LIS - Ledningssystem för informationssäkerhet

Senast ändrad: 24 oktober 2018

SLU:s LIS består av ramverk, processer och tillhörande resurser som gör att SLU kan uppnå bra informationssäkerhet. SLU:s LIS följer indelningen i ISO 27001 och beskrivs nedan.

Vad är ett LIS och varför ska vi ha det?

Inledning

Sveriges lantbruksuniversitets huvuduppgift är att genom högkvalitativ forskning, utbildning och fortlöpande miljöanalys bidra till god livskvalitet och en ökad tillväxt, både i Sverige och i världen. Viktiga förutsättningar och tillgångar för den uppgiften är bland annat information i olika former, vilka ska skyddas på ett anpassat sätt.

Informationssäkerhet innebär att skydda information på ett, för SLU, bra och anpassat sätt. Att rätt person har tillgång till rätt information vid rätt tillfälle – konfidentialitet, riktighet och tillgänglighet. Information i alla dess former, talad, digital och skriven, ska skyddas utifrån dessa aspekter.

Ansvar

Alla inom SLUs verksamhet har eget ansvar för att upprätthålla informationssäkerheten och följa gällande riktlinjer, instruktioner och anvisningar, där varje individs kunskap och agerande är mycket viktig. Varje persons insats för att upprätthålla lämpligt skydd av verksamhetens information är av stor vikt och att förståelse finns för att olika typer av information hanteras på olika sätt i olika sammanhang.

Varför LIS?

Myndigheten för samhällsskydd och beredskap, MSB, föreskriver att en myndighet ska bedriva sitt informationssäkerhetsarbete enligt ISO 27001 och ISO 27002 och upprätta styrande dokument inom informationssäkerhetsområdet. Därför har rektor beslutat att det ska finnas ett LIS vid SLU.

Vad är ett LIS?

Ett LIS är en organisations process för styrning och ledning av informationssäkerhetsarbetet, en process som kontinuerligt ska utvärderas och anpassas till aktuella verksamhets- och omvärldskrav.

LIS består av ramverk av policy, riktlinjer, instruktioner, anvisningar, rutiner, processer och tillhörande resurser som möjliggör för organisationen att uppnå dess mål ur ett informationssäkerhetsperspektiv. SLUs LIS följer indelningen i ISO 27001 enligt nedan. 

Dokumentation

Dokumentation ingående i ledninggsystemet kan placeras i de olika nivåerna

  • Strategisk nivå: policy och riktlinjer
  • Taktisk nivå: anvisningar och övergripande analyser
  • Operativa nivå: verksamhetsnära anaysler, lathundar och liknande 

 

SLU:s dokumentstruktur beskriver kort att

  • policy är en avsikt eller viljeinriktning
  • riktlinje är ofta en SLU-anpassad precisering av lagar och förordningar som anger hur SLU ska uppnå det som anges i fr.a. författningar men även i andra dokument som strategier och policies.
  • anvisning eller instruktion anger på vilket sätt en arbetsuppgift, moment eller åtgärd ska utföras

Medvetenhet

SLUs medarbetare, studenter och övriga inom SLUs verksamhet är mycket viktiga aktörer för att säkerställa informationssäkerheten. Alla har ett eget ansvar för att upprätthålla informationssäkerheten och följa gällande riktlinjer, instruktioner och anvisningar, där varje individs kunskap och agerande är mycket viktig. Varje persons insats för att upprätthålla lämpligt skydd av verksamhetens information är av stor vikt och att förståelse finns för att olika typer av information hanteras på olika sätt i olika sammanhang.

Det innebär att beroende på roll inom verksamheten måste du känna till ett antal olika saker:

  • Vilka krav ställs på dig i dina olika roller
  • Hur ska du agera vid eventuell informationssäkerhetsincident
  • Att det finns stöd att få från olika håll, såsom SLU Säkerhet, it-säkerhetschef, it-samordnare, it-stöd, Incident Responce Team inom it-avdelningen – IRT

För att både anställda och studenter ska vara medvetna om vilka rättigheter och skyldigheter de har gällande IT finns detta reglerat i "Användande av SLU:s datornät" på Medarbetarwebben / Stöd och service / IT / Riktlinjer och policyer. Ett kontrakt undertecknas vid utkvittering av AD-konto.

I grunden är det viktigt att alla medarbetare känner till säkerhetspolicyn och riktlinjer för informationssäkerhet, se Medarbetarwebben / Stöd och service / Informationssäkerhet / Styrande dokument.

