ISMS - Lokale aktiviteter

Informationssikkerhed er en kontinuerlig proces med fokus på løbende forbedringer...

Informationssikkerhed handler om tekniske løsninger og organisatoriske foranstaltninger, men i lige så høj grad om, hvordan vi håndterer informationer og informationsaktiver.

ISMS er en overordnet ramme, som her er brudt ned i aktiviteter, der beskriver, hvordan I kan arbejde med informationssikkerhed lokalt.


Hvad er et ISMS?

Et ISMS er et sammenhængende styringssystem - et værktøj til at formalisere arbejdet med informationssikkerhed.

En struktureret tilgang til dokumentation og formalisering af praksis - hvordan vi gør her på Aarhus Universitet - med fokus på at identificere eventuelle sårbarheder og mulige forbedringstiltag.

Universitetsledelsen har besluttet, at Aarhus Universitet skal følge ISO 27001, der er en international standard, som fastsætter god skik for, hvordan man organiserer og styrer informationssikkerhed. ISO 27001 benytter ISMS som styringsværktøj, der skal revurderes årligt.

Hvad er formålet med et ISMS?

At have en dokumenteret styring af vores informationssikkerhed på Aarhus Universitet viser omverden, at vi beskytter vores informationer. At man kan stole på os til at beskytte data, hvilket giver tryghed og frihed for især forskere og samarbejdspartnere.

Aarhus Universitet har et centralt ISMS, som rammesætter, hvor universitetet definerer, dokumenterer og driver forskellige foranstaltninger for at sikre, at vi på fornuftig vis beskytter Fortroligheden, Integriteten og Tilgængeligheden af vores informationer og aktiver mod trusler og sårbarheder. 

Det centrale ISMS på Aarhus Universitet angiver minimumkrav for, hvilke aktiviteter der skal arbejdes med lokalt, og hvem der er ansvarlig for udførelse.

Hvem er ansvarlig for lokale aktiviteter for ISMS?

Enhedslederen er ansvarlige for at effektuere aktiviteter for ISMS lokalt. Ved enhedsleder forstås her eksempelvis institutleder, leder af et forskningscenter eller vicedirektør.

Enhedslederen har det samlede ansvar for informationssikkerheden i enheden, og det omfatter aktiviteter som:

  • at sikre, at AU's centrale ISMS efterleves i praksis lokalt, og derved følger og overholder ISO27001-kravene.

  • at informationssikkerhedspolitikken, ISMS og de underliggende politikker, procedurer, adfærdsregler og alle øvrige centrale informationer omhandlende informationssikkerhed kommunikeres, implementeres og efterleves af alle brugere uden undtagelse i den pågældende enhed. 

  • at udarbejde og implementere (ved behov) lokale politikker og procedurer - baseret på risikovurdering

  • at sikre, at alle brugere i den respektive enhed har fået den rette information, træning mv. 

  • lokalt arbejde med awareness, som skal udføres hele året

De lokale FISU på AU's fem fakulteter er gode og relevante sparringspartnere til at få implementeret aktiviteter for ISMS lokalt.

Hvilke aktiviteter for ISMS skal effektueres lokalt?

Ud fra tanken om at hele tiden at forbedre sig og styrke informationssikkerheden på Aarhus Universtet, kan arbejdet lokalt med fordel etableres som et "forbedringshjul" med faserne Plan-Do-Check-Act 

  • PLAN: Udarbejdelse og vedligeholdelse af de grundlæggende dokumenter (ISO27001-reference: sektion 4, 5, 6 og 7)
  • DO: Implementering og arbejdet med informationssikkerhed i praksis (ISO27001-reference: sektion 8)
  • CHECK: Evaluering og dokumentation af status på aktiviteter og informationssikkerhedstiltag samt identificering af forbedringsmuligheder (ISO27001-reference: sektion 9)
  • ACT: Nye tiltag og løbende forbedringer (ISO27001-reference: sektion 10)
     

Under hver af de 4 faser findes tjeklister, der sikrer, at man kommer hele vejen rundt om de obligatoriske aktiviteter i ISO27001 og minimumskravene i det centrale ISMS på Aarhus Universitet.

Kom godt i gang lokalt...

Arbejdet med aktiviteter for ISMS lokalt kan bunde i forskellige behov og krav...  

Mens nogle enheder kan nøjes med få formkrav og formalia, har andre enheder behov for yderligere dokumentation med fokus på en certificering i forhold til samarbejdsparter eller offentlige krav, 

For at sikre det bedste udgangspunkt for en god start, så gør jer følgende overvejelser:

...og tilføj løbende flere aktiviteter

Når ovenstående er implementeret, kan flere aktiviteter fra PDCA-tjeklisterne tilføjes - men husk at igangsatte aktiviteter fortsat skal understøttes og udvikles, hvilket er hele tanken i "forbedringshjulet".

PDCA-tjeklisterne rummer alle aktiviteter, der skal sikres lokalt for at efterleve det centrale ISMS og ISO27001-kravene.

For at komme omkring samtlige aktiviteter anbefales:

  1. Tag udgangspunkt i GRØN markering i 'ISMS: Lokale aktiviteter' det første år
  2. Herefter kan BLÅ markering i 'ISMS: Lokale aktiviteter' påbegyndes det andet år
  3. Tilføj efterfølgende aktiviteter med LILLA markering i 'ISMS: Lokale aktiviteter' det tredje år

Som det fremgår er arbejdet med informationssikkerhed en løbende proces med fokus på forbedringer - et arbejde der hele tiden udvikles og tilpasses, så informationer og aktiver beskyttes med passende tiltag baseret på risikovurderinger.

Mens arbejdet og aktiviteter med informationssikkerhed kan udviklet sig over tid, skal det her fremhæves, at enkelte aktiviteter skal gennemføres årlig eller ved større ændringer, herunder rapportering af risikobillede til Universitetsledelsen via informationssikkerhedsudvalgene.