Riskinventering - Institutionen för informationsteknologi - Uppsala ...
Riskinventering - Institutionen för informationsteknologi - Uppsala ...
Riskinventering - Institutionen för informationsteknologi - Uppsala ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Riskinventering</strong>/-analys<br />
”Sekretessprövas enligt 18 kapitlet, 8 §, i Offentlighets- och sekretesslagen (2009:400) före utlämning”..<br />
Institution/enhet: <strong>Institutionen</strong> för <strong>informationsteknologi</strong> Datum: 23 september 2010<br />
Ansvarig: Håkan Lanshammar Husbeteckning: C107001, C107002, C107004<br />
Kontaktperson/er: Roland Grönroos Omsättning: 139 Milj kr /år (år 2009)<br />
Tfn: 4716847 Antal anställda: 172 (0912) Antal studenter(hst): 928 ( kal.år 2009)<br />
SKADA/FÖRLUST<br />
NIVÅ (1-5)<br />
SKYDDS-<br />
NIVÅ (1-3)<br />
BILAGA<br />
nr.<br />
Fördelat på nyckelord<br />
sannolikhet konsekvens<br />
Personskador 4 1 3 1 punkt 1<br />
Nyckelpersoner 4 4 3 1 punkt 2<br />
Brand/explosion 1 5 3 1 punkt 3<br />
Inbrott/stöld 4 1 3 1 punkt 4<br />
Vattenskada 3 1 3 1 punkt 5<br />
Rån 1 2 3 1 punkt 6<br />
Skada på teknisk utrustning 4 1 3 1 punkt 7<br />
Informationsförlust 3 3 3 1 punkt 8<br />
Dataintrång 5 4 3 1 punkt 9<br />
Skadeståndskrav 1 5 3 1 punkt 10<br />
Nyckeluppdragsgivare 1 3 2 1 punkt 11<br />
Mediaförsörjning 4 4 3 1 punkt 12<br />
Angränsande aktiviteter 5 1 3 1 punkt 13<br />
Viktigaste inkomstkällor 4 5 3 1 punkt 14<br />
Plagiat/fusk 4 1 3 1 punkt 15<br />
Studentförlust, kvalitet på undervisningen 5 4 2 1 punkt 16<br />
Tillgänglighet 4 1 2 1 punkt 17<br />
Oplanerad arbetsbelastning 4 2 3 1 punkt 18<br />
Utrustning:<br />
Beräkningsserverarna Ngorongoro ,<br />
Hagrid och Ra<br />
Dyraste – vad/kostnad<br />
ca 10 miljoner<br />
ÅTERANSKAFFNINGSVÄRDEN<br />
Med längst<br />
återanskaffningstid –vad/tid<br />
ca 4 månader<br />
Utrustning i verksamheten 36390kkr Förbrukningsvaror 219kkr<br />
Kontorsinventarier 3310kkr Övrigt 1576kkr<br />
Litteratur, dokument 788kkr SUMMA 42283kkr<br />
SAMMANFATTNING – Den händelse som ger störst påverkan på institutionens verksamhet är:<br />
Brand.<br />
Kostnaden för denna händelse<br />
uppskattas till:<br />
Direkt<br />
skada:<br />
30 MSEK<br />
Följdkostnader:<br />
10 MSEK<br />
Summa:<br />
40 MSEK<br />
Åtgärdsplan har upprättats JA: X NEJ:<br />
”Sekretessprövas enligt 18 kapitlet, 8 §, i<br />
Offentlighets- och sekretesslagen (2009:400) före utlämning”.<br />
<strong>Institutionen</strong> för <strong>informationsteknologi</strong>_<strong>Riskinventering</strong> sida 1 av 6 11-09-08 13.01
Bilaga 1 till riskinventering vid institutionen för <strong>informationsteknologi</strong><br />
1 Personskador<br />
Det inträffar årligen någon skada på väg till eller från arbetet. I övrigt har det varit få<br />
skador, förslitningsskador i samband med datorarbete har förekommit. Arbetet inom<br />
institutionen följs upp med skyddsronder ibland med olika teman. En handlingsplan för<br />
arbetsmiljöarbetet finns "http://www.it.uu.se/internt/Personalfragor/Arbetsmiljo.pdf"<br />
den uppdateras planenligt. Risker som kommer till ledningens kännedom åtgärdas<br />
omgående. Vid UPPMAX förekommer tunga lyft vilket medför ökade skaderisker.<br />
2 Nyckelpersoner<br />
<strong>Institutionen</strong> har byggts upp av och med mycket kompetenta medarbetare. Från<br />
vaktmästare till professor är mer eller mindre var och en nyckelpersoner. Det inträffar då<br />
och då att personal slutar eller får en minskad arbetsförmåga. Vanliga orsaker är att våra<br />
medarbetare erbjuds eller söker arbeten på annat håll, får barn, går i pension eller<br />
drabbas av sjukdom. Genom en att vi är en stor enhet har öppen atmosfär och kompetent<br />
hantering av personalärenden kan vi planera och driva verksamheten trots de problem<br />
