Sikkerhedsledelse lokalt

Informationssikkerhed er et fælles ansvar! - her brudt ned i aktiviteter, der beskriver, hvordan I kan arbejde med informationssikkerhed lokalt tilpasset jeres informationer, aktiver og arbejdsfunktioner.


Hvad er formålet?

Formålet med at arbejde med informationssikkerhed lokalt er:

  • at vise omverden, at vi på Aarhus Universitet beskytter vores informationer
  • at man kan stole på os til at beskytte data, hvilket giver tryghed og frihed for især forskere og samarbejdspartnere
  • at øge bevidstheden om informationssikkerhed lokalt - og hos den enkelte

Hvem er ansvarlig for lokale aktiviteter for informationssikkerhed?

Enhedslederen har det samlede ansvar for informationssikkerheden i enheden, og det omfatter aktiviteter som:

  • at sikre, at AU's centrale ISMS efterleves i praksis lokalt, og derved følger og overholder ISO27001-kravene.

  • at informationssikkerhedspolitikken, ISMS og de yderligere politikker, procedurer, adfærdsregler og alle øvrige centrale informationer omhandlende informationssikkerhed kommunikeres, implementeres og efterleves af alle brugere uden undtagelse i den pågældende enhed. 

  • at udarbejde og implementere (ved behov) lokale politikker og procedurer - baseret på risikovurdering

  • at sikre, at alle brugere i den respektive enhed har fået den rette information, træning mv. 

  • lokalt arbejde med awareness, som skal udføres hele året

De lokale FISU på AU's fem fakulteter er gode og relevante sparringspartnere til at få implementeret aktiviteter for informationssikkerhed lokalt.

Hvornår er der behov for et lokalt ISMS?

Det lokale arbejde med informationssikkerhed kan bunde i forskellige behov og krav...

Mens nogle enheder kan nøjes med få formkrav og formalie, har andre enheder behov for yderligere dokumentation med fokus på en certificering i forhold til krav fra samarbejdsparter eller offentlige krav.

I de tilfælde, hvor det er nødvendigt med yderligere tiltag for at skærpe informationssikkerheden kan det kræve et lokalt ISMS på fakultets-/institutniveau eller på enkelte forskningsområder.

Kom godt i gang...

Arbejdet med informationssikkerhed lokalt kan struktureres som et "Forbedringshjul / Årshjul" opdelt i aktiviteter under faserne PLAN-DO-CHECK-ACT, der skal revurderes årligt.

De listede aktiviteter er de obligatoriske i ISO27001 og minimumskravene i det centrale ISMS på Aarhus Universitet.

For at komme godt i gang anbefaler vi løbende at inkorpere aktiviteter således:

1) Start med aktiviteter listet i TRIN 1

2) Tilføj aktiviteter listet i TRIN 2

3) Tilføj aktiviteter listet i TRIN 3

Du kan med fordel tage stilling til nedenstående overvejelser først...

Anbefalinger

  1. Del rejsen op - selvom mange aktiviteter på rejsen er indbyrdes afhængig. 
  2. Start med de mest kritiske aktiver - dét der giver værdi for jer.
  3. Hold det simpelt - dokumentér jeres rejse gennem mødereferater.
  4. Tag udgangspunkt i allerede eksisterende materiale - se AU's centrale ISMS