Informationssäkerhet

KI:s informationssäkerhetsarbete ska säkerställa att information inte sprids till obehöriga, att den alltid är tillförlitlig, korrekt och komplett samt att den är tillgänglig när den behövs i den dagliga verksamheten.

Information är en av våra viktigaste tillgångar. Därför är det mycket viktigt att alla verksamma vid KI arbetar aktivt, effektivt och kontinuerligt med informationssäkerhet, det vill säga hur olika typer av information hanteras.

Informationssäkerhet handlar om att skydda informationens konfidentialitet, riktighet och tillgänglighet, oberoende av om informationen är i digital form, på papper eller om den är muntlig.

  • Konfidentialitet - att information endast är åtkomlig för behöriga personer. Exempelvis att tentor, forskningsresultat och forskningsdata inte är åtkomlig för obehöriga innan publicering.
  • Riktighet - att information är tillförlitlig, korrekt och komplett. Exempelvis att forskningsdata och betygsunderlag inte förvanskas och i förlängningen leder till felaktiga beslut.
  • Tillgänglighet - att information är tillgänglig utifrån verksamhetens behov. Exempelvis att vi har tillgång till den information och att de IT-system som krävs för att vi ska kunna utföra vårt arbete.

Informationssäkerhet för dig som verksam på KI

Medarbetarnas beteende är minst lika viktigt för att uppnå god säkerhet kring KI:s informationstillgångar som tekniska lösningar, Vår informationssäkerhet är inte bättre än den svagaste länken och det är viktigt att alla typer av skydd fungerar på ett bra sätt tillsammans.

Informationssäkerhet baseras huvudsakligen på sunt förnuft och gott omdöme, där varje individs kunskap och agerande är avgörande. I syfte att öka medvetenheten och förståelsen för informationssäkerhet, vill KI:s informationssäkerhetsfunktion belysa några saker du behöver tänka på i ditt arbete, samt en webbutbildning.

Utbildning i IT- och informationssäkerhet

Inom kort lanserar KI:s funktioner för IT- och informationssäkerhet en webbaserad utbildning där vi alla under året kommer att få ta del av en serie korta lektioner som distribueras via epost. 
Läs mer om utbildningen

10 punkter att tänka på i ditt dagliga arbete, som är en förutsättning för KI:s informationssäkerhet är att:

  1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem. Du är personligt ansvarig för de aktiviteter som utförs via dina inloggningsuppgifter.
  2. Håll dina enheter uppdaterade. Nya uppdateringar innehåller ofta säkerhetsuppdateringar som minskar risken för att du ska råka ut för olika typer av hot. Detta gäller såväl datorer som mobiltelefoner och surfplattor.
  3. Använd aldrig samma lösenord på KI som du gör privat. KI kan inte granska säkerheten i tjänster som används privat och bristande säkerhet i sådana tjänster kan leda till att obehöriga får tillgång till lösenord som används till KI:s system.
  4. Lås eller logga ut från din arbetsstation när du går därifrån. Fysisk tillgång till en olåst dator är ett av de enklaste sätten att komma åt KI:s information.
  5. Undvik att skicka känslig information via e-post, att skicka e-post kan likställas med att skicka ett vykort. Om det krävs att informationen skickas via e-post ska den krypteras. Kontakta IT-support för hjälp.
  6. Ladda inte ner filer och öppna inte bilagor eller länkar i e-post eller från internet om du är osäker på vad de innehåller eller vem avsändaren är.
  7. Tänk på i vilken miljö du befinner dig när du hanterar och talar om känslig information.
  8. Se till att din information är säkerhetskopierad oavsett om den är lagrad på stationär dator eller bärbar IT-media. Kontakta IT-support för hjälp.
  9. Information tillhörande KI får inte hanteras i privata molntjänster eller privata lagringsmedia.
  10. Som verksam vid KI är du ansvarig för att personuppgifter hanteras i enlighet med kraven i GDPR.

Om du är osäker eller skulle ha några frågor kring informationssäkerhet, kontakta KI:s informationssäkerhetsfunktion via mail: infosec@ki.se.

Vi har alla ett ansvar!

För att upprätthålla en tillräcklig skyddsnivå för information och systemmiljö måste vi arbeta gemensamt och kontinuerligt. Uppsatta säkerhetsregler ska tillämpas och efterlevas av samtliga verksamma inom KI, det vill säga alla medarbetare, studenter, uppdragstagare /anknutna och konsulter i verksamheten.

Informationssäkerhet baseras huvudsakligen på sunt förnuft och gott omdöme, där din kunskap och ditt agerande är avgörande. Sammantaget är detta viktiga förutsättningar som bidrar till att upprätthålla förtroendet för vår verksamhet och säkerställa den information som vi hanterar.

