Politik for styring af aktiver (A.8)

Politikken angiver kravene for, hvordan man skal agere for at sikre informationssikkerheden på Aarhus Universitet og følger kontroller i ISO 27001 standarden (reference er anført i parentes).

Kravene er minimumskrav, som alle enheder skal leve op til. Som enhedsleder er man ansvarlig for at beskytte informationer i de områder, som man har ansvaret for.

Under hver politik er listet (hvid kasse), hvad der er sikret fra centralt hold på Aarhus Universitet, samt at eventuelle yderligere tiltag eller særlige behov, som ligger ud over de centrale løsninger, skal udarbejdes lokalt på de enkelte fakulteter, institutter eller forskningsenheder.

De enkelte enheder på Aarhus Universitet skal sikre, at kravene specificeret i denne politik bliver fulgt, således at formål indfries.


Formål

Formålet med Aarhus Universitets politik og regler for Styring af aktiver: 

  • at identificere organisationens aktiver og definere passende ansvarsområder til beskyttelse heraf
  • at sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen
  • at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier

Ansvar for aktiver (A.8.1)

Aktiver i relation til information og informationsbehandlingsfaciliteter skal identificeres, og der skal udarbejdes og vedligeholdes en fortegnelse over disse aktiver. (A.8.1.1)

Der skal udpeges en ejer i organisationen for hvert aktiv. (A.8.1.2)

Enhedsledelsen med ejerskab af kritiske informationsaktiver på Aarhus Universitet skal sikre at disse indgår i en opdateret fortegnelse med anvisning af passende og implementerede sikringsforanstaltninger.
For aktiver med karakter af kritiske it-systemer skal enhedsledelsen udpege en systemejer.

Regler for accepteret brug af information og aktiver i relation til information og informationsbehandlingsfaciliteter skal identificeres, dokumenteres og implementeres. (A.8.1.3)

Universitetsledelsen har defineret et fælles regelsæt for accepteret brug af aktiver i Regler for Informationssikkerhed.

Alle medarbejderes og eksterne brugere skal aflevere alle organisationsaktiver, der er i deres besiddelse, når deres ansættelse, kontrakt eller aftale ophører (A.8.1.4)

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad. A.8.1.1 Fortegnelse over aktiver:
    • AU IT vedligeholder fortegnelse over aktiver som it-udstyr, der udbydes af AU IT. Dette udstyr er, hvor relevant, markeret med et AU tyverimærkat (identifikationsnummer, som kan kædes sammen med serienummeret på udstyret). Andre informationsaktiver skal mærkes og registreres på anden vis.
  • ad. A.8.1.3 Accepteret brug af aktiver:
  • ad. A.8.1.4 Tilbagelevering af aktiver: 
    • for medarbejdere gælder fratrædelsesregler som udstukket af AU HR. Med hensyn til udlevering af aktiver til andre personer lokalt skal den ansvarlige enhedsleder sikre, at pågældende organisationsaktiver tilbageleveres ved ophør af samarbejde eller kontrakt.

Klassifikation af information (A.8.2)

Information skal klassificeres efter lovmæssige krav, værdi og efter, hvor følsom og kritisk informationen er i forhold til uautoriseret offentliggørelse eller ændring. (A.8.2.1)

Der skal udarbejdes og implementeres et passende sæt af procedurer til mærkning af information i overensstemmelse med det informationsklassifikationssystem, som organisationen har vedtaget. (A.8.2.2)

Der skal udarbejdes og implementeres procedurer til håndtering af aktiver i overensstemmelse med det informationsklassifikationssystem, som organisationen har vedtaget. (A.8.2.3)

På Aarhus Universitet skal alle klassificere, mærke og håndtere sine informationer i henhold til Aarhus Universitets Informationsklassifikationssystem. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.8.2.1 - A.8.2.3 Klassifikation, mærkning og håndtering af information: 
    • som udgangspunkt foretages klassificering, mærkning og håndtering i overensstemmelse med Aarhus Universitets fælles informationsklassifikationssystem. Yderligere procedurebehov skal afdækkes lokalt i forlængelse af risikovurdering.

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Mediehåndtering (A.8.3)

Der skal implementeres procedurer til styring af bærbare medier i overensstemmelse med det klassifikationssystem, som organisationen har vedtaget. (A.8.3.1)

Medier skal bortskaffes på forsvarlig vis, når der ikke længere er brug for dem, i overensstemmelse med formelle procedurer. (A.8.3.2)

Medier, der indeholder information skal beskyttes mod uautoriseret adgang, misbrug eller ødelæggelse under transport. (A.8.3.3)

Enhedsledelsen skal sikre ovenstående procedurer, der kan indfri formålet om at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier i den pågældende enhed.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.8.3.1 - A.8.3.2 Styring og bortskaffelse af medier:
    • som udgangspunkt foretages styring og bortskaffelse af medier i henhold til Aarhus Universitets fælles informationsklassifikationssystem og procedurer. Yderligere procedurebehov skal afdækkes lokalt i forlængelse af risikovurdering.
  • ad. A.8.3.3 Fysiske medier under transport:
    • her henvises til retningslinger for arbejde på distancen (under udarbejdelse).

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Godkendelse

Gældende 'Politik for styring af aktiver' på Aarhus Universitet version 1.0 er princip-godkendt af CISU 22.06.2022.

Et aktiv er en værdi for universitetet som ejendom, maskiner, lagre, biler, inventar, computere, servere, enheder, it-systemer goodwill, patenter og lignende. 

I forbindelse med informationssikkerhed defineres ’aktiver’ bredt som eksempelvis it-systemer, domæner, lyd- og videooptagelser, vævsprøver samt papirdokumenter eller andet, som indeholder informationer med behov for beskyttelse i henhold til risikovurderingen.


Kritiske aktiver indeholder som minimum it-systemer (eksempelvis med en systemklassifikation A) samt øvrige aktiver, der kan påvirke den enkelte enhed med en uacceptabel risiko for utilsigtet offentliggørelse, kompromitering eller tab.