Forkortelse for de afsnit og generelle krav til politikker der er i ISO27001 anneks A.
Et aktiv er en værdi for universitetet som ejendom, maskiner, lagre, biler, inventar, computere, servere, enheder, it-systemer goodwill, patenter og lignende.
I forbindelse med informationssikkerhed defineres ’aktiver’ bredt som eksempelvis it-systemer, domæner, lyd- og videooptagelser, vævsprøver samt papirdokumenter eller andet, som indeholder informationer med behov for beskyttelse i henhold til risikovurderingen.
Ordet ’Informationsaktiv’ dækker over ethvert ”genstand”, som kan indeholde, opbevare og/eller transportere informationer, såsom dokumenter, en skrevet note, en mobiltelefon, en bærbar, USB mv. samt fysiske faciliteter (bygninger).
Kritiske aktiver indeholder som minimum it-systemer (eksempelvis med en systemklassifikation A) samt øvrige aktiver, der kan påvirke den enkelte enhed med en uacceptabel risiko for utilsigtet offentliggørelse, kompromitering eller tab.
AU-Gadget er et trådløst netværk til forskningsudstyr og –enheder, der ikke kan komme på andre netværk, fx enheder uden skærm eller hvor login ikke er muligt, som på en computer og telefon.
Trådløst netværk for gæster på Aarhus Universitet.
Entydigt ID nummer for hver bruger. Benyttes til logon på systemer og nummer fremgår af legitimationskort. Ved logon sætte AU foran nummeret. Fx AU123456.
Link: Sådan finder du dit AUID
Her henvises til den centrale it-afdeling i fællesadministrationen på Aarhus Universitet.
Godtgørelsen af ægtheden af noget, fx en persons identitet, en computer eller et digitalt objekt.
Bevidsthed/At være bevidst om… Her handler det om gennem forskellige tiltag at skabe bevidsthed om informationssikkerhed, så vi alle aktivt er med til at beskytte informationer tilhørende Aarhus Universitet.
Betegnelsen ’Bruger’ dækker bredt og gælder alle, der kan påvirke informationssikkerheden på Aarhus Universitet. Det værende fastansatte, studerende, forskere samt andre interne eller eksterne (konsulenter/leverandører/samarbejdspartnere/mv.), som i en kort eller længere periode anvender informationer og/eller informationsaktiver tilhørende Aarhus Universitet.
Center for Cybersikkerhed (CFCS) er en del af FE (Forsvarets Efterretningstjeneste) og hjælper myndigheder og virksomheder med at ruste sig mod de trusler, der følger med digitaliseringen. CFCS rådgiver om truslerne og om de organisatoriske og tekniske foranstaltninger, der er med til at øge sikkerheden. Når uheldet er ude, kan myndigheder og virksomheder, der beskæftiger sig med samfundsvigtige opgaver, kontakte CFCS' Situationscenter.
Change/Change Management vedrører ændring/ændringsstyring og referer til en proces indenfor ITIL, hvor alle ændringer håndteres efter aftale procedurer og standarder, så man sikrer kvaliteten og niveauet heraf.
Betegnelse for informationssikkerhedschef i et firma (Chief Information Security Officer).
Compliance betyder “overholdelse af regler, efterlevelse af retningslinjer” og benyttes som betegnelse for den proces, hvor en virksomhed forsøger at leve op til gældende krav og anbefalinger.
Dataejere har det overordnede ansvar for, at brugen af en bestemt samling data sker i overensstemmelse med informationssikkerhedspolitikken.
Danish e-infrastructure Cooperation (DeiC) er samarbejdet med og mellem de danske universiteter om levering og udvikling af den nationale digitale forskningsinfrastruktur.
Det overordnede formål med en directory service er kort sagt at opnå universel og forenklet adgang til alle ressourcer i et netværk ved hjælp af en fælles struktur og centraliseret opbevaring. Med ressourcer menes printere, filer, databaser osv., og det er altså et spørgsmål om at få sammenkoblet brugerne med disse ressourcer. Der er mulighed for at afspejle virksomhedens organisation med en hierakisk opbygning.
Den stadig stigende informationsbyrde i netværkene
gør, at dette kan være en stor fordel for system-administratorer, da det letter deres arbejde og er
samtidig med til at lette overblikket.
DKCERT (Danish Computer Security Incident Response Team) håndterer sikkerhedshændelser på forskningsnettet, der drives af DeiC.
??? (nævnes i A12)
Data Protection Officer eller på dansk DBR (Data Beskyttelses Rådgiver). Rolle som er indført i forbindelse med GDPR (Generel Data Protection Regulation) pr. 25. maj 2018.