Organisationens förutsättningar

SLU har en uttalad vision om att vara ett ”öppet universitet” vilket innebär att vara lättillgängligt och berett till samarbete med olika parter inom och utanför den akademiska världen. Samtidigt är SLU en statlig myndighet som är skyldig att följa lagar och förordning.

Tillämpliga lagar och förordningar ur ett informationssäkerhetsperspektiv

Utifrån viss typ av information styr olika lagar och förordningar. Nedan listade kan helt eller till vis del ha påverkan på verksamheten avseende informationssäkerhet.

Allmänna handlingar

Offentlighetsprincipen, som framgår av tryckfrihetsförordningens andra kapitel, reglerar vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och då enligt huvudregeln vara tillgängliga, offentliga. Vissa allmänna handlingar innehåller dock känsliga uppgifter, exempelvis rörande rikets säkerhet eller den enskildes personliga förhållanden. Offentlighets- och sekretesslagen specificerar därför vilka av de allmänna handlingarna som ska beläggas med sekretess.

Tryckfrihetsförordning (1949:105)

Till främjande av ett fritt meningsutbyte och en allsidig upplysning ska varje svensk medborgare ha rätt att taga del av allmänna handlingar.

Offentlighets- och sekretesslag (2009:400)

En uppgift för vilken sekretess gäller enligt denna lag får inte röjas för enskilda eller för andra myndigheter, om inte annat anges i denna lag eller i lag eller förordning som denna lag hänvisar till.

För SLU-specifik information gällande allmänna handlingar, se "Dokument, arkiv ochregistrator" på medarbetarwebben.

Sekretessbelagd information rörande rikets säkerhet

Information som är sekretessbelagd med hänsyn till rikets säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.

Säkerhetsskyddslag (1996:627) Myndigheter, kommuner, landsting, statliga bolag etc. och även enskilda ska beakta säkerhetsskyddslagens bestämmelser för att motverka möjligheten till exempelvis sabotage, om den verksamhet som bedrivs är av betydelse för skyddet av rikets säkerhet eller särskilt måste skyddas mot terrorism.

Säkerhetsskyddsförordning (1996:633) De som omfattas av säkerhetsskyddsförordningen ska göra en särskild säkerhetsskyddsanalys som visar ”vilka uppgifter i deras verksamhet som ska hållas hemliga med hänsyn till rikets säkerhet … och skyddas mot exempelvis sabotage. Resultatet av denna undersökning (säkerhetsanalys) skall dokumenteras”.

Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd, RPSFS 2010:03 Föreskrifter och allmänna råd avseende informationssäkerhet för hemliga handlingar i skrift eller bild, informationssäkerhet för IT-system, tillträdesbegränsning, säkerhetsprövning, registerkontroll, utbildning och kontroll.

För SLU-specifik information gällande offentlighet och sekretess, se juristernas sida på medarbetarwebben.

Personuppgifter

Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagen begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd.  Lagen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta.

Observera att den 25 maj 2018 kommer en ny EU-förordning om dataskydd att ersätta den svenska personuppgiftslagen. Förordningen kallas på svenska "allmän dataskyddsförordning” och på engelska ”general data protection regulation (GDPR)”.

Personuppgiftslag (1998:204) och Personuppgiftsförordning (1998:1191) Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som behandlas.

För SLU-specifik information gällande personuppgifter, se juristernas sida på medarbetarwebben. Se även information om personuppgifter under Medarbetarwebben / Stöd och service / Säkerhet / Informationsäkerhet / "FAQ" Se även information hos Datainspektionen, www.datainspektionen.se.

Information som ska arkiveras

En viktig uppgift med många kopplingar till informationssäkerhet är att över tid säkra riktigheten hos och skapa tillgänglighet till allmänna handlingar. Arkivering ställer särskilda krav, särskilt när det gäller elektronisk information. Riksarkivet utfärdar föreskrifter på området.

Arkivlag (1990:782) ”I arkivvården ingår att myndigheten skall 1. organisera arkivet på ett sådant sätt att rätten att ta del av allmänna handlingar underlättas, 2. upprätta dels en arkivbeskrivning som ger information om vilka slag av handlingar som kan finnas i myndighetens arkiv och hur arkivet är organiserat, dels en systematisk arkivförteckning, 3. skydda arkivet mot förstörelse, skada, tillgrepp och obehörig åtkomst, 4. avgränsa arkivet genom att fastställa vilka handlingar som skall vara arkivhandlingar, och 5. verkställa föreskriven gallring i arkivet.”

