Helsingfors universitets datasäkerhetspolicy

1. Datasäkerhetspolicyns syfte

I datasäkerhetspolicyn uttrycker universitetets ledning

  • sin syn på datasäkerhet och hur säkerheten anknyter till genomförandet av universitetets strategi
  • de viktigaste riktlinjerna och tyngdpunkterna för arbetet med datasäkerheten under strategiperioden
  • sitt engagemang för att förverkliga datasäkerheten vid universitetet.

Datasäkerhetspolicyn godkänns av direktionen för Helsingfors universitets IT-center. Närmare anvisningar som kompletterar policyn behandlas och godkänns av IT-centrets direktion.

1.1 Datasäkerhetens tre dimensioner

  • Konfidentialitet (eng. confidentiality): Att identifiera konfidentiell information och säkerställa konfidentialiteten.
  • Integritet (eng. integrity): Att säkerställa att informationen är korrekt, äkta och konsekvent samt att den bevaras den planerade tiden.
  • Tillgänglighet (eng. availability): Att säkerställa möjligheter att använda informationen på ett korrekt sätt.

1.2 Förverkligandet av datasäkerheten

Datasäkerheten förutsätter rätt valda och korrekt genomförda åtgärder gällande den utrustning, de system och de metoder som används för att behandla informationen i alla skeden av informationens livscykel. Vidare förutsätter den regler, anvisningar och utbildning för de personer som behandlar informationen. Detta kallas med ett gemensamt namn för säkerhetsmekanismer.

Förverkligandet av datasäkerheten innebär val och utnyttjande av säkerhetsmekanismer som är lämpliga med tanke på de kända datasäkerhetsriskerna. Vid valet av säkerhetsmekanismer måste man balansera datasäkerhetens tre dimensioner och kostnaderna som användningen av säkerhetsmekanismerna orsakar, samt hur mycket verksamheten försvåras på grund av den ökade säkerheten. Kostnaderna kan vara omedelbara ekonomiska investeringar, men de kan också vara indirekta kostnader orsakade av att arbetet blir långsammare.

Målen för datasäkerheten ställs upp och metoderna för att uppnå målen väljs så att dataskyddet och integritetsskyddet som garanteras genom lag förverkligas på bästa möjliga sätt i universitetets verksamhet. Målen för och situationen gällande datasäkerheten rapporteras regelbundet till IT-centrets direktion.

Datasäkerhetsnivåerna för Helsingfors universitets system definieras enligt statsförvaltningens VAHTI-anvisningar och datasystemen skyddas på de sätt som beskrivs i Helsingfors universitets datasäkerhetsarkitektur. Dessutom beaktas EU:s och Finlands nuvarande och framtida lagar och förordningar.

1.3 Motiv för säkerställandet av datasäkerheten

  • Följa lagar och andra bindande normer
  • Säkerställa centrala verksamheter också i undantagssituationer
  • Säkerställa samarbetsförmågan och följa avtal
  • Skapa en säker miljö för universitetets kärnverksamheter
  • Värna om universitetets rykte och tillförlitlighet
  • Bemöda sig om att hindra att universitetets system orsakar andra aktörer skada.

2. Riktlinjer

2.1 Tryggad verksamhet som uppfyller kraven

Datasäkerheten dimensioneras och förverkligas på det sätt som lagen och universitetets avtal kräver och i enlighet med principerna för datasäkerhetsarkitekturen. Universitetet förbereder sig också för störningar, undantagstillstånd och oförutsedda förändringar så att verksamheten kan fortsätta så störningsfritt som möjligt i alla situationer.

2.2 Genomförandet av universitetets strategi

Universitetets strategi definierar valet av tyngdpunkter för förverkligandet av datasäkerheten. Datasäkerhetsarbetet stöder universitetets strategiska riktlinjer, i synnerhet när det gäller främjandet av toppforskning, internationalisering och utökandet av samverkan med samhället. Ett program för utvecklande av datasäkerheten görs upp för varje strategiperiod och det stöder programmen för genomförande av strategin.

2.3 Kontrollerad datasäkerhet och hantering av informationsrisker

Förverkligandet av datasäkerheten och anknytande riskhantering organiseras och genomförs kontrollerat och systematiskt. När det gäller riskhantering och val av säkerhetsmekanismer beaktar man också utvecklingen i framtiden, så att nya tekniker och system kan tas i bruk säkert och i rätt tid.

Informationsförvaltningen ansvarar för dokumentationen i anslutning till datasäkerheten, inklusive bl.a.

  • organiseringen av riskhantering gällande data och datasystem
  • organiseringen av uppföljningen av att datasäkerheten uppfyller de krav som standardmiljön och universitetets avtal ställer
  • rollerna i anslutning till datasäkerheten samt de ansvar och behörigheter som rollerna omfattar.

Datasäkerheten utgör en del av den allmänna säkerheten vid universitetet. Hanteringen av datasäkerhetsrisker rapporteras till universitetets styrelses revisionsutskott.

2.4 Anpassande av datasäkerheten till den öppna internationella verksamheten

När man ställer upp mål och fastställer nivån för datasäkerheten, mäter och väljer säkerhetsmekanismer utnyttjas internationella och nationella standarder och rekommendationer (t.ex. ISO, KATAKRI, VAHTI) och universitetets interna anvisningar.

Internationaliseringen stöds genom att tillhandahålla material om universitetets datasäkerhet och erbjuda utbildning också på engelska. Man väljer tillräckligt trygga och användarvänliga verktyg för det allt mer internationella universitetet samt erbjuder rådgivning.

2.5 Datasäkerhetens stöd för forskning, undervisning och samarbete

Datasäkerhetens mål är att möjliggöra säker och effektiv användning av de verktyg för informationsbehandling och kommunikation som forskningen, undervisningen och samarbetet behöver. Säkerhetsåtgärderna varierar i nivå från åtgärder gällande enskilda forskare eller lärare, forskningsprojekt och grupper, studieavsnitt, ämnen och enheter till universitetsövergripande åtgärder. Målet för datasäkerhetsarbetet är att möjliggöra en så effektiv och säker forskning, undervisning och samverkan med samhället som möjligt. Störningar förebyggs genom att förutse och bedöma situationer där risker kan uppstå och erbjuda anvisningar och utbildning för att hantera risker.

2.6 Datasäkerhetens stöd för förvaltningen och andra stödverksamheter

Datasäkerheten sköts som en del av förvaltningens systemutveckling. Universitetets helhetsarkitektur beskriver hur förvaltningens nya system genomförs i fråga om funktioner och teknik. Systemen undergår en säkerhetsutvärdering. Datasäkerhetsarbetet främjar ibruktagandet av nya och effektiva system och verksamhetskoncept i alla universitetets verksamheter. Man strävar efter att säkerställa att universitetets viktigaste kärnsystem fungerar också i undantagssituationer.

3. Organisation

3.1 Ledning

Ledningen och uppföljningen av datasäkerheten sammanflätas med den allmänna ledningen av universitetet. Rektorn ansvarar i sista hand för ledningen och uppföljningen. Datasäkerhetsarbetet leds av informationsförvaltningsdirektören.

3.2 Ansvar

Informationsförvaltningsdirektören ansvarar för de huvudsakliga riktlinjerna för datasäkerheten, den strategiska styrningen, uppföljningen och för att universitetets centraliserade datasäkerhetsarbete har tillräckliga resurser.

Universitetets informationsförvaltning ansvarar för utvecklingen av anvisningar och funktioner i anknytning till datasäkerheten.

Informationsförvaltningsdirektören ansvarar för utvecklingen och uppföljningen av datasäkerheten och det externa samarbetet samt planerar utvecklingsåtgärder. Informationsförvaltningsdirektören övervakar förverkligandet av datasäkerheten, ingriper då avvikelser från datasäkerheten upptäcks och leder utredningar av avvikelserna. Då avvikelser från datasäkerheten förekommer har informationsförvaltningsdirektören rätt att stänga av datasystemet eller delar av systemet eller dra in enskilda användares behörigheter. Informationsförvaltningsdirektören leder datasäkerhetsgruppen, som stöder och hjälper institutionerna att förverkliga datasäkerheten och regelbundet ordnar utbildning i datasäkerhet och utvärderingar av datasäkerheten.

Varje prefekt eller direktör ansvarar för säkerheten för de system som den egna institutionen äger, för att systemen följer bestämmelserna och för deras kostnader. Varje anställd och studerande vid universitetet ansvarar för förverkligandet och övervakningen av datasäkerheten. Varje anställd och studerande vid universitetet ansvarar för att datasäkerheten förverkligas i sin egen verksamhet och är också skyldig att meddela informationsförvaltningsdirektören om brister i datasäkerheten upptäcks.

4. Kommunikation

När det gäller kommunikation om datasäkerheten följs universitetets kommunikations- och kriskommunikationsplan. Under normala omständigheter ansvarar informationsförvaltningsdirektören för universitetets interna datasäkerhetskommunikation. Enheternas ledare ansvarar för enheternas interna datasäkerhetskommunikation. I krissituationer fördelas ansvaret för datasäkerhetskommunikationen enligt kriskommunikationsplanen.