Systematiskt informationssäkerhetsarbete / Ledningssystem
Informationssäkerhetsarbetet ska sträva efter rätt säkerhet, dvs. att balansera risker mot kostnader för skyddsåtgärder, och styrd säkerhet. Arbetet ska styras och utföras enligt detta dokument som är baserat på myndigheten för samhällsskydd och beredskaps (MSB) Metodstöd för systematiskt informationssäkerhetsarbete som i sin tur bygger på de internationella standarderna i ISO/IEC 27000-serien.
I underlaget till beslut och budget för universitetets informationssäkerhetsarbete ingår också arbete och uppföljning enligt förordning om statliga myndigheters riskhantering (SFS 1995:1300), samt universitetets årliga risk- och sårbarhetsanalys enligt MSBs föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser (MSBFS 2016:7).
Ladda ner den fullständiga beskrivningen av universitetets systematiska informationssäkerhetsarbete (tidigare benämnt LIS). Samtliga riktlinjer och rutiner hittar du i mål- och regelsamlingen.
Arbetet med informationssäkerhet vid Uppsala universitet beskrivs enligt de sju avsnitten i ISO 27001:2017,
- Organisationens förutsättningar
- Ledarskap
- Planering
- Stöd
- Verksamhet
- Utvärdering av prestanda
- Förbättringar
och omfattas av säkerhetsåtgärder grupperade i enlighet med ISO 27002:2017,
- Informationssäkerhetspolicy
- Organisation av informationssäkerhetsarbetet
- Personalsäkerhet
- Hantering av tillgångar
- Styrning av åtkomst
- Kryptering
- Fysisk och miljörelaterad säkerhet
- Driftsäkerhet
- Kommunikationssäkerhet
- Anskaffning, utveckling och underhåll av system
- Leverantörsrelationer
- Hantering av informationssäkerhetsincidenter
- Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet
- Efterlevnad
Detta dokument, tidigare benämnt Ledningssystem för Informationssäkerhet (LIS), beskriver mål för vilka en balanserad säkerhetsnivå och lämpliga säkerhetsåtgärder ska planeras, genomföras, följas upp och kontinuerligt förbättras vid behov. Kontinuerlig uppföljning och förbättring, samt aktiv dialog med ledning och verksamhet är grundläggande för säkerhetsarbetet.
För mer information, kontakta säkerhetsavdelningen.