Arkivförordning (1991:446)

Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar, RA-FS 2009:1

För SLU-specifik information gällande arkiv, se "Arkivredovisning" på medarbetarwebben.

Reglering som förbjuder dataintrång och andra brott 

Rättslig reglering bidrar till informationssäkerhet genom att ställa krav på att vidta åtgärder men även genom att kriminalisera vissa handlingar. Många brott, som bedrägeri, begås idag ofta med hjälp av IT. Ett brott med uttrycklig koppling till IT är dataintrång.

Enligt brottsbalken 4 kap 9c§ är det förbjudet olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändra, utplåna, blockera eller i register föra in en sådan uppgift. Det är heller inte tillåtet att olovligen allvarligt störa eller hindra användningen av en sådan uppgift. Den som bryter mot detta kan dömas för dataintrång till böter eller fängelse i högst två år.

Brottsbalk (1962:700)

Rättsliga regler avseende arbetet med informationssäkerhet

Informationssäkerhet i verksamheter byggs i stor utsträckning upp genom systematiskt arbete som involverar ledningen, grundas på risk- och sårbarhetsanalyser och rätt vidtagna åtgärder. Krav på att statliga myndigheter ska se till att informationshanteringen uppfyller krav på säkerhet finns i MSB:s föreskrifter och allmänna råd 2016:1 om statliga myndigheters informationssäkerhet. Myndigheten för samhällsskydd och beredskap föreskriver dessutom att myndigheterna ska införa ett ledningssystem för informationssäkerhet och därvid följa de internationella standarderna ISO/IEC 27001 och ISO/IEC 27002.

MSB:s föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet, MSBFS 2016:1 Myndigheter, såsom SLU, ska ”tillämpa ett ledningssystem för informationssäkerhet”. Det innebär bl.a. att myndigheten ska upprätta en informationssäkerhetspolicy och andra styrande dokument, eftersträva god säkerhetskultur, hantera hot, risker, incidenter samt kontinuitetshantera.

MSB:s föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter, MSBFS 2016:2 Myndigheter, såsom SLU, ska fr.o.m. 2016-04-04 rapportera allvarliga säkerhetspåverkande IT-incidenter till MSB.

Förordning (2015:1052) om krisberedskap och höjd beredskap Myndigheter ska en gång per år ”analysera om det finns sådan sårbarhet eller sådana hot och risker … som synnerligen kan försämra förmågan till verksamhet inom området”. Analysen ska skickas in till regeringen och MSB.

Förordning (1995:1300) om statliga myndigheters riskhantering ”Varje myndighet skall identifiera vilka risker för skador eller förluster som finns i myndighetens verksamhet. Myndigheten skall värdera riskerna och beräkna vilka kostnader som staten har eller kan få med hänsyn till dessa risker. Resultatet skall sammanställas i en riskanalys. Varje myndighet skall vidta lämpliga åtgärder för att begränsa risker och förebygga skador eller förluster.”

Verksamhetsstöd

Riskhantering

Syftet med riskhantering är att identifiera, analysera, värdera och behandla de risker som kan komma att påverka verksamheten och dess värden alltför negativt. Det är lämpligt att årligen eller vid betydande förändring genomföra en riskanalys alternativt analysera redan genomförd analys och vid behov revidera den.

Verksamhetsspecifika eller systemspecifika riskanalyser genomförs av verksamhetsansvarig eller systemansvarig medan övergripande riskanalys inom informationssäkerhetsområdet genomförs av informationssäkerhetschefen. Det är verksamhetsansvarig eller systemansvarig som är ansvarig för att eskalera de risker som kan tänkas påverka SLU på ett alltför ”stort” sätt.

Det finns instruktion och mall framtagen att använda vid riskbedömning. Riskbedömningen kan med fördel delges SLU Säkerhet och även andra verksamheter som kan ha nytta av genomförda analyser.

Andra riskanalyser som genomförs kan vara inom intern styrning och kontroll, arbetsmiljö, miljö och kvalitet.

Dokument

Instruktion för riskhantering (v 1.0)

Mall för riskhantering

- i pdf-format - i word-format

Informationssäkerhetsklassning

Syftet med informationssäkerhetsklassning är att tydliggöra att olika typer av information har olika värde för verksamheten och att informationen därmed måste skyddas på olika nivåer (skyddsnivåer).