som uppstår. Ser man lite bakåt i tiden finner man att vi tyvärr har hunnit skaffa en<br />
ganska stor erfarenhet av att ersätta personal på alla nivåer. Inom administrationen pågår<br />
sedan flerat år en process att åstadkomma och kontrollera att det hela tiden finns<br />
backup-personer för kritiska arbetsuppgifter. Genom att införa ärendehanteringssystem<br />
(bugzilla) och imap konton som hanteras av flera personer för olika funktioner har vi<br />
minskat risken att ärenden blir personberoende.<br />
3 Brand/explosion<br />
Brandrisken får betraktas som mycket liten eftersom verksamheten huvudsakligen är<br />
kontorsarbete och undervisning. De största riskerna bedöms föreligga vid ombyggnader<br />
och vid de arbeten som projektstudenterna utför. Spridningen av sot även från mindre<br />
bränder kanske inte begränsas av brandcellerna och absolut inte av kontorsdörrar som i<br />
de flesta fall saknar tätning. Husen är dock mycket stabilt byggda och bör tåla en brand<br />
ganska bra. Vi och akademiska hus håller uppsikt över brandcellsgränserna och<br />
utrymningsvägarna så att de fungerar. Även soprummen är en brandrisk. Dessa är dock<br />
belägna utanför fasaden och har extra brandsläckning installerad.<br />
- Arkivrum 2020 behöver brand och röksäkras bättre. Ett alternativ kan vara att använda<br />
arkivrum på Ångström.<br />
En brand som ödelägger någon eller några byggnader skulle få omfattande konsekvenser<br />
för både forskning och utbildning. Undervisningslokaler och kontor skulle omedelbart<br />
bli obrukbara. Undervisningen skulle behöva flyttas till andra lokaler. En stor del av<br />
personalen skulle kunna arbeta hemifrån eller omplaceras inom oskadade byggnader<br />
efter en tid. Skadas servrar kan nya behövas innan arbetet kan komma igång.<br />
Minimering av skador och återställning efter en så stor händelse bör kunna ske i<br />
samarbete med universitetsledningen och andra institutioner.<br />
4 Inbrott/stöld<br />
Hos oss har målet för stölder och inbrott i de flesta fallen varit pengar. Privata<br />
plånböcker har stulits dagtid då och då. Inbrotten har minskat kraftigt sedan något år.<br />
Våra åtgärder har varit<br />
- varuautomater har tagits bort.<br />
- kontor är alltid låsta.<br />
- koder till dörrar byts regelbundet samt vid misstanke om att de kommit ut.<br />
- flera dörrar har försetts med kortläsarlås<br />
”Sekretessprövas enligt 18 kapitlet, 8 §, i<br />
Offentlighets- och sekretesslagen (2009:400) före utlämning”.<br />
<strong>Institutionen</strong> för <strong>informationsteknologi</strong>_<strong>Riskinventering</strong> sida 2 av 6 11-09-08 13.01
- tillfälliga besökare och studenter placeras i rum där nyckel ej behövs.<br />
- en trivsam och tillgänglig miljö för studenter och anställda som utnyttjas i stort sett<br />
dygnet runt. Det ger en social kontroll där nya personer ses och tjuvar inte kan agera<br />
ostört.<br />
Datorer har stulits vid några tillfällen. Men större delen av utrustningen i våra<br />
datasalar är inte stöldbegärlig eftersom de dels är UNIX system och dels kräver en<br />
server för att fungera.<br />
De mycket viktiga servrarna har under 2007 fått en ökad säkerhet genom att även<br />
tillträde till planet i det hus där de finns har kunnat begränsas.<br />
Under 2010 begränsades även tillträde till sysemteknkernas korridor utanför<br />
kontorstid.<br />
Vårt nyckelskåp verkar inte få iväg larm till passagesystemet.<br />
Intendenturen håller på att ta över hanteringen av nycklar och därmed en hel del av<br />
säkerhetsproblemen. Nyckelskåpet är ännu inte larmat, inga larm finns i våra lokaler.<br />
Det nya passersystemet (2009) har fungerat bra.<br />
5 Vattenskada<br />
Ansvaret för anläggningar med vatten i ligger på fastighetsägaren. En vattenskada i ett<br />
serverrum kan få stora konsekvenser. En kanske vanligare skada är spill på bärbara<br />
datorer eller tangentbord. I de fallen är dock konsekvenserna begränsade.<br />
6 Rån<br />
Vi har ingen erfarenhet av rån.<br />
7 Skada på teknisk utrustning<br />
Den viktigaste faktorn för att minimera driftstörningar vid skador är kompetent och<br />
service inriktad personal som känner att de gör en uppskattad insats. Vi har det.<br />
<strong>Institutionen</strong>s servrar är den viktigaste utrustningen för verksamheten. Vi har drabbats<br />
av driftstopp några gånger per år på grund av att kylanläggningarna inte har fungerat<br />
eller service av dem. Under året har nödkyla installerats. Om någon enstaka maskin<br />
havererar kan dess verksamhet ofta tas över av någon annan maskin. Det leder till något<br />
sämre svarstider men är hanterbart under en kortare tid. Serviceavtal med kort<br />
inställelsetid minskar också skaderisken.<br />
<strong>Institutionen</strong>s repro och kopieringverksamhet är av stor vikt för undervisningen eftersom<br />
vi trycker kompendier både för våra egna behov och för institutionerna inom<br />
intendenturområdet. Dessa sköts genom serviceavtal.<br />
8 Informationsförlust<br />
Vi gör dagliga backuper. All personal har möjlighet till och ska ofta göra backup på<br />
data, ca 40 datorer gör backup på så vis. En stor del av verksamhetens data hanteras<br />
centralt varför vi kan säga att den är rimligt säkrad. Backup banden förvaras brandsäkert<br />
i ett annat hus än servrarna.<br />
Minst en server som är placerad utanför server rummen saknar backup (core.it.uu.se),<br />
den planeras flytta in i serverrum.<br />
9 Dataintrång<br />
<strong>Institutionen</strong> har en stor mängd öppen information som kan nås via Internet. Personal och<br />
studenter kan arbeta hemifrån via säkra förbindelser. Inloggning sker via UpUnet-S eller SSH.<br />
Eftersom vi är konstant utsatta för attacker finns det alltid en risk för intrång, och det sker<br />
kontinuerligt. Våra systemtekniker håller därför alltid säkerheten i främsta rummet och har<br />
kontinuerlig bevakning för att upptäcka eventuell misstänkt verksamhet i våra system. De<br />
flesta attacker misslyckas. Någon enstaka har lyckats ta sig in på maskiner som forskare är<br />
ansvariga för. Men hittills har de som tagit sig in på dessa snabbt kunna stoppas. De har inte<br />
”Sekretessprövas enligt 18 kapitlet, 8 §, i<br />
Offentlighets- och sekretesslagen (2009:400) före utlämning”.<br />
<strong>Institutionen</strong> för <strong>informationsteknologi</strong>_<strong>Riskinventering</strong> 2007 sida 3 av 6 11-09-08 13.01
kommit vidare någonstans eller kunna ställa till med något värre än att de just lyckats logga in<br />
sig.<br />
10 Skadeståndskrav<br />
Vi ska undersöka risken för skadestånd.<br />
11 Nyckeluppdragsgivare<br />
Försenade forskningsresultat/tvister med uppdragsgivare/motsvarande kan leda till<br />
betydande förluster, t ex inom uppdragsforskning och EU-projekt. Exempel är indragna<br />
medel och rödflaggning av projekt.<br />
12 Mediaförsörjning<br />
Under 2008 har vi inte drabbats av något fel eller brister på vare sig el eller kyla.<br />
Mediaförsörjning hanteras huvudsakligen av fastighetsägaren och omvärlden. Våra<br />
kontakter sker antingen direkt eller via byggnadsavdelningen som skriver avtalen.<br />
El och kyla är nödvändiga för driften.<br />
En prioriteringslista för kylförsörjningen har tagits fram under 2009 i samarbete mellan<br />
ITC Ångström och Akademiska hus.<br />
Elavbrott orsakar dataförluster av osparat material.<br />
13 Angränsande aktiviteter<br />
Skyltningen av vår verksamhet har sedan sommaren 2007 blivit ett problem.<br />
Skyltningen har tagits ner i samråd mellan Akademiska hus och byggnadsavdelningen.<br />
Byggnadsavdelningen har tagit på sig ansvar för att skylta området. Området har hösten<br />
2007 bytt namn till Informationsteknologiskt centrum. Ny skyltning delvis satts upp i<br />
