Informationssäkerhet
Informationssäkerhet, IT-säkerhet och cybersäkerhet. Denna sida ämnar ge grundläggande information för medarbetare på SU inom dessa områden. Informationen har både bredd och djup, från EU-beslut till tekniska specifikationer och från lag till best practice.
Information- och IT-säkerhetsfunktionen har som uppgift att stödja alla delar på SU i att arbeta säkert och tryggt med information och systemen som hanterar den, och här kommer du hitta grundläggande information för detta, information från styrande dokument och vilka projekt som vi hanterar just nu.
Vad är informationssäkerhet?
Information är värdefullt och behöver skyddas efter behov. Ett bra informationssäkerhetsarbete ger verksamheten förtroende och borgar för effektiv informationshantering.
Bristande informationssäkerhet, det vill säga bristande tillgänglighet till informationen när den behövs eller brister när det gäller spårbarhet respektive skydd mot obehörig åtkomst eller förändring, kan få både allvarliga och direkta konsekvenser för såväl medarbetare och studenter som universitetet i stort.
Universitetet hanterar idag en mängd information av stor betydelse. Denna information behöver kunna skyddas mot obehörig åtkomst (skydd av informationens konfidentialitet) men behöver även vara tillgänglig för behöriga när den ska användas (skydd för informationens tillgänglighet).
I vissa fall är behovet av tillgänglighet så högt att några avbrott i praktiken inte är acceptabla. Informationen behöver även skyddas mot obehöriga förändringar (skydd mot informationens riktighet). För att säkerställa att dessa behov upprätthålls är det av grundläggande betydelse att det i efterhand går att spåra vem som har gjort vad i universitetets system (skydd av informationens spårbarhet) – något som även befintlig lagstiftning ställer krav på.
Stockholms universitet är en statlig myndighet och styrs av lagar, förordningar och de beslut som regering och riksdag fattar. Lagar och andra författningar är ett av samhällets starkaste styrmedel och fyller en viktig roll för att bygga upp informationssäkerhet både nationellt och internationellt. I vissa fall handlar det om att specificera ett särskilt skydd för viss typ av information medan i andra påbjuds ett sätt att arbeta med informationssäkerhet på mer generell nivå.
Vad är IT-säkerhet?
IT-säkerhet är en viktig gren inom informationssäkerhet och syftar till att skydda de tekniska enheter och system som används av dig eller din organisation.
Målet är att säkerställa att all information som lagras och bearbetas på dessa enheter förblir konfidentiell, integriteten bibehålls, och tillgängligheten upprätthålls. Det innebär att förhindra obehörig åtkomst till informationen och skydda enheterna från skadliga program som datavirus och ransomware.
Genom att regelbundet uppdatera systemen och använda säkerhetsåtgärder bidrar IT-säkerhet till att minimera riskerna för att informationen komprometteras eller att systemen blir sårbara för attacker.
Råd för god informations- och IT-säkerhet
Vi på Stockholms universitet prioriterar informations- och IT-säkerhet för att säkerställa en trygg och pålitlig arbetsmiljö. Genom att följa dessa råd kan du aktivt bidra till att upprätthålla en hög säkerhetsstandard på universitetet.
IT-incidenthantering
Om du misstänker eller upptäcker en IT-incident, är det viktigt att du rapporterar det så snart som möjligt.
Hur och när ska en incident rapporteras?
Använd Serviceportalen – Logga in och skapa ett ärende direkt via Serviceportalen
Rapportera alltid när du upptäcker
- Obehörig åtkomst till system eller information
- Misstänkt skadlig programvara (virus, trojaner etc.)
- Fysisk stöld eller förlust av IT-utrustning som bärbar dator eller mobiltelefon
- Tjänster eller system som inte fungerar som de ska som kan bero på en säkerhetsincident
- Misstanke om att känslig eller sekretessbelagd information har blivit exponerad eller förlorad
Personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Vissa personuppgiftsincidenter ska rapporteras till Integritetsskyddsmyndigheten.
Dataskyddsombudet vid Stockholms universitet (dso@su.se) ska hållas informerad om personuppgiftsincidenter vid universitetet och stöttar vid behov med rådgivning.
Vad händer efter en rapport?
Efter att du har rapporterat en incident, påbörjar IT-avdelningen en utredning för att identifiera orsaken till incidenten och begränsa dess påverkan. Vid behov involveras även IT- och informationssäkerhetsspecialister för att hantera incidenten enligt gällande säkerhetsrutiner.
Vid frågor om information och IT-säkerhet kan du alltid kontakta IT-avdelningen via informationsakerhet@su.se
Föreskrifter och regelverk med koppling informationssäkerhet
Det finns en rad föreskrifter och regelverk kopplade till informationssäkerhet.
MSB:s föreskrifter och vägledningar
Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (pdf)
I Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar hänvisas i artikel 6 till ISO 27001:2006 och ISO 27002:2005, notera att det finns nyare versioner av dessa standarder, närmare bestämt ISO 27001:2022 och ISO 27002:2022.
Kontinuitetsplanering/SU:s krisplan
Krisplan utgör en del av ett ledningssystem för kontinuitetsplanering, i dagsläget finns en befintlig krisplan för Stockholms universitet.
Förvaltningschefen leder krisledningsgruppens arbete och fattar beslut i händelse av kris. Prefekt/motsvarande måste veta hur krisplanen för Stockholm universitet fungerar i stort och vad som förväntas av denne i en krissituation.
Av planen framgår att varje prefekt/motsvarande kan bli kallad att delta beroende av händelse i krisgruppens arbete och leda delar av det operativa krisarbetet gällande den egna institutionen.
Media
Information är medlet för att förmedla och lagra kunskap. Vi kan kommunicera information, förädla den och styra processer med den – den behövs för det mesta vi gör. Därför måste vi skydda vår information så att den alltid finns när vi behöver den, att vi kan lita på att den är korrekt och inte manipulerad eller förstörd och att endast behöriga personer får ta del av den.
En film om informationssäkerhet
Varför informationssäkerhet är så viktigt (länk till Youtube, videolängd 3:21 minuter)
Tänk säkert!
Myndigheten för samhällsskydd och beredskap har tagit fram skriften "Tänk säkert". Den ger konkreta råd om vad du behöver göra för att skydda universitets värdefulla information och därmed öka cybersäkerheten.
Klassning av information
Som en del av det systematiska arbetet med informationssäkerhet på Stockholms universitet behöver information inventeras och klassas. Här kan du läsa mer om syfte och mål med arbetet:
Utbildning i säker informationshantering
Universitetet har ett utbildningsverktyg för säker informationshantering. Utbildningen sker i form av korta kurser som skickas ut kontinuerligt med e-post. Samtliga medarbetare bör genomföra denna utbildning för att minska risken för digitalt intrång, sabotage, skadlig kod och bedrägeri.