Definitionsliste - Informationssikkerhed

Her defineres ord og benævnelser, som de skal forstås og fortolkes i forhold til informationssikkerhed på Aarhus Universitet. Listen er ikke udtømmende, men vil blive opdateret løbende.  


A.5-A.18

Forkortelse for de afsnit og generelle krav til politikker der er i ISO27001 anneks A.   

Aktiv / Informationsaktiv

Et aktiv er en værdi for universitetet som ejendom, maskiner, lagre, biler, inventar, computere, servere, enheder, it-systemer goodwill, patenter og lignende. 

I forbindelse med informationssikkerhed defineres ’aktiver’ bredt som eksempelvis it-systemer, domæner, lyd- og videooptagelser, vævsprøver samt papirdokumenter eller andet, som indeholder informationer med behov for beskyttelse i henhold til risikovurderingen.

Ordet ’Informationsaktiv’ dækker over ethvert ”genstand”, som kan indeholde, opbevare og/eller transportere informationer, såsom dokumenter, en skrevet note, en mobiltelefon, en bærbar, USB mv. samt fysiske faciliteter (bygninger). 


Kritiske aktiver indeholder som minimum it-systemer (eksempelvis med en systemklassifikation A) samt øvrige aktiver, der kan påvirke den enkelte enhed med en uacceptabel risiko for utilsigtet offentliggørelse, kompromitering eller tab.

AU-Gadget

AU-Gadget er et trådløst netværk til forskningsudstyr og –enheder, der ikke kan komme på andre netværk, fx enheder uden skærm eller hvor login ikke er muligt, som på en computer og telefon. 

AU-Guest

Trådløst netværk for gæster på Aarhus Universitet. 

AU-ID

Entydigt ID nummer for hver bruger. Benyttes til logon på systemer og nummer fremgår af legitimationskort. Ved logon sætte AU foran nummeret. Fx AU123456. 

Link:  Sådan finder du dit AUID 

AU-IT

Her henvises til den centrale it-afdeling i fællesadministrationen på Aarhus Universitet. 

Autentifikation

Godtgørelsen af ægtheden af noget, fx en persons identitet, en computer eller et digitalt objekt.

Awareness

Bevidsthed/At være bevidst om… Her handler det om gennem forskellige tiltag at skabe bevidsthed om informationssikkerhed, så vi alle aktivt er med til at beskytte informationer tilhørende Aarhus Universitet. 

Bruger

Betegnelsen ’Bruger’ dækker bredt og gælder alle, der kan påvirke informationssikkerheden på Aarhus Universitet. Det værende fastansatte, studerende, forskere samt andre interne eller eksterne (konsulenter/leverandører/samarbejdspartnere/mv.), som i en kort eller længere periode anvender informationer og/eller informationsaktiver tilhørende Aarhus Universitet. 

CFCS

Center for Cybersikkerhed (CFCS) er en del af FE (Forsvarets Efterretningstjeneste) og hjælper myndigheder og virksomheder med at ruste sig mod de trusler, der følger med digitaliseringen. CFCS rådgiver om truslerne og om de organisatoriske og tekniske foranstaltninger, der er med til at øge sikkerheden. Når uheldet er ude, kan myndigheder og virksomheder, der beskæftiger sig med samfundsvigtige opgaver, kontakte CFCS' Situationscenter. 

Change/Change Management

Change/Change Management vedrører ændring/ændringsstyring og referer til en proces indenfor ITIL, hvor alle ændringer håndteres efter aftale procedurer og standarder, så man sikrer kvaliteten og niveauet heraf.

CISO

Betegnelse for informationssikkerhedschef i et firma (Chief Information Security Officer). 

Compliance

Compliance betyder “overholdelse af regler, efterlevelse af retningslinjer” og benyttes som betegnelse for den proces, hvor en virksomhed forsøger at leve op til gældende krav og anbefalinger. 

Dataejer

Dataejere har det overordnede ansvar for, at brugen af en bestemt samling data sker i overensstemmelse med informationssikkerhedspolitikken. 

DeiC

Danish e-infrastructure Cooperation (DeiC) er samarbejdet med og mellem de danske universiteter om levering og udvikling af den nationale digitale forskningsinfrastruktur. 