mars men arbetet avbröts varför det nu är skyltat enligt två system husnummer och<br />
adresser 2a, 2b, etc på olika ingångar. Frågan avvaktar nu avgörande om enligt vilket<br />
system ingångarna ska numreras. 2a-2ö räcker inte för hela området, nummerserien 2, 4,<br />
6... har Akademiska hus begärt miljonbelopp i ersättning bland annat för andra<br />
hyresgästers brevpapper för att införa.<br />
Skyltningen är fortfarande efter många år inte löst. TIDSPLAN SAKNAS.<br />
Våra grannar:<br />
- <strong>Uppsala</strong> kommun äger fältet väster om husen och marken nere vid ån.<br />
- Eklundshof ägs av familjen Bennbom.<br />
- Inne på ITC-området finns Polacksbacken företagspark med ett 20-tal mindre företag.<br />
- På andra sidan Lägerhyddsvägen ligger Ångströmlaboratoriet.<br />
- Dessutom finns ett antal k-märkta mindre hus som antagligen inte kan hyras ut.<br />
Vi ser fram emot att ytterligare verksamheter flyttar in på området.<br />
Intendenturan har övertagit ansvaret för kontaker med polisen samt information om<br />
evenemang som planeras i närområdet. Under de senaste åren har<br />
festival/tävlingsaktiviteter inte utgjort ett problem eftersom de flyttat från området..<br />
14 Viktigaste inkomstkällor<br />
<strong>Institutionen</strong>s viktigaste inkomstkällor är statsanslag för grundutbildning och forskning,<br />
samt externa forskningsbidrag. Statsanslagen är relativt lätta att prognostisera, medan de<br />
externa bidragen har blivit alltmer ryckiga under de senaste åren. Det beror till stor del<br />
på att våra viktigaste bidragsgivare (VR, SSF, Vinnova) alltmer övergått till stora<br />
forskningsanslag riktade till starka forskningsmiljöer. Detta upplever vi som en stor risk<br />
ur arbetsmiljösynpunkt. Ett likartat men inte lika accentuerat problem finns inom<br />
grundutbildningen där antalet sökande studenter till våra utbildningar varierar kraftigt<br />
”Sekretessprövas enligt 18 kapitlet, 8 §, i<br />
Offentlighets- och sekretesslagen (2009:400) före utlämning”.<br />
<strong>Institutionen</strong> för <strong>informationsteknologi</strong>_<strong>Riskinventering</strong> 2007 sida 4 av 6 11-09-08 13.01
från år till år. Anslagstilldelningen till grundutbildningen är direkt kopplad till antalet<br />
studenter varför detta påverkar vår ekonomi. Variationerna här lindras dock av att<br />
studenterna i allmänhet följer långa utbildningsprogram varför det totala antalet<br />
studenter inte varierar så mycket mellan enskilda år.<br />
15 Plagiat/fusk<br />
Det har inträffat ett mindre antal fall av fusk bland studenter som hanteras. Hjälp erhålls<br />
från juridiska avdelningen. Detta innebär en arbetsmiljörisk. För att minimera effekterna<br />
har en policy utarbetats: www.it.uu.se/edu/fusk.pdf<br />
16 Studentförlust, kvalitet på undervisningen<br />
Det är mycket svårt att göra goda (långsiktiga) prognoser om hur många som söker till<br />
institutionens program och kurser. Även förväntade nedgångar är svåra att snabbt<br />
parera. Färre studenter ger direkt genomslag på institutionens ekonomi genom lägre<br />
ersättning. Kostnader för att hålla en kurs är dock svår att minska utan att minska på<br />
kvaliten (t ex genom färre lärarledda undervisningstillfällen). Under de senaste åren har<br />
vi försök effektivisera undervisningen genom att periodisera kurser, slå ihop kurser,<br />
lägga ner kurser samt att rekrytera studenter från utlandet. Vi ser risken som hög att vi<br />
även framledes får stora svängningar i studenttillströmningen.<br />
Ett akut problem gäller de internationella masterprogrammen där studieavgifter kommer<br />
att införas 2011, och risken är stor att antalet internationella studenter minskar till en<br />
bråkdel. Det är mycket viktigt att ett balanserat stipendieprogram införs för att även<br />
fortsättningsvis ge begåvade studenter från hela världen möjlighet att studera vid<br />
