LIS - Ledningssystem för informationssäkerhet

Senast ändrad: 20 februari 2024

SLU:s ledningssystem för informationssäkerhet (LIS) består av ett ramverk samt de processer och resurser som behövs för att SLU ska uppnå bra informationssäkerhet. Ledningssystemet följer indelningen i standarden ISO 27001 och beskrivs nedan.

SLU:s huvuduppgift är att genom högkvalitativ forskning, utbildning och fortlöpande miljöanalys bidra till god livskvalitet och ökad tillväxt, både i Sverige och i världen. Information i olika former är en viktig tillgång och förutsättning för den uppgiften. Denna information måste skyddas på ett ändamålsenligt sätt.

Vad är ett LIS och varför ska vi ha det?

Informationssäkerhet innebär att skydda information på ett för SLU bra och ändamålsenligt sätt. Information i alla former ska skyddas utifrån aspekterna konfidentialitet, riktighet och tillgänglighet - vi ska alltså se till att rätt person har tillgång till rätt information vid rätt tillfälle.

Varför behövs ett ledningssystem?

Myndigheten för samhällsskydd och beredskap (MSB) föreskriver att en myndighet ska bedriva informationssäkerhetsarbete enligt standarderna ISO 27001 och ISO 27002 och upprätta styrande dokument inom informationssäkerhetsområdet. Därför har rektor beslutat att det ska finnas ett ledningssystem för informationssäkerhet (LIS) vid SLU.

Vad är ett LIS?

Ett LIS är en organisations processer för styrning och ledning av informationssäkerhetsarbetet. Dessa processer ska utvärderas löpande och anpassas till aktuella verksamhets- och omvärldskrav.

LIS består av policy, riktlinjer, instruktioner, anvisningar, rutiner, processer och tillhörande resurser som gör att organisationen kan uppnå sina mål för informationssäkerhet. SLU:s LIS följer indelningen i ISO 27001 enligt nedan. 

Dokumentation

Dokumentationen i ledningssystemet kan delas in i tre typer:

  • Strategisk nivå: policy och riktlinjer
  • Taktisk nivå: anvisningar och övergripande analyser
  • Operativ nivå: verksamhetsnära analyser, lathundar och liknande 

 

Vid SLU definieras interna styrande dokument enligt följande:

  • policy: avsikt eller viljeinriktning
  • riktlinje: ofta en SLU-anpassad precisering av lagar och förordningar
  • anvisning/instruktion: beskrivning av hur något ska utföras.

Allas ansvar

Alla anställda och studenter vid SLU har ansvar för att upprätthålla informationssäkerheten och följa gällande riktlinjer, instruktioner och anvisningar. Alla insatser för att skydda vår information är av stor vikt. Det är också viktigt att alla förstår att olika typer av information måste hanteras på olika sätt i olika sammanhang.

Det innebär att du ska känna till bland annat följande:

  • Vilka krav som ställs på dig i dina olika roller.
  • Hur ska du agera vid en eventuell informationssäkerhetsincident.
  • Att det finns stöd att få från olika håll (säkerhetsenheten, IT-säkerhetschefen, IT-samordnaren, IT-stöd med flera)

Både anställda och studenter måste vara medvetna om vilka rättigheter och skyldigheter de har när det gäller användandet av SLU:s datornät. Därför får alla som kvitterar ut ett ad-konto skriva på ett avtal. Mer information finns på IT-avdelningens sidor på medarbetarwebben.

Det är också viktigt att alla medarbetare känner till informationssäkerhetspolicyn.

Organisationens förutsättningar

SLU har en uttalad vision om att vara ett ”öppet universitet”, det vill säga att vara lättillgängligt och berett till samarbete med olika parter inom och utanför den akademiska världen. Samtidigt är SLU en statlig myndighet som är skyldig att följa lagar och förordningar.

Lagar och förordningar

Det finns flera lagar och förordningar som påverkar verksamheten när det gäller informationssäkerhet.

Sekretessbelagd information som rör Sveriges säkerhet

Information som är sekretessbelagd med hänsyn till Sveriges säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.

