2.5 Delegationer, fördjupningsavsnitt

Informationssäkerhetschefen

Ska leda verksamheten vid informationssäkerhetsfunktionen och vara sammankallande i referensgruppen.

Huvudsakliga uppgifter för informationssäkerhetsfunktionen:

Beredning och kontroll

• Beredning av informationssäkerhetsfrågor för beslut av lärosätets ledning

• Kontinuerlig lägesrapportering av informationssäkerheten till ledningen

• Ta fram årsvis handlingsplan och budget samt uppföljning till ledningen

• Utforma policy, riktlinjer, regler etc.

• Löpande uppföljning av beslutade åtgärder

• Initiera årsvis granskning av enheter vid lärosätet

• Ansvara för metoder och mallar för kontroll och granskning av informationssäkerheten

• Ta fram kontrollplan för gemensamma IT-system m.m.

• Sammanställa granskningsresultat och rapportera till lärosätets ledning

Krav och bevakning

• Formulera säkerhetskrav vid upphandling och införande av nya system

• Uppfylla säkerhetskrav vid drift av system, datorer och nät

• Uppfylla säkerhetskrav på kommunikation

• Hantera incidenter (IRT-verksamhet. Se IRT-operatör)

• Rapportera incidenter och hantera samordning med SUNET CERT

•Sköta bevakning i styrgrupper till IT-projekt

• Följa upp beslut inom ansvarsområdet

Stödjande verksamhet

• Precisera säkerhetsnivåer och rekommendera lämpliga säkerhetsnivåer för aktuella IT-system etc.

• Rekommendera av standarder för säkerhetslösningar

• Ta fram åtgärdsförslag och handlingsplaner

• Ge stöd vid lärosätets enheters egen granskning och kontroll av informationssäkerheten,

• Medverka vid prefektseminarier

• Förmedla expertstöd

• Ge utbildning och sprida information

• Sköta samverkan med övriga lärosäten, med SUSEC och SUNET IRT-operatör

Ansvar, befogenher och skyldigheter gör systemadministratör i incidentgrupp (IRT-grupp)

Rektor delegerar till

Namn:

Institution/enhet/motsv:

att ingå i lärosätets IRT-grupp med befogenheter och skyldigheter i enlighet med nedanstående.

Ansvarsområde Befogenheter och skyldigheter för IRT-operatör i IRT-grupp vid intrång eller misstanke om intrång omfattar alla berörda datorsystem, nät- och datorresurser vid Lärosätet.

IRT-gruppen skall vid konstaterat eller befarat intrång, efter rapport från drabbad eller på eget initiativ, agera på lämpligt sätt.

Krav på personal

Tjänsten innebär ett stort ansvar och stora befogenheter samt tillgång till känsliga och kritiska system. Stora krav ställs därför på att IRT-operatör är lämplig för denna tjänst.

Befogenheter

IRT-operatör har rätt att för lärosätets räkning och i enlighet med gällande lagar, policies, regler och beslut, inom ansvarsområdet:

• utföra alla de åtgärder som behövs för utredning och för att minimera skador avseende all IT-utrustning, bl a för loggning och backup

• att lagra loggfiler och vissa andra filer av betydelse för utredning

• att påkalla felsökning och omistallation av IT-system på IT-utrustning

• att om så bedöms nödvändigt isolera berörd IT-utrustning

• att om så bedöms nödvändigt stänga av användare

• då så erfordras samverka med andra IRT-grupper utanför lärosätet

• då så erfordras för att kunna fullgöra sina arbetsuppgifter, granska och kontrollera data, program, datakommunikation och andra uppgifter i all IT-utrustning. Vid granskning och kontroll av data bör om möjligt samverkan ske med berörd systemadministratör och om så behövs med berörd informationsägare

• då så erfordras för att kunna fullgöra sina arbetsuppgifter kopiera, flytta eller radera data, program och andra uppgifter i IT- utrustning. Radering får dock inte göras utan medgivande från respektive informationsägare och/eller systemägare såvida inte tillräckliga åtgärder vidtagits för att spara informationen på annan IT-utrustning eller annat medium. Undantag då lagring av data strider mot lärosätets regler

