Informationssikkerhedspolitik

Kære medarbejdere og studerende ved Aarhus Universitet

Information og data spiller en helt afgørende rolle i vores daglige virke. Det gælder på digitale platforme med f.eks. mails, undervisningsplaner og forskningsdatabaser. Men også data, som vi opbevarer på papir, på diktafoner eller i blodprøveglas.

De informationer skal være tilgængelige for os, når vi har brug for dem – men vi skal også alle bidrage til at beskytte dem, så samfundet kan have tillid til, at vi behandler betroede data med respekt og omtanke.

Med andre ord er informationssikkerhed en helt afgørende faktor i at sikre, at vores fælles hverdag fungerer – og ikke mindst, at vi fortsat kan udføre vores arbejde og levere vores vigtige samfundsbidrag.

Informationssikkerhed handler ikke kun om tekniske aspekter som antivirusprogrammer, firewalls og totrinsbekræftelse. Det handler i lige så høj grad om, hvordan vi hver især agerer, når vi arbejder med informationer og data. Eller sagt på en anden måde: En fodboldkamp afgøres ikke kun af, hvilke systemer de to hold spiller. Det handler i lige så høj grad om, hvordan spillerne agerer på banen.

Når det gælder informationssikkerhed, kommer man meget langt med skepsis og sund fornuft. Derfor har vi som universitet et godt udgangspunkt. Men jeg vil alligevel opfordre alle til at sætte sig grundigt ind i informationssikkerhedspolitikken. Her kan man orientere sig om de retningslinjer for informationssikkerhed, man har pligt til at kende og overholde, hvad enten man er studerende eller medarbejder, og uanset om man arbejder med forskning, uddannelse, rådgivning eller administration. Ved at efterleve retningslinjerne kan vi hver især bidrage til, at Aarhus Universitets data og IT-systemer er sikre – og ikke mindst, at de er tilgængelige, når vi har brug for dem!

Venlig hilsen

Brian Bech Nielsen
Rektor


AARHUS UNIVERSITETS INFORMATIONSSIKKERHEDSPOLITIK


AU's informationssikkerhedspolitik er godkendt af universitetsledelsen i december 2020.   

Denne politik danner den overordnede ramme for informationssikkerhed på Aarhus Universitet med udgangspunkt i universitetets overordnede strategi 2025:

Aarhus Universitet er et stærkt universitet, der markerer sig med forskning, forskningsbaserede uddannelser og myndighedsrådgivning af høj international kvalitet og værdiskabende samarbejde med private virksomheder, offentlige institutioner og civilsamfundet. Den nysgerrige skabelse af viden med rod i dybe fagligheder til gavn for samfundet er universitetets eksistensberettigelse.

For at bevare tilliden til Aarhus Universitet skal kritiske informationer beskyttes med foranstaltninger, der sikrer den nødvendige informationssikkerhed. Vi arbejder ud fra tre grundsten:

  • Fortrolighed: Kun personer med et legitimt behov må have adgang til informationer.
  • Integritet: Informationer skal være konsistente og i en form, som man kan stole på.
  • Tilgængelighed: Informationer skal være tilgængelige for de rette personer, når der er behov for det.

Alle, som har en relation til Aarhus Universitet, kan i informationssikkerhedspolitikken orientere sig om, hvilke retningslinjer der gælder for informationssikkerhed. Retningslinjerne afspejler krav fra lovgivning og relevante myndigheder, som Uddannelses- og Forskningsministeriet, f.eks. krav om brug af den fælles informations­sikkerheds­standard, ISO 27001.

1.1 Informationssikkerhedspolitikkens anvendelsesområde

Informationssikkerhedspolitikken omfatter alle Aarhus Universitets informationsaktiver, dvs.:

  • enhver information, der tilhører Aarhus Universitet.
  • informationer, som Aarhus Universitet kan gøres ansvarlig for.
  • midler til at anvende, frembringe eller opbevare de informationer, der er beskrevet i punkt 1 og 2.
  • Det gælder uagtet formen af information herunder også mundtlig information.

