Informationssäkerhet

Informationssäkerhet, IT-säkerhet och cyber­säkerhet. Denna sida ämnar ge grund­läggande information för medarbetare på SU inom dessa områden. Informationen har både bredd och djup, från EU-beslut till tekniska specifikationer och från lag till best practice.

Området säkerhet innehåller Informationssäkerhet, som i sin tur innehåller området IT-säkerhet, som innehåller Cybersäkerhet.

Vad är vad inom säkerhet och hur hänger det ihop?

 

Information- och IT-säkerhetsfunktionen har som uppgift att stödja alla delar på SU i att arbeta säkert och tryggt med information och systemen som hanterar den, och här kommer du hitta grundläggande information för detta, information från styrande dokument och vilka projekt som vi hanterar just nu.

Informationssäkerhetspolicy

Vad är informationssäkerhet?

Information är värdefullt och behöver skyddas efter behov. Ett bra informationssäkerhetsarbete ger verksamheten förtroende och borgar för effektiv informationshantering.

Bristande informationssäkerhet, det vill säga bristande tillgänglighet till informationen när den behövs eller brister när det gäller spårbarhet respektive skydd mot obehörig åtkomst eller förändring, kan få både allvarliga och direkta konsekvenser för såväl medarbetare och studenter som universitetet i stort.

Universitetet hanterar idag en mängd information av stor betydelse. Denna information behöver kunna skyddas mot obehörig åtkomst (skydd av informationens konfidentialitet) men behöver även vara tillgänglig för behöriga när den ska användas (skydd för informationens tillgänglighet).

I vissa fall är behovet av tillgänglighet så högt att några avbrott i praktiken inte är acceptabla. Informationen behöver även skyddas mot obehöriga förändringar (skydd mot informationens riktighet). För att säkerställa att dessa behov upprätthålls är det av grundläggande betydelse att det i efterhand går att spåra vem som har gjort vad i universitetets system (skydd av informationens spårbarhet) – något som även befintlig lagstiftning ställer krav på.

Stockholms universitet är en statlig myndighet och styrs av lagar, förordningar och de beslut som regering och riksdag fattar. Lagar och andra författningar är ett av samhällets starkaste styrmedel och fyller en viktig roll för att bygga upp informationssäkerhet både nationellt och internationellt. I vissa fall handlar det om att specificera ett särskilt skydd för viss typ av information medan i andra påbjuds ett sätt att arbeta med informationssäkerhet på mer generell nivå.

Vad är IT-säkerhet?

IT-säkerhet är en viktig gren inom informationssäkerhet och syftar till att skydda de tekniska enheter och system som används av dig eller din organisation.

Målet är att säkerställa att all information som lagras och bearbetas på dessa enheter förblir konfidentiell, integriteten bibehålls, och tillgängligheten upprätthålls. Det innebär att förhindra obehörig åtkomst till informationen och skydda enheterna från skadliga program som datavirus och ransomware.

Genom att regelbundet uppdatera systemen och använda säkerhetsåtgärder bidrar IT-säkerhet till att minimera riskerna för att informationen komprometteras eller att systemen blir sårbara för attacker.

Råd för god informations- och IT-säkerhet

Vi på Stockholms universitet prioriterar informations- och IT-säkerhet för att säkerställa en trygg och pålitlig arbetsmiljö. Genom att följa dessa råd kan du aktivt bidra till att upprätthålla en hög säkerhetsstandard på universitetet.

Informationssäkerhet: För att säkerställa att din information förblir säker, använd alternativa kommunikationskanaler om något verkar misstänkt i ett e-postmeddelande. Kontrollring gärna för att bekräfta informationen om det behövs.

Informationssäkerhet: Innan du delar eller lagrar känslig information, ta några sekunder och fundera över dess värde och vad konsekvenserna skulle kunna bli om den skulle läcka ut. Detta hjälper dig att göra medvetna val om hur du hanterar och delar data.

Informationssäkerhet:: Var skeptisk mot okända e-postmeddelanden eller misstänkta bilagor. Rapportera misstänkta e-postmeddelanden till IT-avdelningen och undvik att klicka på länkar från okända källor.

För att säkerställa en säker e-posthygien, undvik att klicka på länkar om du inte är 100 % säker och kontrollera alltid mejladressen för eventuell spoofing. Spoofing är en typ av cyberattack där en angripare förfalskar identitet eller data för att vilseleda mottagare och system.

IT-säkerhet: Använd en lösenordsgenerator för att skapa starka och unika lösenord för varje konto. Använd MFA där det är möjligt för extra säkerhet.

IT-säkerhet: Säkerhetskopiera regelbundet viktig arbetsrelaterad information och forskningsdata. Använd din hemkatalog eller institutionens gemensamma lagringsyta X: (common/ H:) och SU Sunet drive (Nextcloud) för säker lagring.

Undvik att enbart lagra information på lokala enheter eller kommersiella lagringsytor.

IT-säkerhet: Håll din programvara och dina system uppdaterade genom att regelbundet genomföra uppdateringar. Detta minimerar sårbarheter och säkerställer att din IT-miljö förblir säker och skyddad. Detta gäller datorer såväl som mobila enheter.

IT-incidenthantering

Om du misstänker eller upptäcker en IT-incident, är det viktigt att du rapporterar det så snart som möjligt.
Hur och när ska en incident rapporteras?
Använd Serviceportalen – Logga in och skapa ett ärende direkt via Serviceportalen

Rapportera alltid när du upptäcker

  • Obehörig åtkomst till system eller information
  • Misstänkt skadlig programvara (virus, trojaner etc.)
  • Fysisk stöld eller förlust av IT-utrustning som bärbar dator eller mobiltelefon
  • Tjänster eller system som inte fungerar som de ska som kan bero på en säkerhetsincident
  • Misstanke om att känslig eller sekretessbelagd information har blivit exponerad eller förlorad

Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Vissa personuppgiftsincidenter ska rapporteras till Integritetsskyddsmyndigheten.
Dataskyddsombudet vid Stockholms universitet (dso@su.se) ska hållas informerad om personuppgiftsincidenter vid universitetet och stöttar vid behov med rådgivning.

För mer info om personuppgiftsincidenter och behandling av personuppgifter se personuppgifter och dataskydd

Vad händer efter en rapport?

Efter att du har rapporterat en incident, påbörjar IT-avdelningen en utredning för att identifiera orsaken till incidenten och begränsa dess påverkan. Vid behov involveras även IT- och informationssäkerhetsspecialister för att hantera incidenten enligt gällande säkerhetsrutiner.

Vid frågor om information och IT-säkerhet kan du alltid kontakta IT-avdelningen via informationsakerhet@su.se

Föreskrifter och regelverk med koppling informationssäkerhet

Det finns en rad föreskrifter och regelverk kopplade till informationssäkerhet.

MSB:s föreskrifter och vägledningar

Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (pdf)

I Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar hänvisas i artikel 6 till ISO 27001:2006 och ISO 27002:2005, notera att det finns nyare versioner av dessa standarder, närmare bestämt ISO 27001:2022 och ISO 27002:2022.

Kontinuitetsplanering/SU:s krisplan

Krisplan utgör en del av ett ledningssystem för kontinuitetsplanering, i dagsläget finns en befintlig krisplan för Stockholms universitet.

Förvaltningschefen leder krisledningsgruppens arbete och fattar beslut i händelse av kris. Prefekt/motsvarande måste veta hur krisplanen för Stockholm universitet fungerar i stort och vad som förväntas av denne i en krissituation.

Av planen framgår att varje prefekt/motsvarande kan bli kallad att delta beroende av händelse i krisgruppens arbete och leda delar av det operativa krisarbetet gällande den egna institutionen.

Krisplan vid Stockholms universitet

Media

Information är medlet för att förmedla och lagra kunskap. Vi kan kommunicera information, förädla den och styra processer med den – den behövs för det mesta vi gör. Därför måste vi skydda vår information så att den alltid finns när vi behöver den, att vi kan lita på att den är korrekt och inte manipulerad eller förstörd och att endast behöriga personer får ta del av den.

En film om informationssäkerhet

Varför informationssäkerhet är så viktigt (länk till Youtube, videolängd 3:21 minuter)

Tänk säkert!

Myndigheten för samhällsskydd och beredskap har tagit fram skriften "Tänk säkert". Den ger konkreta råd om vad du behöver göra för att skydda universitets värdefulla information och därmed öka cybersäkerheten.

Tänk säkert (pdf)

Klassning av information

Som en del av det systematiska arbetet med informationssäkerhet på Stockholms universitet behöver information inventeras och klassas. Här kan du läsa mer om syfte och mål med arbetet:

Informationssäkerhetsklassning

Utbildning i säker informationshantering

Universitetet har ett utbildningsverktyg för säker informationshantering. Utbildningen sker i form av korta kurser som skickas ut kontinuerligt med e-post. Samtliga medarbetare bör genomföra denna utbildning för att minska risken för digitalt intrång, sabotage, skadlig kod och bedrägeri.

Utbildning i säker informationshantering

Kontakt

Informationssäkerhetsfunktionen
För frågor, rapportering av Incidenter och fel relaterade till informationssäkerhet kontakta Informationssäkerhetsfunktionen via mejl.

Senast uppdaterad: 2024-11-14

Sidansvarig: IT-avdelningen