Brott mot gällande säkerhetsregler kan medföra förlust av åtkomsträttighet till KI:s IT-system. Detta kan ske genom beslut av prefekten i samråd med säkerhetschef/IT-chef. Allvarligare fall av missbruk eller andra liknande regelbrott anmäls till säkerhetschefen för vidare handläggning. Misstankar om brottslig verksamhet polisanmäls.

Ledningssystem för informationssäkerhet, LiS

En korrekt och säker hantering av vår information är en förutsättning för att kunna utföra Karolinska Institutets uppdrag – att förbättra människors hälsa genom forskning och utbildning. Detta har också en avgörande betydelse för hur vi ska kunna förvalta och ytterligare stärka förtroendet för vår verksamhet. Därför har KI ett ledningssystem för informationssäkerhet (LIS). Grunden är KI:s informationssäkerhetspolicy som återfinns här och bland ”Dokument” nedan.

Ledningssystemet är en uppsättning styrdokument och vägledningar till ett systematiskt arbetssätt i frågor som gäller informationssäkerhet. Styrdokumenten tydliggör hur vi alla i våra olika roller berörs av informationssäkerhetsfrågorna, ger vägledning kring vad som kan vara lämpligt i olika situationer och vilka regler vi behöver följa inom KI.

Informationsklassning

Varför ska vi informationsklassa?

Informationsklassningen har inget egenvärde utan görs för att underlätta valet av en väl avvägd och ändamålsenlig nivå på informationssäkerheten. All information behöver inte samma nivå av skydd och genom att sammanföra olika typer av information i gemensamma informationsklasser underlättar man att informationen ges ett likartat och tillräckligt skydd.

Man kan säga att klassningen ger ett strukturerat beslutsunderlag inför kravställning på ett IT-system men också krav på informationshantering i stort, utanför tekniska system. Det kan exempelvis handla om hur man hanterar utskrivna handlingar eller hur man sprider muntlig information.

En utgångspunkt för klassningen kan vara att bedöma vilka konsekvenserna av ett otillräckligt skydd kan bli för KI, exempelvis om känsliga uppgifter blir tillgängliga för obehöriga.

Enkel mall som stöd vid informationsklassning

Mallen för informationsklassning hittar du under rubriken ”Dokument” nedan. Här finner du stöd för hur klassningen kan genomföras på enklaste sätt. Här bedömer man hur allvarligt det är om informationen:

  1. blir åtkomlig för obehöriga (konfidentialitet)
  2. drabbas av kvalitetsbrister (riktighet)
  3. plötsligt inte skulle finnas tillgänglig (tillgänglighet)
  4. om man i efterhand inte kan spåra förändringar i data (spårbarhet)

Bedömningarna av konsekvens görs i de fyra nivåerna:

  1. försumbara
  2. lindriga
  3. kännbara
  4. allvarliga

Dokumentera lämpligen dina bedömningar i tabellen där man sätter värden per informationstyp. Mallen är avsiktligt väldigt enkel men innehåller även mer detaljerade nivåbeskrivningar.

Gemensam informationsklassning inom KI

Inom KI hanterar vi återkommande samma eller likartade typer av information. Därför är det rationellt med ett gemensamt underlag att utgå ifrån vid klassningar i varje specifik situation. Det gemensamma underlaget har tagits fram genom konsekvensbedömningar av sakkunniga inom respektive närmast berörd del av organisationen. Underlaget är tänkt som en vägledning och du hittar det i mallen under fliken ”Övergripande klassning inom KI”.

Handledning i informationssäkerhet vid KI

I denna handledning beskrivs de regler du som verksam vid KI ska känna, till för att kunna bidra till att skydda verksamhetens känsliga information. Mer detaljerad information och anvisningar riktade till olika funktioner/befattningshavare finns under "Dokument" längst ner på sidan. 

Hantering av känslig information

Vid hantering av känslig information måste du bl.a. tänka på att:

  • Du bara får ta del av den känsliga information som du behöver för att kunna utföra ditt arbete
  • Känslig information i pappersform ska låsas in när den inte används
  • Känslig information endast får skickas i krypterad form när den skickas via e-post
  • Känslig information aldrig ska diskuteras på allmän plats eller då risk finns att obehöriga kan ta del av uppgifterna
  • Känslig information endast får hanteras i system som har godkänts för ändamålet i en systemklassning

Hantering av personuppgifter

Hantering av personuppgifter ska ske i enlighet med vid var tid gällande lagstiftning för hantering av personuppgifter, som GDPR, och för forskningsverksamheter även etikprövningslagen (2003:460).