Skyldigheter

IRT-operatör är skyldig att:

• utföra arbetet med den noggrannhet och försiktighet som krävs

• följa de riktlinjer för IRT-verksamheten som gäller vid lärosätet

• följa de regler för datoranvändning, standarder etc. som gäller vid lärosätet och SUNET

• följa de regler och anvisningar för informationssäkerhet som gäller vid lärosätet och SUNET

• iaktta tystnadsplikt i sitt arbete

• hantera sekretessbelagda eller integritetskänsliga data, samt datamedier och utrustning där sådana lagras, i enlighet med gällande regler

• så snart möjligt kontakta andra drabbade, som kan tänkas påverkas av incident

• dokumentera alla moment vid jourutryckningen, och rapportera till IRT-ansvarig

• att samverka med berörd systemadministratör

• då så bedöms nödvändigt eller lämpligt, anmäla om lärosätets dator-, nät- och systemresurser används i strid mot gällande regler, eller vid misstanke om sådan användning, till prefekt (motsvarande) och/eller till informationssäkerhetsansvarig vid lärosätet

• vid misstankar om disciplinärende eller brott snarast underrätta informationssäkerhetsansvarig vid lärosätet eller annan som rektor utsett

• medverka vid utredning om användning av lärosätets dator-, nät- och systemresurser i strid mot gällande lagar och regler

• bistå disciplinnämnd, polis och åklagare i utredning

Tystnadsplikt enligt ovan inskränker inte de rättigheter och skyldigheter som tillkommer var medborgare enligt tryckfrihetsförordning och sekretesslag.

Undertecknad har tagit del av och accepterat ovanstående

Lärosätet den..................

................................................ .......................................

Anställd

Chef

Ladda upp ny bilaga "ansvarsforbirt.pdf"

Systemadministratör

Ansvar, befogenheter och skyldigheter

Syftet med riktlinjerna är att skapa förutsättningar för en god IT-säkerhet vid administration av lärosätets datorer, nät och datorsystem.

Riktlinjerna grundar sig på lärosätets informationssäkerhetspolicy beslutad den xxxx-xx-xx samt regler för användning av lärosätets dator-, nät- och IT-systemresurser.

Bakgrund

I lärosätets informationssäkerhetspolicy fastslås bl.a. följande.

För datorer, datasystem, datanät eller datautrustning som används vid lärosätet skall det alltid finnas en informationssäkerhetsansvarig.

Varje enhet som använder datorer, datasystem eller datanät måste ha tillgång till relevant kompetens gällande informationssäkerhet för att informationssäkerheten skall upprätthållas vid enheten.

Rektor har beslutat att:

Prefekt/motsvarande är informationssäkerhetsansvarig vid enheten. Detta ansvar kan delegeras.

Respektive enhet skall utse den eller de som ansvarar för systemadministrationen vid enheten samt fastställa skyldigheter och i förekommande fall de befogenheter som delegeras.

Aktuella delegationer inklusive omfattningen av dessa skall diarieföras vid institutionen.

Nedan finns en generell sammanställning av de skyldigheter och befogenheter som kan delegeras till en systemadministratör. Tanken är att sammanställningen skall utgöra en mall som anpassas lokalt till de förhållanden som råder vid enheten.

Ansvar, befogenheter och skyldigheter för systemadministratör

Namn:……………………………………………………………………………..

Institution/enhet/motsv.:………………………………………………………….....

Ansvarsområde:…………………………………………………………………..

Ansvar, befogenheter och skyldigheter avser de datorsystem, nät- och datorresurser som anges nedan:

………………………………

………………………………

………………………………

Befogenheter

Systemadministratör har rätt att för lärosätets räkning och i enlighet med gällande lagar, regler och beslut, inom ansvarsområdet:

- installera och konfigurera operativsystem och programvara i all utrustning

- modifiera och installera datorer och annan data- och kommunikationsutrustning

- lägga upp, ändra och ta bort användare och behörigheter för dessa i IT-utrustning

- lämna ut användaridentiteter och lösenord till användare, dock först efter det att dessa undertecknat ansvarsförbindelse

- felsöka och utföra reparationer och service på IT-utrustning inom sitt ansvarsområde

- låta extern servicepersonal, med iakttagande av gällande regler, felsöka, utföra reparationer och service på IT-utrustning

- då så erfordras samverka med andra systemadministratörer eller IRT-operatör vid lärosätet vid felsökning, reparationer och service

- då så erfordras för att kunna fullgöra ålagda arbetsuppgifter, granska och kontrollera data, program, datakommunikation och andra uppgifter i all IT-utrustning. Vid granskning och kontroll av data skall informationsägarens eller rektors medgivande inhämtas.