Säkerhetsskyddslagen (SFS 2018-585) 

Myndigheter, kommuner, landsting, statliga bolag etc., men även enskilda, ska beakta säkerhetsskyddslagens bestämmelser för att motverka möjligheten till exempelvis sabotage. Det gäller om den verksamhet som bedrivs är av betydelse för skyddet av Sveriges säkerhet eller särskilt måste skyddas mot terrorism.

Säkerhetsskyddsförordning (2021:955)

De som omfattas av säkerhetsskyddsförordningen ska göra en särskild säkerhetsskyddsanalys som visar vilka uppgifter i verksamheten som ska hållas hemliga med hänsyn till Sveriges säkerhet. Resultatet av denna analysen ska dokumenteras.

Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1)

Föreskrifter och allmänna råd om informationssäkerhet för hemliga handlingar i skrift eller bild, informationssäkerhet för IT-system, tillträdesbegränsning, säkerhetsprövning, registerkontroll, utbildning och kontroll.

Rättsliga regler för arbetet med informationssäkerhet

Informationssäkerhet i verksamheter byggs i stor utsträckning upp genom systematiskt arbete som involverar ledningen och som grundas på risk- och sårbarhetsanalyser samt att rätt åtgärder vidtas.

Myndigheten för samhällsskydd och beredskap (MSB) har föreskrifter och råd om statliga myndigheters informationssäkerhet. MSB föreskriver dessutom att myndigheter ska ha ett ledningssystem för informationssäkerhet som följer de internationella standarderna ISO/IEC 27001 och ISO/IEC 27002.

MSB:s föreskrifter om informationssäkerhet för statliga myndigheter, MSBFS 2020:6

Myndigheter som SLU ska tillämpa ett ledningssystem för informationssäkerhet. Det innebär bl.a. att myndigheten ska

  • upprätta en informationssäkerhetspolicy och andra styrande dokument
  • eftersträva god säkerhetskultur
  • hantera hot, risker, incidenter
  • kontinuitetshantera.
MSB:s föreskrifter om rapportering av it-incidenter för statliga myndigheter, MSBFS 2020:8

Myndigheter som SLU ska rapportera allvarliga säkerhetspåverkande IT-incidenter till MSB.

Förordning (2022:524) om statliga myndigheters beredskap

Varje myndighet ska i syfte att stärka sin egen och samhällets krisberedskap analysera om det finns sådan sårbarhet eller sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra förmågan till verksamhet inom området. Myndigheten ska minst vartannat år värdera och sammanställa resultatet av arbetet i en risk- och sårbarhetsanalys.

Förordning (1995:1300) om statliga myndigheters riskhantering 

Alla myndighet ska identifiera vilka risker för skador eller förluster som finns i verksamheten. Riskerna ska värderas och myndigheten ska beräkna vilka kostnader som staten har eller kan få med hänsyn till riskerna. Resultatet ska sammanställas i en riskanalys. Myndigheterna är också skyldiga att vidta lämpliga åtgärder för att begränsa risker och förebygga skador.

Reglering som förbjuder dataintrång och andra brott 

Dataintrång är när någon olovligen skaffar sig tillgång till en uppgift som är avsedd för automatiserad behandling, eller olovligen ändrar, raderar, blockerar eller för in en sådan uppgift i ett register. Det är heller inte tillåtet att allvarligt störa eller hindra användningen av sådans uppgifter. Straffet för dataintrång är böter eller fängelse i högst två år.

Personuppgifter Dataskyddsförordningen

Syftet med Dataskyddsförordningen (GDPR) är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagen begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd. Lagen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta. För mer information gå in på dataskydds sida på medarbetarwebben eller på www.imy.se

Verksamhetsstöd

Riskhantering

Syftet med riskhantering är att identifiera, analysera, värdera och behandla de risker som kan komma att påverka verksamheten alltför negativt.

Verksamhetsspecifika eller systemspecifika riskanalyser genomförs av den som ansvarar för verksamheten eller systemet. Övergripande riskanalyser inom informationssäkerhetsområdet genomförs av informationssäkerhetsstrateg. Det är den verksamhets- eller systemansvariga som ansvarar för att eskalera de risker som kan tänkas påverka SLU i alltför stor omfattning.

Läs mer om riskanalyser.

Informationsklassning

Syftet med informationsklassning är att tydliggöra att olika typer av information har olika värde för verksamheten och därmed måste skyddas på olika nivåer.

