Göm menyn

Rutin för godkännande av ny molntjänst

Molntjänster som används vid LiU måste vara godkända av IT-direktören. Godkännandet syftar främst till att:

  • Säkra att LiU:s krav på informationssäkerhet och personuppgiftsbehandling uppfylls.
  • Reducera antalet överlappande IT-tjänster.
  • Dokumentera vilka IT-tjänster LiU använder.

Definition av ”molntjänst”

En molntjänst är en IT-tjänst som drivs av någon annan än LiU på datorer som inte är placerade vid LiU. Nära nog alla webbaserade tjänster är att betrakta som molntjänster. Exempel på molntjänster som används i dag är Lisam, resebokningssystemet, friskvårdssystemet, ekonomisystemet, och HR-systemet. Exempel på tjänster som inte är godkända i dag är Evernote, Dropbox, iCloud, och Adobe Document Cloud.

Process

  1. Den som önskar en molntjänst tar ut ett diarienummer för begäran. Diarienumret ska finnas med i samtliga dokument.
  2. Den som önskar en molntjänst tar fram en beskrivning av tjänsten och en förenklad risk- och sårbarhetsanalys (se beskrivningar nedan) och skickar till IT-direktören.
  3. IT-direktören bedömer om tjänsten uppfyller LiU:s krav på informationssäkerhet, samt krav relaterade till IT-förvaltning och IT-användning. Om tjänsten behandlar personuppgifter ska även dataskyddsombuden rådfrågas.
  4. När ett positivt beslut kan väntas tar den som önskar tjänsten fram ett personuppgiftsbiträdesavtal om sådant krävs.
  5. IT-direktören fattar slutligt beslut i ärendet.

Om underlaget bedöms otillräckligt för att fatta beslut kan IT-direktören eller den uppgiften att analysera underlaget delegerats till begära kompletterande information, inklusive en fördjupad risk- och sårbarhetsanalys.

Notera att ett godkännande kan vara villkorat och tidsbegränsat.

Mallar och exempel

Beskrivning av tjänsten

Beskrivningen ska täcka följande punkter:

  • Kort beskrivning av tjänsten.
  • Vad syftet med tjänsten är och vilket behov den ska lösa.
  • Kort redogörelse för alternativa lösningar som undersökts.
  • Kort redogörelse för liknande tjänster som finns vid LiU.
  • Kort motivering till val av den specifika tjänst som valts.
  • Bifoga i förekommande fall personuppgifts-/integritetspolicy för tjänsten.
  • Beskrivning av vilka handlingstyper enligt LiU:s dokumenthanteringsplan  (LiU-2018-02165) tjänsten kommer att behandla samt redogörelse för hur bevarande enligt planen kommer att säkerställas. Om handlingstypen inte förekommer i dokumenthanteringsplanen rådfråga dokumenthantering@liu.se.

Risk- och sårbarhetsanalys

Risk- och sårbarhetsanalysen syftar till att belysa viktiga aspekter som kan påverka den risk som är inneboende i användning av tjänsten. För de flesta molntjänster räcker en enkel analys men i en del fall kommer en fördjupad analys att krävas.

Förenklad analys

Den förenklade analysen behöver enbart täcka följande punkter:

  • Inventering och klassificering av information (enligt gällande riktlinjer för informationssäkerhet) som behandlas i tjänsten och hur den behandlas (till exempel om den lagras eller skickas vidare).
  • Förklaring till varför användning av tjänsten inte leder till oacceptabla risker för LiU:s verksamhet. Förklaringen bör utgå från samma premisser som den fördjupade analysen.

Fördjupad analys

Skulle IT-säkerhetsgruppen eller informationssäkerhetssamordnaren bedöma att analysen inte räcker för att fatta beslut kan man begära en fördjupad analys. Vid en fördjupad analys kommer minst följande att krävas:

  • Inventering av vilka oönskade konsekvenser brister i tjänstens konfidentialitet, riktighet, eller tillgänglighet skulle ha för verksamheten vid LiU.
  • Inventering och klassificering av information som behandlas i tjänsten och hur den behandlas (t.ex. om den lagras eller skickas vidare).
  • Bedömning av huruvida tjänsten uppfyller LiU:s baskrav vid upphandling av system och tjänster med IT-komponenter (dnr LiU-2018-02267).
  • Om tillämpligt, bedömning av huruvida tjänsten uppfyller LiU:s riktlinjer för informationssäkerhet (dnr LiU-2018-01814), kapitel 5.
  • För de krav som inte uppfylls, en kort motivering till varför denna avvikelse bör accepteras.

Personuppgiftsbiträdesavtal

Molntjänster där LiU behandlar personuppgifter kan normalt inte godkännas utan att leverantörens roll som personuppgiftsbiträde är reglerad, till exempel genom ett godkänt personuppgiftsbiträdesavtal. Kontakta Juristenheten för stöd i denna process.

 


Sidansvarig: karin.linhardt@liu.se
Senast uppdaterad: 2019-05-02