Eksempler på informationsaktiver er:

  • forsøgs- og forskningsdata.
  • informationer om ansatte.
  • informationer om finansielle forhold.
  • informationer, som bidrager til administrationen af Aarhus Universitet.
  • informationer som er overladt til Aarhus Universitet af andre.
  • laboratorier, forskningsudstyr, computere og computernetværk. 

Informationssikkerhedspolitikken gælder for:

  • alle ansatte uden undtagelse - dermed også personer, som arbejder midlertidigt for Aarhus Universitet samt emeriti, censorer og eksterne vejledere.
  • studerende, der i forbindelse med deres studie anvender, frembringer eller opbevarer Aarhus Universitets informationsaktiver.
  • andre, der anvender, frembringer eller opbevarer Aarhus Universitets informationsaktiver. f.eks. alumner, leverandører, konsulenter, håndværkere og gæster.

Universitetsledelsen har bestemt, at:

  • universitetsledelsen løbende skal holdes informeret om det aktuelle risikobillede for informationssikkerhed.
  • universitetsledelsen har ansvaret for, at Aarhus Universitets ledelsessystem for informationssikkerhed løbende tilpasses og forbedres, så det modsvarer det trusselsbillede, som universitetet møder.
  • Informationssikkerhedsafdelingen anbefaler målsætninger og rammer for informationssikkerhed, som det centrale sikkerhedsudvalg (CISU) og universitetsledelsen godkender.
  • Informationssikkerhedsafdelingen koordinerer arbejdet med informationssikkerhed med databeskyttelsesrådgiveren (DPO), informationssikkerheds­udvalgene på fakulteterne (FISU) og i Enhedsadministrationen (EISU) samt andre relevante interessenter. Hvis det er nødvendigt, indhenter Informationssikkerhedsafdelingen godkendelse fra CISU og universitetsledelsen.
  • risici mod informationssikkerheden på Aarhus Universitet skal imødegås med passende beskyttelsesforanstaltninger. Foranstaltningerne skal begrundes i en risikovurdering, universitetets risikoappetit og forretningsmæssige risici. Ved persondata skal der desuden udføres en risikovurdering for de registrerede.
  • risikovurderinger skal opdateres årligt og ved betydelige ændringer i det generelle trusselsbillede eller i universitetets organisering, strategi eller operationelle miljø.
  • foranstaltninger indrettes, så Aarhus Universitet overholder kontraktuelle krav samt lovkrav – f.eks. GDPR og universitetsloven.
  • følgende sikkerhedsprincipper skal efterleves:
    • Adgang til informationsaktiver skal gives efter behov.
    • Sikkerhed skal designes ind i processer og løsninger.
    • Nødvendig funktionsadskillelse skal indføres.

1.2 Ansvar og sikkerhedsbevidsthed

Følgende ansvar gør sig gældende ift. at beskytte Aarhus Universitets informationsaktiver:

  • Universitetsledelsen har det overordnede ansvar for informationssikkerheden på Aarhus Universitet.
  • Universitetsledelsen er ansvarlig for, at medarbejdere og studerende bliver oplyst om deres ansvar i forhold til informationssikkerhed på Aarhus Universitet.

1.3 Brud på informationssikkerheden, dispensationer og overtrædelse

Hvis en medarbejder eller studerende opdager trusler mod eller brud på informationssikkerheden, skal vedkommende orientere Informationssikkerhedsafdelingen.

Dispensation fra at følge informationssikkerhedspolitikken kan undtagelsesvis gives af ved at sende en dispensationsindstilling til Informationssikkerhedsafdelingen på informationssikkerhed@au.dk, der vil fremlægge indstillingen for CISU.

Download dispensationsansøgning (Word doc).

Overtrædelse af informationssikkerhedspolitikken håndteres som en sikkerhedshændelse og sanktioneres med modsvarende foranstaltninger.

1.4 Godkendelse

Aarhus Universitets informationssikkerhedspolitik godkendes af rektor på baggrund af CISU’s anbefalinger.

Som et led i den overordnede sikkerhedsstyring tager universitetsledelsen, med udgangspunkt i den løbende ledelsesrapportering af risikobilledet, informationssikkerhedspolitikken op til revurdering minimum en gang om året.