- då så erfordras för att kunna fullgöra ålagda arbetsuppgifter kopiera, flytta eller radera data, program och andra uppgifter i all IT-utrustning. Radering får dock inte göras utan medgivande från respektive informationsägare (motsvarande) såvida inte tillräckliga åtgärder vidtagits för att spara informationen på annan utrustning eller annat medium.

Skyldigheter

Systemadministratör är skyldig att

- utföra arbetet med den noggrannhet och försiktighet som krävs

- dokumentera rutin- och versions(för)ändringar

- följa de regler för datoranvändning, standarder etc. som gäller vid lärosätet och SUNET

- följa de regler och anvisningar för datasäkerhet som gäller vid lärosätet och SUNET

- iaktta tystnadsplikt vad gäller arbetsmaterial och uppgifter som kan bli föremål för sekretessbelagda uppgifter, inklusive uppgifter om skyddsåtgärder mm, som systemadministratören fått kännedom om

- hantera sekretessbelagda eller integritetskänsliga data, samt datamedier och utrustning där sådana lagras, i enlighet med gällande regler

- så snart möjligt anmäla fel och problem till IT-ansvarig/systemägare

- dokumentera allvarliga störningar och incidenter, och rapportera dessa till IRT-gruppen

- vid behov övervaka utomstående personal som utför reparation, service e d på utrustning eller program.

- vid behov påtala för användare att de använder lärosätets dator-, nät- och systemresurser i strid mot gällande regler

- då så bedöms nödvändigt eller lämpligt, anmäla om lärosätets dator-, nät- och systemresurser används i strid mot gällande regler, eller vid misstanke om sådan användning, till prefekt (motsvarande) och/eller till informationssäkerhetsansvarig vid lärosätet

- vid misstanke om disciplinärende eller brott snarast underrätta (central) informationssäkerhetschef vid lärosätet eller annan som rektor utsett.

- efter beslut av rektor eller informationssäkerhetsansvarig vid lärosätet eller annan som rektor utsett, medverka vid utredning om användning av lärosätets dator-, nät- och systemresurser i strid mot gällande lagar och regler

- bistå lärosätets disciplinnämnd, polis och åklagare vid utredning

Systemadministratörens tystnadsplikt enligt ovan inskränker inte systemadministratörens rättigheter och skyldigheter enligt tryckfrihetsförordning och sekretesslagen.

Ovanstående ansvar, befogenheter och skyldigheter delegeras till nedanstående systemadministratör

lärosäte den

Prefekt

Undertecknad har tagit del av och accepterat ovanstående

Ort den

Systemadministratör

Ladda upp ny bilaga "ansvarsforbsysadm.pdf"

Systemägare

För varje system skall en systemägare (systemansvarig tjänsteman) finnas.

Systemägaren ansvarar för:

Vid systemanskaffning och -utveckling:

  • att det planerade IT-systemet utformas och förvaltas så att det uppfyller kraven på god informationssäkerhet

  • att projektorganisationen har tillgång till erforderlig informationssäkerhetskompetens

  • att i de fall personuppgifter kommer att ingå i det planerade systemet, att detta dokumenteras och anmäls till lärosätets personuppgiftsombud samt att systemet utformas så att det uppfyller personuppgiftslagens krav

  • att en förvaltningsorganisation med utöver systemägare utsedd systemförvaltare, IT-ansvarig/tekniskt ansvarig och teknisk förvaltare skapas för systemets drift och underhåll.

