Informationssäkerhet vid institution och utbildning

Ansvaret för informationssäkerhet följer med verksamhetsansvar. Här kan du läsa mer om roller och ansvar i informationssäkerhetsarbete på institutionen och i utbildning.

Organisering av informationssäkerhetsarbete

Ansvaret för informationssäkerhet på KI följer verksamhetsansvaret. På de flesta institutioner innebär det att informationssäkerhetsaspekter behöver beaktas genom hela organisationen: av ledning, avdelning, enhet och forskningsgrupp. Den som ansvarar ett verksamhetsområde måste säkerställa att bedömningar görs och eventuella åtgärder vidtas inom sitt område. 

Praktiskt handlar det om att tänka igenom vilka möjliga risker och flaskhalsar som kan finnas i verksamheten, att det finns ett tillräckligt skydd av information och att förbättringsåtgärder genomförs och följs upp utifrån ett riskbaserat perspektiv.

Risker som kan få stora negativa konsekvenser för KI, och som heller inte kan eller bör hanteras enbart utifrån det egna ansvaret och mandatet, ska lyftas till ledningen centralt på KI i enlighet med gällande riktlinjer för riskhantering.

Ledningen

Ledningen gör i samband med institutionens verksamhetsplanering en övergripande bedömning av risker ur ett informationssäkerhetsperspektiv utifrån underlag från sin organisation. Underlag lämnas till KI:s interna uppföljning av status på informationssäkerheten som initieras av informationssäkerhetsfunktionen vid juridiska avdelningen.

Avdelning/enhet

Ansvariga på avdelnings- och enhetsnivå håller sig uppdaterade om risker och planerade åtgärder inom sin del av organisationen och rapporterar vidare till institutionens ledning på månadsbasis eller vid behov.

Forskargrupper

Forskargruppen är ansvarig för att verksamhetskritiska informationsbehandlingar dokumenteras och riskbedöms samt att nödvändiga förbättringsåtgärder genomförs.

I forskningsprojekten ska riskbedömningar och klassningar av information göras för att få ett riskbaserat beslutsunderlag för projektets informationsbehandling. 

Foto: Pixabay.

I det fall man utvecklar egna specifika IT-lösningar, applikationer, mobilapplikationer eller använder andra externa IT-lösningar för insamling, lagring och delning av data ska de aktuella interna riktlinjerna för informationssäkerhet tillämpas.

Checklistor

Använd checklistorna nedan i informationssäkerhetsarbetet på institutionen.

Institutionens övergripande informationssäkerhetsarbete

Använd punkterna som ett ett stöd i arbetet med att bedöma eventuella risker, brister och behov av förbättringsåtgärder kopplat till institutionens viktigaste och mest kritiska verksamheter och informationshantering. 

  1. Sammanställ en översikt av:
    - institutionens viktigaste & mest kritiska verksamhetsområden
    - eventuella lokala IT-miljöer, IT-lösningar & applikationer inom institutionen
    - kritiska beroenden till externa leverantörer & motsvarande.
  2. Bedöm eventuella risker, hot, flaskhalsar eller liknande som finns kopplat till ovanstående.
  3. Bedöm konsekvenserna för verksamheten av eventuella avbrott i kritiska IT-leveranser.
  4. Planera och budgetera för eventuella förbättringsåtgärder kopplat till ovanstående.
  5. KI:s centrala lösningar för behandling, lagring och delning av information ska användas i första hand. I det fall egna speciallösningar behöver utvecklas ska KI:s riktlinjer för informationssäkerhet tillämpas (se särskilt anvisningar för tekniska miljöer och tekniska tillämpningar samt vägledning för säker utveckling).
  6. Håll en aktuell statusbild av informationssäkerheten inom institutionen som minst omfattar ovanstående punkter. 

För IT- och informationshantering avses här sådant som sköts av institutionen, vid sidan av det som tillhandahålls genom KI:s centrala IT-avdelning och samordnad IT. 

Forskargrupper och forskningsprojekt

Punkterna nedan kan ge stöd i arbetet med att bedöma eventuella risker, brister och behov av förbättringsåtgärder kopplat till forskargruppens viktigaste och mest kritiska verksamheter och informationshantering.

