Informationssikkerhed

English

Du er her: Informationssikkerhed Informationssikkerhedspolitik Yderligere politikker for informationssikkerhed Politik for fysisk sikring og miljøsikring (A.11)

Politik for fysisk sikring og miljøsikring (A.11)

Her finder du den gældende politik for fysiske lokationer og de omkringliggende områder med tiltag til at beskytte AU informationer og aktiver mod tab, kompromittering eller skader.

Formål

Formålet med Aarhus Universitets politik og regler for Fysisk sikring og miljøsikring: 

  • at forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter 
  • at undgå tab, skade, tyveri eller kompromittering af aktiver og driftsafbrydelse i organisationen 

Sikre områder (A.11.1)

Der skal defineres og anvendes perimetersikring til at beskytte områder, der indeholder enten følsomme eller kritiske informationer og informationsbehandlingsfaciliteter. (A.11.1.1) 

Sikre områder skal være beskyttet med passende adgangskontroller for at sikre, at kun autoriseret personale kan få adgang. (A.11.1.2) 

Det påhviler den enkelte enhedsledelse at etablere sikring af områder i de tilfælde og det omfang, risikovurdering af indeholdte informationsaktiver tilsiger dette. 

Sikring af universitetets områder skal som udgangspunkt ske i samarbejde med AU Bygninger og i alle tilfælde mindst i overensstemmelse med gældende krav herfra til eksempelvis tyveri-, perimetersikring og overvågning. 

Enheder, der har ansvaret for sikre områder (eksempelvis serverrum eller hovedkrydsfelter) skal tilse, at de overholder nedenstående krav: 

  • Adgang til sikre områder omfatter kun autoriseret personale, eventuelle eksterne skal altid overvåges af disse. 

  • Disse områder skal endvidere anvende adgangskontrol med et passende niveau af logning af adgang. Stedlige krydsfelter og øvrige teknikrum skal af den områdeansvarlige enhed som minimum sikres ved aflåsning. 

Personer tilknyttet Aarhus Universitet har ansvaret for deres gæsters færden i forbindelse med værtskabet samt for at håndtere fornøden adgangsstyring. 

Fysisk sikring af kontorer, lokaler og faciliteter skal tilrettelægges og etableres. (A.11.1.3) 

AU Bygninger definerer retningslinjer for fysisk sikring, der gælder for alle universitetets kontorer, lokaler og faciliteter. Det påhviler enhedsledelsen at supplere disse i overensstemmelse med gældende risikovurdering samt at etablere de fornødne foranstaltninger. 

Fysisk beskyttelse mod naturkatastrofer, ondsindede angreb eller ulykker skal tilrettelægges og etableres. (A.11.1.4) 

AU Bygninger definerer universitetets fælles niveau for fysisk beskyttelse mod akutte situationer. Dertil bærer enhedsledelsen ansvaret for at dennes områder er sikret i overensstemmelse med relevante risikovurderinger. 

Procedurer for arbejde i sikre områder skal tilrettelægges og etableres. (A.11.1.5) 

Adgangssteder som fx områder til af- og pålæsning og andre steder, hvor uautoriserede personer kan komme ind på området, skal styres og så vidt muligt adskilles fra informationsbehandlingsfaciliteter for at undgå uautoriseret adgang. (A.11.1.6) 

Oplysninger om sikre områder og deres funktion må i henhold til gældende risikovurdering alene være tilgængelige for personer tilknyttet Aarhus Universitet i kraft af et arbejdsbetinget behov samt for anden part med tilladelse fra områdeansvarlige enhed. 

Områdeansvarlige enhedsledelse har ansvar for eksterne parters arbejde på enhedens sikre område jævnfør gældende risikovurdering, herunder etablering af tilsyn eller overvågning i eksempelvis kritiske laboratoriefaciliteter eller serverrum. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

Tiltagene gælder for sikre områder administreret af Aarhus Universitet, herunder AU´s datacentre i Stilling og Søsterhøj samt krydsfelter.

