Formålet med Aarhus Universitets politik for Adgangsstyring er:
at begrænse behovet for adgang til IT information, systemer og applikationer
at sikre nødvendige adgangsrettigheder for brugere og forhindre uautoriseret adgang til IT systemer og applikationer
at gøre brugere ansvarlige for at sikre deres brugeradgange til IT
Denne politik for adgangsstyring skal sikre, at de ansvarlige ledere fastlægger, dokumenterer og gennemgår de tildelte adgangsrettigheder for deres medarbejdere. (A.9.1.1)
I forhold til ovenstående kan her nævnes følgende opmærksomhedspunkter gældende for AU:
Adgang mellem Universitetets og eksterne parters informationsaktiver må ikke ske, før der er indgået en samarbejdsaftale/fortrolighedserklæring.
Studerende, der tildeles adgang til Universitetets følsomme og/eller fortrolige data, skal udfylde og underskrive en fortrolighedserklæring.
Brugere og medarbejdere på AU skal kun have adgang til de netværk og systemer, som de specifikt er autoriseret til at benytte. (A.9.1.2)
Der skal implementeres en formel procedure for registrering og afmelding af brugere med henblik på tildeling af adgangsrettigheder. (A9.2.1)
Der skal implementeres en formel procedure for tildeling af brugeradgang med henblik på at tildele eller tilbagekalde adgangsrettigheder for alle brugertyper til alle systemer og tjenester. (A.9.2.2)
Tildeling og anvendelse af privilegerede adgangsrettigheder skal begrænses og styres. (A.9.2.3)
Fysisk og logisk adgang skal kontrolleres.
Tildeling af hemmelig adgangskode og password skal styres ved hjælp af en formel administrationsproces. (A.9.2.4)
Adgangskode og password styring samt to faktor godkendelse skal være indbygget som en del af de systemer, der anvendes på AU.
De ansvarlige ledere skal med jævne mellemrum gennemgå brugernes adgangsrettigheder. (A.9.2.5)
Alle medarbejderes og eksterne brugeres adgangsrettigheder til information og systemer skal inddrages, når deres ansættelsesforhold, kontrakt eller aftale ophører eller tilpasses ved behov for ændring af adgang. (A.9.2.6)
Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:
Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet. Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt. |
Det skal være et krav, at brugere følger organisationens gældende praksis ved anvendelse af hemmelige og personlige adgangskoder og password. (A.9.3.1)
Særligt gældende for privilegerede rettigheder og adgangskontrol til operativsystemer, skal Aarhus Universitets procedurer for adgangskontrol sikre, at:
Adgang til informations- og applikationssystemers funktion skal begrænses. (A.9.4.1)
Det kræves at adgang til systemer og applikationer styres af en procedure for sikker log-on. (A.9.4.2)
Systemer til administration af adgangskoder skal være interaktive og skal sikre adgangskoder med god kvalitet. (A.9.4.3)
Brugen af system programmer, der kan omgå system- og applikationskontroller, skal begrænses og styres effektivt. (A.9.4.4)
Adgang til kildekoder til programmer skal begrænses. (A.9.4.5)
Kildekoden til udviklingsprojekter skal sikres mod uautoriseret adgang og kildekode må ikke opbevares i driftsmiljøet.
AU Informationssikkerhedspolitik:
https://medarbejdere.au.dk/informationssikkerhed/informationssikkerhedspolitik/
Fysisk adgangsstyring: Se A.11 Politik og regler for fysisk sikring og miljøsikring.
https://medarbejdere.au.dk/informationssikkerhed/politik/miljoesikring
SPØRGEGUIDE
Spørgeguiden skal anses som et hjælpeværktøj - en metode til at komme omkring kravene i den enkelte politik: