LIS - Ledningssystem för informationssäkerhet

Senast ändrad: 19 juni 2019

SLU:s ledningssystem för informationssäkerhet (LIS) består av ett ramverk samt de processer och resurser som behövs för att SLU ska uppnå bra informationssäkerhet. Ledningssystemet följer indelningen i standarden ISO 27001 och beskrivs nedan.

SLU:s huvuduppgift är att genom högkvalitativ forskning, utbildning och fortlöpande miljöanalys bidra till god livskvalitet och ökad tillväxt, både i Sverige och i världen. Information i olika former är en viktig tillgång och förutsättning för den uppgiften. Denna information måste skyddas på ett ändamålsenligt sätt.

Vad är ett LIS och varför ska vi ha det?

Informationssäkerhet innebär att skydda information på ett för SLU bra och ändamålsenligt sätt. Information i alla former ska skyddas utifrån aspekterna konfidentialitet, riktighet och tillgänglighet - vi ska alltså se till att rätt person har tillgång till rätt information vid rätt tillfälle.

Varför behövs ett ledningssystem?

Myndigheten för samhällsskydd och beredskap (MSB) föreskriver att en myndighet ska bedriva informationssäkerhetsarbete enligt standarderna ISO 27001 och ISO 27002 och upprätta styrande dokument inom informationssäkerhetsområdet. Därför har rektor beslutat att det ska finnas ett ledningssystem för informationssäkerhet (LIS) vid SLU.

Vad är ett LIS?

Ett LIS är en organisations processer för styrning och ledning av informationssäkerhetsarbetet. Dessa processer ska utvärderas löpande och anpassas till aktuella verksamhets- och omvärldskrav.

LIS består av policy, riktlinjer, instruktioner, anvisningar, rutiner, processer och tillhörande resurser som gör att organisationen kan uppnå sina mål för informationssäkerhet. SLU:s LIS följer indelningen i ISO 27001 enligt nedan. 

Dokumentation

Dokumentationen i ledningssystemet kan delas in i tre typer:

  • Strategisk nivå: policy och riktlinjer
  • Taktisk nivå: anvisningar och övergripande analyser
  • Operativ nivå: verksamhetsnära analyser, lathundar och liknande 

 

Vid SLU definieras interna styrande dokument enligt följande:

  • policy: avsikt eller viljeinriktning
  • riktlinje: ofta en SLU-anpassad precisering av lagar och förordningar
  • anvisning/instruktion: beskrivning av hur något ska utföras.

Allas ansvar

Alla anställda och studenter vid SLU har ansvar för att upprätthålla informationssäkerheten och följa gällande riktlinjer, instruktioner och anvisningar. Alla insatser för att skydda vår information är av stor vikt. Det är också viktigt att alla förstår att olika typer av information måste hanteras på olika sätt i olika sammanhang.

Det innebär att du ska känna till bland annat följande:

  • Vilka krav som ställs på dig i dina olika roller.
  • Hur ska du agera vid en eventuell informationssäkerhetsincident.
  • Att det finns stöd att få från olika håll (säkerhetsenheten, IT-säkerhetschefen, IT-samordnaren, IT-stöd med flera)

Både anställda och studenter måste vara medvetna om vilka rättigheter och skyldigheter de har när det gäller användandet av SLU:s datornät. Därför får alla som kvitterar ut ett ad-konto skriva på ett avtal. Mer information finns på IT-avdelningens sidor på medarbetarwebben.

Det är också viktigt att alla medarbetare känner till säkerhetspolicyn och riktlinjerna för informationssäkerhet. Båda finns på medarbetarwebbens sida för interna styrande dokument inom säkerhet.

Organisationens förutsättningar

SLU har en uttalad vision om att vara ett ”öppet universitet”, det vill säga att vara lättillgängligt och berett till samarbete med olika parter inom och utanför den akademiska världen. Samtidigt är SLU en statlig myndighet som är skyldig att följa lagar och förordningar.

Lagar och förordningar

Det finns flera lagar och förordningar som påverkar verksamheten när det gäller informationssäkerhet.

Sekretessbelagd information som rör Sveriges säkerhet

Information som är sekretessbelagd med hänsyn till Sveriges säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.

Säkerhetsskyddslagen (SFS 2018-585) 

Myndigheter, kommuner, landsting, statliga bolag etc., men även enskilda, ska beakta säkerhetsskyddslagens bestämmelser för att motverka möjligheten till exempelvis sabotage. Det gäller om den verksamhet som bedrivs är av betydelse för skyddet av Sveriges säkerhet eller särskilt måste skyddas mot terrorism.

Säkerhetsskyddsförordning (SFS 2018-658)

De som omfattas av säkerhetsskyddsförordningen ska göra en särskild säkerhetsskyddsanalys som visar vilka uppgifter i verksamheten som ska hållas hemliga med hänsyn till Sveriges säkerhet. Resultatet av denna analysen ska dokumenteras.

Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd, PMFS 2019:2

Föreskrifter och allmänna råd om informationssäkerhet för hemliga handlingar i skrift eller bild, informationssäkerhet för IT-system, tillträdesbegränsning, säkerhetsprövning, registerkontroll, utbildning och kontroll.

Rättsliga regler för arbetet med informationssäkerhet

Informationssäkerhet i verksamheter byggs i stor utsträckning upp genom systematiskt arbete som involverar ledningen och som grundas på risk- och sårbarhetsanalyser samt att rätt åtgärder vidtas.

Myndigheten för samhällsskydd och beredskap (MSB) har föreskrifter och råd om statliga myndigheters informationssäkerhet. MSB föreskriver dessutom att myndigheter ska ha ett ledningssystem för informationssäkerhet som följer de internationella standarderna ISO/IEC 27001 och ISO/IEC 27002.