Link: Hvad er en DPO? (au.dk)
Betyder det samlede IT-system bestående af udstyr, systemer, netværk og software, som Aarhus Universitet anvender, men på AU dækker det tillige bredt, herunder stalde og strålekanoner. SKAL TILRETTES
Trådløst universitets netværk for medarbejdere og studerende. EDUROAM er også installeret på andre universiteter uden for Danmark.
Benævnelsen enhedsleder benyttes her med henblik på personer med ledelsesansvar på linjeorganisationens område-niveau som defineret i AU Enhedsregisteret. Eksempler på titler på dette niveau er institutleder, centerleder, vicedirektør.
Universitetsledelsen har uddelegeret det samlede ansvar for informationssikkerheden i enheder på dette niveau til deres respektive ledelse. Sagt anderledes følger ansvaret for et informationsaktiver ejerskabet af aktivet ned til og med område-niveau. Eksempelvis en institutleder har som udgangspunkt det informationssikkerhedsmæssige ansvar for aktiver ejet direkte af instituttet samt af eventuelle del- og underområder som afdelinger eller kontorer. Ansvaret for aktiver ejet direkte af enheder på et højere niveau i linjeorganisationen forbliver hos ejer. Ansvar kan efter formel beslutning konsolideres på et højere niveau i samme ledelsesstreng.
Systemejer???
Certificeret Microsoft uddannelse til administration af Microsoft 365 (Office 365, Windows 10 Enterprise og Enterprise Mobility + Security).
Teknisk foranstaltning der skanner netværkstrafik, så der ikke kommer ondsindet data igennem. Kan være software (sikkerhedsprogram fx McAfee) eller en hardware (fx fysisk router)
FISU: Fakulteternes lokale informationssikkerhedsudvalg.
IDM: Nat og Tech Fakulteternes lokale informationssikkerhedsudvalg.
EISU: Enhedsadministrationens (Fællesadministrationens - FA) lokale informationssikkerhedsudvalg.
Til ordliste. sammen med forklaring af ISO A17 benævnelsen af "nød-, beredskabs- og reetableringsstyring" - fra A14
Indenfor informationssikkerhed betyder Fortrolighed, at kun personer med et legitimt behov må have adgang til informationer.
Identitets håndteringssystem på Aarhus Universitet, der styrer hvilken rolle en person med relation til AU har.
Hver bruger har en primær tilknytning til hjemme-organisationen (Fakultet eller Enhedsadministrationen). På Aarhus Universitet er det, i prioriteret orden, rollerne: student, faculty, staff, alumne, affiliate.
IKT står for Informations- og Kommunikationsteknologiske Tjenester og produkter – altså teknologi der gør det muligt for brugerne at til få adgang til, redigere, overføre og gemme information.
Immaterielle f.eks. anlægsaktiver er aktiver som er skaffet til brug i virksomheden, uden de er fysiske eller finansielle. Eksempler på disse kan være goodwill, varemærker, patenter, uddannelse, viden, know-how mv.
Fælles betegnelse for informationer uanset form (mundtlig, skriftlig, elektronisk) som tilhører Aarhus Universitet.
Fysiske behandlingsfaciliteter (bygninger) hvor informationer opbevares samt tekniske i form af systemer og applikationer eller programmer, der behandler information.
Informationssystemer på Aarhus Universitet defineres som sæt af applikationer, ydelser, informationsteknologiaktiver eller andre elementer af informationshåndtering.
Informationsoverførsel kan eksempelvis ske ved brug af elektroniske meddelelser, så som e-mail, talemeddelelser, virtuelle møde fora og video.
Informationssikkerhed på Aarhus Universitet defineres som de samlede foranstaltninger til at sikre Fortrolighed, Integritet og Tilgængelighed af universitetets informationer, informationsaktiver og data.
Indenfor informationssikkerhed betyder Integritet, at informationer skal være konsistente og i en form, som man kan stole på.
Ordet interaktiv er afledt af begrebet interaktivitet, og kan beskrives dels som den vekselvirkning der finder sted mellem hændelser, dels som den indbyrdes påvirkning disse hændelser forandrer hinanden med. Interaktive processer kan beskrive både menneskelige og maskinelle relationer.
Et domæne er et unikt navn udadtil på internettet. Det er f.eks. det, som besøgende skal skrive i adressefeltet i browseren for at lande på vores hjemmeside. I vores tilfælde er ”www.au.dk” vores domæne. Et domæne er en genvej til en IP-adresse. En hjemmeside, skal ligge på en server for at være online og tilgængelig for andre. Disse servere har deres egne unikke adresser, nemlig IP-adresser. Domæne navne er opstået, fordi det er nemmere at huske et navn end en IP-adresse. Derfor findes der heller ikke to ens domæner.
