Politik for overensstemmelse/compliance (A.18)

Alle relevante lov-, myndigheds- og kontraktkrav samt organisationens metode til overholdelse af disse krav skal være klart identificeret, dokumenteret og opdateret for hvert informationssystem og for organisationen. (A.18.1.1)

Der skal implementeres passende procedurer til at sikre, at der er overensstemmelse med lov-, myndigheds- og kontraktkrav i relation til immaterielle rettigheder og anvendelse af beskyttede softwareprodukter. (A.18.1.2)

Enhedsledelser på Aarhus Universitet er ansvarlige, typisk via systemejer, for at identificere og registrere gældende krav, herunder love, bekendtgørelser, eksterne og interne krav samt kontraktkrav. Eksempler på lovkrav er GDPR, udbuds- og arkivpligt, tilgængeligheds-, forvaltnings- og offentlighedsloven. Samtidig skal enheden sikre metoder og passende foranstaltninger til overholdelse af kravene.

Registreringer skal beskyttes mod tab, ødelæggelse, forfalskning, uautoriseret adgang og uautoriseret offentliggørelse i overensstemmelse med lov-, myndigheds- og kontraktkrav samt forretningsmæssige krav. (A.18.1.3)

Sikring af registreringer omfatter dokumentation af opbevaringsplan for eksempelvis regnskabs- og databaseregistreringer, transaktions- og auditlogge samt driftsprocedurer i henhold til risikovurdering. Dertil skal en fortegnelse over kilderne til sådanne informationer vedligeholdes.

Privatlivets fred og personoplysninger skal beskyttes i overensstemmelse med relevant lovgivning og eventuelle forskrifter. (A.18.1.4)

Forskellige regler og love kan gøre sig gældende, men som minimum skal man tage højde for relevant lovgivning for området.

Kryptografi skal anvendes i overensstemmelse med alle relevante aftaler, love og forskrifter. (A.18.1.5)

Overensstemmelse skal vurderes i forhold til påbudte eller indirekte adgangsmuligheder for lokale myndigheder til information, der er krypteret af hardware eller software, med henblik på at tilgå fortrolige oplysninger. Retningslinjerne skal hertil altid imødekomme eventuelle lovkrav i eksempelvis offentligheds- eller forvaltningsloven.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. A.18.1.2 Immaterielle rettigheder: interne krav omhandler også særkrav til systemejere.   ad. A.18.1.3 Beskyttelse af registreringer:  opbevaringsplan omfatter lagring, håndtering og bortskaffelse af registreringer og information, samt periode for opbevaring, jævnfør retningslinjer (LINK + skal udarbejdes)  ad. A.18.1.4 Privatlivets fred og beskyttelse af personoplysninger: lokalt i de enkelte enheder kan man være underlagt særlige lovkrav og retningslinjer, men af generelle relevante regler og love kan nævnes Offentlighedsloven Forvaltningsloven Databeskyttelsesforordningen Regler på uddannelsesområdet AU's love og regler for samarbejde AU's samarbejde med myndigheder, herunder retningslinjer for forskningsbaseret myndighedsbetjening Vejledning om tavshedspligt og GDPR   samt særlige kontraktkrav Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Organisationens metode til styring af informationssikkerhed og implementeringen heraf (dvs. kontrolmål, kontroller, politikker, processer og procedurer for informationssikkerhed) skal gennemgås uafhængigt med planlagte mellemrum eller i tilfælde af væsentlige ændringer. (A.18.2.1)

Gældende ISMS skal opdateres med jævne mellemrum, eller når det er nødvendigt.

Lederne skal regelmæssigt undersøge, om informationsbehandlingen og -procedurerne inden for deres ansvarsområde er i overensstemmelse med relevante sikkerhedspolitikker, standarder og andre sikkerhedskrav. (A.18.2.2)

Den dokumenterede information skal opdateres årligt, eller når det er nødvendigt for at være retvisende og aktuel.

Informationssystemer skal undersøges regelmæssigt for, om de er i overensstemmelse med organisationens informationssikkerhedspolitikker og -standarder. (A.18.2.3)

Enhedsledere med ansvar for informationssystemer, herunder forskningssystemer, skal sikre, at disse undersøges regelmæssigt for, om de er i overensstemmelse med organisationens informationssikkerhedspolitikker og -standarder samt øvrige lovkrav.

Systemer og services leveret af AU IT, skal være omfattet af en forvaltningsaftale, som de respektive parter skal leve op til. Forvaltningsaftalerne skal sikre overensstemmelse med relevant informationssikkerhedspolitikker og -standarder samt øvrige lovkrav.

Ovenstående krav gælder tillige egne systemer, hvor man har systemejeransvar. Her skal der etableres aftaler, som ikke må give anledning til forringelse af Aarhus Universitets samlede informationssikkerhedsniveauet. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad A.18.2.2 Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder: her henvises til AU's ISMS  Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.   Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.