Politik for informationssikkerhedsaspekter ved nød-, beredskab- og reetableringsstyring (A.17)

Organisationen skal fastlægge krav til informationssikkerhed og informationssikkerhedskontinuitet i kritiske situationer, fx i tilfælde af en krise eller katastrofe. (A.17.1.1)

Et led heri er enhedernes risikostyring og katastrofeplanlægning, der har til formål at mindske risikoen for og effekten af uforudsete hændelser. Nødplaner skal være med til at opretholde driften, således at skaderne for universitetet minimeres.

Systemejere i enhederne har ansvaret for, at der foregår tilstrækkelig uddannelse af medarbejdere i de aftalte beredskabsprocedurer, inklusive krisehåndtering.

I alle enheder skal det være klart defineret, hvem der har ansvaret for aktivering af beredskabsplaner.

Medarbejdere, der udgør en del af beredskabsplaner, skal være informeret om dette ansvar.

Alle medarbejdere skal være informeret om beredskabsplanernes eksistens.

---

Organisationen skal fastlægge, dokumentere, implementere og vedligeholde processer, procedurer og kontroller for at sikre den nødvendige informationssikkerhedskontinuitet i en kritisk situation. (A.17.1.2)

Aarhus Universitet har flere typer af beredskabsplaner:

• procedure for krisehåndtering ved akutte fysiske trusler, eksempelvis brand
• procedurer for it-nedbrud
• enhedsspecifikke beredskabsplaner

Ansvaret for krisestabens overordnede beredskabsplan ligger hos universitetsdirektøren. Ansvaret for håndtering af it-nedbrud på services, der udbydes af AU IT, ligger hos AU IT. Ansvaret for håndtering af it-nedbrud på services, udbudt af andre enheder, ligger hos den pågældende enhedsledelse. Enhedsledelsen har ansvaret for at enheden er tilstrækkeligt dækket af beredskabsplaner til at indfri formålet.

---

Organisationen skal verificere de etablerede og implementerede kontroller vedrørende informationssikkerhedskontinuiteten med jævne mellemrum med henblik på at sikre, at de er tidssvarende og effektive i kritiske situationer. (A.17.1.3)

Beredskabsplaner skal som minimum revideres årligt for at sikre, at de er tidssvarende og effektive.

Enheder skal afprøve beredskabsplaner for kritiske informationsaktiver. Afprøvningen skal som minimum omfatte en skrivebordstest af relevante krisescenarier samt med jævne mellemrum en simulering.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. A.17.1.2 Implementering af informationssikkerhedskontinuitet: Aarhus Universitet har flere typer beredskabsplaner: procedure for krisehåndtering ved akutte fysiske trusler, eksempelvis brand procedurer for it-nedbrud enhedsspecifikke beredskabsplaner   Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Informationsbehandlingsfaciliteter skal implementeres med tilstrækkelig redundans til at kunne imødekomme tilgængelighedskrav. (A.17.2.1)

For kritiske informationsaktiver bør beredskabsplanerne afspejle muligheden for, at de fysiske lokationer kan være utilgængelige eller ødelagt, og at man derfor bør kunne etablere nøddrift på andre lokationer.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad A.17.2.1 Tilgængelighed af informationsbehandlingsfaciliteter: ved udstyr i de sikre områder administreret af AU IT er tilgængelighed sikret gennem redundans Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.   Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.