Formålet med at arbejde med informationssikkerhed lokalt er:
Enhedslederen har det samlede ansvar for informationssikkerheden i enheden, og det omfatter aktiviteter som:
at sikre, at AU's centrale ISMS efterleves i praksis lokalt, og derved følger og overholder ISO27001-kravene.
at informationssikkerhedspolitikken, ISMS og de yderligere politikker, procedurer, adfærdsregler og alle øvrige centrale informationer omhandlende informationssikkerhed kommunikeres, implementeres og efterleves af alle brugere uden undtagelse i den pågældende enhed.
at udarbejde og implementere (ved behov) lokale politikker og procedurer - baseret på risikovurdering
at sikre, at alle brugere i den respektive enhed har fået den rette information, træning mv.
lokalt arbejde med awareness, som skal udføres hele året
De lokale FISU på AU's fem fakulteter er gode og relevante sparringspartnere til at få implementeret aktiviteter for informationssikkerhed lokalt.
Det lokale arbejde med informationssikkerhed kan bunde i forskellige behov og krav...
Mens nogle enheder kan nøjes med få formkrav og formalie, har andre enheder behov for yderligere dokumentation med fokus på en certificering i forhold til krav fra samarbejdsparter eller offentlige krav.
I de tilfælde, hvor det er nødvendigt med yderligere tiltag for at skærpe informationssikkerheden kan det kræve et lokalt ISMS på fakultets-/institutniveau eller på enkelte forskningsområder.
Arbejdet med informationssikkerhed lokalt kan struktureres som et "Forbedringshjul / Årshjul" opdelt i aktiviteter under faserne PLAN-DO-CHECK-ACT, der skal revurderes årligt.
De listede aktiviteter er de obligatoriske i ISO27001 og minimumskravene i det centrale ISMS på Aarhus Universitet.
For at komme godt i gang anbefaler vi løbende at inkorpere aktiviteter således:
1) Start med aktiviteter listet i TRIN 1
2) Tilføj aktiviteter listet i TRIN 2
3) Tilføj aktiviteter listet i TRIN 3
Du kan med fordel tage stilling til nedenstående overvejelser først...