Politik for adgangsstyring (A.9)

Politikken angiver kravene for, hvordan man skal agere for at sikre informationssikkerheden på Aarhus Universitet og følger kontroller i ISO 27001 standarden, der er en international standard for håndtering af informationssikkerhed (reference er anført i parentes).

Kravene er minimumskrav, som alle enheder skal leve op til. Som enhedsleder er man ansvarlig for at beskytte informationer i de områder, som man har ansvaret for.

Politikken beskriver (hvid kasse), hvilke tekniske og organisatoriske sikkerhedsforanstaltninger, der er etableret på Aarhus Universitet og dermed sikret fra centralt hold. Eventuelle yderligere tiltag eller særlige behov, som ligger ud over de centrale løsninger, skal udarbejdes lokalt på de enkelte fakulteter, institutter eller forskningsenheder.

De enkelte enheder på Aarhus Universitet skal sikre, at kravene specificeret i denne politik bliver fulgt, således at formål indfries. 


Formål

Formålet med Aarhus Universitets politik for Adgangsstyring er: 

  • at begrænse behovet for adgang til IT information, systemer og applikationer 

  • at sikre nødvendige adgangsrettigheder for brugere og forhindre uautoriseret adgang til IT systemer og applikationer 

  • at gøre brugere ansvarlige for at sikre deres brugeradgange til IT 

Forretningsmæssige krav til adgangsstyring (A.9.1)

Denne politik for adgangsstyring skal sikre, at de ansvarlige ledere fastlægger, dokumenterer og gennemgår de tildelte adgangsrettigheder for deres medarbejdere. (A.9.1.1) 

I forhold til ovenstående kan her nævnes følgende opmærksomhedspunkter gældende for AU: 

  • Adgang mellem Universitetets og eksterne parters informationsaktiver må ikke ske, før der er indgået en samarbejdsaftale/fortrolighedserklæring

  • Studerende, der tildeles adgang til Universitetets følsomme og/eller fortrolige data, skal udfylde og underskrive en fortrolighedserklæring. 

Brugere og medarbejdere på AU skal kun have adgang til de netværk og systemer, som de specifikt er autoriseret til at benytte. (A.9.1.2) 

Administration af brugeradgange (A.9.2)

Der skal implementeres en formel procedure for registrering og afmelding af brugere med henblik på tildeling af adgangsrettigheder. (A9.2.1) 

Der skal implementeres en formel procedure for tildeling af brugeradgang med henblik på at tildele eller tilbagekalde adgangsrettigheder for alle brugertyper til alle systemer og tjenester. (A.9.2.2) 

Tildeling og anvendelse af privilegerede adgangsrettigheder skal begrænses og styres. (A.9.2.3) 

Fysisk og logisk adgang skal kontrolleres. 

Tildeling af hemmelig adgangskode og password skal styres ved hjælp af en formel administrationsproces. (A.9.2.4) 

Adgangskode og password styring samt to faktor godkendelse skal være indbygget som en del af de systemer, der anvendes på AU. 

De ansvarlige ledere skal med jævne mellemrum gennemgå brugernes adgangsrettigheder. (A.9.2.5) 

Alle medarbejderes og eksterne brugeres adgangsrettigheder til information og systemer skal inddrages, når deres ansættelsesforhold, kontrakt eller aftale ophører eller tilpasses ved behov for ændring af adgang. (A.9.2.6) 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.9.2.1 Brugerregistrering:
    • overordnet sker det på AU i systemet Medarbejderstamkortet, men hvis man har egne systemer, skal der udarbejdes et system til registrering (lokalt), kan fx være et regneark.  

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Brugernes ansvar (A.9.3) 

Det skal være et krav, at brugere følger organisationens gældende praksis ved anvendelse af hemmelige og personlige adgangskoder og password. (A.9.3.1) 

Styring af system- og applikationsadgang (A.9.4)

Særligt gældende for privilegerede rettigheder og adgangskontrol til operativsystemer, skal Aarhus Universitets procedurer for adgangskontrol sikre, at: 

  • Adgang til informations- og applikationssystemers funktion skal begrænses. (A.9.4.1) 

  • Det kræves at adgang til systemer og applikationer styres af en procedure for sikker log-on. (A.9.4.2) 

  • Systemer til administration af adgangskoder skal være interaktive og skal sikre adgangskoder med god kvalitet. (A.9.4.3) 

  • Brugen af system programmer, der kan omgå system- og applikationskontroller, skal begrænses og styres effektivt. (A.9.4.4) 

  • Adgang til kildekoder til programmer skal begrænses. (A.9.4.5) 

Kildekoden til udviklingsprojekter skal sikres mod uautoriseret adgang og kildekode må ikke opbevares i driftsmiljøet. 

Yderligere information

AU Informationssikkerhedspolitik:

https://medarbejdere.au.dk/informationssikkerhed/informationssikkerhedspolitik/ 

Fysisk adgangsstyring: Se A.11 Politik og regler for fysisk sikring og miljøsikring.

https://medarbejdere.au.dk/informationssikkerhed/politik/miljoesikring 

Godkendelse

Informationssikkerhedspolitikkerne revurderes minimum én gang om året. 

Gældende politik for Adgangsstyring på Aarhus Universitet version 1.0 er godkendt af CISU 16.12.2021.

Adgangsstyring på Aarhus Universitet dækker adgang til nødvendige systemer og applikationer - baseret på et arbejdsbetinget behov.