Handläggningsordning för ansvarsfördelning och vägledning avseende säkerhetsåtgärder i informationssystem vid Stockholms universitet
Universitetet behandlar information och använder IT-system för att utföra sitt uppdrag inom utbildning, forskning och samverkan. Vi ska efterleva MSB:s författningssamlingar för informations- och IT-säkerhet samt hantering av IT-incidenter. Detta dokument beskriver hur MSBFS 2020:7 ska införas och användas för att upprätthålla relevant skydd av information och IT- system, och är tänkt att fungera som stöd till beslutsfattare vid universitetet.
Ansvarig enhet: IT-avdelningen
Kontaktperson: Fredrik Bolinder
Dokumentet har aktualitetsgranskats 2025.
1 Inledning
Stockholms universitet behandlar information och använder IT-system för att utföra sitt uppdrag inom utbildning, forskning och samverkan. Stockholms universitets informationssäkerhetspolicy reglerar, på övergripande nivå, universitetets skydd av information och IT-system och beskriver hur universitetet ska följa krav från MSBFS 2020:6. Stockholms universitet ska efterleva MSB:s författningssamlingar för informations- och IT- säkerhet samt hantering av IT-incidenter. Detta dokument beskriver hur MSBFS 2020:7 ska implementeras och följas för att upprätthålla relevant skydd av information och IT-system.
2. Ansvar för informations- och IT-säkerhet
Ansvar för samordning, genomförande och uppföljning av det systematiska informationssäkerhetsarbetet framgår av universitets centrala besluts- och delegationsordning. Ansvaret för en säker informationshantering är en integrerad del av ansvaret för de olika verksamheterna inom universitetet. Detta innebär att informationssäkerhetsansvaret följer det delegerade verksamhetsansvaret, så att chefer för verksamhet också ansvarar för säker hantering av verksamhetens information. Då information hanteras i IT-system inkluderar detta ansvar även införande av de IT-säkerhetsåtgärder som krävs för att skydda informationen.
2.1 Ansvar för central IT samt styrning och ledning av informationssäkerhet
Enligt Besluts- och delegationsordning för Stockholms universitet har chefen för IT- avdelningen ett uttalat ansvar i frågor som rör informations- och IT-säkerhet:
- Chefen för IT-avdelningen beslutar i frågor som rör universitetets informationssäkerhet. Denna beslutanderätt får inte delegeras vidare.
- Chefen för IT-avdelningen beslutar i frågor som rör universitetets IT-säkerhet i universitetsgemensamma tjänster.
Enligt informationssäkerhetspolicyn för Stockholms universitet ska informationssäkerhetschefen stödja och följa upp verksamheten med avseende på informations- och IT-säkerhet. Detta ansvar inkluderar t.ex. att;
- tillhandahålla styrande dokument och processer för att klargöra säkerhetskrav, hantera risker och incidenter.
- tillhandahålla stödjande material och metoder för att stödja verksamheten i att implementera korrekta nivåer av säkerhetsåtgärder.
- att samordna arbetet i andra specialistgrupper, t.ex. dataskydd, fysiskt skydd och rättsliga frågor kopplat till IT och dataskydd.
- utveckla, samordna och stödja universitetets arbete med informationssäkerhet, för att universitetet ska efterleva relevanta regelverk, hantera informationssäkerhetsrisker och etablera en sund säkerhetskultur.
- regelbundet avrapportera status för det strukturerade informationssäkerhetsarbetet till rektor, universitetsdirektör och IT-chef.
För de tjänster som levereras av IT-avdelningen vid Stockholms universitet ansvarar avdelningen för att basnivån för IT-säkerhet är uppfylld.
IT-avdelningen ansvarar för att etablera regler för alla IT-system som utvecklas och förvaltas av avdelningen. Detta betyder att de delar av verksamheten som nyttjar tjänster levererade av IT-avdelningen inte själva behöver tillse att säkerhetsåtgärderna i detta dokument införs.
2.2 Ansvar för lokal IT
Enligt Besluts- och delegationsordning för Stockholms universitet beslutar prefekten vid respektive institution om IT-baserade system vid institutionen samt ansvarar för IT-säkerheten och regelefterlevnad. Prefekterna beslutar också om programlicenser vid institutionen och ansvarar för uppföljning av desamma.
På motsvarande sätt beslutar avdelningschefer inom universitetsförvaltningen enligt Besluts- och delegationsordning för Stockholms universitet om programlicenser vid avdelningen samt har ansvar för uppföljning av dessa. Avdelningscheferna beslutar också hur det systematiska dataskyddsarbetet ska samordnas, genomföras och följas upp i den egna verksamheten, samt beslutar, i samverkan med chefen för Fastighetsavdelningen eller chefen för IT-avdelningen, hur det systematiska IT-säkerhetsarbetet inklusive informationssäkerhetsarbetet införs, upprätthålls och följs upp i den egna verksamheten.
