IT-säkerhetspolicy för
Blekinge Tekniska Högskola

1. Avgränsning

Med IT-säkerhet avses säkerheten i användningen av dator- och kommunikationsteknik. I detta dokument avses särskilt säkerheten i

  • digitala kommunikationsnät
  • data- och informationssystem
  • datorer och utrustning till dessa

2. Ansvar

Ytterst är styrelse och rektor ansvariga för högskolans IT-säkerhet. Det praktiska ansvaret för IT-säkerheten ska fördelas så att

  • verksamhetsansvariga (prefekt, enhetschef el motsv) har ansvaret för IT-säkerheten vid respektive enhet (institution/motsv)
  • för centrala eller gemensamma system och resurser ska särskild systemägare utses av rektor. Systemägaren ansvarar för IT-säkerheten i systemet eller resursen
  • varje IT-användare ansvarar för sin egen IT-säkerhet i enlighet med vad som sägs i regler och ansvarsförbindelse

3. Mål

IT-säkerheten vid Blekinge Tekniska Högskola ska säkerställa att högskolan kan använda kommunikationsnät, datasystem och datorer utan onödiga störningar, och med avsedd funktion och hög tillgänglighet.

IT-säkerheten vid högskolan ska särskilt förhindra att störningar i kommunikationsnät, datasystem och datorer orsakar allvarliga konsekvenser för högskolan eller för anställda, studerande och allmänheten.

4. Inriktning av säkerhetsarbetet

I allt säkerhetsarbete ska skyddet av liv, hälsa och personlig integritet värderas högst.

IT-säkerheten vid högskolan ska säkerställa att information som överförs, lagras eller behandlas i kommunikationsnät, datasystem och datorer ska skyddas mot

  • oavsiktlig, obehörig eller otillåten förändring eller förstöring
  • obehörig eller otillåten åtkomst eller kopiering.
  • IT-säkerheten vid högskolan ska också säkerställa att kommunikationsnät, datasystem och datorer skyddas mot
  • intrång och otillåten användning
  • stöld eller skadegörelse
  • funktionsstörning.

Säkerhetsnivåer och skyddsåtgärder för IT-säkerheten vid högskolan ska utformas så, att målen för IT-säkerheten uppnås till rimliga kostnader, och utan att den dagliga verksamheten försvåras mer än nödvändigt.

Val och utformning av säkerhetsnivåer och skyddsåtgärder ska grunda sig på aktuell eller förväntad hotbild, och på konsekvenserna av störningar för högskolan eller för anställda, studerande och allmänheten. Hänsyn ska tas till såväl direkta som indirekta konsekvenser.

Bedömningar av hotbild och konsekvenser av störningar ska göras regelbundet och systematiskt.

IT-säkerheten vid högskolan ska vara utformad i enlighet med gällande lagar och regler.

IT-säkerheten vid högskolan ska, för nät och system anslutna till SUNET, uppfylla SUNETs krav.

Skyddsåtgärder för IT-säkerheten ska där så är möjligt baseras på standarder eller de facto-standarder.

5. Stöd, samordning och kontroll

Högskolan ska ha centralt finansierade resurser för stöd, samordning och kontroll av IT-säkerheten. Funktionen ska upprätthållas av en centralt placerad IT-säkerhetshandläggare.

IT-säkerhetshandläggarens uppgifter är bl a

  • övergripande samordning av allt IT-säkerhetsarbete vid högskolan
  • framtagning och revision av regler, anvisningar och handböcker
  • beredning av IT-säkerhetsärenden
  • samordning av IT-säkerheten i de centrala administrativa systemen
  • stöd till övriga enheter i IT-säkerhetsfrågor
  • utvärdering av skyddsåtgärder
  • medverka vid utarbetande säkerhetskrav vid specifikationer för IT-upphandlingar
  • kompetensutveckling inom IT-säkerhet
  • stöd vid incidenter, och beredskap för sådant stöd
  • regelbunden revision av IT-säkerheten vid högskolan.

6. Säkerhetsnivåer och skyddsåtgärder

Säkerhetsnivåer och skyddsåtgärder ska utformas i enlighet med målen för och inriktningen av IT-säkerheten (se 3 och 4 ovan).

Systemägarna har ansvar för att utreda och föreslå säkerhetsnivåer och skyddsåtgärder.

Säkerhetsnivåer eller skyddsåtgärder som avser hela högskolan, eller centrala eller gemensamma system, ska beslutas av rektor, eller av den som rektor utser.

