Universitetets datasäkerhetspolicy

Helsingfors universitets datasäkerhetspolicy definierar universitetsledningens viktigaste datasäkerhetsmål och strategiska tyngdpunkter för datasäkerhetsarbetet. Datasäkerhetspolicyn och det datasäkerhetsarbete som utförs vid universitetet bygger på den finska lagstiftningen.
Lagstiftning som ligger till grund för policyn

Följande är de viktigaste lagarna rörande användning av informationsteknik och IT-tjänster:

Strafflagen (19.12.1889/39) beskriver brottsbeteckningarna och straffen för dem (informations- och kommunikationsbrott, kapitel 38).

Personuppgiftslagen (22.4.1999/523) föreskriver om insamling, behandling och förvaring av personuppgifter. Det är just på grund av skyldigheterna i personuppgiftslagen som användarnamn inte kan beviljas eller glömda lösenord bytas utan att innehavarens identitet kontrolleras.

Lagen om tjänster inom elektronisk kommunikation (7.11.2014/917) främjar tillhandahållandet och användningen av elektroniska kommunikationstjänster och säkerställer att alla har tillgång till kommunikationsnät och kommunikationstjänster på rimliga villkor i hela landet.

Lagen om integritetsskydd i arbetslivet (13.8.2004/759) skyddar människors integritet i relation till arbetsgivaren. De frågor som lagen tar upp gäller även till vissa delar studerande på grund av deras nära förhållande till universitetet.
Datasäkerhetspolicy

I datasäkerhetspolicyn uttrycker universitetets ledning

  • sin syn på datasäkerhet och hur säkerheten anknyter till genomförandet av universitetets strategi
  • de viktigaste riktlinjerna och tyngdpunkterna för arbetet med datasäkerheten enligt strategin samt
  • sin vilja och sitt engagemang för att förverkliga datasäkerhet vid universitetet.

Datasäkerhetspolicyn godkänns av rektorn. Policyer som kompletterar den godkänns av informationsförvaltningsdirektören.

1.1 Datasäkerhetens tre dimensioner

Datasäkerheten består av tre centrala dimensioner

  • Konfidentialitet (confidentiality): att identifiera konfidentiell information och säkerställa konfidentialiteten.
  • Integritet (integrity): att säkerställa att informationen är korrekt och konsekvent samt att den bevaras den planerade tiden.
  • Tillgänglighet (availability): att säkerställa möjligheter att använda informationen på ett korrekt sätt

1.2 Skäl till att säkerställa datasäkerheten

Helsingfors universitet tar hand om datasäkerheten, eftersom följande kvalitetsfaktorer är viktiga för universitetets verksamhet, förmåner och ställning:

  • efterlevnad av lagar och andra bindande normer
  • tryggande av universitetets anseende och förtroendet för universitetet
  • kontroll av datasäkerhetsrisker
  • skapande av en trygg miljö för universitetets kärnverksamheters behov
  • tryggande av centrala funktioner även i undantagssituationer
  • tryggande av samarbetsförmåga och efterlevnad av avtal
  • förebyggande av missbruk av universitetets system.

1.3 Förverkligande av datasäkerhet

Datasäkerhet är en del av universitetets verksamhet, dess kvalitet och helhetsmässiga säkerhet. Principerna för ledning, hantering och förverkligande av datasäkerheten har definierats som en del av helhetsarkitekturen.

Tryggande av datasäkerheten förutsätter

  • rätt valda och korrekt genomförda åtgärder gällande den utrustning, de system och de metoder som används för att behandla informationen i alla skeden av informationens livscykel
  • regler, anvisningar och utbildning för vägledning av de personer som behandlar data.

Ovanstående benämns gemensamt som säkerhetsmekanismer.

Förverkligandet av datasäkerhet handlar om att välja och verkställa lämpliga säkerhetsmekanismer med tanke på de kända datasäkerhetsriskerna. För att rikta säkerhetsmekanismerna mot de objekt som är viktigast för verksamheten tar man hjälp av en klassificering av data. I valet av säkerhetsmekanismer måste man uppnå en balans mellan datasäkerhetens tre dimensioner och kostnaderna för användning av säkerhetsmekanismerna eller de olägenheter som ökad säkerhet orsakar för verksamheten. Kostnaderna kan ha karaktären av direkta ekonomiska investeringar, men de kan indirekt också leda till att arbetet bromsas upp.

