Styrning av åtkomst till information

Det är många individer; medarbetare, studenter, uppdragstagare/anknutna, konsulter i verksamheten och till viss del leverantörer, som har åtkomst till universitetets information och informationssystem. Därför ska det finnas metoder och rutiner på plats för att kontrollera all åtkomst till information, system, nätverk och tjänster. Det är också viktigt att alla som har åtkomst till universitetets informationssystem beaktar informationssäkerhetsaspekterna och förstår sina personliga skyldigheter vid användandet av system och hanteringen av information. Åtkomst till information inom universitetet ska kontrolleras genom administrativa och tekniska skyddsåtgärder. Metoden ”minsta möjliga rättigheter” bör följas. Särskild för systemadministrativa konton samt system som innehåller känslig information.

Länk till föreskrift avseende användning av SU:s information & informationshanterande resurser finns i Regelboken, se länk nedan.

Behörighet och inloggning

För att få behörighet till universitetets nätverk, generella IT-system och verksamhetssystem krävs det att din chef, för din räkning, ansöker om behörighet till de system du behöver i ditt arbete. Ansökan från din chef är det som initierar registrering av dig som användare i de olika systemen. När det gäller behörighet i nätverket och e-post, så är det IT-avdelningen eller motsvarande som registrerar dig som användare och därefter distribuerar användarnamn och lösenord till dig. För behörighet i de verksamhetsspecifika system som du behöver tillgång till, är det förvaltningsledare eller motsvarande för respektive system som registrerar dig som användare. Innan du får behörighet till nätverk, generella IT-system och verksamhetssystem behöver du ta del av och skriva under föreskrifter för anställdas användning av Stockholms universitets (SU) dator-, nät- och systemresurser.

Behörighet för externa användare

Externa användare, exempelvis konsulter, behöver ibland behörighet till nätverk och system. Uppdragsgivaren ska i sådana fall göra en ansökan om behörighet för konsulten, som personligen skriver under föreskrifter för anställdas användning av Stockholms universitets (SU) dator-, nät- och systemresurser. Konsulten ska inte ha tillgång till mer information än hen behöver för sitt uppdrag så kallad ”minsta möjliga rättigheter”.

Priviligierad behörighet

Tänk på att när du använder ett användarkonto som har hög behörighet att inte alltid vara inloggad med denna behörighet då risken för att obehörig eller skadlig kod även kan få ta del av dessa. Använd endast dessa behörigheter vid behov för att minska exponering samt ovan risk. Detta gäller specifikt för konton som inte är personliga samt har höga behörigheter i många eller känsliga system. Extra viktigt är att tillämpa ”minsta möjliga rättigheter” för dessa konton.

Internet

Regler för nyttjande av internet framgår av föreskrifter för anställdas användning av Stockholms universitets (SU) dator-, nät- och systemresurser som finns i Regelboken.

All surfning på internet loggas vilket betyder att det finns möjlighet att se vilka sidor som besökts och av vem.

Sociala medier

Användandet av sociala medier, som Facebook, Twitter, flickr, LinkedIN och diverse bloggar, har ökat den senaste tiden. Det finns säkerhetsrisker även med användandet av dessa applikationer. För din egen och universitetets skull finns det saker du bör tänka på när du skapar och använder ditt konto. Information och stöd rörande hur du ska använda dig av social medier framgår av innehållsansvar och rollfördelning i universitetsgemensamma kanaler i sociala medier.

Användarens personliga integritet

Som användare av Stockholms universitets informationssystem, nätverk och utrustning behöver du känna till hur uppgifter om dig kan komma att användas av IT-avdelningen eller motsvarande funktion. För att upprätthålla spårbarheten sparas loggar i alla system och applikationer. I loggarna kan man exempelvis utläsa när användaren varit inloggad, vilka förändringar hen gjort och vid vilken tidpunkt. Loggarna granskas regelbundet för att upptäcka missförhållanden. Objektägaren eller motsvarande beslutar om hur ofta och på vilket sätt loggarna ska granskas.

Vid misstanke om missbruk av universitetets utrustning kan chef begära att få granska loggarna avseende den användare eller applikation misstanken gäller. Vid misstanke om brott lämnas ärendet vidare till brottsutredande myndighet, som kan komma att begära ut innehåll ur universitetets system.

Avslutning eller förändring av anställning

När du avslutar din anställning ansvarar du för att:

  • Rådgöra med din chef om vilket av ditt arbetsmaterial som ska sparas.
  • Allt arbetsmaterial du framställt anses vara Stockholms universitets egendom och får inte tas med utan chefs godkännande.
  • Privat material tas bort.
  • De behörigheter du fått för åtkomst till universitetets informationssystem avbeställs av din chef.
  • Töm röstbrevlådan på hälsningsmeddelande och inkomna meddelanden, observera att det kan ligga kvar meddelanden trots att du kanske inte använder röstbrevlådan.