Vid hantering av personuppgifter gäller bland annat följande:

  • Det måste finnas en rättslig grund och ett tydligt ändamål för personuppgiftsbehandlingen som ska utföras.
  • Alla personuppgiftsbehandlingar vid KI ska anmälas till KI:s register över personuppgiftsbehandlingar. Instruktioner för hur detta görs finns på KI:s GDPR-sida.
  • Personuppgifter får endast hanteras i system som har godkänts för ändamålet i en systemklassning.
  • Personuppgifter som klassas som känsliga enligt GDPR eller kan anses vara integritetskänsliga av andra skäl ska dessutom hanteras i enlighet med reglerna för hantering av känslig information.

Utöver ovanstående regler ska de grundläggande principerna för dataskydd beaktas vid hantering av personuppgifter. De grundläggande principerna samt ytterligare vägledningar och fördjupad information om hur hanteringen av personuppgifter ska ske vid KI finns på KI:s GDPR-sida.

IT-utrustning och bärbar media

Vid hantering av IT-utrustning och bärbar media ska du tänka på att:

  • KI:s utrustning ska användas för verksamhetsrelaterade ändamål
  • Privata datorer får kopplas upp mot KI:s nätverk endast under förutsättning att de har ett grundläggande säkerhetsskydd installerat. Detta inkluderar t.ex. uppdaterat antivirusprogram, brandvägg och åtkomstskydd med lösenord som uppfyller KI:s regelverk. Känslig information, t.ex. känsliga och integritetskänsliga personuppgifter samt annan information som omfattas av sekretess enligt Offentlighets – och sekretesslagen, får inte hanteras på privata enheter.
  • Information på lokal hårddisk eller bärbar media alltid ska säkerhetskopieras. Där så är möjligt ska informationen sparas på angivna och KI-godkända ställen.
  • Information i datorer, mobiltelefoner och på papper ska skyddas fysiskt, dvs. de får inte lämnas obevakade
  • Bärbara datorer ska alltid skyddas mot obehörig åtkomst genom lösenordsskydd, och mobiltelefoner, surfplattor etc. genom pinkod eller motsvarande. Känslig information ska krypteras då den lagras på bärbar IT-media. För mer information, se sidan om KI:s regelverk för lösenord.

Mobila enheter

Information på mobila enheter ska skyddas så att den inte kommer i orätta händer, manipuleras eller förloras. Manipulation eller förlust av mobil enhet som används i arbetet, och som har möjlighet att kopplas upp mot organisationens interna nät, kan användas som språngbräda för vidare attacker in i organisationen.

Tänk på att:

  • Smarta telefoner och surfplattor som tillhandahålls av Karolinska Institutet är att betrakta som arbetsredskap. KI äger utrustningen och den information som finns på dem. Du som medarbetare ska vara medveten om att arbetsgivaren har rätt att ta del av t.ex. sms, foton och kalenderanteckningar.
  • Eftersom offentlighetsprincipen gäller kan det vara möjligt för utomstående att begära ut informationen på din telefon eller surfplatta.
  • Smarta telefoner och surfplattor är i grunden att betrakta som osäkra lagringsplatser. Du får inte hantera konfidentiell information i sådana om inte särskild säkerhetslösning, godkänd av KI:s centrala informations- eller IT-säkerhetsfunktioner, används.
  • Det finns ett stort utbud av applikationer att ladda ner till smarta telefoner och surfplattor. Många av dessa kan innehålla skadlig kod. I syfte att minska denna risk får du endast ladda ned applikationer från App Store eller Google Play.
  • Pinkoder, fingeravtryck eller annan autentisering ska användas för inloggning på smarta telefoner och surfplattor. Då pinkoder används ska ej enkla pinkoder som 0000, 1234 etc. användas, och inte samma pinkod som används i andra sammanhang, t.ex. pinkod till bankomatkort.
  • Uppdateringar från Google eller telefontillverkaren och som aviseras på din mobila enhet ska installeras skyndsamt.
  • De mobila enheterna ska ha funktion för spårning och fjärrensning.

Användning av Internet

Den internetuppkoppling som KI tillhandahåller ska användas som ett arbetsredskap. Privat användning får endast ske i begränsad omfattning och så länge det inte påverkar ditt arbete.

