Informationssäkerhet

Informationssäkerhet, IT-säkerhet och cyber­säkerhet. Denna sida ämnar ge grund­läggande information för medarbetare på SU inom dessa områden. Informationen har både bredd och djup, från EU-beslut till tekniska specifikationer och från lag till best practice.

Området säkerhet innehåller Informationssäkerhet, som i sin tur innehåller området IT-säkerhet, som innehåller Cybersäkerhet.

Vad är vad inom säkerhet och hur hänger det ihop?

Information- och IT-säkerhetsfunktionen har som uppgift att stödja alla delar på SU i att arbeta säkert och tryggt med information och systemen som hanterar den, och här kommer du hitta grundläggande information för detta, information från styrande dokument och vilka projekt som vi hanterar just nu.

Informationssäkerhetspolicy

Vad är informationssäkerhet?

Information är värdefullt och behöver skyddas efter behov. Ett bra informationssäkerhetsarbete ger verksamheten förtroende och borgar för effektiv informationshantering.

Bristande informationssäkerhet, det vill säga bristande tillgänglighet till informationen när den behövs eller brister när det gäller spårbarhet respektive skydd mot obehörig åtkomst eller förändring, kan få både allvarliga och direkta konsekvenser för såväl medarbetare och studenter som universitetet i stort.

Universitetet hanterar idag en mängd information av stor betydelse. Denna information behöver kunna skyddas mot obehörig åtkomst (skydd av informationens konfidentialitet) men behöver även vara tillgänglig för behöriga när den ska användas (skydd för informationens tillgänglighet).

I vissa fall är behovet av tillgänglighet så högt att några avbrott i praktiken inte är acceptabla. Informationen behöver även skyddas mot obehöriga förändringar (skydd mot informationens riktighet). För att säkerställa att dessa behov upprätthålls är det av grundläggande betydelse att det i efterhand går att spåra vem som har gjort vad i universitetets system (skydd av informationens spårbarhet) – något som även befintlig lagstiftning ställer krav på.

Stockholms universitet är en statlig myndighet och styrs av lagar, förordningar och de beslut som regering och riksdag fattar. Lagar och andra författningar är ett av samhällets starkaste styrmedel och fyller en viktig roll för att bygga upp informationssäkerhet både nationellt och internationellt. I vissa fall handlar det om att specificera ett särskilt skydd för viss typ av information medan i andra påbjuds ett sätt att arbeta med informationssäkerhet på mer generell nivå.

Vad är IT-säkerhet?

IT-säkerhet är en viktig gren inom informationssäkerhet och syftar till att skydda de tekniska enheter och system som används av dig eller din organisation.

Målet är att säkerställa att all information som lagras och bearbetas på dessa enheter förblir konfidentiell, integriteten bibehålls, och tillgängligheten upprätthålls. Det innebär att förhindra obehörig åtkomst till informationen och skydda enheterna från skadliga program som datavirus och ransomware.

Genom att regelbundet uppdatera systemen och använda säkerhetsåtgärder bidrar IT-säkerhet till att minimera riskerna för att informationen komprometteras eller att systemen blir sårbara för attacker.

Råd för god informations- och IT-säkerhet

Vi på Stockholms universitet prioriterar informations- och IT-säkerhet för att säkerställa en trygg och pålitlig arbetsmiljö. Genom att följa dessa råd kan du aktivt bidra till att upprätthålla en hög säkerhetsstandard på universitetet.

Vid arbetsresor till utlandet, såsom vid exempelvis konferensmedverkan eller fältarbeten, rekommenderas nedanstående åtgärder. Det är den allmänna situationen i landet och sammanhanget i övrigt som avgör vilka av åtgärderna som bör vidtas i ett specifikt fall. Alla åtgärder är alltså inte motiverade vid alla resor, men vid resor utanför Europa bör alla övervägas. Det är varje forskares ansvar att fatta beslut om dessa och andra säkerhetsåtgärder i samråd med och stöd från sin institution/centralt.

Förberedelser innan resan

  • Ta med en ”ren” dator helt tom på allt annat än det du verkligen behöver för att kunna arbeta. En rekommendation är att kontrollera om din institution/motsvarande har en äldre bärbar dator som kan återställas och uppdateras innan din resa. Det rekommenderas att inte ta med någon data utan att ansluta till det du behöver när du anländer till din destination.
  • Installera en VPN-tjänst för att ansluta till resurser, oavsett om det är inom eller utanför landet du reser till. Kontrollera vilka lagar och regler som gäller i landet vid användning av utländska tjänster.
  • Det rekommenderas att skapa en tillfällig e-postadress (t.ex. Gmail) och att inte använda din SU-e-postadress under resan. Ett alternativ är att ställa in ett autosvar på din SU-mejl där du hänvisar dina kollegor att mejla till din tillfälliga e-postadress.
  • Ta om möjligt med en resetelefon som inte ansluter till SU-nätet.