Övriga säkerhetsnivåer och skyddsåtgärder ska beslutas av den som är verksamhetsansvarig.

7. Regler och riktlinjer

Det ska finnas fastställda regler och riktlinjer för datasäkerheten i kommunikationsnät, datasystem och datorer som är särskilt viktiga för högskolan, och för sådana skyddsåtgärder som är av särskild betydelse för IT-säkerheten vid högskolan.

8. Information och utbildning

IT-säkerhetshandläggaren ansvarar för att grundläggande informations- och utbildningsmaterial om IT-säkerhet tas fram och hålls aktuellt.

Verksamhetsansvariga ansvarar för att anställda inom den egna enheten (institution/motsv) har nödvändiga kunskaper om IT-säkerhet.

De särskilt utsedda systemägarna ansvarar för att informations- och utbildningsmaterial tas fram för centrala och gemensamma system. Systemägarna ansvarar också för att information till och utbildning av användarna initieras.

Program- och kursansvariga ansvarar för att de studerande får information och utbildning om IT-säkerhet.

9. Användare

Samtliga användare ska, innan de får tillgång till högskolans kommunikationsnät, datasystem och datorer, ha undertecknat en ansvarsförbindelse. Ansvarsförbindelsen ska innehålla

  • information om villkoren för användning av kommunikationsnät, datasystem och datorer
  • information om användarnas ansvar och skyldigheter
  • information om gällande regler för användning av kommunikationsnät datasystem och datorer, samt om påföljderna vid brott mot reglerna
  • information om högskolans rättigheter vad gäller drift- och säkerhetsåtgärder.

10. Systemadministratörer

Med systemadministratörer avses personer som har högre behörigheter än vanliga användare i kommunikationsnät, datasystem eller datorer. Systemadministratörer har normalt ett drift- eller säkerhetsansvar, eller medverkar i drift eller förvaltning av nät, system eller datorer.

Systemadministratörer ska tilldelas sina rättigheter och skyldigheter genom skriftligt beslut av verksamhetsansvarig (prefekt, enhetschef el motsv). I beslutet ska anges vilka system e d som rättigheterna och skyldigheterna avser.

Samtliga personer som är verksamma som systemadministratörer vid högskolan ska ha undertecknat en särskild ansvarsförbindelse. Ansvarsförbindelsen ska innehålla

  • hänvisning till informationen i ansvarsförbindelsen för användare
  • information om systemadministratörens ansvar och skyldigheter
  • information om gällande regler för drift och förvaltning av nät, system eller datorer
  • information om regler och rutiner för åtgärder vid incidenter.

11. Avbrottsplanering (katastrofplanering)

Med avbrottsplanering avses planering för åtgärder vid längre driftavbrott eller funktionsstörningar.

Systemägare som är ansvariga för

  • centrala eller gemensamma system och resurser
  • system av stor betydelse för utbildning eller forskning
  • system av stor ekonomisk betydelse för högskolan
  • system av betydelse för säkerheten i övrigt vid högskolan

ska, om det inte är uppenbart onödigt, genomföra avbrottsplanering för systemen eller resurserna.

12. Upphandling och utveckling

Vid upphandling och utveckling av IT-system och IT-tjänster ska säkerhetskraven alltid beaktas.

Krav på IT-säkerhet ska ingå i kravspecifikationen och avtalet, såvida det inte uppenbart är obehövligt.

13. Extern drift och tjänst

Om en annan part utför tjänst eller uppdrag åt högskolan där IT-tjänster eller IT-system utgör en viktig del, ska högskolan genom avtal försäkra sig om att parten upprätthåller en IT-säkerhet som motsvarar högskolans krav.

14. Extern användning av högskolans IT-resurser

Om en annan part får tillgång till eller kan utnyttja högskolans IT-resurser, ska högskolan genom avtal försäkra sig om att nyttjandet sker i enlighet med högskolans regler och riktlinjer, och att parten upprätthåller en IT-säkerhet som motsvarar högskolans krav.

15. Årlig granskning

Varje institution/enhet ska årligen granska IT-säkerheten. Resultatet av granskningen ska redovisas till rektor tillsammans med förslag till budget.

Granskningen ska planeras av IT-säkerhetshandläggaren. Planerna för varje års granskning ska godkännas av rektor eller den rektor utser innan granskningen påbörjas.

x

Redigera
Share Dela