Det är inte tillåtet att:

  • Besöka webbsidor som innehåller våld, rasism, pornografi, brottslig verksamhet eller andra sidor som av etiska skäl inte är lämpliga
  • Ladda ner filer eller program som inte är verksamhetsrelaterade (inkl. t.ex. musik eller filmer)
  • Ansluta en dator till nätverket samtidigt som den är uppkopplad mot ett annat nätverk

Användning av e-post

E-postsystemet är till för verksamhetsrelaterade uppgifter. Privat användning får endast ske i begränsad omfattning och så länge det inte påverkar ditt arbete.

  • Känslig information ska alltid krypteras då den skickas via e-post. Kontakta lokalt IT-stöd för hjälp
  • Verksammas e-postkonton kan stängas vid misstanke om brott eller missbruk
  • Din e-postadress bör enbart användas i verksamhetsrelaterade sammanhang

Det är inte tillåtet att:

  • Skicka eller spara stötande information så som våld, pornografi och diskriminerande ord och bilder
  • Skicka eller vidarebefordra skräppost/spam och kedjebrev
  • Öppna, skicka eller vidarebefordra programfiler som inte är verksamhetsrelaterade
  • Automatiskt vidarebefordra e-post till extern icke godkänd e-postadress
  • Uppge privat/extern e-postadress som kontaktinformation på KI:s offentliga webbsidor

Användning av sociala medier

Användandet av sociala medier inom KI ska främst ske utifrån verksamhetens syften, t.ex. för att snabbt nå ut till olika målgrupper.

Du bör även tänka på att:

  • Privat användning av sociala medier på arbetstid endast är tillåten så länge det inte påverkar ditt arbete
  • KI:s e-postadress inte får användas för privat inloggning och kommunikation via sociala medier
  • Känslig information aldrig får kommuniceras genom sociala medier
  • Lösenord som används för inloggning till sociala medier inte får vara desamma som lösenorden som används för KI:s system

I övrigt gäller samma regler som vid användning av e-post. För ytterligare information, se riktlinjer för sociala medier.

Distansarbete

Vid arbete på distans ska du tänka på att:

  • Distansanslutning mot KI:s nätverk endast får ske genom godkända kommunikationslösningar för distansanslutning
  • Endast utrustning som uppfyller KI:s säkerhetskrav får kopplas upp mot KI:s interna nätverk
  • Känslig information förvaras och hanteras på ett säkert sätt enligt gällande säkerhetskrav
  • Känslig information alltid ska krypteras vid lagring på flyttbara medier så som bärbara datorer, USB-minnen eller mobiltelefoner

Anvisningar om e-möten

Sammanfattning

  • E-möten är ofta ett lämpligt och enkelt sätt att ersätta fysiska möten.
  • Du behöver dock alltid ta ställning till vilka moment och vilken information som lämpar sig för e-möten.
  • Endast verktyg som KI har upphandlat ska användas för e-möten, såsom Teams och Zoom.
  • Vanliga principer för hantering av känslig information/känsliga personuppgifter behöver följas.
  • Tekniska inställningar finns för att minska risken för obehörig åtkomst till e-möten. Dessa är extra viktiga för e-möten som bedöms innehålla känslig information.

Läs anvisningarna om e-möten här

Åtkomst och användaridentitet

Avseende åtkomst och användaridentitet ska du tänka på att:

  • Du som användare är ansvarig för hanteringen av information och de aktiviteter som sker, under perioden då du är inloggad med din användaridentitet i ett system.
  • Dina användaridentiteter, lösenord och passerkort är personliga och får aldrig lånas ut till någon annan. Att låna ut dessa uppgifter kan innebära att du behöver stå till svars för den aktiviteten som har utförts i ditt namn.
  • Du ska omedelbart rapportera om du misstänker att någon obehörig känner till ditt lösenord, eller om du tappat bort ditt passerkort.

Loggning och loggranskning

Avseende loggning och loggranskning gäller följande:

  • All internetanvändning loggas
  • För alla system som innehåller känsliga uppgifter genomförs loggning av alla användaraktiviteter, d.v.s. allt vi gör i systemet.
  • Syftet med loggningen är att kunna säkerställa att endast behöriga personer har tagit del av en viss information.
  • Loggranskning genomförs regelbundet.

Anmälningsformulär för personuppgifts- & informationssäkerhetsincidenter

Som medarbetare behöver du:

  • känna till vad som utgör en personuppgifts- och informationssäkerhetsincident (beskrivning finns i formulärets inledningstext).
  • känna till att personuppgifts- och informationssäkerhetsincidenter ska anmälas via formuläret.
  • vara medveten om att du har ett ansvar att anmäla om du upptäckt, eller misstänker, att en incident inträffat. Rapportera alltid sådant du misstänker skulle kunna vara en incident – det är bättre än att eventuella incidenter blir oupptäckta.

Kontakt

Informationssäkerhetsfunktionen