Politik for styring af aktiver (A.8)

Her finder du den gældende politik for styring af aktiver til at sikre passende beskyttelse af AU aktiver og informationer i henhold til universitetets dataklassifikation.

Formål

Formålet med Aarhus Universitets politik og regler for Styring af aktiver:

at identificere organisationens aktiver og definere passende ansvarsområder til beskyttelse heraf
at sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen
at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier

Ansvar for aktiver (A.8.1)

Aktiver i relation til information og informationsbehandlingsfaciliteter skal identificeres, og der skal udarbejdes og vedligeholdes en fortegnelse over disse aktiver. (A.8.1.1)

Der skal udpeges en ejer i organisationen for hvert aktiv. (A.8.1.2)

Enhedsledelsen med ejerskab af kritiske informationsaktiver på Aarhus Universitet skal sikre at disse indgår i en opdateret fortegnelse med anvisning af passende og implementerede sikringsforanstaltninger.
For aktiver med karakter af kritiske it-systemer skal enhedsledelsen udpege en systemejer.

Regler for accepteret brug af information og aktiver i relation til information og informationsbehandlingsfaciliteter skal identificeres, dokumenteres og implementeres. (A.8.1.3)

Universitetsledelsen har defineret et fælles regelsæt for accepteret brug af aktiver i Regler for Informationssikkerhed.

Alle medarbejderes og eksterne brugere skal aflevere alle organisationsaktiver, der er i deres besiddelse, når deres ansættelse, kontrakt eller aftale ophører (A.8.1.4)

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

ad. A.8.1.1 Fortegnelse over aktiver:
- AU IT vedligeholder fortegnelse over aktiver som it-udstyr, der udbydes af AU IT. Dette udstyr er, hvor relevant, markeret med et AU tyverimærkat (identifikationsnummer, som kan kædes sammen med serienummeret på udstyret). Andre informationsaktiver skal mærkes og registreres på anden vis.
ad. A.8.1.3 Accepteret brug af aktiver:
- jævnfør de overordnede retningslinjer Regler for informationssikkerhed på Aarhus Universitet for accepteret brug af aktiver.
ad. A.8.1.4 Tilbagelevering af aktiver:
- for medarbejdere gælder fratrædelsesregler som udstukket af AU HR. Med hensyn til udlevering af aktiver til andre personer lokalt skal den ansvarlige enhedsleder sikre, at pågældende organisationsaktiver tilbageleveres ved ophør af samarbejde eller kontrakt.

Klassifikation af information (A.8.2)

Information skal klassificeres efter lovmæssige krav, værdi og efter, hvor følsom og kritisk informationen er i forhold til uautoriseret offentliggørelse eller ændring. (A.8.2.1)

Der skal udarbejdes og implementeres et passende sæt af procedurer til mærkning af information i overensstemmelse med det informationsklassifikationssystem, som organisationen har vedtaget. (A.8.2.2)

Der skal udarbejdes og implementeres procedurer til håndtering af aktiver i overensstemmelse med det informationsklassifikationssystem, som organisationen har vedtaget. (A.8.2.3)

På Aarhus Universitet skal alle klassificere, mærke og håndtere sine informationer i henhold til Aarhus Universitets Informationsklassifikationssystem.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

ad A.8.2.1 - A.8.2.3 Klassifikation, mærkning og håndtering af information:
- som udgangspunkt foretages klassificering, mærkning og håndtering i overensstemmelse med Aarhus Universitets fælles informationsklassifikationssystem. Yderligere procedurebehov skal afdækkes lokalt i forlængelse af risikovurdering.

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Mediehåndtering (A.8.3)

Der skal implementeres procedurer til styring af bærbare medier i overensstemmelse med det klassifikationssystem, som organisationen har vedtaget. (A.8.3.1)

Medier skal bortskaffes på forsvarlig vis, når der ikke længere er brug for dem, i overensstemmelse med formelle procedurer. (A.8.3.2)

Medier, der indeholder information skal beskyttes mod uautoriseret adgang, misbrug eller ødelæggelse under transport. (A.8.3.3)

Enhedsledelsen skal sikre ovenstående procedurer, der kan indfri formålet om at forhindre uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier i den pågældende enhed.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

ad A.8.3.1 - A.8.3.2 Styring og bortskaffelse af medier:
- som udgangspunkt foretages styring og bortskaffelse af medier i henhold til Aarhus Universitets fælles informationsklassifikationssystem og procedurer. Yderligere procedurebehov skal afdækkes lokalt i forlængelse af risikovurdering.
ad. A.8.3.3 Fysiske medier under transport:
- her henvises til retningslinger for arbejde på distancen.

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

SPØRGEGUIDE

Spørgeguiden skal anses som et hjælpeværktøj - en metode til at komme omkring kravene i den enkelte politik:

Hvilke aktiver er enheden ansvarlig for? (overblik)
Har ledelsen en dækkende fortegnelse over de vigtige aktiver, den er ansvarlig for? (dokumenteret oversigt)
Hvilke er enhedens mest kritiske aktiver? (i prioriteret rækkefølge)
Hvem er den respektive ejer af hvert aktiv? (ejerskab skal dokumenteres, og ejer skal være bekendt med sin rolle og sit ansvar)
Hvilken dataklassifikation tilhører enhedens informationer og aktiver? (afgør kritikalitet og grad af beskyttelse)
Hvilke regler er der for korrekt håndtering af aktiv/-erne? - og hvordan sikres, at krav for håndtering af data og aktiver formidles og overholdes?
Hvordan sikres tilbagelevering af aktiver ved endt relation til AU?
Hvordan sikres og dokumenteres, at risikovurderinger for enhedens vigtige aktiver er gennemført og opdateret?
Hvordan sikres og dokumenteres, at der følges op på manglende sikkerhedsforanstaltninger? (baseret på risikovurdering)
Hvordan sikres og dokumenteres procedurer for henholdsvis håndtering samt bortskaffelse af bærbare medier i henhold til dataklassifikation?

Har du brug for hjælp?

Kontakt Aarhus Universitets Informationssikkerhedsafdeling, hvis du har spørgsmål eller brug for hjælp.

Et aktiv er en værdi for universitetet som ejendom, maskiner, lagre, biler, inventar, computere, servere, enheder, it-systemer goodwill, patenter og lignende.

I forbindelse med informationssikkerhed defineres ’aktiver’ bredt som eksempelvis it-systemer, domæner, lyd- og videooptagelser, vævsprøver samt papirdokumenter eller andet, som indeholder informationer med behov for beskyttelse i henhold til risikovurderingen.

Kritiske aktiver indeholder som minimum it-systemer (eksempelvis med en systemklassifikation A) samt øvrige aktiver, der kan påvirke den enkelte enhed med en uacceptabel risiko for utilsigtet offentliggørelse, kompromitering eller tab.

Revideret 19.10.2023

Informationssikkerhed