Vad betyder informationssäkerhet och IT-rutiner i skolan?

Skolans informationssäkerhet handlar inte bara om starka lösenord. Den omfattar tekniska och organisatoriska åtgärder som ska skydda personuppgifter, minska risken för intrång och hjälpa verksamheten att fungera även vid cyberincidenter.

Det viktigaste att ta med sig

Skolor hanterar stora mängder personuppgifter och behöver skydda dem tekniskt och organisatoriskt.
Informationssäkerhet handlar både om att hindra läckor och om att systemen ska fungera när de behövs.
Skolverket lyfter policyer, utbildning, säkerhetskopiering och incidentrutiner som centrala delar.

Kort svar

Informationssäkerhet i skolan betyder att skolan ska skydda information, it-system och personuppgifter så att obehöriga inte kommer åt dem, så att uppgifter inte förändras eller förstörs och så att rätt information finns tillgänglig när verksamheten behöver den. För dig betyder det att skolans digitala säkerhet inte bara handlar om teknik, utan om att undervisning, elevuppgifter och kommunikation ska fungera säkert.

Informationssäkerhet handlar om mer än lösenord

Del	Exempel
Tekniskt skydd	brandvägg, antivirus, uppdateringar, flerfaktorsautentisering
Organisatoriskt skydd	policyer, utbildning, behörighetsstyrning, incidentrutiner
Kontinuitet	säkerhetskopior, reservrutiner, återställning efter incident

Skolan hanterar mycket känslig information

Skolverket lyfter att skolor hanterar stora mängder personuppgifter om elever, personal och vårdnadshavare. Samtidigt kan skolan bli måltavla för otillåten och olaglig verksamhet på nätet.

För dig betyder det att informationssäkerhet inte är en lyxfråga. Om något går fel kan det påverka både integriteten för enskilda elever och skolans förmåga att fungera i vardagen.

Det här hänger nära ihop med GDPR i skolan och med sekretess och tystnadsplikt, men informationssäkerhet är bredare än båda de frågorna.

GDPR handlar om hur personuppgifter får behandlas och vilket ansvar den personuppgiftsansvariga har. Informationssäkerhet handlar bredare om att information ska skyddas mot att läcka ut, bli felaktig, förstöras eller inte vara tillgänglig när den behövs.

För dig betyder det att skolan behöver tänka både på integritet och på drift. Ett system som kraschar inför betygssättning, närvarorapportering eller kontakt med elever är också ett informationssäkerhetsproblem.

Skolverket lyfter både teknik och rutiner

Skolverket beskriver flera typer av åtgärder som skolor bör arbeta med:

brandväggar och andra skydd i nätverket
antivirus och uppdaterade system
starka lösenord och gärna flerfaktorsautentisering
begränsade användarrättigheter och granskning av loggar
säkerhetskopior som faktiskt testas
policyer för hur it-system och tjänster ska användas

För dig betyder det att skolans digitala säkerhet inte får bygga på att “alla är försiktiga”. Det måste finnas tydliga system och rutiner som minskar risken för misstag och intrång.

Mänskliga misstag är också en säkerhetsrisk

Skolverket nämner inte bara hackare och cyberattacker, utan också mänskliga misstag, nätfiske och missnöjda användare med tillgång till system. Det är viktigt, eftersom mycket går fel utan att någon yttre angripare behöver vara särskilt avancerad.

För dig betyder det att utbildning och tydliga it-rutiner är minst lika viktiga som teknik. Om personal eller elever inte vet hur incidenter ska rapporteras eller hur system ska användas säkert räcker inte ett bra tekniskt skydd hela vägen.

Incidentrutiner och övning är en del av beredskapen

Skolverket skriver att skolor bör ha rutiner för hur it-incidenter hanteras och att personalen bör involveras och öva på att rutinerna fungerar. Kontaktuppgifter till dem som ska stötta vid en incident behöver vara dokumenterade och lätt tillgängliga.

För dig betyder det att digital säkerhet också är en del av skolans krisberedskap. En cyberattack kan påverka internet, telefoni, lärplattformar och annan verksamhetskritisk funktion.

Huvudmannen ansvarar för ramarna

IMY betonar att det är den personuppgiftsansvariga verksamheten som ansvarar för att dataskyddsreglerna följs. För en kommunal skola kan det till exempel vara en utbildningsnämnd, och för en fristående skola kan det vara bolaget eller stiftelsen bakom verksamheten.

För dig betyder det att informationssäkerhet och dataskydd inte kan läggas över helt på en enskild lärare eller elev. Ledningen måste skapa ramar, system och instruktioner som går att följa.

Skyddade personuppgifter kräver särskilt stark säkerhet

IMY påpekar också att säkerhetsnivån bör vara särskilt hög när en elev eller medarbetare har skyddade personuppgifter, eftersom skadan kan bli mycket stor om uppgifterna röjs.

För dig betyder det att informationssäkerhet ibland behöver vara mer långtgående än standardrutinerna. Det kan handla om särskilda åtkomstbegränsningar, extra försiktighet i kommunikation och tydliga interna instruktioner.

Officiella underlag bakom råden

Vad du kan göra härnäst

Om du vill förstå dataskyddsreglerna mer konkret läser du Hur skyddas personuppgifter i skolan enligt GDPR?. För hur uppgifter får delas vidare går du vidare till Vad betyder sekretess och tystnadsplikt i skolan?. Om du vill se informationssäkerhet som en del av skolans större robusthet kan du också läsa Vad betyder skolans krisberedskap vid brand, hot och andra allvarliga händelser?.

Vanliga missförstånd

Att tro att informationssäkerhet bara är en IT-fråga och inte en ledningsfråga.
Att blanda ihop informationssäkerhet helt med GDPR trots att informationssäkerhet är bredare.