Under resan

  • Använd endast dina egna laddare och USB-enheter, ta inte emot eller låna något sådant under resan. Detta inkluderar allt som är anslutet via USB såsom USB-minnen, lampor, fläktar etc.
  • Om möjligt, ha dina enheter med dig (bärbar dator, telefon) hela tiden. Det rekommenderas att inte lämna dina enheter till exempel på ditt hotellrum eller på ett kontor under lunchen.
  • Om möjligt, anslut inte till din SU-e-post under resan, använd helst din tillfälliga e-postadress (se förberedelser innan resan).
  • Om du ska använda någon molnlagringstjänst anses Sunet-drive vara det säkrare alternativet för alla typer av känslig data.
  • Om möjligt, använd en VPN-tjänst för att ansluta till resurser i Sverige. Vissa VPN-tjänster fungerar inte i vissa delar av världen och en tredjeparts-VPN kan då vara ett alternativ.
  • eduroam bör användas när det är tillgängligt eftersom detta är ett av de säkrare WiFi -alternativen.
  • Försök om möjligt undvika att ansluta till, d.v.s. logga in på SU-bibliotekets tjänster för tidskrifter, rapporter m.m.

Efter resan

När du är tillbaka i Sverige, anslut inte din resedator till SU-nätverket. Flytta din data till ett USB-minne och be din DSA/motsvarande att gå igenom det för att upptäcka ev. skadlig programvara innan du flyttar den till dina SU-enheter. Ge din resedator till IT-personal på din institution/motsvarande för att rensa och återställa den, det finns inte mycket behov av skanning av datorn om de inte har kriminalteknisk kunskap, nyfikenhet, känner till driftsäkerhet och har tid över. Detsamma ska göras med din resetelefon.

IT-incidenthantering

Om du misstänker eller upptäcker en IT-incident, är det viktigt att du rapporterar det så snart som möjligt.
Hur och när ska en incident rapporteras?
Använd Serviceportalen – Logga in och skapa ett ärende direkt via Serviceportalen

Rapportera alltid när du upptäcker

  • Obehörig åtkomst till system eller information
  • Misstänkt skadlig programvara (virus, trojaner etc.)
  • Fysisk stöld eller förlust av IT-utrustning som bärbar dator eller mobiltelefon
  • Tjänster eller system som inte fungerar som de ska som kan bero på en säkerhetsincident
  • Misstanke om att känslig eller sekretessbelagd information har blivit exponerad eller förlorad

Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Vissa personuppgiftsincidenter ska rapporteras till Integritetsskyddsmyndigheten.
Dataskyddsombudet vid Stockholms universitet (dso@su.se) ska hållas informerad om personuppgiftsincidenter vid universitetet och stöttar vid behov med rådgivning.

För mer info om personuppgiftsincidenter och behandling av personuppgifter se personuppgifter och dataskydd

Vad händer efter en rapport?

Efter att du har rapporterat en incident, påbörjar IT-avdelningen en utredning för att identifiera orsaken till incidenten och begränsa dess påverkan. Vid behov involveras även IT- och informationssäkerhetsspecialister för att hantera incidenten enligt gällande säkerhetsrutiner.

Vid frågor om information och IT-säkerhet kan du alltid kontakta IT-avdelningen via informationssakerhet@su.se

Föreskrifter och regelverk med koppling informationssäkerhet

Det finns en rad föreskrifter och regelverk kopplade till informationssäkerhet.

MSB:s föreskrifter och vägledningar

Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar

I Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar hänvisas i artikel 6 till ISO 27001:2006 och ISO 27002:2005, notera att det finns nyare versioner av dessa standarder, närmare bestämt ISO 27001:2022 och ISO 27002:2022.

En film om informationssäkerhet

Varför informationssäkerhet är så viktigt (länk till Youtube, videolängd 3:21 minuter)

Klassning av information

Som en del av det systematiska arbetet med informationssäkerhet på Stockholms universitet behöver information inventeras och klassas. Här kan du läsa mer om syfte och mål med arbetet:

Informationsklassning

Utbildning i säker informationshantering

Universitetet har ett utbildningsverktyg för säker informationshantering. Utbildningen sker i form av korta kurser som skickas ut kontinuerligt med e-post. Samtliga medarbetare bör genomföra denna utbildning för att minska risken för digitalt intrång, sabotage, skadlig kod och bedrägeri.

Utbildning i säker informationshantering

Kontakt

Informationssäkerhet

För frågor, rapportering av Incidenter och fel relaterade till informationssäkerhet

informationssakerhet@su.se

Senast uppdaterad: 2025-12-05

Sidansvarig: IT-avdelningen