Kontaktinformation
Säkerhetsenheten:
sakerhet@slu.se
SLU:s ledningssystem för informationssäkerhet (LIS) består av ett ramverk samt de processer och resurser som behövs för att SLU ska uppnå bra informationssäkerhet. Ledningssystemet följer indelningen i standarden ISO 27001 och beskrivs nedan.
SLU:s huvuduppgift är att genom högkvalitativ forskning, utbildning och fortlöpande miljöanalys bidra till god livskvalitet och ökad tillväxt, både i Sverige och i världen. Information i olika former är en viktig tillgång och förutsättning för den uppgiften. Denna information måste skyddas på ett ändamålsenligt sätt.
Informationssäkerhet innebär att skydda information på ett för SLU bra och ändamålsenligt sätt. Information i alla former ska skyddas utifrån aspekterna konfidentialitet, riktighet och tillgänglighet - vi ska alltså se till att rätt person har tillgång till rätt information vid rätt tillfälle.
Myndigheten för samhällsskydd och beredskap (MSB) föreskriver att en myndighet ska bedriva informationssäkerhetsarbete enligt standarderna ISO 27001 och ISO 27002 och upprätta styrande dokument inom informationssäkerhetsområdet. Därför har rektor beslutat att det ska finnas ett ledningssystem för informationssäkerhet (LIS) vid SLU.
Ett LIS är en organisations processer för styrning och ledning av informationssäkerhetsarbetet. Dessa processer ska utvärderas löpande och anpassas till aktuella verksamhets- och omvärldskrav.
LIS består av policy, riktlinjer, instruktioner, anvisningar, rutiner, processer och tillhörande resurser som gör att organisationen kan uppnå sina mål för informationssäkerhet. SLU:s LIS följer indelningen i ISO 27001 enligt nedan.
Dokumentationen i ledningssystemet kan delas in i tre typer:
Vid SLU definieras interna styrande dokument enligt följande:
Alla anställda och studenter vid SLU har ansvar för att upprätthålla informationssäkerheten och följa gällande riktlinjer, instruktioner och anvisningar. Alla insatser för att skydda vår information är av stor vikt. Det är också viktigt att alla förstår att olika typer av information måste hanteras på olika sätt i olika sammanhang.
Det innebär att du ska känna till bland annat följande:
Både anställda och studenter måste vara medvetna om vilka rättigheter och skyldigheter de har när det gäller användandet av SLU:s datornät. Därför får alla som kvitterar ut ett ad-konto skriva på ett avtal. Mer information finns på IT-avdelningens sidor på medarbetarwebben.
Det är också viktigt att alla medarbetare känner till informationssäkerhetspolicyn.
SLU har en uttalad vision om att vara ett ”öppet universitet”, det vill säga att vara lättillgängligt och berett till samarbete med olika parter inom och utanför den akademiska världen. Samtidigt är SLU en statlig myndighet som är skyldig att följa lagar och förordningar.
Det finns flera lagar och förordningar som påverkar verksamheten när det gäller informationssäkerhet.
Information som är sekretessbelagd med hänsyn till Sveriges säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.
Myndigheter, kommuner, landsting, statliga bolag etc., men även enskilda, ska beakta säkerhetsskyddslagens bestämmelser för att motverka möjligheten till exempelvis sabotage. Det gäller om den verksamhet som bedrivs är av betydelse för skyddet av Sveriges säkerhet eller särskilt måste skyddas mot terrorism.
De som omfattas av säkerhetsskyddsförordningen ska göra en särskild säkerhetsskyddsanalys som visar vilka uppgifter i verksamheten som ska hållas hemliga med hänsyn till Sveriges säkerhet. Resultatet av denna analysen ska dokumenteras.
Föreskrifter och allmänna råd om informationssäkerhet för hemliga handlingar i skrift eller bild, informationssäkerhet för IT-system, tillträdesbegränsning, säkerhetsprövning, registerkontroll, utbildning och kontroll.
Informationssäkerhet i verksamheter byggs i stor utsträckning upp genom systematiskt arbete som involverar ledningen och som grundas på risk- och sårbarhetsanalyser samt att rätt åtgärder vidtas.
Myndigheten för samhällsskydd och beredskap (MSB) har föreskrifter och råd om statliga myndigheters informationssäkerhet. MSB föreskriver dessutom att myndigheter ska ha ett ledningssystem för informationssäkerhet som följer de internationella standarderna ISO/IEC 27001 och ISO/IEC 27002.
Myndigheter som SLU ska tillämpa ett ledningssystem för informationssäkerhet. Det innebär bl.a. att myndigheten ska
Myndigheter som SLU ska rapportera allvarliga säkerhetspåverkande IT-incidenter till MSB.
Varje myndighet ska i syfte att stärka sin egen och samhällets krisberedskap analysera om det finns sådan sårbarhet eller sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra förmågan till verksamhet inom området. Myndigheten ska minst vartannat år värdera och sammanställa resultatet av arbetet i en risk- och sårbarhetsanalys.