Directory service

Det overordnede formål med en directory service er kort sagt at opnå universel og forenklet adgang til alle ressourcer i et netværk ved hjælp af en fælles struktur og centraliseret opbevaring. Med ressourcer menes printere, filer, databaser osv., og det er altså et spørgsmål om at få sammenkoblet brugerne med disse ressourcer. Der er mulighed for at afspejle virksomhedens organisation med en hierakisk opbygning.  

Den stadig stigende informationsbyrde i netværkene  

gør, at dette kan være en stor fordel for system-administratorer, da det letter deres arbejde og er  

samtidig med til at lette overblikket. 

DKCERT

DKCERT (Danish Computer Security Incident Response Team) håndterer sikkerhedshændelser på forskningsnettet, der drives af DeiC.  

Domæne / Sikkerhedsdomæne?? 

??? (nævnes i A12) 

DPO

Data Protection Officer eller på dansk DBR (Data Beskyttelses Rådgiver). Rolle som er indført i forbindelse med GDPR (Generel Data Protection Regulation) pr. 25. maj 2018. 

Link:  Hvad er en DPO? (au.dk) 

Driftsplatforme

Betyder det samlede IT-system bestående af udstyr, systemer, netværk og software, som Aarhus Universitet anvender, men på AU dækker det tillige bredt, herunder stalde og strålekanoner. SKAL TILRETTES

EDUROAM

Trådløst universitets netværk for medarbejdere og studerende. EDUROAM er også installeret på andre universiteter uden for Danmark. 

Enhedsleder / Enhedsledelse

Benævnelsen enhedsleder benyttes her med henblik på personer med ledelsesansvar på linjeorganisationens område-niveau som defineret i AU Enhedsregisteret. Eksempler på titler på dette niveau er institutleder, centerleder, vicedirektør.

Universitetsledelsen har uddelegeret det samlede ansvar for informationssikkerheden i enheder på dette niveau til deres respektive ledelse. Sagt anderledes følger ansvaret for et informationsaktiver ejerskabet af aktivet ned til og med område-niveau. Eksempelvis en institutleder har som udgangspunkt det informationssikkerhedsmæssige ansvar for aktiver ejet direkte af instituttet samt af eventuelle del- og underområder som afdelinger eller kontorer. Ansvaret for aktiver ejet direkte af enheder på et højere niveau i linjeorganisationen forbliver hos ejer. Ansvar kan efter formel beslutning konsolideres på et højere niveau i samme ledelsesstreng.

Systemejer???  

Enterprise Admin

Certificeret Microsoft uddannelse til administration af Microsoft 365 (Office 365, Windows 10 Enterprise og Enterprise Mobility + Security). 

Firewall

Teknisk foranstaltning der skanner netværkstrafik, så der ikke kommer ondsindet data igennem. Kan være software (sikkerhedsprogram fx McAfee) eller en hardware (fx fysisk router)  

FISU, IDM og EISU udvalg

FISU: Fakulteternes lokale informationssikkerhedsudvalg. 

IDM: Nat og Tech Fakulteternes lokale informationssikkerhedsudvalg. 

EISU: Enhedsadministrationens (Fællesadministrationens - FA) lokale informationssikkerhedsudvalg. 

Forretningsberedskabsplan

Til ordliste. sammen med forklaring af ISO A17 benævnelsen af "nød-, beredskabs- og reetableringsstyring" - fra A14

Fortrolighed

Indenfor informationssikkerhed betyder Fortrolighed, at kun personer med et legitimt behov må have adgang til informationer. 

IDM (Identity Management)

Identitets håndteringssystem på Aarhus Universitet, der styrer hvilken rolle en person med relation til AU har. 

Hver bruger har en primær tilknytning til hjemme-organisationen (Fakultet eller Enhedsadministrationen). På Aarhus Universitet er det, i prioriteret orden, rollerne: student, faculty, staff, alumne, affiliate

IKT-tjenester

IKT står for Informations- og Kommunikationsteknologiske Tjenester og produkter – altså teknologi der gør det muligt for brugerne at til få adgang til, redigere, overføre og gemme information. 

