Efterlevnaden av informationssäkerhet på ett svenskt statligt universitet

Sammanfattning: Informationssäkerhet är viktigt inom både näringslivet och inom utbildningssektorn. Universitet anses vara extra utsatta för hackare bland annat för att det finns en stor mängd av genomgående människor med ny personlig information i omlopp (Andrus, 2016). Syftet med denna uppsats har varit att undersöka hur informationssäkerheten efterlevs på ett svenskt statligt universitet utifrån experternas perspektiv, motsvarande de som ansvarar för och arbetar med informationssäkerhet samt användarnas perspektiv, motsvarande de som använder IT-stöd i sitt arbete. För att en myndighet skall kunna få en god efterlevnad av informationssäkerhet krävs det att medarbetare följer och tillämpar de riktlinjer och regler som upprättats av myndigheten i informationssäkerhetspolicyn (Syrén, 2005). Uppsatsen har undersökt vilka aspekter inom informationssäkerhet som är centrala att beakta för universitetet samt utvärderat efterlevnaden av informationssäkerhet utifrån dessa. För att undersöka efterlevnaden har författaren genomfört intervjuer med en avgränsad grupp experter respektive användare. Analysen har inte påvisat några utmärkande skillnader i uppfattningen mellan dessa grupper. Slutsatsen berör kontexten universitet som helhet. Uppsatsens centrala aspekter har visat sig vara relevanta i kontexten universitetet och det har inte kommit upp nya aspekter. Utvärderingen av efterlevnaden av informationssäkerheten på universitetet utifrån dessa åtta aspekter visar att universitetet har ett Ledningssystem för informationssäkerhet och en informationssäkerhetspolicy men behöver införa en säkerhetskultur där alla verksamma känner till och känner sig delaktiga i informationssäkerhetsarbetet samt införa systematisk och kontinuerlig utbildning. De behöver uppfylla kraven inom kontinuitetsplanering och informationsklassificering samt införa metod för att arbeta med ständiga förbättringar. De har rutiner för intern incidenthantering men behöver utbilda personalen i detta. De arbetar bra med riskanalyser men behöver tydliggöra arbetet med åtgärdsplanerna. Förutom att slutföra påbörjade åtgärder inom nämnda centrala aspekter behöver universitet införa utbildning inom informationssäkerhet för att uppfylla kravet på god efterlevnad.