Politik for overensstemmelse/compliance (A.18)

Her finder du den gældende politik for compliance, så Aarhus Universitet kan overholde gældende lovkrav og retningslinjer for informationssikkerhed.


Formål

Formålet med Aarhus Universitets politik og regler for Overensstemmelse:

  • at forhindre overtrædelse af lov-, myndigheds- eller kontraktkrav i relation til informationssikkerhed og andre sikkerhedskrav
  • at sikre at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer

Overensstemmelse med lov- og kontraktkrav (A.18.1)

Alle relevante lov-, myndigheds- og kontraktkrav samt organisationens metode til overholdelse af disse krav skal være klart identificeret, dokumenteret og opdateret for hvert informationssystem og for organisationen. (A.18.1.1)

Der skal implementeres passende procedurer til at sikre, at der er overensstemmelse med lov-, myndigheds- og kontraktkrav i relation til immaterielle rettigheder og anvendelse af beskyttede softwareprodukter. (A.18.1.2)

Enhedsledelser på Aarhus Universitet er ansvarlige, typisk via systemejer, for at identificere og registrere gældende krav, herunder love, bekendtgørelser, eksterne og interne krav samt kontraktkrav. Eksempler på lovkrav er GDPR, udbuds- og arkivpligt, tilgængeligheds-, forvaltnings- og offentlighedsloven. Samtidig skal enheden sikre metoder og passende foranstaltninger til overholdelse af kravene.

Registreringer skal beskyttes mod tab, ødelæggelse, forfalskning, uautoriseret adgang og uautoriseret offentliggørelse i overensstemmelse med lov-, myndigheds- og kontraktkrav samt forretningsmæssige krav. (A.18.1.3)

Sikring af registreringer omfatter dokumentation af opbevaringsplan for eksempelvis regnskabs- og databaseregistreringer, transaktions- og auditlogge samt driftsprocedurer i henhold til risikovurdering. Dertil skal en fortegnelse over kilderne til sådanne informationer vedligeholdes.

Privatlivets fred og personoplysninger skal beskyttes i overensstemmelse med relevant lovgivning og eventuelle forskrifter. (A.18.1.4)

Forskellige regler og love kan gøre sig gældende, men som minimum skal man tage højde for relevant lovgivning for området.

Kryptografi skal anvendes i overensstemmelse med alle relevante aftaler, love og forskrifter. (A.18.1.5)

Overensstemmelse skal vurderes i forhold til påbudte eller indirekte adgangsmuligheder for lokale myndigheder til information, der er krypteret af hardware eller software, med henblik på at tilgå fortrolige oplysninger. Retningslinjerne skal hertil altid imødekomme eventuelle lovkrav i eksempelvis offentligheds- eller forvaltningsloven.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet. 

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Gennemgang af informationssikkerhed (A.18.2)

Organisationens metode til styring af informationssikkerhed og implementeringen heraf (dvs. kontrolmål, kontroller, politikker, processer og procedurer for informationssikkerhed) skal gennemgås uafhængigt med planlagte mellemrum eller i tilfælde af væsentlige ændringer. (A.18.2.1)

Gældende ISMS skal opdateres med jævne mellemrum, eller når det er nødvendigt.

Lederne skal regelmæssigt undersøge, om informationsbehandlingen og -procedurerne inden for deres ansvarsområde er i overensstemmelse med relevante sikkerhedspolitikker, standarder og andre sikkerhedskrav. (A.18.2.2)

Den dokumenterede information skal opdateres årligt, eller når det er nødvendigt for at være retvisende og aktuel.

Informationssystemer skal undersøges regelmæssigt for, om de er i overensstemmelse med organisationens informationssikkerhedspolitikker og -standarder. (A.18.2.3)

Enhedsledere med ansvar for informationssystemer, herunder forskningssystemer, skal sikre, at disse undersøges regelmæssigt for, om de er i overensstemmelse med organisationens informationssikkerhedspolitikker og -standarder samt øvrige lovkrav.

Systemer og services leveret af AU IT, skal være omfattet af en forvaltningsaftale, som de respektive parter skal leve op til. Forvaltningsaftalerne skal sikre overensstemmelse med relevant informationssikkerhedspolitikker og -standarder samt øvrige lovkrav.

Ovenstående krav gælder tillige egne systemer, hvor man har systemejeransvar. Her skal der etableres aftaler, som ikke må give anledning til forringelse af Aarhus Universitets samlede informationssikkerhedsniveauet. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.18.2.2 Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder:
    • her henvises til AU's ISMS 

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

SPØRGEGUIDE

Spørgeguiden skal anses som et hjælpeværktøj - en metode til at komme omkring kravene i den enkelte politik:    

  • Hvordan sikres, at alle relevante krav (fastsat af AU, ved lov, kontrakter, rettigheder eller lignende) overholdes for hvert informationssystem?
  • Hvordan sikres, at alle relevante krav (fastsat af AU, ved lov, kontrakter, rettigheder eller lignende) overholdes for hvert softwareprodukt?
  • Hvordan beskyttes personoplysninger i overensstemmelse med gældende lovgivning?
  • Hvordan styres og dokumenteres arbejdet med informationssikkerhed internt i enheden? (herunder årlig gennemgang af dokumentation, procedurer, kontrolmål)