Årshjul til ISMS

Informationssikkerhed er ikke kun IT-sikkerhed - det handler i lige så høj grad om, hvordan vi håndterer fx fysiske dokumenter, adgang til bygninger eller forskningsmateriale i frysere.

Her på siden kan du finde information om, hvordan du som enhedsleder kan etablere et lokalt ledelsessystem til informationssikkerhed - ISMS.


Hvad er ISMS og hvorfor skal det etableres?

Universitetsledelsen har besluttet, at AU skal følge ISO 27001 og som minimum være på modenshedsniveau 3, når det gælder informationssikkerhed. Det betyder, at der lokalt skal etableres et Information Security Management System (ISMS), der skal revurderes årligt. Dette gælder både VIP og TAP-området på AU.

Modenhedsniveau vil sige:

Procedurer er standardiseret, dokumenterede og kommunikerede gennem træning.  

Det er bekendtgjort, at procedurerne skal overholdes, men det er usandsynligt, at afvigelser vil blive opdaget. 

Procedurerne er typisk en formalisering af eksisterende praksis.” 

Et lokalt ISMS indeholder:

  • En beskrivelse af, hvad det lokale ISMS omfatter. Det gælder også en afdækning af interessenter og deres krav til informationssikkerheden.
  • Et årshjul og en plan, som definerer, dokumenterer og driver aktiviteter for den lokale informationssikkerhed.
  • Måling og opfølgning på de ovenstående aktiviteter.

Der er kun få formkrav til, hvordan det lokale ISMS skal se ud, og det behøver det ikke at være omfattende. Se mere [LINK til side eller skabelon som beskriver formkravene til årshjul]

At etablere ISMS lokalt kan også gøres forskelligt. Det kan fx gøres på fakultets- eller institutniveau, men der kan være enkelte forskningsområder, hvor det er nødvendigt med yderligere tiltag for at skærpe informationssikkerheden. Fx hvis samarbejdspartnere kræver det.

De lokale ISMS skal tage udgangspunkt i AU's centrale ledelsessystem for informationssikkerhed, som følger ISO27001, der er sikkerhedsstandarden for statslige myndigheder.

Ansvar for etablering af ISMS

Enhedslederen er ansvarlige for at etablere et lokalt ISMS. Ved enhedsleder forstås her fx institutleder, leder af et forskningscenter eller vicedirektør.

Enhedslederen har det samlede ansvar for informationssikkerheden i enheden, og det omfatter aktiviteter som:

  • lokalt arbejde med awareness, som skal udføres hele året. 

  • at sikre, at alle brugere i den respektive enhed har fået den rette information, træning mv. 

  • at informationssikkerhedspolitikken, ISMS og de underliggende politikker, procedurer, adfærdsregler og alle øvrige centrale informationer omhandlende informationssikkerhed kommunikeres, implementeres og efterleves af alle brugere uden undtagelse i den pågældende enhed. 

  • at udarbejde og anvende et tilpasset lokalt ISMS, der efterleves i praksis og på et modenhedsniveau 3. 

  • at udarbejde og implementere lokale politikker og procedurer. 

De lokale FISU på AU's fem fakulteter er gode og relevante sparringspartnere til at få implementeret det lokale ISMS.

Årshjul for ISMS

Det lokale ISMS kan med fordel etableres som et årshjul ud fra faserne Plan-Do-Check-Act 

  • PLAN: Udarbejdelse og vedligeholdelse de grundlæggende dokumenter.
  • DO: Implementering og drift i praksis.  
  • CHECK: Evaluering og dokumentation af status på aktiviteter og informationssikkerhedstiltag samt identificering af forbedringsmuligheder. 
  • ACT: Nye tiltag og løbende forbedringer