2.2 Organisation och samordning av informationssäkerhet vid lärosätet
Central funktion för samordning av informationssäkerheten
Den centrala funktionen har ett särskilt ansvar för informationssäkerheten samt ett uppdrag att samordna och revidera informationssäkerhetsarbetet vid Lärosätet.
Vid lärosätets centrala administration finns en informationssäkerhetsfunktion. Informationssäkerhetsfunktionen har uppdrag att kontinuerligt följa upp informationssäkerheten vid lärosätet och tillse att denna upprätthålls i enlighet med policies, riktlinjer och övriga regler. Informationssäkerhetsfunktionen har därtill uppdrag att föreslå informationssäkerhetsåtgärder och följa upp sådana åtgärder.Informationssäkerhetsfunktionen rapporterar löpande till ledningen vid lärosätet.
Informationssäkerhetsfunktionen svarar för samordning, stöd och information med avseende på informationssäkerheten vid lärosätet. Funktionen initierar därtill utvecklingsprojekt inom informationssäkerhet och skall ingå som expertfunktion i alla större IT-projekt.
Informationssäkerhetschef, -säkerhetsgrupp och referensgrupp
Chef och ansvarig för Informationssäkerhetsfunktionen är en Informationssäkerhetschef. I funktionen ingår förutom chef en informationssäkerhetsgrupp bestående av personer med särskilda kompetenser inom informationssäkerhetsområdet.
Informationssäkerhetschefen skall ha ett dokumenterat uppdrag och ansvar samt egen budget. I uppdraget får inte ingå ansvar för löpande drift eller motsvarande uppgifter. Informationssäkerhetsgruppen skall bl.a. vara styrande och utvecklande inom exempelvis teknikstyrgrupper.
Informationssäkerhetschefen har även till sitt stöd en rådgivande referensgrupp bestående av verksamhetsrepresentanter med kompetens inom informationssäkerhetsområdet, bl.a.jurist och systemägare. I referensgruppen skall informationssäkerhetsfrågor initieras och förankras till stöd för informationssäkerhetsfunktionen.
Uppgifter
Informationssäkerhetsfunktionens huvuduppgift är att skapa förutsättningar för och att tillse att informationssäkerheten vid lärosätet är tillräcklig för att skapa trovärdighet för hantering av lärosätets information.Informationssäkerhetsfunktionen skall bereda frågor till ledningsgrupp, ställa krav på informations- och IT-säkerheten vid lärosätet, ge stöd samt följa upp verksamheten genom kontinuerlig granskning.
Arbetsformer
Informationssäkerhetsfunktionen består av informationssäkerhetschef och i förekommande fall, en informationssäkerhetsgrupp.
Informationssäkerhetsfunktionen har en chef (Informationssäkerhetschefen), med tydligt ansvar för denna funktion.
Informationssäkerhetsgruppen skall bistå Informationssäkerhetschefen med utredningar, granskningar mm.
Referensgruppen skall erhålla kontinuerlig rapportering om funktionens verksamhet, förslag till verksamhetsplanering och budget. Informationssäkerhetschefen och IT-driftsfunktionen skall samverka i gemensamma frågor. Informationssäkerhetsfunktionen ställer krav på säker drift medan IT-driftsfunktionen ansvarar för att driften är säker i enlighet med lärosätets policies, riktlinjer och övriga regler.
Informationssäkerhetschefen skall samverka med chefen för arbetsmiljö och fysisk säkerhet samt även med systemägare och projektledare.
Inplacering
Informationssäkerhetsfunktionen bör vara en separat enhet och skall inte ingå i IT-driftsfunktionen. Informationssäkerhetschefen bör i sakfrågor vara direkt underställd och rapportera direkt till lärosätets ledning och ha placering som stabsfunktion.
Incidenthanteringsgrupp, IRT
Vid lärosätet skall det finnas en IRT-funktion, placerad vid IT-driftsfunktionen, den skall vara självständig gentemot den dagliga IT-driften, med eget ansvar och egen budget. Den skall bestå av experter inom informationssäkerhetsområdet. Den skall arbeta förebyggande och utredande gentemot intrång, virus, SPAM och liknande typer av angrepp. Inom gruppen skall finnas IRT-operatör/-er med särskild delegation att undersöka och eventuellt stoppa drift vid akuta situationer. Gruppen skall samverka med de olika enheternas informationssäkerhetsansvariga. IRT-ansvarig skall samarbeta med samt rapportera till informationssäkerhetschefen.
Ansvar för informationssäkerheten vid lärosätet
Varje verksamhetsansvarig ansvarar för informationssäkerheten inom sin verksamhet i enlighet med lärosätets policies, riktlinjer och övriga regler.
Varje medarbetare och student ansvarar för den egna tillämpningen av gällande policy, riktlinjer och regler inom det egna ansvarsområdet.
Se vidare under delegationer