Vi behöver skärpa vårt informationssäkerhetsarbete vid Stockholms universitet på flera nivåer. Det gäller inte minst i det rådande säkerhetspolitiska läget. Information och tillhörande informationsteknik är en mycket viktig strategisk resurs för verksamheten. Vid upprepade tillfällen har vi fått kritik i de granskningar internrevisionen gjort med koppling till informationssäkerhet. Senast i de granskningar som gjordes av den interna styrningen och kontrollen vid några institutioner och en avdelning inom förvaltningen, där en återkommande iakttagelse var att den interna styrningen och kontrollen behöver stärkas när det gäller systematiskt informationssäkerhetsarbete och efterlevnad av dataskyddsförordningen liksom att säkra kompetensutveckling av medarbetare i dessa frågor.
I föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB) ställs krav på att utveckla och upprätthålla kompetensen hos egen personal avseende informationssäkerhet genom utbildning, informationsinsatser och övning. Likaså ställer Dataskyddsförordningen krav på att alla anställda ska utbildas i dataskydd. För att säkerställa att samtliga medarbetare har grundläggande kunskaper i vad informationssäkerhet är och vad som är viktigt att tänka på i det dagliga arbetet erbjuder universitetet en onlineutbildning i informationssäkerhet. Likaså finns en onlineutbildning i dataskydd för att höja medarbetarnas generella medvetenhet kring de krav som finns på hantering av personuppgifter i det löpande arbetet.
Rektor fattade den 12 maj beslut om att dessa utbildningar är obligatoriska för samtliga medarbetare. I dagsläget finns tyvärr utbildningarna bara på svenska men arbete pågår för att utbildningarna självklart också ska finnas på engelska. Enligt rektors beslut ska samtliga medarbetare ha genomgått utbildningarna senast den 1 november 2022. Denna tidsfrist förlängs vid behov för de engelska utbildningarna.
Utöver kraven på att kompetensutveckla alla medarbetare gällande informationssäkerhet och dataskydd pågår arbete för att etablera ett systematiskt informationssäkerhetsarbete genom ESIR-projektet, som jag skrev om i min senaste ledare. ESIR-projektet är genomfört vid ett antal pilotinstitutioner och ska genomföras vid samtliga institutioner och avdelningar inom universitetet. Utifrån det förändrade världsläget har vi dock blivit tvungna att koncentrera resurser till arbete med IT-säkerhet nu under våren och breddinförandet av ESIR återupptas till hösten.
Vi behöver alla gemensamt ta ansvar för att stärka informationssäkerheten vid universitetet.
Läs mer om utbildningarna i informationssäkerhet.
Texten är skriven av Åsa Borin, universitetsdirektör, under vinjetten ”Ledningen har ordet” där olika personer i universitetets ledning turas om att skriva om aktuella frågor. ”Ledningen har ordet” ingår i Nyheter för medarbetare, ett nyhetsbrev som skickas ut till alla medarbetare vid universitetet.