Beslutanderätten kan delegeras vidare. Dock har alltid prefekten respektive avdelningschefen det yttersta ansvaret för att relevanta IT-säkerhetsåtgärder vidtas vid institutionen respektive avdelningen. Det är därför i första hand prefekterna och avdelningscheferna som i det följande avses med begreppet informationsägare.
3. Tillvägagångssätt för att identifiera krav på säkerhetsåtgärder
Nedan redogörs för vilka steg som ingår i arbetet för att fullgöra ansvaret. Observera att detta görs av IT-avdelningen för gemensamma IT-tjänster.
I de fall då ett IT-system underhålls, utvecklas eller förvaltas av lokal IT-verksamhet ska informationsägaren antingen själv, eller via delegation, tillse att relevanta säkerhetsåtgärder införs. För att reda ut vilka säkerhetsåtgärder som är relevanta ska följande steg alltid följas:
- Genomföra en informationsinventering
- Genomföra en informationsklassning
a. Informationsklassningen ska omfatta säkerhetsmålen konfidentialitet, integritet/riktighet och tillgänglighet – se vidare avsnitt 4 nedan – samt övriga relevanta regler som kan vara tillämpliga.
b. Om informationsklassningen påvisar särskilda skyddsbehov, ska en riskanalys genomföras för att identifiera ytterligare säkerhetsåtgärder
3. Planera och införa säkerhetsåtgärder enligt riktlinjer och metodstöd från MSB, eventuella leverantörer och internationellt erkända standarder och ramverk, exempelvis ISO27000, NIST CSF v2, CIS Critical Controls v8 etc.
Med prefekt avses även föreståndare för centrumbildning eller motsvarande som är direkt underställd en dekan
Informationsklassning ska genomföras regelbundet, dock minst vart annat år. För att få stöd i denna process kan informationsägaren kontakta informationssäkerhetschefen eller grupperingen informations- och IT-säkerhet, via mejladressen informationssakerhet@su.se
4. Krav och principer för informations- och IT-säkerhet
Av universitetets informationssäkerhetspolicy framgår att informationsägaren ansvarar för att hantering av information och IT-system uppfyller kraven i MSBFS 2020:7. Nedanstående ska därmed utföras regelbundet. För att definiera hur skyddet av information och IT-system ska utformas, används ofta säkerhetsmålen konfidentialitet, integritet/riktighet och tillgänglighet:
- Konfidentialitet – behovet av att hålla information skyddad från obehöriga.
- Integritet/Riktighet – behovet av att skydda information från otillbörlig ändring.
- Tillgänglighet – behovet av att tillse att information, och tillhörande IT- system, är tillgängliga.
För att hantera dessa säkerhetsmål ansvarar informationsägaren för att en informationsklassning genomförs i enlighet med avsnitt 3.2 ovan. Informationsägaren ansvarar även för att införa säkerhetsåtgärder för att skydda informationen och IT-systemen, och därmed säkerställa upprätthållandet av säkerhetsmålen. Nedan följer en övergripande genomgång av de mest grundläggande kraven och principerna för att skydda information och IT-system. Observera emellertid att MSBFS 2020:7 ska beaktas i sin helhet, se vidare Bilaga 1.
- Omvärldsbevakning och riskbedömning
För att klargöra behov av uppgraderingar, ändringsbehov och utveckling av IT-system ska rutiner för omvärldsbevakning inrättas. När det finns behov av uppgraderingar som kolliderar med andra verksamhetsprioriteringar ska en riskbedömning göras. Riskbedömningar ska även göras regelbundet som en del i förvaltningen av IT-system. - Dokumentation
Alla IT-system och de förvaltningsrutiner/-processer som används ska dokumenteras så att både IT-systemen och processerna kan återskapas i händelse av en större störning. Notera att dokumentationen i sig kan innehålla känslig eller kritisk information och kan därför behöva skyddas. - Utveckling, anskaffning och utkontraktering/utlokalisering
Vid all utveckling, anskaffning och utkontraktering ska relevanta skyddsåtgärder identifieras och dokumenteras. Den dokumentation som upprättas ska förvaltas och uppdateras tillsammans med IT-systemet för framtida behov av utveckling eller förändring. Avveckling av IT-system kan behöva särskild hantering för att tillse att obehöriga inte får tillgång till information och/eller IT-system. Information eller IT- system i produktionsmiljöer ska inte påverkas av information eller IT-system som används för utveckling och/eller testning. - Drift och förvaltning
Drift och förvaltning av IT-system ska ske med dokumenterade rutiner och av personer med relevant kunskap och erfarenhet. Branschstandarder och leverantörsrekommendationer ska efterlevas i den mån de inte orsakar konflikter med riktlinjer, regler eller direktiv från Stockholms universitet. Förändringshantering i IT- system ska dokumenteras och vid större förändringar ska en riskanalys genomföras. Alla IT-system ska omfattas av skydd mot skadlig kod där så är tekniskt möjligt.