<strong>Uppsala</strong> universitet.<br />
17 Tillgänglighet<br />
Sedan tidigare problem med passagesystemet har lösts, så är för närvarande hissarna det<br />
största tillgänglighetsproblemet. Hissar har ibland stått stilla under veckor i sträck, vilket<br />
är mycket allvarligt eftersom det bara finns en hiss per byggnad och passage mellan<br />
byggnaderna bara kan ske på ett våningsplan.<br />
18 Oplanerad arbetsbelastning<br />
a) Med ambitionen att på något sätt förbättra verksamheten kommer vid flera tillfällen<br />
per år arbetsuppgifter från "uadm" till institutionen som vi inte har budgeterat för eller<br />
planerat. De har ofta inte föregåtts av någon förvarning. Det medföljer inte någon<br />
uppskattning av hur omfattande arbetet kommer att bli. Ibland byts någon administrativt<br />
system utan att användarvänlighet eller utbildningsbehov har tillgodosetts. Exempel på<br />
problemtyngda system har varit Thorguard och Primulawebben. Hittills oprövade<br />
system som är på gång är är SESAM och InfoGlue för ny webb. Det elektroniska<br />
fakturahanterings-systemet, KOF och riskanalys har nu övergått till att vara positiva<br />
erfarenheter.<br />
Vi föreslår att uppdrag och förändringar ska värderas i form av hur mycket arbetstid de<br />
tar och att ett tak införs på hur mycket "uadm" får belasta en institution per år utan att ge<br />
resurser för insatserna som krävs.<br />
b) Vi drabbas av patchar på OS eller programvaror som gör att maskiner eller viktiga<br />
program slutar helt eller delvis att fungera. Detta problem jobbar dock ITS på att lösa<br />
genom att de har tillsatt en förändringskontroll process. Vilket skall hålla koll på att inga<br />
ändringar i OS eller på våra centrala system skall komma att göra så endera slutar<br />
fungera eller andra dåliga konsekvenser.<br />
”Sekretessprövas enligt 18 kapitlet, 8 §, i<br />
Offentlighets- och sekretesslagen (2009:400) före utlämning”.<br />
<strong>Institutionen</strong> för <strong>informationsteknologi</strong>_<strong>Riskinventering</strong> 2007 sida 5 av 6 11-09-08 13.01
c) Lärare är ibland ute i sista minuten med att begära assistans inför kursstarter, till<br />
exempel med installationer av programvara till datasalarna, tryckning av kompendier<br />
eller annan hjälp. Det leder då till brandkårsutryckningar och berörda ställer upp<br />
eftersom det annars skulle drabba studenterna. Det kommer fram i medarbetarsamtalen<br />
att detta är en stressfaktor och arbetsmiljöproblem.<br />
19 Återanskaffningsvärden<br />
Enligt anläggningsregistret<br />
Utrustning: 36390kkr<br />
Kontorsinventarier: 3310kkr<br />
Litteratur/dokument: 788kkr<br />
Förbrukningsvaror: 219kkr<br />
Övrigt: 1576kkr<br />
Summa: 42283kkr<br />
20 Kostnaden för denna händelse uppskattas till<br />
Direkt kostnad 30 miljoner motsvarar en uppskattning av utrustningens värde.<br />
Följdkostnader anskaffning av utrustning samt flytt till nya lokaler uppskattas till 10<br />
miljoner. Det finns dock försäkring hos kammarkollegiet som begränsar vårt ansvar till<br />
75000 kr per händelse. (2007 års penningvärde)<br />
21 Beslut med anledning av denna riskinventering:<br />
- 8 En kontroll av att backup görs på anställdas maskiner samt på alla servrar ska<br />
genomföras.<br />
- 10 Risken för skadestånd ska undersökas.<br />
- 11 Risken för inkomstbortfall på grund av försenade forskningsresultat ska undersökas.<br />
- 12 Hanteringen av skador orsakade av elavbrott ska formaliseras.<br />
- 13 Vi fortsätter påminna byggnadsavdelningen om skyltningen.<br />
- 18 Vi kommer att arbeta för att begränsa den oplanerade arbetsbelastningen.<br />
”Sekretessprövas enligt 18 kapitlet, 8 §, i<br />
Offentlighets- och sekretesslagen (2009:400) före utlämning”.<br />
<strong>Institutionen</strong> för <strong>informationsteknologi</strong>_<strong>Riskinventering</strong> 2007 sida 6 av 6 11-09-08 13.01