Politik for styring af informationssikkerhedsbrud (A.16)

Ledelsesansvar og procedurer skal fastlægges for at sikre hurtig, effektiv og planmæssig håndtering af informationssikkerhedsbrud. (A.16.1.1) 

Enhedsledelsen har ansvaret for, at informationssikkerhedsbrud indmeldes til den lokale it-support og behandles jævnfør proceduren beskrevet i A.16.1.2 

Informationssikkerhedshændelser skal rapporteres ad passende ledelseskanaler så hurtigt som muligt. (A.16.1.2) 

AU Informationssikkerhed har ansvar for at sikre en dokumenteret proces, der som minimum skal indeholde følgende: 

• Indrapportering af sikkerhedshændelser, herunder kontaktinformationer og elektroniske formularer samt retningslinjer for tilbagemelding til anmeldere. 

• Tilstrækkelig informering af registrerede og relevante interessenter internt og eksternt om sikkerhedshændelser. 

• Forpligtelser til inddragelse af relevante myndigheder samt til rapportering i relevante ledelseskanaler. 

• Beredskab til håndtering og godkendelsesvej for eksterne meddelelser vedrørende informationssikkerhedsbrud. 

• Krav til koordination af sagshåndtering med Databeskyttelsesenheden med henblik på brud på persondatasikkerheden. 

Yderligere krav til procesindhold følger af nedenstående. 

Medarbejdere og kontrahenter, som bruger organisationens informationssystemer og -tjenester, har pligt til at notere og rapportere alle observerede svagheder eller mistanker om svagheder i informationssystemer og -tjenester. (A.16.1.3) 

Informationssikkerhedshændelser skal vurderes, og det skal besluttes, om de skal klassificeres som informationssikkerhedsbrud. (A.16.1.4) 

Jævnfør Regler for Informationssikkerhed skal alle med tilknytning til Aarhus Universitet anmelde brud eller formodede brud på informationssikkerheden. Anmeldelser skal håndteres gennem kommunikationskanalerne tilhørende universitetets IT-support. 

Den sagsbehandlende IT-support skal vurdere, hvorvidt en rapporteret hændelse skal meldes som sikkerhedsbrud til AU Informationssikkerhed. Såfremt Informationssikkerhed vurderer, at et sikkerhedsbrud omfatter personoplysninger skal Databeskyttelsesenheden inddrages uden forsinkelse. Efter indmelding af formodet sikkerhedsbrud til Databeskyttelsesenheden, skal denne vurdere, hvorvidt der skal ske indberetning til Datatilsynet. 

Informationssikkerhedsbrud skal håndteres i overensstemmelse med de dokumenterede procedurer. (A.16.1.5) 

Den viden, der opnås ved at analysere og håndtere informationssikkerhedsbrud, skal anvendes til at nedsætte sandsynligheden for eller virkningen af fremtidige brud. (A.16.1.6) 

Enhedsledelsen med ejerskab af informationsaktiver skal tilse, at hændelser vedrørende deres sikkerhed registreres og undersøges i passende omfang. Dette indbefatter logning af uautoriseret adgang og forsøg på uautoriseret adgang til sikre områder, it-systemer og data, som systemejer skal beskrive i systemforvaltningsaftalen. 

Enheder på Aarhus Universitet, der håndterer sikkerhedsbrud gennem ejerskab af informationsaktiver, varetager systemejerroller eller support-/forvaltningsaktiviteter, skal inkludere afrapportering af væsentlige hændelser til AU Informationssikkerhed i deres årshjul. IT-systemer, der behandler følsomme data eller er klassificeret som henholdsvis type A eller B, skal i denne sammenhæng altid betragtes væsentlige. 

Som en del af sit årshjul skal AU Informationssikkerhed gennemgå hændelser og herudfra anbefale yderligere passende organisatoriske og tekniske foranstaltninger. 

Informationssikkerhed skal opsamle og præsentere indrapporterede hændelser med henblik på organisatorisk læring og forbedring af universitets sikkerhedsniveau. 

Organisationen skal definere og anvende procedurer til identifikation, indsamling, anskaffelse og opbevaring af informationer, som kan tjene som bevis. (A.16.1.7) 

Hvis et sikkerhedsbrud kan tænkes at afstedkomme et retsligt efterspil, skal der indsamles et fyldestgørende bevismateriale, der opbevares, indtil det ikke længere er relevant. Sådan indsamling fordrer involvering af informationssikkerhedsafdelingen med henblik på korrekt procedure. 

Link til procedure: Anmeld sikkerhedsbrud (au.dk) 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. A.16.1.4 Vurdering af og beslutning om informationssikkerhedshændelser: jævnfør Regler for Informationssikkerhed skal alle med tilknytning til Aarhus Universitet anmelde brud eller formodede brud på informationssikkerheden.  Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.