En IP-adresse er med til at identificere en computer (server, PC), når den er koblet op på et netværk. IP-adressen er et nummer, som computeren er blevet givet for at kunne skelne den fra andre enheder.
ISMS står for ’Information Security Management System’, på dansk ‘Ledelsessystem for informationssikkerhed’ og dækker over, hvordan man som organisation definerer, administrerer og implementerer forskellige foranstaltninger for at sikre, at man på fornuftig vis beskytter Fortroligheden, Integriteten og Tilgængeligheden af sine informationer og aktiver mod trusler og sårbarheder.
International standard der fastsætter god skik for, hvordan man organiserer og styrer informationssikkerhed.
I en bredere forstand en sammenhæng, hvori noget finder sted.
Kontrahent på Aarhus Universitet defineres som en aftalepartner (kan være både person eller institution), der har indgået en kontrakt eller en aftale med Aarhus Universitet. Studerende anses ikke som værende kontrahenter.
Kryptering ifm. cybersikkerhed er konverteringen af data fra et læsbart format til et kodet format. Krypterede data kan kun læses eller behandles, når de er blevet dekrypteret.
Kryptering er fundamentet for datasikkerhed. Det er den enkleste og vigtigste måde at sikre, at et computersystems informationer hverken kan stjæles og læses af personer, der vil bruge dem til ondsindede formål.
Et stykke software der benyttes til at omforme data fra en læsbar form til en ikke læsbar form og omvendt den anden vej fra ikke læsbar til læsbar.
Def. UDESTÅR
AU managed udstyr er PC’er, der er udleveret fra IT support med tyverisikringsmærkat (device nr. Dxxxx) ved brug af gældende indkøbsaftaler, og som er registret i og styres fra UNI AD. Dvs. at PC’er løbende bliver opdateret med de strategiske værktøjer, der skal være installeret mht. anti-virus programmer operativsystemer (Windows og Mac) versioner via udrulningsværktøjer SCSM (System Center Service Manager) til Windows og MSC (Managed Software Center) til Mac.
Den samme centrale mærkning og styring af enheder gælder for tablets samt smartphones med udrulningsværktøj Intune på IOS og Android styresystemer til MDM (Mobile Device Management).
Mobile Device Management. MDM er et stykke software, der gør det muligt at håndtere og sikre alle virksomhedens mobile enheder fra ét, centralt system.
Mobilt udstyr dækker bredt, herunder mobile enheder (som er en samlet betegnelse for mobiltelefoner, smartphones, tablets og lignende), bærbare pc'er (netbooks, laptops og lignedne) samt andet udstyr, der kan indeholde, behandle eller transportere informationer.
Modenhedsniveau er et udtryk for organisationens styring af informationssikkerhed, altså hvorvidt organisationen har et veludbygget kontrolmiljø med en høj grad af automatiserede sikringstiltag, er i opbygningen heraf med mange manuelle foranstaltninger eller ligger et sted midt imellem. Indenfor informationssikkerhed arbejdes med 5 niveauer med 5 som det højeste.
Fx netværksprotokollen 802.1x, som sikrer at kun kendt udstyr kan tilsluttes et netværk.
??? (nævnes i A12)
AU indkøber en løsning med inklusiv de fornødne driftsmæssige tjenesteydelser og overlader derved den direkte kontrol med omfattede aktiver til leverandør. Den ansvarlige AU enhed udøver i denne driftsmodel en indirekte kontrol gennem kontraktstyring og leverandørstyring i forvaltningsprocesser omkring måling, rapportering og revision.
Forkortelse for aktiviteterne Plan, Do, Check, Act. Også kendt som Demings-cirkel.
PDCA er et iterativ metode til kontrol og løbende forbedringer af processer.
Test af om man uden videre kan trænge ind i et system. Man tester sikkerheden og finder de sårbarheder der er ved adgang til et system. Test kan fx være at finde ud af, hvor nemt det er at trænge ind i et system med brugernavn og password, hvis ikke password krav er særlig strikse.
Perimetersikring betyder sikring af værdier, som er placeret udenfor bygninger og kan skabes gennem mekanisk sikring, elektronisk overvågning eller lignende.
???DEFINTION???
Specielle brugernavne og adgangskoder som giver brugeren ret til at kunne se og udføre funktioner som kun ganske få kan få lov til og blive godkendt til. En privilegeret bruger har administrative adgangsrettigheder til forretningskritiske systemer. Det er brugere, som kan ændre i system-opsætninger, installere software og ændre brugerkonti samt tilgå beskyttet data.
I tekniske anlæg kan redundans betyde installation af flere ens enheder for at sikre korrekt funktion af anlægget i tilfælde af fejl på en eller flere af de pågældende enheder, eller det kan betyde en mere effektiv udnyttelse af enheden.
