Politik for adgangsstyring (A.9)

Her finder du den gældende politik for adgangsstyring, hvor brugeradgang til AU informationer og systemer fordres af et arbejdsbetinget behov.


Formål

Formålet med Aarhus Universitets politik for Adgangsstyring er: 

  • at begrænse behovet for adgang til IT information, systemer og applikationer 

  • at sikre nødvendige adgangsrettigheder for brugere og forhindre uautoriseret adgang til IT systemer og applikationer 

  • at gøre brugere ansvarlige for at sikre deres brugeradgange til IT 

Forretningsmæssige krav til adgangsstyring (A.9.1)

Denne politik for adgangsstyring skal sikre, at de ansvarlige ledere fastlægger, dokumenterer og gennemgår de tildelte adgangsrettigheder for deres medarbejdere. (A.9.1.1) 

I forhold til ovenstående kan her nævnes følgende opmærksomhedspunkter gældende for AU: 

  • Adgang mellem Universitetets og eksterne parters informationsaktiver må ikke ske, før der er indgået en samarbejdsaftale/fortrolighedserklæring. 

  • Studerende, der tildeles adgang til Universitetets følsomme og/eller fortrolige data, skal udfylde og underskrive en fortrolighedserklæring. 

Brugere og medarbejdere på AU skal kun have adgang til de netværk og systemer, som de specifikt er autoriseret til at benytte. (A.9.1.2) 

Administration af brugeradgange (A.9.2)

Der skal implementeres en formel procedure for registrering og afmelding af brugere med henblik på tildeling af adgangsrettigheder. (A9.2.1) 

Der skal implementeres en formel procedure for tildeling af brugeradgang med henblik på at tildele eller tilbagekalde adgangsrettigheder for alle brugertyper til alle systemer og tjenester. (A.9.2.2) 

Tildeling og anvendelse af privilegerede adgangsrettigheder skal begrænses og styres. (A.9.2.3) 

Fysisk og logisk adgang skal kontrolleres. 

Tildeling af hemmelig adgangskode og password skal styres ved hjælp af en formel administrationsproces. (A.9.2.4) 

Adgangskode og password styring samt to faktor godkendelse skal være indbygget som en del af de systemer, der anvendes på AU. 

De ansvarlige ledere skal med jævne mellemrum gennemgå brugernes adgangsrettigheder. (A.9.2.5) 

Alle medarbejderes og eksterne brugeres adgangsrettigheder til information og systemer skal inddrages, når deres ansættelsesforhold, kontrakt eller aftale ophører eller tilpasses ved behov for ændring af adgang. (A.9.2.6) 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.9.2.1 Brugerregistrering:
    • overordnet sker det på AU i systemet Medarbejderstamkortet, men hvis man har egne systemer, skal der udarbejdes et system til registrering (lokalt), kan fx være et regneark.  

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Brugernes ansvar (A.9.3) 

Det skal være et krav, at brugere følger organisationens gældende praksis ved anvendelse af hemmelige og personlige adgangskoder og password. (A.9.3.1) 

Styring af system- og applikationsadgang (A.9.4)

Særligt gældende for privilegerede rettigheder og adgangskontrol til operativsystemer, skal Aarhus Universitets procedurer for adgangskontrol sikre, at: 

  • Adgang til informations- og applikationssystemers funktion skal begrænses. (A.9.4.1) 

  • Det kræves at adgang til systemer og applikationer styres af en procedure for sikker log-on. (A.9.4.2) 

  • Systemer til administration af adgangskoder skal være interaktive og skal sikre adgangskoder med god kvalitet. (A.9.4.3) 

  • Brugen af system programmer, der kan omgå system- og applikationskontroller, skal begrænses og styres effektivt. (A.9.4.4) 

  • Adgang til kildekoder til programmer skal begrænses. (A.9.4.5) 

Kildekoden til udviklingsprojekter skal sikres mod uautoriseret adgang og kildekode må ikke opbevares i driftsmiljøet. 

Yderligere information

AU Informationssikkerhedspolitik:

https://medarbejdere.au.dk/informationssikkerhed/informationssikkerhedspolitik/ 

Fysisk adgangsstyring: Se A.11 Politik og regler for fysisk sikring og miljøsikring.

https://medarbejdere.au.dk/informationssikkerhed/politik/miljoesikring 

SPØRGEGUIDE

Spørgeguiden skal anses som et hjælpeværktøj - en metode til at komme omkring kravene i den enkelte politik:    

  • Hvem har adgang til systemet?
  • Har de et arbejdsbetinget behov?
  • Hvilke adgange (hvis nogen) skal ændres/slettes?
  • Hvordan tildeles/ændres/slettes adgang til systemet? (procedure)
  • Hvor ofte følges der op på adgange?
  • Er der tildelt privilegerede rettigheder?
  • Har ledelsen en dækkende oversigt over, hvem der er tildelt hvilke adgange?
  • Hvordan sikres og dokumenteres, at de kontraktuelle forhold er på plads? (eksempelvis samarbejdsaftale/fortrolighedserklæring)
  • Hvordan sikres og dokumenteres passende adgangsstyring på baggrund af risikovurdering og dataklassifikation?

Adgangsstyring på Aarhus Universitet dækker adgang til nødvendige systemer og applikationer - baseret på et arbejdsbetinget behov.