Användning av kryptografi för att skydda information från otillbörlig åtkomst ska omfattas av särskilda rutiner och riktlinjer för att tillse att säkra kryptografiska metoder används och att rutiner för nyckelhantering etableras. - Digitala identiteter, behörigheter och autentisering
Endast behöriga användare ska ha tillgång till IT-system och information och ansvariga ska utforma säkerhetsåtgärder för att tillse detta baserat på informationsklassning. Om särskilt känslig information hanteras i IT-systemet eller om IT-systemet i sig är verksamhetskritiskt ska en riskanalys göras för att identifiera eventuellt behov av förstärkta säkerhetsåtgärder. Ansvariga ska identifiera var i verksamheten persondata används och lagras, detta görs via den informationsinventering och informationsklassning som utförs regelbundet. Utifrån klassningen av persondata kan särskilda krav för att skydda informationen identifieras, detta kan påverka vilka metoder som kan godkännas för att identifiera de identiteter som ska få tillgång till densamma. Etableringen av digitala identiteter ska följa rutiner för on- och off-boarding av medarbetare och konsulter vid Stockholms universitet. Det ska noteras att även IT-system kan ha digitala identiteter som behöver autentiseras för att få tillgång till andra IT-system och/eller tjänster. - Kontinuitetsplanering
Information och IT-system ska omfattas av rutiner som säkerställer att både informationen och IT-systemet kan återskapas i händelse av en incident. För detta ändamål ska relevanta skyddsåtgärder, som säkerhetskopiering, återställningstester och liknande inrättas. För att klargöra tillgänglighetskrav stödjer informations- och IT-säkerhetsfunktionen verksamheten med specialistkompetens och stöd. Detta innefattar även att stödja verksamheten i att identifiera relevanta skyddsåtgärder som kan behöva införas i IT-system.
5. Införande av säkerhetsåtgärder i IT-system
Vid informationsklassningen klassificeras information i en av fyra nivåer. Se bilaga 2 för en mer detaljerad beskrivning av de olika klassningsnivåerna. För de två lägsta nivåerna av informationsklasserna ska miniminivån av säkerhetsåtgärder införas. Dessa säkerhetsåtgärder sammanställs på en övergripande nivå i MSBFS 2020:7.
- Om en informationsklassning identifierar informationstillgångar som klassas till maximalt nivå två i någon av de tre säkerhetsmålen så ska miniminivån för IT- säkerhet införas i det aktuella IT-systemet.
- Om informationsklassningen resulterar i att något av säkerhetsmålen når en högre klass än två ska en riskanalys genomföras för att identifiera hur det högre skyddsbehov bäst uppfylls. Informationsklassningen kan också identifiera persondata och behandling av detta. All behandling av persondata ska hanteras enligt Regler för organisation och genomförande av dataskydd vid Stockholms universitet. För att skydda persondata stöder informations- och IT-säkerhetsfunktionen verksamheter i att klargöra lämpliga skyddsåtgärder.
5.1 Säkerhetskrav vid inköp av produkter och tjänster
Produkter och tjänster som köps in via centrala funktioner inom universitetet omfattas av kontroller för att klargöra informationssäkerhetskrav. Dessa krav ska regelbundet valideras av den som är ansvarig för upphandlingen. Om tjänsten och/eller produkten ska användas för andra ändamål än vad som angavs vid upphandlingstillfället kan nya säkerhetskrav uppstå; för att identifiera sådana fall ska en riskanalys göras.
5.2 Hantering av säkerhetskrav vid IT-projekt
Vid uppstarten av projekt ansvarar den projektansvarige för att en riskanalys görs för att identifiera specifika säkerhetskrav och omständigheter som medför att särskilda säkerhetskrav kan uppstå. Identifierade säkerhetskrav ska hanteras som formell projektdokumentation och löpande uppdateras.
5.3 Hantering av säkerhetskrav vid forskning
Informations- och IT-säkerhetsfunktionen samverkar med Forskningsdatagruppen och andra grupperingar för att stödja forskare i att identifiera säkerhetskrav och lämpliga lösningar för att hantera forskningsdata på relevanta sätt.
5.4 Undantag från säkerhetskrav
Om ett identifierat säkerhetskrav inte kan införas, t.ex. av tekniska skäl, ansvarar informationsägaren för att en riskanalys genomförs för att identifiera säkerhetsåtgärder som minskar de identifierade informationssäkerhetsriskerna. Informationsägaren ska dokumentera alla avsteg från säkerhetskraven och informera informationssäkerhetschefen om de identifierade riskerna samt om de identifierade säkerhetsåtgärderna.