MSB:s föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet, MSBFS 2016:1

Myndigheter som SLU ska tillämpa ett ledningssystem för informationssäkerhet. Det innebär bl.a. att myndigheten ska

  • upprätta en informationssäkerhetspolicy och andra styrande dokument
  • eftersträva god säkerhetskultur
  • hantera hot, risker, incidenter
  • kontinuitetshantera.
MSB:s föreskrifter och allmänna råd om statliga myndigheters rapportering av IT-incidenter, MSBFS 2016:2

Myndigheter som SLU ska rapportera allvarliga säkerhetspåverkande IT-incidenter till MSB.

Förordning (2015:1052) om krisberedskap och höjd beredskap

Myndigheter ska en gång per år analysera om det finns sådan sårbarhet eller sådana hot och risker som kan påverka deras verksamhet. Analysen ska skickas till regeringen och MSB.

Förordning (1995:1300) om statliga myndigheters riskhantering 

Alla myndighet ska identifiera vilka risker för skador eller förluster som finns i verksamheten. Riskerna ska värderas och myndigheten ska beräkna vilka kostnader som staten har eller kan få med hänsyn till riskerna. Resultatet ska sammanställas i en riskanalys. Myndigheterna är också skyldiga att vidta lämpliga åtgärder för att begränsa risker och förebygga skador.

Reglering som förbjuder dataintrång och andra brott 

Dataintrång är när någon olovligen skaffar sig tillgång till en uppgift som är avsedd för automatiserad behandling, eller olovligen ändrar, raderar, blockerar eller för in en sådan uppgift i ett register. Det är heller inte tillåtet att allvarligt störa eller hindra användningen av sådans uppgifter. Straffet för dataintrång är böter eller fängelse i högst två år.

Personuppgifter Dataskyddsförordningen

Syftet med Dataskyddsförordningen (GDPR) är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagen begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd. Lagen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta. För mer information gå in på dataskydds sida på medarbetarwebben eller på www.datainspektionen.se.

Verksamhetsstöd

Riskhantering

Syftet med riskhantering är att identifiera, analysera, värdera och behandla de risker som kan komma att påverka verksamheten alltför negativt.

Verksamhetsspecifika eller systemspecifika riskanalyser genomförs av den som ansvarar för verksamheten eller systemet. Övergripande riskanalyser inom informationssäkerhetsområdet genomförs av informationssäkerhetschefen. Det är den verksamhets- eller systemansvariga som ansvarar för att eskalera de risker som kan tänkas påverka SLU i alltför stor omfattning.

Läs mer om riskanalyser.

Informationssäkerhetsklassning

Syftet med informationssäkerhetsklassning är att tydliggöra att olika typer av information har olika värde för verksamheten och därmed måste skyddas på olika nivåer.

Läs mer om informationssäkerhetsklassning.

Kontinuitetsplanering

Det huvudsakliga målet med kontinuitetsplanering är att säkerställa att eventuella avbrott i tillgången till information och system inte får allvarliga konsekvenser för verksamheten. Det innebär att det måste finnas planer och rutiner för att säkerställa att verksamheten kan fortsätta bedrivas och återgå till normalläget inom rimlig tid. Det är också viktigt att fastställa vem som ansvarar för vad i en krissituation. Alla berörda ska veta hur och när vilka åtgärder som ska vidtas om ett avbrott inträffar.

Anvisning för kontinuitetsplanering ur ett informationssäkerhetsperspektiv

Kontinuitetsplanering SLU mall, 2019-06-10 (docx)

Hantera incidenter

Incidenter måste rapporteras så att det finns kännedom om tillbud och faktiska händelser. På så vis kan SLU reagera på enskild händelse men också på serier av händelser.

Alla vid SLU ansvarar för att skyndsamt rapportera (eller se till att det rapporteras) IT-incidenter som påverkar säkerheten.

Andra incidenter som påverkar informationssäkerheten ska rapporteras till säkerhetsenheten.

Hantering av skyddade personuppgifter

Om du som anställd eller student innehar en skyddad personuppgift eller har ett sådant behov så kan du få mer information i anvisningen ”Anvisning för hantering av skyddade personuppgifter för anställda och studenter”.

Kompetens

För att upprätthålla kompetens inom informationssäkerhetsområdet finns flera möjligheter:

  • Aktuellt - Följ informationen på säkerhetenhetens sida på medarbetarwebben.
  • Utbildningar - Det finns både webbaserade utbildningar och utbildningar "ansikte mot ansikte".
  • Föredragningar - Inom speciella områden eller  med allmän information, till exempel i samband med en enhets veckomöte.

Utvärdering av prestanda

Informationssäkerhet och verkan av LIS utvärderas.

Intern revision kan ske antingen av internrevisionen eller av informationssäkerhetschefen. Intern revision sker utifrån två aspekter:

  • Stämmer SLU LIS med SLUs krav på LIS?
  • Stämmer SLU LIS med standarderna ISO 27001 och ISO 27002?

Ledningen genomför årlig uppföljning där bland annat interna och externa regelverk, resultat från riskbedömningar, status på beslutade åtgärder följs upp. Ledningen går tillsammans med informationssäkerhetschefen igenom LIS och beslutar om framtida inriktning och eventuella förändringar.

Förbättringar

I det dagliga informationssäkerhetsarbetet ingår att ständigt analysera och förbättra informationssäkerheten och ledningssystemet.

Hjälp oss att bli bättre, här kan du skicka in förslag på förbättringar gällande informationssäkerhet eller ledningssystem för informationssäkerhet.

Sidansvarig: ssm-webb@slu.se