Målen för datasäkerheten ställs upp och metoderna för genomförandet väljs så att informationens säkerhet samt det data- och integritetsskydd som lagen garanterar förverkligas på bästa möjliga sätt i universitetets verksamhet.

Uppställandet och mätningen av mål för datasäkerheten samt utvecklingen av ett system för hantering av datasäkerheten grundar sig på de internationella standarderna i serien ISO/IEC 27000, nationella anvisningar för den offentliga förvaltningen samt universitetets egna interna riktlinjer. Man beaktar också kraven i Europeiska unionens och Finlands lagstiftning. Lägesbilden i fråga om datasäkerhet och förverkligandet av målen rapporteras regelbundet till universitetets ledning och IT-centrets direktion.

Datasäkerhetsnivåerna för Helsingfors universitets system definieras utifrån verksamhetens säkerhetskrav och universitetets datasäkerhetsmål. Datasystemen skyddas i enlighet med Helsingfors universitets datasäkerhetsprinciper.

2.1 Tryggad verksamhet som uppfyller kraven

Datasäkerhetskraven dimensioneras och förverkligas i enlighet med lagen och de avtal som universitetet ingått, i enlighet med datasäkerhetsprinciperna och -målen. Universitetet har också beredskap för störningar och undantagsförhållanden samt oförutsedda förändringar i fråga om datasäkerhet så att kärnverksamheten kan fortsätta i alla omständigheter.

2.2 Genomförande av universitetets strategi

Universitetets strategi definierar valet av tyngdpunkter för förverkligandet av datasäkerheten. Datasäkerhetsarbetet stöder universitetets strategiska riktlinjer, i synnerhet när det gäller främjandet av toppforskning, internationalisering och utökandet av samverkan med samhället.

Ett program för utvecklande av datasäkerheten görs upp för varje strategiperiod och det stöder programmen för genomförande av strategin.

2.3 Kontrollerad datasäkerhet och hantering av informationsrisker

Förverkligandet av datasäkerheten och anknytande riskhantering organiseras och genomförs kontrollerat och systematiskt. I riskhanteringen och valet av säkerhetsmekanismer blickar man mot framtiden. På så sätt möjliggör man att ny teknik och nya system kan tas i bruk i rätt tid och på ett tryggt sätt.

Riskhanteringen i anknytning till datasäkerheten organiseras och förverkligas som en del av och i enlighet med universitetets allmänna verksamhet för riskhantering. Enheterna rapporterar datasäkerhetsriskerna i samband med rapporteringen av allmänna risker i kategorin ”informations- och IT-risker”, i enlighet med tidtabellen i riskhanteringens årsklocka. Observationerna och resultaten från riskhanteringen används för att utveckla fokusområdena i utvecklingsprogrammet för datasäkerheten och för att prioritera resurserna.

Risker som berör datasäkerheten kan, om de förverkligas, medföra betydande skador på universitetets anseende och ekonomiska skador. Därför har universitetet definierat gränserna för sin villighet att ta risker på följande sätt ur konfidentialitetens, integritetens och tillgänglighetens perspektiv.

2.3.1 Villighet att ta risker i förhållande till konfidentialitet

När det gäller konfidentialitetsrisker som anknyter till interna oegentligheter och olaglig verksamhet är universitetets villighet att ta risker mycket låg. När det gäller förlust av konfidentialitet för personuppgifter och sekretessbelagd information är universitetets villighet att ta risker låg. När det gäller förlust av konfidentialitet för andra icke-offentliga uppgifter är Helsingfors universitets villighet att ta risker måttlig.

För att hantera risker som berör konfidentialiteten planeras och förverkligas hanterings- och datasäkerhetsförfarandena för universitetets datasystem så att sannolikheten för förlust av konfidentialitet för de uppgifter som finns sparade i systemen är godtagbar i förhållande till följderna av äventyrande av systemets datainnehåll, och nivån på den återstående risken inte överskrider villigheten att ta risker.