Allmänt

  1. Säkerställ att alla i forskargruppen är orienterade om relevanta informationssäkerhetsaspekter på ert arbete: anvisningar om informationssäkerhet.
  2. Säkerställ informationssäkerheten om ni utvecklar egna IT-miljöer, IT-lösningar, mobilapplikationer mm. KI:s riktlinjer inom dessa områden ska tillämpas (se särskilt anvisningar för tekniska miljöer och tekniska tillämpningar samt vägledning för säker utveckling samt vägledning för säkerhetstester och granskningar).
  3. Säkerställ att eventuella lösningar förvaltas över tid, så att bland annat kritiska uppdateringar genomförs

Forskningsprojekt

Punkterna nedan konkretiserar de informationssäkerhetsaspekter som finns på Hantera forskningsdata samt Juridik, regler och etik inom forskning.

  1. Planera: Beroende på forskningsprojektets syfte, metoder, former för genomförande samt vilka samarbeten och samarbetspartners som är aktuella bör man fastställa vad man behöver göra ur ett informationssäkerhetsperspektiv. 
    I princip behöver man alltid bedöma risker, bedöma hur känslig den data man avser att arbeta med är och utifrån detta välja hur informationshanteringen ska gå till och vilka IT-lösningar man ska välja. I dokumenthanteringsplanen kan man dokumentera detta.
  2. Skapa, samla in, lagra och dela information: Använd KI:s centrala lösningar för att samla in, lagra och dela projektets forskningsdata. Då kan du vara trygg i att lösningarna är tillfredsställande ur ett informationssäkerhetsperspektiv, vilket också löpande följs upp. Lagra och dela filer samt REDCap för datainsamling).

    Även om KI:s centrala lösningar alltid ska användas i första hand finns det situationer som kräver undantag. Då ökar kravet på att ni i projektet säkerställer informationssäkerheten. Tänk också på att KI:s riktlinjer för informationssäkerhet alltid ska följas. I vissa fall behöver särskilda säkerhetstester genomföras innan man tar en lösning i bruk.

    För vidare dialog bör man i första hand ta kontakt med institutionens kontaktperson inom Verksamhetsrelationer och IT-forskningsstöd. Kontaktinformation finns på Medarbetarportalen. Man kan även ta kontakt med informationssäkerhetsfunktionen.
  3. Samarbete, bearbeta och analysera: I alla samarbeten med externa parter där KI är forskningshuvudman och/eller personuppgiftsansvarig ska också de relevanta kraven på skydd av data och informationshantering tas med i avtalsregleringen. KI:s avtalsbilagor innehåller bilagor om informationssäkerheten. Man får stämma av att de är ändamålsenliga för respektive forskningsprojekt.
  4. Publicera och dela: Säkerställ att den data du vill publicera inte innehåller känsliga personuppgifter eller annan konfidentiell data. Använd checklistan ”Vad är viktigt att tänka på” i samband med att du ska publicera och dela forskningsdata.
  5. Bevara, arkivera och rapportera: Följ KI:s vägledning kring arkivering av forskningsdata som presenteras under Forskarstöd på medarbetarportalen. Här finns i övrigt inga speciella aspekter av informationssäkerhet.

Utbildningsverksamhet

Medarbetare och studenter ska kunna fokusera på utbildning och lärande, i en trygg och säker digital pedagogisk miljö. I samband med fortsatt utveckling av KI:s digitala pedagogiska lösningar är det viktigt att kraven på informationssäkerhet säkerställs.

Även i samband med utvecklingen av innehållet i olika utbildningar kan aspekter på informationssäkerhet behöva beaktas. Inte minst om man arbetar med utlämnad klinisk information eller forskningsdata som innehåller särskilda kategorier av personuppgifter.

Generellt handlar ett riskbaserat informationssäkerhetsarbete om att bedöma risker, klassificera information beroende på känslighetsgrad och sedan välja avvägda säkerhetsåtgärder. Syftet är att hantera KI:s information på ett säkert sätt, oavsett om det är digitalt, på papper eller muntligt. Tänk också på att alltid använd KI:s centrala IT-lösningar för lagring, delning eller presentation av data.

Situationer när du särskilt behöver tänka på informationssäkerhetsaspekter:

  • kravställning på nya digitala utbildningsverktyg inför utveckling eller upphandling
  • revisioner/granskningar av digitala utbildningsverktyg eller externa leverantörer
  • skapande av utbildningsmaterial baserat på kliniska data eller forskningsdata.