Anvendes til automatiserede kørsler i driften og systemer, hvor der fx er brug for specielle periodiske overførsler som ikke skal udføres af en bruger. Servicekonti installeres og sættes op af systemadministratorer med specielle privilegerede rettigheder. Servicekonti er dermed bruger uafhængige.
Bruger har et entydigt brugernavn (AUID) at logge på med ved PC og der er tilknyttet sikker password opbygning. Endvidere er der krav om to faktor autentifikation ved fjern log on med VPN.
Sikre områder på Aarhus Universitet defineres som områder, der indeholder enten følsomme eller fortrolige informationer og informationsbehandlingsfaciliteter. Sådanne områder findes både centralt og lokalt.
Oversigt over systemer etableret i de sikre områder, som udbydes fra centralt hold til brug på universitetet.
Manuel gennemgang, af de procedurer der er opstillet for bl.a. at opretholde et systems sikkerhed, hvor man simulerer genstart efter et nedbrud.
(Statement of Applicability)
Dokument angiver, på baggrund af risikovurderingen, en begrundet stillingtagen til til- og fravalg i forhold til, hvilke kontroller organisationen har besluttet sig for, at der skal følges op på i relation til kravene i ISO27001 annekserne A.5 til A.18.
Security Operation Center
Skal nok beskrives yderligere!!!!!!!!!!!!
SaaS (Software as a Service) er en clodbaseret måde at levere software på, som stilles til rådighed og opdateres af en leverandør. (Yderligere FORKLARING)
??? (nævnes i A12)
Et systembillede er en komplet kopi af den aktuelle tilstand på din computers harddisk eller en af dens partitioner. Det vil omfatte alle systemindstillinger, filer og Windows-konfiguration.
Du kan bruge et systembillede til at gendanne data og computerindstillinger i tilfælde af en harddisknedbrud.
Systemejeren repræsenterer det overordnede forretningsmæssige ansvar for systemet - strategisk, økonomisk og juridisk.
Bruges i forbindelse med revision, hvor man følger op på om server til drift af applikationer er placeret sikkert fysisk i et datacenter, om adgangene er sikre og om man kan logge ind i systemer og applikationer uden brug af de indbyggede funktioner og krav til brugernavn og password.
Vurdering af hvilke data (offentlige, Interne, Fortrolige eller Følsomme) der arbejdes med i et system.
Type A: Her kræves en Risikovurdering og en forretningsberedskabsplan.
Type B: Her kræves en Risikovurdering, men ikke nødvendigvis en forretningsbredskabsplan.
Type C: Her kræves nødvendigvis ikke risikovurdering og forretningsberedskabsplan.
Også kaldet en sårbarhedsscanning der viser om servere er opdateret korrekt og om netværk og tilhørende komponenter som firewall er sat rigtigt op til at modstå uautoriseret adgang.
Fagudtryk benævnes også termer og er oftest ord eller ordforbindelser.
Indenfor informationssikkerhed betyder Tilgængelighed, at informationer skal være tilgængelige for de rette personer, når der er behov for det.
To-faktor godkendelse er en sikkerhedsforanstaltning, som forbedrer din sikkerhed markant. Teknologien kaldes også to-faktor autentifikation, 2-trins autentifikation (2FA) eller multi-faktor autentifikation (MFA). Dvs. at du mindst skal logge på med 2 forskellige ting. Fx brugernavn og password samt en sms kode fra en mobiltelefon.
Angiver om et AU system er blevet klassificeret som et vigtigt/væsentligt system, hvor A er det mest vigtige. Skal bruges i forbindelse med prioritering ved evt. beredskabs- retablering efter en katastrofe/uheld samt en vurdering af de risici der er for tab af eller bortkomst af AU data. Klassifikationer af systemer udarbejdes sammen med og revurderes en gang årligt med systemejer (Evt. systemforvalter) og systemansvarlige.
System A fordrer, at der er udarbejdet en forretnings-beredskabsplan og at der er udarbejdet en risikovurdering.
System B fordrer, at der er udarbejdet en risikovurdering.
System C fordrer ikke nødvendigvis yderligere driftsmæssige foranstaltninger.
Et nødstrømsanlæg (forkortet UPS fra engelsk: Uninterruptible power supply, på dansk: Uafbrudt Strømforsyning), også kendt som et backup batteri, er en anordning til at sikre levering af en uafbrudt strømforsyning til det tilkoblede udstyr ved at levere strøm fra en separat kilde i tilfælde af elnetstrømafbrydelse.
Virtuel Privat Netværk er en beskyttet netværksforbindelse. Giver en sikker krypteret opkobling til netværk. Bruges typisk ved fjernadgang fra ikke sikre og offentlige netværk.