Kære medarbejdere og studerende ved Aarhus Universitet
Information og data spiller en helt afgørende rolle i vores daglige virke. Det gælder på digitale platforme med f.eks. mails, undervisningsplaner og forskningsdatabaser. Men også data, som vi opbevarer på papir, på diktafoner eller i blodprøveglas.
De informationer skal være tilgængelige for os, når vi har brug for dem – men vi skal også alle bidrage til at beskytte dem, så samfundet kan have tillid til, at vi behandler betroede data med respekt og omtanke.
Med andre ord er informationssikkerhed en helt afgørende faktor i at sikre, at vores fælles hverdag fungerer – og ikke mindst, at vi fortsat kan udføre vores arbejde og levere vores vigtige samfundsbidrag.
Informationssikkerhed handler ikke kun om tekniske aspekter som antivirusprogrammer, firewalls og totrinsbekræftelse. Det handler i lige så høj grad om, hvordan vi hver især agerer, når vi arbejder med informationer og data. Eller sagt på en anden måde: En fodboldkamp afgøres ikke kun af, hvilke systemer de to hold spiller. Det handler i lige så høj grad om, hvordan spillerne agerer på banen.
Når det gælder informationssikkerhed, kommer man meget langt med skepsis og sund fornuft. Derfor har vi som universitet et godt udgangspunkt. Men jeg vil alligevel opfordre alle til at sætte sig grundigt ind i informationssikkerhedspolitikken. Her kan man orientere sig om de retningslinjer for informationssikkerhed, man har pligt til at kende og overholde, hvad enten man er studerende eller medarbejder, og uanset om man arbejder med forskning, uddannelse, rådgivning eller administration. Ved at efterleve retningslinjerne kan vi hver især bidrage til, at Aarhus Universitets data og IT-systemer er sikre – og ikke mindst, at de er tilgængelige, når vi har brug for dem!
Venlig hilsen
Brian Bech Nielsen
Rektor
AU's informationssikkerhedspolitik er godkendt af universitetsledelsen i februar 2023.
Denne politik danner den overordnede ramme for informationssikkerhed på Aarhus Universitet med udgangspunkt i universitetets overordnede strategi 2025:
Aarhus Universitet er et stærkt universitet, der markerer sig med forskning, forskningsbaserede uddannelser og myndighedsrådgivning af høj international kvalitet og værdiskabende samarbejde med private virksomheder, offentlige institutioner og civilsamfundet. Den nysgerrige skabelse af viden med rod i dybe fagligheder til gavn for samfundet er universitetets eksistensberettigelse.
For at bevare tilliden til Aarhus Universitet skal kritiske informationer beskyttes med foranstaltninger, der sikrer den nødvendige informationssikkerhed. Vi arbejder ud fra tre grundsten:
Alle, som har en relation til Aarhus Universitet, kan i informationssikkerhedspolitikken orientere sig om, hvilke retningslinjer der gælder for informationssikkerhed. Retningslinjerne afspejler krav fra lovgivning og relevante myndigheder, som Uddannelses- og Forskningsministeriet, f.eks. krav om brug af den fælles informationssikkerhedsstandard, ISO 27001.
Informationssikkerhedspolitikken omfatter alle Aarhus Universitets informationsaktiver, dvs.:
Eksempler på informationsaktiver er:
Informationssikkerhedspolitikken gælder for:
Universitetsledelsen har bestemt, at:
Følgende ansvar gør sig gældende ift. at beskytte Aarhus Universitets informationsaktiver:
Hvis en medarbejder eller studerende opdager trusler mod eller brud på informationssikkerheden, skal vedkommende orientere Informationssikkerhedsafdelingen.
Dispensation fra at følge informationssikkerhedspolitikken kan undtagelsesvis gives af ved at sende en dispensationsindstilling til Informationssikkerhedsafdelingen på informationssikkerhed@au.dk, der vil fremlægge indstillingen for CISU.
Download dispensationsansøgning (Word doc).
Overtrædelse af informationssikkerhedspolitikken håndteres som en sikkerhedshændelse og sanktioneres med modsvarende foranstaltninger.
Aarhus Universitets informationssikkerhedspolitik godkendes af rektor på baggrund af CISU’s anbefalinger.
Som et led i den overordnede sikkerhedsstyring tager universitetsledelsen, med udgangspunkt i den løbende ledelsesrapportering af risikobilledet, informationssikkerhedspolitikken op til revurdering minimum en gang om året.