2.3.2 Villighet att ta risker i förhållande till integritet

Helsingfors universitets villighet att ta risker i fråga om förlust av informationens integritet är måttlig. När det gäller information som är kritisk för verksamheten är villigheten att ta risker låg. När det gäller personuppgifter är villigheten att ta risker låg.

För att säkerställa informationens integritet planeras arkitekturen i universitetets datasystem så att den information som finns i dem kan säkerhetskopieras, mängden information som går förlorad vid en avvikelse är kontrollerad samt fel i överföring och sparande av information kan upptäckas. Universitetet är redo att godta risker som påverkar integriteten när informationen kan produceras på nytt med litet eller måttligt arbete.

2.3.3 Villighet att ta risker i förhållande till tillgänglighet

Helsingfors universitets villighet att ta risker i fråga om tillgängligheten hos långvariga uppgifter är måttlig, förutom när det gäller information som anses kritisk för verksamheten. För sådan information är villigheten att ta risker låg. När det gäller förlust av personuppgifters tillgänglighet är universitetets villighet att ta risker låg.

2.4 Datasäkerhetens stöd för forskning, undervisning och samarbete

Datasäkerhetens mål är att möjliggöra säker och effektiv användning av de verktyg för informationsbehandling och kommunikation som behövs för forskning, undervisning, studier och samhällelig påverkan. Säkerhetsåtgärderna varierar i nivå från åtgärder gällande enskilda forskare eller lärare, forskningsprojekt och grupper, studieavsnitt, ämnen och enheter till universitetsövergripande åtgärder.

Målet för datasäkerhetsmekanismerna är att möjliggöra att forskningen, undervisningen, studierna och samverkan med samhället fungerar så effektivt och samtidigt säkert som möjligt. Man förebygger störningar genom att utvärdera situationer där risker kan uppstå samt erbjuda anvisningar och utbildning för att kontrollera riskerna.

2.5 Datasäkerhetens stöd för administrationen och andra stödfunktioner

Universitetets helhetsarkitektur beskriver hur nya datasystem förverkligas verksamhetsmässigt och tekniskt. Som en del av detta genomgår systemen en datasäkerhetsutvärdering. Genom datasäkerhetsåtgärderna vill man främja att nya, effektiva och trygga system och rutiner tas i bruk i alla funktioner vid universitetet. Man strävar efter att trygga funktionen hos de centrala system som är viktigast för universitetet även i undantagsförhållanden

3.1 Ledning

Ledningen och uppföljningen av datasäkerheten är en del av universitetets allmänna ledning, och det är i sista hand rektorn som ansvarar för detta. Datasäkerhetsarbetet leds av informationsförvaltningsdirektören.

3.2 Hantering av avvikelser

Alla datasäkerhetsavvikelser, det vill säga företeelser och händelser som äventyrar eller äventyrat datasäkerheten, som berör universitetet ska i första hand anmälas till informationsförvaltningen och i andra hand till den närmaste chefen. Alla chefer ansvarar för att se till att information om datasäkerhetsavvikelser som anmälts till dem även kommit informationsförvaltningen till kännedom.

Universitetet har en skyldighet att anmäla personuppgiftsincidenter till dataombudsmannen inom 72 timmar efter att incidenten upptäckts.

Datasäkerhetschefen eller en person som utsetts av datasäkerhetschefen samordnar hanteringen av datasäkerhetsavvikelser. I händelse av en datasäkerhetsavvikelse har datasäkerhetschefen rätt att bestämma att ett datasystem, en del av ett system eller en enskild användares användningsrättigheter ska stängas av. Ägaren till information, ett system eller utrustning som anknyter till en avvikelse har en skyldighet att ordna tillgång till alla de resurser som behövs för utredning av datasäkerhetsavvikelsen, som hen ansvarar för.

I krissituationer på universitetsnivå följer man universitetets krishanteringsplan. Informations- och kommunikationsbrott mot universitetet anmäls till Cybersäkerhetscentret och en brottsanmälan görs.

4.1 Gemensamt ansvar och gemensamma skyldigheter

Varje medlem i universitetssamfundet ansvarar för förverkligande och tillsyn av datasäkerheten. Varje grupp inom samfundet ansvarar för att material som hör till dess egen verksamhet är säkerhet och behandlas på lagenligt sätt, och varje beslutsfattare ansvarar för de datasäkerhetsåtgärder som de egna besluten kräver och effekterna av dem. Var och en vid universitetet ansvarar också för förverkligande av datasäkerhet i sin egen verksamhet, och är därmed skyldig att säkerställa att hen

  • känner till och följer universitetets anvisningar för datasäkerhet,
  • skapar och upprätthåller en god datasäkerhetskultur i sin dagliga verksamhet,
  • avlägger Helsingfors universitets datasäkerhetstest och grundkursen i datasäkerhet regelbundet,
  • deltar i annan datasäkerhetsutbildning som anknyter till den egna rollen,
  • känner till de datasäkerhetsansvar och -uppgifter som tilldelats hen eller hör till den egna rollen och agerar på det sätt som de kräver,
  • anmäler äventyrande av datasäkerheten till informationsförvaltningen och, om hen hör till universitetets personal, till sin chef.

4.2 Särskilt ansvar och särskilda skyldigheter

Till många roller och arbetsuppgifter vid universitetet hör särskilda namngivna ansvarsområden inom datasäkerhet. Dessa ansvarsområden beskrivs i bilagan Datasäkerhetsansvar vid Helsingfors universitet, som bifogats till denna policy.

I kommunikation som rör datasäkerhet följer man universitetets kommunikations- och kriskommunikationsplaner. Under normala omständigheter är det datasäkerhetschefen som ansvarar för den interna kommunikationen om datasäkerhet vid universitetet. I krissituationer fördelas ansvaret för kommunikationen om datasäkerhet i enlighet med planen för kriskommunikation.

Universitetet kan ålägga en medlem av universitetssamfundet påföljder på grund av verksamhet som hotar universitetets datasäkerhet, avsiktlig eller oaktsam underlåtenhet att uppfylla de skyldigheter som anges i datasäkerhetspolicyn eller brott mot datasäkerhetsanvisningarna. Påföljderna fastställs i enlighet med universitetets allmänna rutiner för påföljder, beroende på omständigheterna och situationens allvar.

1 Inledning

Förverkligandet av datasäkerhet inom universitetssamfundet är beroende av dess medlemmars agerande och de val som de gör i sitt dagliga arbete. Alla medlemmar i samfundet måste därför känna till de ansvar och skyldigheter som ingår i deras arbete för tryggande av

  • informationens konfidentialitet
  • bevarandet av informationen och informationens korrekthet
  • informationens tillgänglighet i rätt tid och i enlighet med användningsbefogenheter samt
  • lagenlig offentlighet, sekretess och dataskydd i högskolesamfundet.

2 Särskilda ansvarsområden, skyldigheter och uppgifter

Vid sidan av det allmänna ansvar för förverkligande av datasäkerhet och dataskydd som beskrivs i datasäkerhetspolicyn finns särskilda ansvarsområden för vissa arbetsuppgifter och roller. Dessa sammanfattas nedan. Om en person vid universitetet har flera olika roller har hen ansvar enligt alla sina roller.

Rektor         

  • godkänner datasäkerhetspolicyn och fördelningen av datasäkerhetsansvar

IT-centrets direktion       

  • ställer krav för datasäkerhetsrapporteringen

Dekan och enhetschef   

  • ansvarar för handledning, utveckling och resursfördelning för datasäkerheten inom sin fakultet eller enhet i enlighet med universitetets riktlinjer
  • ansvarar för resursfördelningen för och datasäkerheten i de tjänster som ägs av fakulteten eller enheten
  • ansvarar för att fakultetens eller enhetens personal känner till sina roller i fråga om datasäkerhet
  • utser ägare till fakultetens eller enhetens tjänster
  • rapporterar enhetens informations- och IT-risker enligt universitetets riskhanteringsrutiner

Förvaltningsdirektör       

  • ansvarar för beaktandet av datasäkerheten i säkerhetsverksamheten som helhet

Informationsförvaltningsdirektör                     

  • ansvarar för de huvudsakliga riktlinjerna för och den strategiska styrningen av datasäkerheten
  • ansvarar för resursfördelningen för universitetets centraliserade datasäkerhetsverksamhet

Enheten för informationsadministration                     

  • stöder dem som deltar i ledningen och förverkligandet av informationssäkerheten inom deras ansvarsområden

Datasäkerhetschef          

  • granskar behovet av ändringar i datasäkerhetspolicyn årligen
  • ansvarar för utvecklingen och uppföljningen av datasäkerheten vid universitetet
  • deltar i riskhanteringen på universitetsnivån när det gäller datasäkerhets- och informationsrisker
  • deltar i de samarbetsnätverk som är viktiga för universitetets datasäkerhet
  • samarbetar med dataskyddsorganisationen
  • ansvarar för planeringen och samordningen av datasäkerhetsutbildningen
  • samordnar hanteringen av datasäkerhetsavvikelser
  • fungerar som kontaktperson i myndighetssamarbete kring datasäkerhet och informationsbrott
  • rapporterar om datasäkerheten till universitetets ledning och informationsförvaltningsdirektören

Datasäkerhetsexpert      

  • följer situationen i fråga om datasäkerhet vid universitetet
  • rapporterar till datasäkerhetschefen om upptäckta faktorer som äventyrar datasäkerheten
  • deltar i de samarbetsnätverk som är viktiga för universitetets datasäkerhet
  • deltar i datasäkerhetsgranskningar och -konsultationer
  • deltar i utarbetandet av riskanalyser
  • deltar i behandlingen av datasäkerhetsavvikelser

Ägare till information     

  • ansvarar för att organisera informationshanteringen
  • ansvarar för informationens struktur och kvalitet
  • ansvarar för användningen av informationen och för dess livscykel
  • ansvarar för att skydda informationen, för användningsrättigheter och för säkerhetskopiering
  • ansvarar för kontinuitetsplaneringen gällande informationen
  • fattar beslut om klassificering av informationen
  • ansvarar för hantering av risker gällande informationen
  • rapporterar till enhetens chef och till informationsförvaltningen om faktorer som påverkar informationens säkerhet

Ägare till tjänst                

  • ansvarar för hantering av tjänstens informations- och IT-risker
  • utser de ansvariga för tjänsten, deras ersättare och tjänstens förvaltare
  • rapporterar om faktorer som påverkar tjänstens datasäkerhet till enhetens chef och till informationsförvaltningen
  • ansvarar för att skydda tjänsten och informationen i den, för användningsrättigheter och för säkerhetskopiering
  • följer datasäkerheten i tjänsten
  • ansvarar för kontinuitets- och återhämtningsplanerna för tjänsten
  • ansvarar för att anvisningarna för och dokumentationen av användningen av tjänsten förverkligas och hålls uppdaterade

Tjänstens förvaltare (administratörer och IT-personal)

  • övervakar och upprätthåller datasäkerheten i tjänsten
  • rapporterar om datasäkerheten i tjänsten samt störningar i den till tjänstens ägare och informationsförvaltningen
  • följer god praxis för informationshantering, upprätthållande och datasäkerhet
  • förbereder sig för störningar och de åtgärder som krävs för hantering av dem
  • sköter förfarandena för säkerställande och återställande av tjänsten

Ansvarig forskare

  • ansvarar för identifieringen av säkerhetskrav i den forskning som hen leder
  • ansvarar för att utvärdera datasäkerhets- och dataskyddsriskerna i den forskning som hen leder samt för att rapportera dem till fakulteten
  • ansvarar för att förverkliga de datasäkerhetsrutiner som behövs för den forskning som hen leder
  • ansvar för att ge anvisningar om säkerhetsrutinerna till den personal som deltar i forskningen

Chef            

  • ser till att de underordnade har tillräckliga kunskaper om datasäkerhet för sina arbetsuppgifter
  • övervakar att universitetets anvisningar, regler och principer följs i det dagliga arbetet
  • ingriper i verksamhet som äventyrar datasäkerheten som hen upptäcker
  • bedömer riskerna i den dagliga verksamheten
  • rapporterar till sin chef om risker som upptäckts i verksamheten

Extern samarbetspartner

  • följer god praxis för informationshantering och datasäkerhet
  • övervakar och upprätthåller datasäkerheten i sin egen verksamhet
  • rapporterar till universitetet om datasäkerheten i sitt arbete eller sin tjänst och faktorer som påverkar den
  • följer universitetets anvisningar om behandlingen av information som tillhör universitetet