- Syfte
- Mål
- Omfattning
- Överensstämmelse
- Översyn
- Policy Statement
- 1. Informationssäkerhetspolicy
- 2. Organisation av informationssäkerheten
- 3. Personalresurser Säkerhet
- 4. Asset Management
- 5. Tillgångskontroll
- 6. Kryptografi
- 7. Fysisk och miljömässig säkerhet
- 8. Driftssäkerhet
- 9. Kommunikationssäkerhet
- 10. Systemanskaffning, utveckling och underhåll
- 11. Leverantörsrelationer
- 12. Hantering av informationssäkerhetsincidenter
- 13. Informationssäkerhetsaspekter av kontinuitetshantering
- 14. Överensstämmelse
Syfte
Information som samlas in, analyseras, lagras, kommuniceras och rapporteras kan utsättas för stöld, missbruk, förlust och korruption.
Informationen kan äventyras av dålig utbildning, dålig träning och brott mot säkerhetskontroller.
Informationssäkerhetsincidenter kan ge upphov till förlägenhet, ekonomiska förluster, bristande efterlevnad av standarder och lagstiftning samt eventuella domar mot universitetet.
Denna högnivåpolicy för informationssäkerhet är tillsammans med policyn för hantering av informationsrisker och dataskyddspolicyn en översikt på hög nivå av och en motivering för universitetets riskbaserade informationssäkerhetskontroller.
- Policy för hantering av informationsrisker
- Policy för dataskydd
Mål
Universitetets säkerhetsmål är att:
- Våra informationsrisker identifieras, hanteras och behandlas i enlighet med en överenskommen risktolerans
- Våra auktoriserade användare kan på ett säkert sätt få tillgång till och dela information för att kunna utföra sina uppgifter
- Våra fysiska, procedurmässiga och tekniska kontroller balanserar användarupplevelsen och säkerheten
- Våra avtalsenliga och rättsliga skyldigheter i fråga om informationssäkerhet uppfylls
- Vår undervisning, forskning och administrativ verksamhet tar hänsyn till informationssäkerheten
- De personer som har tillgång till vår information är medvetna om sitt ansvar för informationssäkerheten
- Incidenter som påverkar våra informationstillgångar löses och vi drar lärdom av dem för att förbättra våra kontroller.
Omfattning
Informationssäkerhetspolicyn och dess stödjande kontroller, processer och förfaranden gäller all information som används vid universitetet, i alla format. Detta inkluderar information som behandlas av andra organisationer i deras kontakter med universitetet.
Informationssäkerhetspolicyn och dess stödjande kontroller, processer och förfaranden gäller för alla individer som har tillgång till universitetets information och teknik, inklusive externa parter som tillhandahåller informationsbehandlingstjänster till universitetet.
En detaljerad räckvidd, inklusive en uppdelning av användare, informationstillgångar och informationsbehandlingssystem, finns i ramdokumentet för Information Security Management System (ISMS).
Överensstämmelse
Överensstämmelse med kontrollerna i denna policy kommer att övervakas av informationssäkerhetsteamet och rapporteras till Information Governance Board.
Översyn
En översyn av denna policy kommer att genomföras av informationssäkerhetsteamet årligen eller oftare vid behov, och kommer att godkännas av Information Governance Board och University Executive Group.
Policy Statement
Det är universitetets policy att se till att information skyddas från en förlust av:
- Konfidentialitet – information kommer endast att vara tillgänglig för auktoriserade personer
- Integritet – informationens riktighet och fullständighet kommer att upprätthållas
- Access – information kommer att vara tillgänglig för auktoriserade användare och processer när så krävs
Universitetet kommer att implementera ett ledningssystem för informationssäkerhet som är baserat på den internationella standarden ISO 27001 för informationssäkerhet. Universitetet kommer också att hänvisa till andra standarder vid behov, med hänsyn till de metoder som används av dess intressenter, inklusive forskningspartner.
Universitetet kommer att anta ett riskbaserat tillvägagångssätt vid tillämpningen av kontroller:
- Policy för informationssäkerhet
- Organisering av informationssäkerhet
- Säkerhet för mänskliga resurser
- Asset Management
- Access Kontroll
- Kryptografi
- Fysisk och miljömässig säkerhet
- Verksamhetssäkerhet
- Kommunikationssäkerhet
- Systemanskaffning, Utveckling och underhåll
- Leverantörsrelationer
- Hantering av incidenter inom informationssäkerheten
- Aspekter på informationssäkerheten i samband med hantering av verksamhetens kontinuitet
- Kompatibilitet
1. Informationssäkerhetspolicy
En uppsättning kontroller, processer och förfaranden på lägre nivå för informationssäkerhet kommer att definieras, till stöd för informationssäkerhetspolicyn på högre nivå och dess angivna mål. Denna uppsättning stöddokumentation kommer att godkännas av informationssäkerhetsstyrelsen, publiceras och kommuniceras till universitetets användare och relevanta externa parter.
2. Organisation av informationssäkerheten
Universitetet kommer att definiera och genomföra lämpliga styrningsarrangemang för förvaltningen av informationssäkerheten. Detta kommer att innefatta identifiering och fördelning av säkerhetsansvar, för att initiera och kontrollera genomförandet och driften av informationssäkerheten inom universitetet.
Universitetet kommer att utse minst:
- En verkställande direktör som är ordförande för informationsstyrningsrådet och tar ansvar för informationsrisker
- Ett informationsstyrningsråd för att påverka, övervaka och främja en effektiv hantering av universitetets information
- En informationssäkerhetsspecialist för att hantera den dagliga informationssäkerhetsfunktionen
- Informationstillgångsägare (IAO) för att ta på sig det lokala ansvaret för informationshantering; och informationstillgångsförvaltare som ansvarar för den dagliga informationshanteringen
3. Personalresurser Säkerhet
Universitetets säkerhetspolicy och förväntningar på godtagbar användning kommer att kommuniceras till alla användare för att säkerställa att de förstår sitt ansvar. Utbildning i informationssäkerhet kommer att göras tillgänglig för all personal, och dåligt och olämpligt beteende kommer att åtgärdas.
Om det är praktiskt möjligt kommer säkerhetsansvaret att ingå i rollbeskrivningar, personspecifikationer och personliga utvecklingsplaner.
4. Asset Management
Alla tillgångar (information, programvara, elektronisk informationsbehandlingsutrustning, serviceverktyg och personal) kommer att dokumenteras och redovisas. Ägare kommer att identifieras för alla tillgångar och de kommer att vara ansvariga för underhåll och skydd av sina tillgångar.
Alla informationstillgångar kommer att klassificeras i enlighet med deras rättsliga krav, affärsvärde, kriticitet och känslighet, och klassificeringen kommer att ange lämpliga hanteringskrav. Alla informationstillgångar kommer att ha en fastställd tidsplan för lagring och bortskaffande.
5. Tillgångskontroll
Access till all information kommer att kontrolleras och styras av verksamhetskraven. Tillgång kommer att beviljas eller åtgärder vidtas för användare i enlighet med deras roll och informationsklassificeringen, endast till en nivå som gör det möjligt för dem att utföra sina uppgifter.
Ett formellt förfarande för registrering och avregistrering av användare kommer att upprätthållas för åtkomst till alla informationssystem och -tjänster. Detta kommer att innefatta obligatoriska autentiseringsmetoder baserade på känsligheten hos den information som man får tillgång till, och kommer att innefatta beaktande av flera faktorer när så är lämpligt.
Specifika kontroller kommer att genomföras för användare med förhöjda privilegier, för att minska risken för oaktsamt eller avsiktligt missbruk av systemet. Uppdelning av arbetsuppgifter kommer att genomföras där det är praktiskt möjligt.
6. Kryptografi
Universitetet kommer att tillhandahålla vägledning och verktyg för att säkerställa korrekt och effektiv användning av kryptografi för att skydda informationens och systemens konfidentialitet, äkthet och integritet.
7. Fysisk och miljömässig säkerhet
Informationsbehandlingsanläggningar är inrymda i säkra områden, som är fysiskt skyddade från obehörig åtkomst, skador och störningar genom definierade säkerhetsperimetrar. Skiktade interna och externa säkerhetskontroller kommer att finnas på plats för att avskräcka eller förhindra obehörig åtkomst och skydda tillgångar, särskilt sådana som är kritiska eller känsliga, mot våldsamma eller smygattacker.
8. Driftssäkerhet
Universitetet kommer att säkerställa korrekt och säker drift av informationsbehandlingssystem.
Detta kommer att innefatta:
- Dokumenterade driftsrutiner
- Användning av formell förändrings- och kapacitetshantering
- Kontroller mot skadlig kod
- Definierad användning av loggning
- Sårbarhetshantering
9. Kommunikationssäkerhet
Universitetet kommer att upprätthålla nätverkssäkerhetskontroller för att säkerställa skyddet av information i sina nätverk och tillhandahålla verktyg och vägledning för att säkerställa säker överföring av information både inom sina nätverk och med externa enheter, i linje med de klassificerings- och hanteringskrav som är förknippade med denna information.
10. Systemanskaffning, utveckling och underhåll
Krav på informationssäkerhet kommer att definieras under utvecklingen av verksamhetskrav för nya informationssystem eller ändringar av befintliga informationssystem.
Kontroller för att minska identifierade risker kommer att genomföras där så är lämpligt.
Systemutvecklingen kommer att vara föremål för förändringskontroll och åtskillnad av test-, utvecklings- och driftsmiljöer.
11. Leverantörsrelationer
Universitetets krav på informationssäkerhet kommer att beaktas vid upprättandet av relationer med leverantörer, för att säkerställa att tillgångar som är tillgängliga för leverantörer är skyddade.
Leverantörsaktivitet kommer att övervakas och granskas i enlighet med tillgångarnas värde och tillhörande risker.
12. Hantering av informationssäkerhetsincidenter
Riktlinjer kommer att finnas tillgängliga om vad som utgör en informationssäkerhetsincident och hur denna ska rapporteras.
Faktuella eller misstänkta brott mot informationssäkerheten måste rapporteras och kommer att utredas.
Att lämpliga korrigerande åtgärder kommer att vidtas och eventuella lärdomar kommer att byggas in i kontrollerna.
13. Informationssäkerhetsaspekter av kontinuitetshantering
Universitetet kommer att ha arrangemang för att skydda kritiska affärsprocesser från effekterna av större fel på informationssystem eller katastrofer och för att säkerställa att de återställs i rätt tid i enlighet med dokumenterade affärsbehov.
Detta kommer att omfatta lämpliga rutiner för säkerhetskopiering och inbyggd motståndskraft.
Affärskontinuitetsplaner måste upprätthållas och testas till stöd för denna policy.
En analys av verksamhetens konsekvenser kommer att genomföras av konsekvenserna av katastrofer, säkerhetsbrister, förlust av tjänster och bristande tillgänglighet till tjänster.
14. Överensstämmelse
Utformning, drift, användning och förvaltning av informationssystem måste följa alla lagstadgade, reglerande och avtalsenliga säkerhetskrav.
För närvarande innefattar detta dataskyddslagstiftning, standarden för betalkortsindustrin (PCI-DSS), regeringens vägledning om förebyggande åtgärder (Prevent guidance) och universitetets avtalsenliga åtaganden.
Universitetet kommer att använda en kombination av intern och extern revision för att visa att man följer valda standarder och bästa praxis, inklusive interna riktlinjer och förfaranden.
Detta kommer att innefatta IT-hälsokontroller, analyser av brister i förhållande till dokumenterade standarder, interna kontroller av personalens efterlevnad och återrapporteringar från informationstillgångsägarna.