Grundläggande anvisningar om informationssäkerhet

Genom att följa dessa anvisningar för en trygg och säker informationshantering bidrar alla på KI till att hantera information på ett säkert sätt, oavsett om det är digitalt, på papper eller muntligt.

Data på en digital skärm och högar med papper.
Foto: Unsplash.

Fyra enkla steg

För att uppnå en balanserad och ändamålsenlig informationssäkerhetsnivå behöver vi göra avvägningar baserat på verksamhetens behov och bedömningar av risk. Det handlar om att välja rätt lösningar och rutiner utan att överdriva kostnader eller komplexitet.

Den som ansvarar för exempelvis forskningsprojekt, utvecklingsprojekt, upphandlingar, IT-drift, förvaltning eller vid etablerandet av nya samverkansorgan, måste bedöma behovet av säkerhetsåtgärder.

Praktiskt behöver du på enklaste sätt:

  1. Klassa information och övriga informationstillgångar genom att bedöma hur viktig och skyddsvärd dessa är för verksamheten, med avseende på konfidentialitet, riktighet och tillgänglighet.
  2. Identifiera, analysera och värdera risker.
  3. Identifiera, ställa krav på och inför ändamålsenliga säkerhetsåtgärder,
  4. Löpande utvärdera införda säkerhetsåtgärder och göra anpassningar vid behov.

Informationssäkerhetsarbetet och införda säkerhetsåtgärder ska dokumenteras.

Tänk på

  1. Skydda dina inloggningsuppgifter - dela dem aldrig med andra. Du är personligt ansvarig för de aktiviteter som utförs via ditt användarkonto.
  2. Alla enheter som används för informationshantering inom KI:s verksamhet ska hållas uppdaterade. Nya uppdateringar innehåller ofta säkerhetsuppdateringar som minskar risken för att du ska råka ut för olika typer av hot.
  3. Använd aldrig samma lösenord till KI:s tjänster som du använder till privata tjänster. Anledningen är att skydda KI:s information mot bristande säkerhet i olika externa tjänster, vilket kan leda till att obehöriga får tillgång till lösenord till KI:s system.
  4. Lås eller logga ut från din dator när du lämnar den utan uppsikt. Fysisk tillgång till en olåst dator är ett av de enklaste sätten att komma åt KI:s information. Tänk även på risken att utsättas för så kallad "social ingenjörskonst", då du kan utsättas för försök till stöld av KI:s information eller utrustning.
  5. Ladda inte ner filer från internet och öppna inte bilagor eller länkar i e-post om du är osäker på vad de innehåller eller vem avsändaren är.
  6. Information tillhörande KI får inte hanteras i privata molntjänster (sådana som inte är upphandlade, inköpa eller som tillhandahålls av KI) eller i privata lagringsmedia eller enheter.
  7. Som verksam vid KI är du ansvarig för att personuppgifter hanteras i enlighet med kraven i GDPR.
  8. Det är inte tillåtet att missbruka KI:s resurser genom uppenbar felanvändning, till exempel i form av extrem belastning på nätresurser, hårdvara, mjukvara eller använda tillgängliga resurser i privat eller kommersiellt syfte.

Brott mot gällande säkerhetsregler kan medföra att individen fråntas sina åtkomsträttigheter till KI:s system. Misstankar om brottslig verksamhet polisanmäls.

Om känslig information

När du hanterar information som vid klassning bedömts vara känslig och skyddsvärd, till exempel känsliga personuppgifter, måste du tänka på att:

  • Du bara får ta del av den känsliga information som du behöver för att kunna utföra ditt arbete.
  • Hantera känslig information i pappersformat på ett säkert sätt avseende lagring och utskrift så att inga obehöriga kan ta del av materialet.
  • Känslig information inte får skickas okrypterat via e-post.
  • Ta hänsyn till vilken miljö du befinner dig i när du hanterar och talar om känslig information då risk finns att obehöriga kan ta del av uppgifterna.
  • Känslig information får endast lagras, behandlas och transporteras i IT-system och lösningar som har godkänts för ändamålet.

Utöver ovanstående ska de grundläggande principerna för dataskydd beaktas vid hantering av personuppgifter. Ytterligare vägledning och fördjupad information om hantering av personuppgifter vid KI finns på GDPR.