  • ad. A.11.1.1 Perimetersikring:
    • Bygningsservice på Aarhus Universitet stiller adgangskontrol med elektronisk låse og låsesystem monteret på ydredøre og med mulighed for lås på egen dør til rådighed.
  • ad. A.11.1.2 Sikre områder:
    • Aarhus Universitet stiller en række sikre områder til rådighed. Disse sikre områder er aflåste og adgang tillades kun med et arbejdsbetinget behov (med tilladelse fra AU IT’s ledelse eller ved overvåget adgangaf betroede medarbejdere fra AU IT). 
    • Det påhviler enhedsledelen at definere behov for sikring/etablering af sikre områder samt vurdere, hvordan dette imødekommes i samarbejde med bygningsservice for det pågældende fakultet. 
  • ad. A.11.1.3 Fysisk sikring af kontorer mv.: 
    • Er i mange tilfælde tilrettelagt og etableret fra centralt hold via bygningernes indretning.
  • ad. A.11.1.4 Beskyttelse mod miljømæssige hændelser:
    • serverrum, hovedkrydsfelter og tilsvarende områder administreret af AU IT er sikret mod miljømæssige hændelser som brand, vand, eksplosion, strømsvigt og tilsvarende påvirkninger.
    • serverrum er sikret med veldimensioneret brandmelde- og brandslukningsudstyr.
    • procedurer, der sikrer, at der ikke lagres farlige eller brandfarlige materialer i behørig afstand fra sikre områder. 
    • lokaler med væsentlige mængder af IT-udstyr sikres med køling.  
  • ad. A.11.1.5 Procedurer for arbejde i sikre områder: 
    • de sikre områder AU IT administrerer er underlagt procedurer for arbejde i disse områder.
  • ad. A.11.1.6 Områder til af- og pålæsning skal sikres mod uautoriseret adgang:
    • de centrale indkøbsprocedurer sikrer i vidt omfang dette, her kan f.eks. nævnes, at IT-relateret indkøb skal foretages igennem IT-webshoppen, her vil af- og pålæsningsområder være sikret iht. dette krav.

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet. 

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Få gode råd om fysisk sikring hos pet.dk (Politiets Efterretningstjeneste)

Udstyr (A.11.2)

Udstyr skal placeres og beskyttes, således at risikoen for miljøtrusler og farer samt muligheden for uautoriseret adgang nedsættes. (A.11.2.1) 

Udstyr skal beskyttes mod strømsvigt og andre forstyrrelser som følge af svigt af understøttende forsyninger. (A.11.2.2) 

Kabler til elektricitet og telekommunikation, som bærer data eller understøtter informationstjenester, skal beskyttes mod aflytning, interferens og skader. (A.11.2.3) 

Udstyr skal vedligeholdes korrekt for at sikre dets fortsatte tilgængelighed og integritet. (A.11.2.4) 

For ovenstående fire punkter gælder, at den ansvarlige enhed har ansvar for vedligehold, placering og beskyttelse af udstyr og kabling i serverrum og hovedkrydsfelter under sin administration jævnfør tilhørende risikovurderinger. Fysisk og miljømæssig sikring af udstyr i universitetets øvrige informationsbehandlingsfaciliteter påhviler den ansvarlige enhedsledelse. 

Udstyr, information og software må ikke fjernes fra organisationen uden forudgående tilladelse. (A.11.2.5) 

Der skal etableres sikring af aktiver uden for organisationen under hensyntagen til de forskellige risici, der er forbundet med arbejde uden for organisationen. (A.11.2.6) 

Alt udstyr med lagringsmedier skal verificeres for at sikre, at følsomme data og licensbeskyttet software er slettet eller forsvarligt overskrevet inden bortskaffelse eller genbrug. (A.11.2.7) 

Brugere skal sikre, at udstyr, som er uden opsyn, er passende beskyttet. (A.11.2.8) 

Der skal udarbejdes en politik om at holde skriveborde ryddet for papir og flytbare lagringsmedier og om blank skærm på informationsbehandlingsfaciliteter. (A.11.2.9) 

Brugere af udstyr tilhørende universitetet er pålagt at overholde Regler for Informationssikkerhed. 

Enheden med ansvar for anskaffelse og udlevering af udstyr er ansvarlig for dets understøttelse af relevante krav til eksempelvis mobilt udstyr og fjernarbejdspladser i overensstemmelse med tilhørende risikovurdering. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.11.2.1 - A.11.2.3 Beskyttelse af udstyr:
    • udstyr i de sikre områder administreret af AU IT er beskyttet mod uautoriseret adgang, strømsvigt og andre forstyrrelser samt beskyttes mod aflytning m.v. 
  • ad. A.11.2.4 Vedligeholdelse af udstyr:
    • korrekt vedligeholdelse af udstyr administreret af AU IT sikres centralt 
  • ad. A.11.2.6 Sikring af aktiver udenfor universitetet:
    • der er etableret centrale vejledninger for, hvordan man skal forholde sig til informationssikkerhed, når man arbejder på distancen eller er på farten. (disse opdateres pt.)
  • ad. A.11.2.7 Bortskaffelse:
    • der er etableret centrale procedurer for bortskaffelse eller genbrug af lagringsmedier fra centralt hold - men ellers skal dette sikres lokalt
  • ad. A.11.2.8 Passende beskyttelse af udstyr, som er uden opsyn:
    • udstyr administreret af AU er beskyttet med login password, kryptering samt pin-kode lås.
    • der er etableret centrale vejledninger for dette, såsom lås din computer (disse opdateres pt.)

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Foruden eventuelle lokale behov skal nedenstående sikres lokalt for at efterleve kravene:

  • ad A.11.2.5 Udstyr og informationer:
    • udstyr, information og software må ikke fjernes fra universitetet uden forudgående tilladelse. 
  • ad. A.11.2.9 Ryddet skriveborde: 
    • regler for, at holde skriveborde ryddet, skal håndteres lokalt.

SPØRGEGUIDE

Spørgeguiden skal anses som et hjælpeværktøj - en metode til at komme omkring kravene i den enkelte politik:    

  • Hvordan sikres passende fysisk sikkerhed på lokationen/-erne? (herunder adgangsstyring til bygninger/områder, overvågning, perimetersikring m.m.)
  • Hvordan sikrer ledelsen, at procedurer for adgang til særligt sikrede område overholdes? (såfremt enheden råder over sikre områder)
  • Hvordan sikres vedligehold af udstyr, så det ikke kompromitteret universitetets sikkerhed? (både hos brugere og hos AU)
  • Hvordan sikres software og følsomme informationer på bærbare medier? (så vigtige informationer ikke tabes eller lækkes)
  • Hvordan sikres aktiver og korrekt håndtering af aktiver udenfor Aarhus Universitet? (forskning i feltet, arbejde på distancen)
  • Hvordan sikres forsvarlig bortskaffelse eller genbrug af udstyr/medier?
  • Er der behov for yderligere tiltag på baggrund af risikovurderinger?

Har du brug for hjælp?

Kontakt Aarhus Universitets Informationssikkerhedsafdeling, hvis du har spørgsmål eller brug for hjælp. 

Fysisk sikkerhed omfatter blandt andet:

  • døre, vinduer, alarmer, videoovervågning
  • adgangskontrolsystemer, hvis formål er at sikre, at kun personer med legalt ærinde får adgang til specifikke dele af universitetets områder
  • tyverisikring af Aarhus Universitets fysiske aktiver, eksempelvis krydsfelter, laboratorier mm.

Sikre områder på Aarhus Universitet defineres som områder, der indeholder enten følsomme eller fortrolige informationer og informationsbehandlingsfaciliteter. Sådanne områder findes både centralt og lokalt. 

Oversigt over systemer etableret i de sikre områder, som udbydes fra centralt hold til brug på universitetet.

Revideret 20.02.2024
-
Informationssikkerhed