Trin 1: PLAN: Planlægning og risikovurdering

AU's informationssikkerhedspolitik angiver minimumskrav for, hvilke aktiviteter der skal gennemføres ved etablering eller evaluering af et lokalt ISMS.

Her kan i planlægger årets aktiviteter, og det anbefales at tage udgangspunkt i en risikovurdering.


I PLAN-fasen udarbejdes og vedligeholdes de grundlæggende dokumenter for arbejdet med informationssikkerhed. Herunder risikovurdering.

Mindst en gang om året bør I planlægge aktiviteter, som øger opmærksomheden på informationssikkerheden. Med en risikovurdering identificerer I, hvilke fysiske og virtueller risici, der er på jeres område. Dernæst skal I via en risikohåndteringsrapport dokumentere, hvordan I håndterer de enkelte risici.

Første skridt på vejen til et lokalt ISMS er derfor, at I identificerer og dokumenterer risici.

Se mere om, hvordan du foretager en risikovurdering.

Kom godt i gang


Organisering og overblik

Arbejdet med informationssikkerhed kræver en tydelig rolle fordeling mellem

  • Universitetsledelsen - Som har vedtaget informationssikkerhedspolitikken
  • Informationssikkerhedsafdelingen - Som understøtter implementeringen af ISMS
  • Enhedslederen - Som har ansvaret for at implementere det lokale ISMS
  • Systemejere - Som har ansvar for de informationer et system indeholder

Få et overblik

I skal foretage en klar afgrænsning af, hvad jeres ISMS skal omfatte. - Fx et fakultet, et institut eller en administrativ enhed.

  • Skab et overblik over, hvilke systemer og informationer, I har, og hvad der truer dem.
  • Udarbejd dokumentation for til- og fravalg i forbindelse med de sikkerhedstiltag, I har foretaget.
  • Planlæg beredskabsaktiviteter.
  • Lav og godkend en plan for håndtering af informationssikkerhedsrisici.

Det er ikke nødvendigvis en fordel at behandle alle risici på én gang. Måske giver det mening at fokusere på udvalgte risici det første år og nogle andre de efterfølgende år.

Dokumenter jeres indsats

Når I har skabet et overblik og identificeret risici på jeres område, skal jeres håndtering af disse dokumenteres i en risikohåndteringsrapport.

Der er nogle få formkrav til dokumentationen. Det gælder fx, at oprettelse og opdatering af dokumenter skal være styret.
Det indebærer, at der skal være:

  • Fastsat en navngivningsstandard
  • Besluttet accepterede filformater.
  • Der skal være en proces for gennemgang og godkendelse af dokumentationen.
  • Der skal være et revisionsspor for ændringer.