IT-utrustning och lagringsmedia

  • KI:s utrustning ska användas för verksamhetsrelaterade ändamål.
  • Privata enheter får endast anslutas till KI:s gästnätverk, alternativt Eduroam. Läs mer på Trådlösa nätverk på campus.
  • Känslig information, som känsliga och integritetskänsliga personuppgifter samt annan information som omfattas av sekretess enligt Offentlighets- och sekretesslagen, får inte hanteras på privata enheter.
  • KI:s centrala lösningar för lagring och delning av information ska alltid användas i första hand. Endast i undantagsfall när så inte är möjligt kan information lagras på annat sätt - givet att kraven på informationssäkerhet uppfylls.
  • I det fall lokal hårddisk eller bärbar lagringsmedia används ska dessa säkerhetskopieras. Huvudregeln är dock att spara informationen i KI:s centrala lagringslösningar.
  • Datorer och mobiltelefoner ska skyddas fysiskt och inte lämnas obevakade.
  • Datorer, mobiltelefoner och surfplattor ska alltid skyddas mot obehörig åtkomst genom lösenordsskydd, pinkod eller motsvarande. Känslig information ska krypteras då den lagras på datorer, mobiltelefoner och/eller lagringsmedia. Se mer om konton och lösenord på KI.

Mer om IT-säkerhet.

Mobila enheter

Information på mobila enheter ska skyddas så att den inte kommer i orätta händer, manipuleras eller förloras. Manipulation eller förlust av mobil enhet som används i arbetet och som har möjlighet att kopplas upp mot organisationens interna nät kan användas som språngbräda för vidare attacker in i organisationen.

Tänk därför på att:

  • Smarta telefoner och surfplattor som tillhandahålls av Karolinska Institutet är arbetsredskap. KI äger utrustningen och den information som finns på dem. Du som medarbetare ska vara medveten om att arbetsgivaren har rätt att ta del av all information på enheten, till exempel sms, foton och kalenderanteckningar.
  • Eftersom offentlighetsprincipen gäller kan det vara möjligt för utomstående att begära ut informationen på din telefon eller surfplatta.
  • Smarta telefoner och surfplattor är i grunden att betrakta som osäkra lagringsplatser. Du får inte hantera konfidentiell information i sådana om inte särskild säkerhetslösning, godkänd av KI:s centrala IT-säkerhetsfunktion, används.
  • Det finns ett stort utbud av applikationer att ladda ner till smarta telefoner och surfplattor. Många av dessa kan innehålla skadlig kod. I syfte att minska denna risk får du endast ladda ned applikationer från App Store eller Google Play.
  • Pinkoder, fingeravtryck eller annan autentisering ska användas för smarta telefoner och surfplattor. Då pinkoder används får ej enkla pinkoder som till exempel 0000 eller 1234 användas. Använd heller inte samma pinkod som används i andra sammanhang, som pinkod till bankomatkort.
  • Uppdateringar från leverantörer eller telefontillverkaren och som aviseras på din mobila enhet ska installeras skyndsamt.
  • De mobila enheterna ska ha funktion för spårning och fjärrensning.

Digitalt och på distans

Internetanvändning

Den internetuppkoppling som KI tillhandahåller ska användas som ett arbetsredskap. Privat användning får endast ske i begränsad omfattning och så länge det inte påverkar ditt arbete.

Det är inte tillåtet att:

  • Besöka webbsidor som innehåller våld, rasism, pornografi, brottslig verksamhet eller andra sidor som av etiska skäl inte är lämpliga. Undantag från denna regel kan göras då arbetet/forskningen kräver det. Detta ska då godkännas av närmaste chef.
  • Ladda ner filer eller program som inte är verksamhetsrelaterade (inklusive till exempel musik eller filmer).
  • Använda internet på ett sådant sätt att KI:s rykte i omvärlden riskerar att ta skada - genom all internetanvändning lämnar du digitala spår efter dig.

E-post

Användningen av e-post på KI regleras i riktlinjerna om e-post.
Utöver riktlinjerna, tänka på att:

  • E-post är ett vanligt medel för att sprida skadlig kod och information som uppmanar mottagaren att ge ifrån sig inloggningsuppgifter. Var därför försiktig när du mottar e-post från okända avsändare eller e-post med suspekt innehåll. Om du är osäker, kontakta din närmaste chef eller försök att verifiera avsändaren innan du agerar.
  • Känslig information, information som omfattas av sekretess, integritetskänslig information och känsliga personuppgifter ska som regel inte skickas med e-post. Föreligger en situation där man undantagsvis bedömer att detta kan ske måste en krypteringslösning användas som kan säkerställa att informationen inte kommer obehöriga till del.
  • Rapportera e-postmeddelanden som innehåller skräppost eller nätfiske, så kallat spam eller phishing - i första hand direkt via funktionen i Outlook som heter ”Rapportera meddelande” under ”Meddelande” och ”Skydd”. Du kan även rapportera händelsen som en informationssäkerhetsincident, för statistikens skull.
  • Om du får e-post som innehåller hotfulla meddelanden: spara e-postmeddelandet, kontakta närmaste chef och anmäl händelsen som en informationssäkerhetsincident. Läs mer om allvarliga händelser och personhot.
  • KI kan stänga enskildas e-postkonton vid misstanke om brott eller missbruk av interna säkerhetsregler.