Läs mer om informationsklassning.

Kontinuitetsplanering

Det huvudsakliga målet med kontinuitetsplanering är att säkerställa att eventuella avbrott i tillgången till information och system inte får allvarliga konsekvenser för verksamheten. Det innebär att det måste finnas planer och rutiner för att säkerställa att verksamheten kan fortsätta bedrivas och återgå till normalläget inom rimlig tid. Det är också viktigt att fastställa vem som ansvarar för vad i en krissituation. Alla berörda ska veta hur och när vilka åtgärder ska vidtas om ett avbrott inträffar.

Anvisning för kontinuitetsplanering ur ett informationssäkerhetsperspektiv

Kontinuitetshanteringsmall från MSB 2022 (docx)

Hantera incidenter

Incidenter måste rapporteras så att det finns kännedom om tillbud och faktiska händelser. På så vis kan SLU reagera på enskild händelse men också på serier av händelser.

Alla vid SLU ansvarar för att skyndsamt rapportera it-incidenter som påverkar säkerheten. Exempel på it-incidenter är störningar i driftsmiljöer, mjuk- eller hårdvara, informationsläckage, säkerhetsbrister i produkter, eller angrepp med skadlig kod. It-incidenter rapporteras till mejladressen support@slu.se.

Om du upptäcker avvikelser av teknisk eller administrativ karaktär, som kan påverka säkerheten i SLU:s informationshantering, rapporteras avvikelsen i IA-systemet.

Exempel på avvikelser är bristfälliga rutiner för hantering av skyddsvärd information, olämplig exponering av information för obehöriga, eller brister i fysiska säkerhetsåtgärder som är avsedda att skydda information. Sådana avvikelser är ofta av mindre akut karaktär än incidenter.

Om en it-incident har påverkat personuppgifter görs en kompletterande incidentrapport om en personuppgiftsincident i IA-systemet.

Rapporteringen bör göras så snart som möjligt.

Mer information om rutiner för it-incidentrapportering finns i dokumentet ”Rutin för rapportering av it-incidenter”.

Hantering av skyddade personuppgifter

Om du som anställd eller student innehar en skyddad personuppgift eller har ett sådant behov så kan du få mer information i Anvisning för hantering av skyddade personuppgifter för anställda och studenter.

Kompetens

För att upprätthålla kompetens inom informationssäkerhetsområdet finns flera möjligheter:

  • Säkerhetsnytt - Följ informationen på säkerhetenhetens sida på medarbetarwebben.
  • Utbildningar - Det finns både webbaserade utbildningar och utbildningar "ansikte mot ansikte".
  • Föredragningar - Inom speciella områden eller  med allmän information, till exempel i samband med en enhets veckomöte.

Åtkomsthantering av system

Identitets- och åtkomsthantering ska i samband med andra säkerhetshöjande åtgärder säkerställa att SLU:s it-tjänster erhåller ett adekvat skydd från obehörig eller otillåten åtkomst. Med en bra och tillförlitlig behörighetshantering säkerställs att information inte kommer i orätta händer, samt att it-tjänsten används på ett sådant vis att informationens konfidentialitet, riktighet och tillgänglighet säkerställs. Krav på åtkomsthantering i SLU:s tjänster framgår av universitetets kravkatalog för informations- och it-säkerhetskrav.

Utvärdering av prestanda

Både informationssäkerheten och ledningssystemet utvärderas.

Intern revision görs av internrevisionen eller av informationssäkerhetsstrateg utifrån två aspekter:

  • Uppfyller systemet de krav SLU har på det?
  • Stämmer systemet överens med standarderna ISO 27001 och ISO 27002?

Ledningen genomför också en årlig uppföljning av bland annat interna och externa regelverk, resultat från riskbedömningar och status på beslutade åtgärder. Ledningen och informationssäkerhetsstrateg går tillsammans igenom LIS och beslutar om framtida inriktning och eventuella förändringar.

Förbättringar

I det dagliga informationssäkerhetsarbetet ingår att ständigt analysera och förbättra informationssäkerheten och ledningssystemet.

Hjälp oss att bli bättre, här kan du skicka in förslag på förbättringar gällande informationssäkerhet eller ledningssystem för informationssäkerhet.