Dnr: I D9 2189/2003



IT-säkerhetspolicy för Lunds universitet



1. Målen för IT-säkerhetsarbetet


I allt IT-säkerhetsarbete har skyddet av liv, hälsa och personlig integritet högsta prioritet.

Lunds universitets målsättning med IT-säkerhetsarbetet är att säkerställa hög tillgänglighet till kommunikationsnät, datorsystem och datorer så att de kan utnyttjas till dess avsedda funktion. Särskilt viktigt är att förhindra att störningar i kommunikationsnät, datorsystem och datorer orsakar allvarliga konsekvenser för universitetet eller för anställda, studerande och allmänhet.

Universitetets dator- och kommunikationsresurser skall i första hand utnyttjas till vid universitetet bedriven forskning, utbildning, universitetets administrativa uppgifter samt övriga aktiviteter som universitetet har att fullgöra. Endast sekundärt och i begränsad omfattning kan resurserna utnyttjas till privata och personliga ändamål. Säkerhetsarbetet för att skydda forskning och utbildning samt administrativa uppgifter skall alltid prioriteras även om det medför restriktioner för annan användning.

Information som överförs, lagras eller behandlas i kommunikationsnät, datorsystem och datorer skall skyddas mot oavsiktlig, obehörig eller otillåten förändring eller förstöring samt obehörig eller otillåten åtkomst eller kopiering.

IT-säkerhetsarbetet vid Lunds universitet skall därför verka för att säkerställa att kommunikationsnät, datorsystem och datorer skyddas mot intrång, otillåten användning, stöld och skadegörelse.

Metoder att uppnå målen för IT-säkerheten väljs i förhållande till kostnader, säkerhetsnivåer, risker, konsekvenser vid störningar och deras inverkan på den dagliga verksamheten.



2. Riskanalys


För varje dator, datorsystem och funktion eller utrustning i kommunikationsnät där det är av vikt att driften inte störs av intrång, otillåten användning, sabotage, stöld eller liknande aktiviteter skall en säkerhetsplan upprättas. Där skall redovisas en riskanalys, anvisas metoder för att bemöta hoten, beskrivas hur normal drift definieras samt upprättas en plan för hur man skall agera för att snarast återkomma till normal drift efter IT-säkerhetsrelaterade driftstörningar. Planen skall uppdateras så snart någon större förändring sker.



3. Kvalitetssäkring


Nätverksbaserade tjänster och utrustningar kan vid felaktig konfigurering och/eller handhavande orsaka störningar hos andra datorer, datortjänster och nätverksresurser. För att säkerställa hög tillgänglighet till nätverksresurser är det av största vikt att identifiera dessa och tillse att de inte genererar störningar. Kvalitetssäkring av system och tjänster enligt väldokumenterade regler och rutiner skall göras där så är möjligt.



4. Information och utbildning


Kunskaper och säkerhetsmedvetande är helt avgörande för IT-säkerheten. Samtliga personer som på något sätt utnyttjar datorer, datorsystem eller nätverk skall ha den information och utbildning som krävs för att de ska kunna upprätthålla den IT-säkerhetsnivå som åligger dem.



5. Granskning och revision


IT-säkerheten vid universitetet skall granskas regelbundet. Resultatet av granskningen skall publiceras i en rapport som redovisas till styrelse och universitetsledningen.

Kommunikationsresurser, datorsystem och datorer vars funktion kan anses vara särskilt vitala för universitetets dagliga arbete och myndighetsutövning skall granskas speciellt. Vid nyinstallation av, eller förändringar i, dessa skall varje del granskas för att säkerställa att IT-säkerheten upprätthålls.

Granskningen av IT-säkerheten planeras av IT-enheten. Planerna för varje granskning godkänns av förvaltningschefen innan granskningen påbörjas. IT-chefen ansvarar för sammanställning och redovisning av granskningsresultatet.



6. Ansvar


Universitetsledningen är ansvarig för universitetets IT-säkerhet. Därefter är ansvaret för IT-säkerheten fördelat så att

  • verksamhetsansvariga (prefekt, enhetschef eller motsvarande befattning) har ansvaret för IT-säkerheten vid respektive institution, enhet eller motsvarande
  • för centrala eller gemensamma system och resurser skall systemägare, utsedda av universitetsledningen, ansvara för IT-säkerheten i systemet eller resursen
  • varje IT-användare ansvarar för sin egen IT-säkerhet








[ LDC ]        [ Lunds universitet ]        [ LTH ]

©Magnus Persson, LDC Senast uppdaterad: The CMD option is not enabled for #EXEC calls
    Kontakta Webmaster