Det är heller inte tillåtet att:

  • Skicka eller spara stötande information så som våld, pornografi och diskriminerande ord och bilder.
  • Skicka eller vidarebefordra skräppost/spam och kedjebrev.
  • Öppna, skicka eller vidarebefordra programfiler som inte är verksamhetsrelaterade.
  • Automatiskt vidarebefordra e-post till extern icke godkänd e-postadress.
  • Uppge en privat/extern e-postadress som kontaktinformation på KI:s offentliga webbsidor.
En kvinna sitter med ryggen mot kameran framför en laptop.
Foto: Unsplash.

Distansarbete

  • Distansanslutning mot KI:s nätverk endast får ske genom godkända lösningar för distansanslutning. Läs mer om VPN-tjänst.
  • Endast utrustning som uppfyller KI:s säkerhetskrav får kopplas upp mot KI:s interna nätverk.
  • Känslig information hanteras och förvaras på ett säkert sätt enligt gällande säkerhetskrav.
  • Känslig information alltid ska krypteras vid lagring på flyttbara lagringsmedier så som bärbara datorer, USB-minnen eller mobiltelefoner.

E-möten

Ibland passar det att ersätta fysiska möten med digitala e-möten. Tänk då på informationssäkerheten genom att:

  • Avgöra vilka moment och vilken information som lämpar sig för e-möten.
  • Endast använda de verktyg som KI rekommenderar för e-möten, som Teams och Zoom.
  • Följa reglerna för hantering av känslig information/känsliga personuppgifter.
  • Använda tekniska inställningar för att minska risken för obehörig åtkomst till e-möten. Detta är extra viktiga för e-möten som bedöms komma att innehålla känslig information.
  • Genomföra e-möten i lämpliga miljöer och lokaler och skydda din skärm från insyn.

Mer om e-möten.

Sociala medier

Användandet av sociala medier inom KI ska främst ske utifrån verksamhetens syften, till exempel för att nå ut till olika målgrupper. Tänk på att:

  • Privat användning av sociala medier på arbetstid endast är tillåten så länge det inte påverkar ditt arbete.
  • KI:s e-postadress inte får användas för tjänster som används privat.
  • Känslig information som berör ditt arbete aldrig får kommuniceras genom sociala medier.
  • Publicering av personuppgifter på sociala medier ska göras i enlighet med kraven i GDPR.
  • Lösenord som används för autentisering till sociala medier inte får vara desamma som lösenorden som används för KI:s system.

I övrigt gäller samma regler som vid Internetanvändning och användning av e-post. Se även riktlinjer för sociala medier.

Åtkomst och användaridentitet

Du som användare är ansvarig för hanteringen av information och de aktiviteter som sker under perioden då du är inloggad med din användaridentitet i ett system.

Dina användaridentiteter, lösenord och passerkort är personliga och får aldrig lånas ut till någon annan. Att låna ut dessa uppgifter kan innebära att du behöver stå till svars för den aktiviteten som har utförts i ditt namn. Omvänt får du heller inte arbeta utifrån någon annan persons användaridentitet.

Rapportera omedelbart till IT-support om du misstänker att någon obehörig känner till ditt lösenord eller om du tappat bort ditt passerkort.

Allting loggas

Tänk på:

  • All internetanvändning loggas.
  • För alla IT-system som innehåller känsliga uppgifter genomförs loggning av alla användaraktiviteter, det vill säga allt vi gör i IT-systemet.

Syftet med loggningen är att kunna säkerställa att endast behöriga personer har tagit del av relevant information samt för att kunna utreda eventuella incidenter eller misstankar om oegentligheter eller brott. Loggranskning genomförs regelbundet.

Rapportera incidenter

Det är viktigt att känna till vad som klassas som en incident, samt var och hur de ska rapporteras. Som användare kan du hjälpa till genom att:

  • Snarast möjligt rapportera incidenter som kan påverka KI:s verksamhet: Rapportera om något hänt.
  • Skyndsamt rapportera incidenter som innefattar personuppgifter.
  • Även rapportera misstankar om incidenter.

Exempel på informationssäkerhetsincidenter är:

  • Felaktig, olovlig eller skadlig hantering av information som kan innebära negativ påverkan för KI.
  • Information som kommit i orätta händer.
  • Stöld av utrustning eller fysiska dokument innehållande känslig information.
  • Dataintrång.
  • Skadlig kod (till exempel virus) eller skadlig programvara.

Om en incident innefattar personuppgifter klassas det som en personuppgiftsincident. Dessa är KI:s dataskyddsombud enligt GDPR skyldig att rapportera till tillsynsmyndigheten. Anmälan av informationssäkerhets- och personuppgiftsincidenter.

Innehållsgranskare:
Stefan Larsson
Louise Grännsjö
2025-05-28

Mer om det här ämnet

Informationssäkerhetspolicy