för just din roll. Den behöver vara korrekt och tillgänglig när du behöver den. Om universitetets informationssäkerhet brister, kan du få problem eller förseningar i ditt dagliga arbete. Men konsekvenserna kan bli större än så.
- Vi kan få stora förseningar i forskning och undervisning
- Vi riskerar felaktiga forskningsresultat
- Vi riskerar viten p.g.a. lagbrott mot exempelvis Dataskyddsförordningen
- Vi riskerar kränkningar mot den personliga integriteten hos enskilda
- Forskning kan gå miste om finansiering och externa samarbeten
- Vi riskerar ett skadat förtroende för universitetet
Därför behövs ett systematiskt och riskbaserat informationssäkerhetsarbete, både på ledningsnivå och som en naturlig del i våra dagliga rutiner.
Ledningssystem för informationssäkerhet
Arbete pågår med att etablera nya arbetssätt och regelverk för informationssäkerhet, allt enligt den första av rektor beslutade och resurssatta handlingsplanen för 2021–2023. Utgångspunkt är omvärlds- och verksamhetsanalyser samt krav från bl.a. Myndigheten för samhällsskydd och beredskap. Allt syftar till att säkerställa att universitetets kritiska informationstillgångar ges ett adekvat, relevant och kontinuerligt skydd.
Det första styrdokumentet för informationssäkerhet vid universitetet är Ledningssystem för informationssäkerhet (LIS) och beslutades av rektor våren 2022. I detta och kommande styrdokument samt stödjande resurser beskrivs universitetets processer för riskbaserat informationssäkerhetsarbete. Där ingår bl. a. omvärldsanalys, verksamhetsanalys, riskanalyser, informationsklassning, anvisningar för olika säkerhetsåtgärder samt framtagande av handlingsplaner.
Läs mer:
Ledningssystem för informationssäkerhet har beslutats av rektor (Informationssäkerhetsbloggen)
Ansvar
Medarbetare och studenter
- Du ansvarar för att hantera information och data på ett säkert sätt.
- Du lagrar dina dokument säkert.
- Du låser din dator och förvarar den på ett stöldsäkert sätt.
- Du talar inte heller högt om känslig information på tåget.
- Skydd av information omfattar både digital, skriven och talad information.
Ledningen
Ytterst ansvarig för informationssäkerheten är styrelsen och rektor. Rektor fattar beslut om universitetets styrande dokument och ledningssystem för informationssäkerhet. Där beskrivs hur arbetet ska bedrivas och risker hanteras vid universitetet. Roller och ansvar ska vara tydliga, t ex vilka som kan ta riskbeslut, äger olika typer av information, ska införa och förvalta tekniska IT-säkerhetsåtgärder samt säkerhet i våra lokaler. Ledningen ska regelbundet följa upp arbetet med informationssäkerhet vid det som kallas Ledningens genomgång.
CISO - Chief Information Security Officer
En oberoende roll med uppgift att utveckla och förvalta informationssäkerhetsarbetet, t.ex. kravställa, samordna, stödja, utbilda samt följa upp efterlevnad. CISO ska bistå ledningen med regelbundna rapporter, rekommendationer och beslutsunderlag.
CISO-funktionens uppgift innebär regelbunden samverkan med bland andra informationsriskägare, systemförvaltare, jurister, DSO/dataskyddsombud, IT-funktioner, säkerhetsavdelning, byggnadsfunktioner, arkivfunktion, projektkontor och externa myndigheter.
Vilka lagrum gäller
Hur informationssäkerhetsarbetet vid universitetet ska bedrivas och andra krav är beslutade av Myndigheten för Samhällsskydd och beredskap.
MSBFS 2020:6 Föreskrifter om informationssäkerhet för statliga myndigheter
MSBFS 2020:7 Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter
Därtill finns ytterligare 20+ lagrum som direkt eller indirekt ställer krav på att det finns ett systematiskt och riskbaserat informationssäkerhetsarbete.
Kontakt
Vid frågor om Informationssäkerhet.
Ingegerd Wirehed
CISO,
Chief Information Security Officer
informationssakerhet [at] lu [dot] se
+46 761 30 35 66