Alla myndighet ska identifiera vilka risker för skador eller förluster som finns i verksamheten. Riskerna ska värderas och myndigheten ska beräkna vilka kostnader som staten har eller kan få med hänsyn till riskerna. Resultatet ska sammanställas i en riskanalys. Myndigheterna är också skyldiga att vidta lämpliga åtgärder för att begränsa risker och förebygga skador.
Dataintrång är när någon olovligen skaffar sig tillgång till en uppgift som är avsedd för automatiserad behandling, eller olovligen ändrar, raderar, blockerar eller för in en sådan uppgift i ett register. Det är heller inte tillåtet att allvarligt störa eller hindra användningen av sådans uppgifter. Straffet för dataintrång är böter eller fängelse i högst två år.
Syftet med Dataskyddsförordningen (GDPR) är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagen begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd. Lagen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta. För mer information gå in på dataskydds sida på medarbetarwebben eller på www.imy.se
Syftet med riskhantering är att identifiera, analysera, värdera och behandla de risker som kan komma att påverka verksamheten alltför negativt.
Verksamhetsspecifika eller systemspecifika riskanalyser genomförs av den som ansvarar för verksamheten eller systemet. Övergripande riskanalyser inom informationssäkerhetsområdet genomförs av informationssäkerhetsstrateg. Det är den verksamhets- eller systemansvariga som ansvarar för att eskalera de risker som kan tänkas påverka SLU i alltför stor omfattning.
Läs mer om riskanalyser.
Syftet med informationsklassning är att tydliggöra att olika typer av information har olika värde för verksamheten och därmed måste skyddas på olika nivåer.
Läs mer om informationsklassning.
Det huvudsakliga målet med kontinuitetsplanering är att säkerställa att eventuella avbrott i tillgången till information och system inte får allvarliga konsekvenser för verksamheten. Det innebär att det måste finnas planer och rutiner för att säkerställa att verksamheten kan fortsätta bedrivas och återgå till normalläget inom rimlig tid. Det är också viktigt att fastställa vem som ansvarar för vad i en krissituation. Alla berörda ska veta hur och när vilka åtgärder ska vidtas om ett avbrott inträffar.
Anvisning för kontinuitetsplanering ur ett informationssäkerhetsperspektiv
Kontinuitetshanteringsmall från MSB 2022 (docx)
Incidenter måste rapporteras så att det finns kännedom om tillbud och faktiska händelser. På så vis kan SLU reagera på enskild händelse men också på serier av händelser.
Alla vid SLU ansvarar för att skyndsamt rapportera it-incidenter som påverkar säkerheten. Exempel på it-incidenter är störningar i driftsmiljöer, mjuk- eller hårdvara, informationsläckage, säkerhetsbrister i produkter, eller angrepp med skadlig kod. It-incidenter rapporteras till mejladressen support@slu.se.
Om du upptäcker avvikelser av teknisk eller administrativ karaktär, som kan påverka säkerheten i SLU:s informationshantering, rapporteras avvikelsen i IA-systemet.
Exempel på avvikelser är bristfälliga rutiner för hantering av skyddsvärd information, olämplig exponering av information för obehöriga, eller brister i fysiska säkerhetsåtgärder som är avsedda att skydda information. Sådana avvikelser är ofta av mindre akut karaktär än incidenter.
Om en it-incident har påverkat personuppgifter görs en kompletterande incidentrapport om en personuppgiftsincident i IA-systemet.
Rapporteringen bör göras så snart som möjligt.
Mer information om rutiner för it-incidentrapportering finns i dokumentet ”Rutin för rapportering av it-incidenter”.
Om du som anställd eller student innehar en skyddad personuppgift eller har ett sådant behov så kan du få mer information i Anvisning för hantering av skyddade personuppgifter för anställda och studenter.
För att upprätthålla kompetens inom informationssäkerhetsområdet finns flera möjligheter:
Identitets- och åtkomsthantering ska i samband med andra säkerhetshöjande åtgärder säkerställa att SLU:s it-tjänster erhåller ett adekvat skydd från obehörig eller otillåten åtkomst. Med en bra och tillförlitlig behörighetshantering säkerställs att information inte kommer i orätta händer, samt att it-tjänsten används på ett sådant vis att informationens konfidentialitet, riktighet och tillgänglighet säkerställs. Krav på åtkomsthantering i SLU:s tjänster framgår av universitetets kravkatalog för informations- och it-säkerhetskrav.
Både informationssäkerheten och ledningssystemet utvärderas.
Intern revision görs av internrevisionen eller av informationssäkerhetsstrateg utifrån två aspekter:
Ledningen genomför också en årlig uppföljning av bland annat interna och externa regelverk, resultat från riskbedömningar och status på beslutade åtgärder. Ledningen och informationssäkerhetsstrateg går tillsammans igenom LIS och beslutar om framtida inriktning och eventuella förändringar.
I det dagliga informationssäkerhetsarbetet ingår att ständigt analysera och förbättra informationssäkerheten och ledningssystemet.
Hjälp oss att bli bättre, här kan du skicka in förslag på förbättringar gällande informationssäkerhet eller ledningssystem för informationssäkerhet.
Säkerhetsenheten:
sakerhet@slu.se