Vid befintliga system:

  • att analys av säkerhetsbehov genomförs med hänsyn till informationsinnehåll och verksamhetskrav

  • att säkerhetskraven anges med inriktning på tillgänglighet, riktighet, sekretess och spårbarhet

  • att en förvaltningsorganisation med utöver systemägare utsedd systemförvaltare, IT-ansvarig/tekniskt ansvarig och teknisk förvaltare finns för systemets drift och underhåll

  • att riktlinjer för behörighetstilldelning utarbetas och att IT-ansvarig/tekniskt ansvarigs säkerhetskrav uppfylls

Exempel på systemägare: personalchefen kan vara systemägare för det personaladministrativa systemet och en chef för en forskargrupp kan vara systemägare för gruppens forskningsdatabas.

Systemförvaltare

Ansvarar för systemförvaltningen utifrån systemägarens direktiv avseende tillämpning, användares krav och behov. Systemförvaltaren skall ha en djup kunskap om den verksamhet som systemet skall stödja samt övergripande kunskap om tekniken som tillämpas i systemet.

Systemförvaltaren är ansvarig för informationssäkerheten i IT-systemet och skall rapportera avvikelser och händelser som kan påverka informationssäkerheten. Systemförvaltaren är kontaktperson för användare av IT-systemet och skall fortlöpande samarbeta med teknisk förvaltare i systemdriftfrågor.

Tekniskt ansvarig/IT-ansvarig

För den tekniska driftsäkerheten skall en tekniskt ansvarig tjänsteman finnas utsedd. (Till exempel chefen för central IT-drift alternativt IT-ansvarig vid respektive enhet.)

Den tekniskt ansvarige ansvarar för:

  • att säkerhetstekniska lösningar följer av lärosätet uppsatta standarder

  • att IT-systemet i förekommande fall kan integreras med befintliga system utan att informationssäkerheten försämras utöver det tillfredsställande

  • att till större IT-system en teknisk förvaltare utses till av systemägaren föreslagen förvaltningsorganisation

  • att IT-systemet förs in i lärosätets systemförteckning, om sådan finns

  • att analyser av den tekniska IT-säkerheten genomförs med hänsyn till tillgänglighet, riktighet, sekretess och spårbarhet samt att påvisade brister åtgärdas

  • att systemägarens säkerhetskrav uppfylls tekniskt.

Teknisk förvaltare

Ansvarar för den tekniska förvaltningen av IT-systemet utifrån tekniskt ansvarigs direktiv. Den tekniska systemförvaltaren skall ha goda kunskaper om IT-systemets konstruktion, datahantering och tekniska säkerhetslösningar samt övergripande kunskaper om den verksamhet som IT-systemet stödjer.

Teknisk förvaltare är ansvarig för informationssäkerheten i IT-systemet och skall till IT-ansvarig rapportera avvikelser och händelser som kan påverka informationssäkerheten.

Teknisk förvaltare är kontaktperson i tekniska frågor rörande IT-systemet och skall fortlöpande samarbeta med systemförvaltaren i systemdriftfrågor.

Behörighetsansvarig

  • beslutar om tilldelning av åtkomsträttigheter till lärosätets gemensamma och lokala IT-system

  • ansvarar för uppföljning av och tilldelning av behörighet i enlighet med av systemägare och tekniskt ansvarig fastställda riktlinjer

  • behörighetsansvarig kan vara prefekt, avdelningschef för gemensam förvaltning, enhetschef för bibliotek

  • Behörighetsadministratör

  • Ansvarar för inregistrering och avregistrering av behörighet enligt behörighetsansvarigs beslut

  • ansvarar för att beslut om behörighetstilldelning arkiveras enligt fastställda arkivkrav.

Arkivansvarig

Lärosätets arkiv skall spegla verksamheten och är en källa till nutida och framtida forskning samt stöd i den dagliga verksamheten.

Hantering och förvaring av information skall ske så att den skyddas mot förlust, skada och obehörig användning.

Respektive enhet skall utse arkivansvarig.

Ansvaret avser hantering och förvaring av information i enlighet med lärosätets föreskrifter för informationssäkerhet, offentlighet och sekretess, registrering, arkivbildning, arkivredovisning samt vård av arkiv.

Detta gäller såväl digitalt lagrad information (ss webbplatser och e-post) som bilder och pappersdokument.

IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt