Nu har “Ledningssystem för informationssäkerhet vid Lunds universitet” fastställts av rektor Erik Renström. Ledningssystemet har därmed formellt trätt i kraft men kommer att införas stegvis.
Detta är grunden för ledning och styrning av informationssäkerhetsarbetet. Dokumentet, inklusive bilagor, omfattar allt från årsplanering till de punkter som ingår när informationssäkerhet vid Ledningens genomgång två gånger per år kommer att rapporteras till universitetsledningen.
Bilagor beskriver delegation, ansvar och resurser bland annat chefer, dekaner och systemägare.
Genom ett LIS ska universitetet anpassas till ett systematiskt informationssäkerhetsarbete baserat bl.a. på föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB).
Ledningssystemet omfattar hela verksamheten och bland annat beskrivs ansvaret som gäller var och en som är verksam vid Lunds universitet så här:
“Alla verksamma vid universitetet, såsom medarbetare, alla studenter samt externa samarbetspartner, har ett ansvar och en skyldighet att skydda verksamhetens information vid hantering av denna samt att inrapportera avvikelser från regelverket eller oönskade händelser som upptäcks.”
Nästa steg är att fokusera på riskdialog med fakultetsledningar och utbildning, och parallellt utforma de slutliga styrdokumenten; direktiv, rutiner och riktlinjer. Följande styrande dokument ska ingå i det färdiga ledningssystemet:
- Policy för informationssäkerhet: uttrycker universitetsstyrelsens viljeinriktning, strategiska mål och ledningssystemets omfattning
- Ledningssystem för informationssäkerhet vid Lunds universitet: Fastställer och beskriver hur universitetet styr sin informationssäkerhet
- Riktlinjer – Riskbaserat informationssäkerhetsarbete: Beskriver riskprocess – informationssäkerhet
- Anvisningar – Fastställda informationssäkerhetsåtgärder: Beskriver säkerhetsåtgärder inom informationssäkerhet
Efter att ha slutfört den pågående planen går vi in i implementation steg för steg i organisationen. Vid Förvaltningen kommer CISO-funktionen att utvecklas vidare för att kunna stödja, hantera årsrutiner, register, support, vägledning och underhåll över tid.
Senare, när tiden är mogen, kommer även lokala informationssäkerhetssamordnare att utses vid behov, som kontaktpunkt mot den gemensamma CISO-funktion och lokala experter i operativa frågor.