Det är ägare av information som är ansvarig för att informationen informationssäkerhetsklassas. Ägare är ofta den verksamhetsansvarige vars verksamhet har skapat informationen, fattat beslut om den alternativt tagit över ansvaret för den. Det kan vara dekan, prefekt, forskningsledare, universitetsdirektör, avdelningschef, enhetschef, funktionschef eller motsvarande beroende på aktuell delgering. Ägarskapet kan förändras över tid.

Skyddsnivå utifrån informationssäkerhetsklassning 2015-11-05

Kontinuitetsplanering

Det huvudsakliga målet med kontinuitetsplanering är att säkerställa att eventuella avbrott i tillgång till information och system inte får allvarliga konsekvenser för verksamheten. Det innebär att det måste finnas planer och rutiner för att säkerställa att verksamheten kan fortsätta bedrivas och återgå till normalläget inom en acceptabel tidsrymd. Det är också viktigt att fastställa ansvarsfördelning som ska gälla i en krissituation. Alla berörda parter ska veta hur, när och vilka olika åtgärder som ska vidtas då en incident i form av ett avbrott inträffar.

Kontinuitetsplanering utifrån ett informationssäkerhetsperspektiv Draft 

Incidenthantering

Rapportering av incident ska ske för att kännedom om tillbud och faktiska händelser ska finnas. På så vis kan SLU reagera på enskild händelse men också på serier av händelser.

Alla personer inom SLU:s verksamhet har ansvar för att skyndsamt rapportera (eller se till att det rapporteras) säkerhetspåverkande it-incident till IT-säkerhetsfunktionen vid SLU.

Övriga informationssäkerhetsrelaterade incidenter rapporteras till säkerhetsfunktionen vid SLU.

Övrigt

Säkerhetsåtgärder

  • Informationssäkerhetspolicy
  • Organisation av informationssäkerhetsarbetet
  • Personalsäkerhet
  • Hantering av tillgångar
  • Styrning av åtkomst
  • Kryptering
  • Fysisk och miljörelaterad säkerhet
  • Driftsäkerhet
  • Kommunikationssäkerhet
  • Anskaffning, utveckling och underhåll av system
  • Leverantörsrelationer
  • Hantering av informationssäkerhetsincidenter
  • Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet
  • Efterlevnad 

På "arbetsplatsen" samlar IT-avdelningen information om roller, organisationer, processer och manualer i sin kvalitetshandbok, se https://arbetsplats.slu.se.

Kompetens

För att upprätthålla kompetens inom informationssäkerhetsområdet finns ett antal olika möjligheter:

Aktuellt - följ information på SLU Säkerhets hemsida på medarbetarwebben

Utbildningar - det finns både webbaserade utbildnigar och "öga-mot-öga"-utbildningar att tillgå inom SLU

Föredragningar - inom speciella områden eller allmän info på tex verksamhetsmöten

Kommunikation

Kommunikation sker via hemsidan, telefon, mail, personliga besök osv

Resurser

Exempel på olika roller som har olika betydelse inom informationssäkerhetsområdet är rektor, chef för verksamhet, informationsägare, systemägare, säkerhetschef, informationssäkerhetschef, it-avdelningen, it-samordnare samt samtliga vid SLU.

Utvärdering av prestanda

Informationssäkerhet och verkan av LIS utvärderas.

Intern revision kan ske antingen av internrevisionen eller av informationssäkerhetschefen. Intern revision sker utifrån två aspekter:

  • Stämmer SLU LIS med SLUs krav på LIS?
  • Stämmer SLU LIS med standarderna ISO 27001 och ISO 27002?

Ledningen genomför årlig uppföljning där bland annat interna och externa regelverk, resultat från riskbedömningar, status på beslutade åtgärder följs upp. Ledningen går tillsammans med informationssäkerhetschefen igenom LIS och beslutar om framtida inriktning och eventuella förändringar.

Förbättringar

I det dagliga informationssäkerhetsarbetet ingår att ständigt analysera och förbättra informationssäkerheten och ledningssystemet.

Har du förslag på förbättringar gällande informationssäkerhet eller ledningssystem för informationssäkerhet är du välkommen att fylla i formuläret på denna  "Förbättringsförslagssida".

Sidansvarig: infra-webb@slu.se