Immaterielle

Immaterielle f.eks. anlægsaktiver er aktiver som er skaffet til brug i virksomheden, uden de er fysiske eller finansielle. Eksempler på disse kan være goodwill, varemærker, patenter, uddannelse, viden, know-how mv. 

Informationer

Fælles betegnelse for informationer uanset form (mundtlig, skriftlig, elektronisk) som tilhører Aarhus Universitet. 

Informationsbehandlingsfaciliteter / informationsfaciliteter / informationssystemer

Fysiske behandlingsfaciliteter (bygninger) hvor informationer opbevares samt tekniske i form af systemer og applikationer eller programmer, der behandler information.  

Informationssystemer på Aarhus Universitet defineres som sæt af applikationer, ydelser, informationsteknologiaktiver eller andre elementer af informationshåndtering.

Informationssikkerhed

Informationssikkerhed på Aarhus Universitet defineres som de samlede foranstaltninger til at sikre Fortrolighed, Integritet og Tilgængelighed af universitetets informationer, informationsaktiver og data.

Integritet

Indenfor informationssikkerhed betyder Integritet, at informationer skal være konsistente og i en form, som man kan stole på. 

Interaktive

Ordet interaktiv er afledt af begrebet interaktivitet, og kan beskrives dels som den vekselvirkning der finder sted mellem hændelser, dels som den indbyrdes påvirkning disse hændelser forandrer hinanden med. Interaktive processer kan beskrive både menneskelige og maskinelle relationer.  

Internet domænenavn

Et domæne er et unikt navn udadtil på internettet. Det er f.eks. det, som besøgende skal skrive i adressefeltet i browseren for at lande på vores hjemmeside. I vores tilfælde er ”www.au.dk” vores domæne. Et domæne er en genvej til en IP-adresse. En hjemmeside, skal ligge på en server for at være online og tilgængelig for andre. Disse servere har deres egne unikke adresser, nemlig IP-adresser. Domæne navne er opstået, fordi det er nemmere at huske et navn end en IP-adresse. Derfor findes der heller ikke to ens domæner.

IP adresse (Internet Protokol)

En IP-adresse er med til at identificere en computer (server, PC), når den er koblet op på et netværk. IP-adressen er et nummer, som computeren er blevet givet for at kunne skelne den fra andre enheder.

ISMS

ISMS står for ’Information Security Management System’, på dansk ‘Ledelsessystem for informationssikkerhed’ og dækker over, hvordan man som organisation definerer, administrerer og implementerer forskellige foranstaltninger for at sikre, at man på fornuftig vis beskytter Fortroligheden, Integriteten og Tilgængeligheden af sine informationer og aktiver mod trusler og sårbarheder. 

ISO/IEC 27001/27002

International standard der fastsætter god skik for, hvordan man organiserer og styrer informationssikkerhed. 

Kontekst

I en bredere forstand en sammenhæng, hvori noget finder sted. 

Kontrahent

Kontrahent på Aarhus Universitet defineres som en aftalepartner (kan være både person eller institution), der har indgået en kontrakt eller en aftale med Aarhus Universitet. Studerende anses ikke som værende kontrahenter.

Kryptografi / kryptering

Kryptering ifm. cybersikkerhed er konverteringen af data fra et læsbart format til et kodet format. Krypterede data kan kun læses eller behandles, når de er blevet dekrypteret. 

Kryptering er fundamentet for datasikkerhed. Det er den enkleste og vigtigste måde at sikre, at et computersystems informationer hverken kan stjæles og læses af personer, der vil bruge dem til ondsindede formål. 

Krypteringsnøgle

Et stykke software der benyttes til at omforme data fra en læsbar form til en ikke læsbar form og omvendt den anden vej fra ikke læsbar til læsbar. 

Leverandørstyring

Def. UDESTÅR

Managed udstyr

AU managed udstyr er PC’er, der er udleveret fra IT support med tyverisikringsmærkat (device nr. Dxxxx) ved brug af gældende indkøbsaftaler, og som er registret i og styres fra UNI AD. Dvs. at PC’er løbende bliver opdateret med de strategiske værktøjer, der skal være installeret mht. anti-virus programmer operativsystemer (Windows og Mac) versioner via udrulningsværktøjer SCSM (System Center Service Manager) til Windows og MSC (Managed Software Center) til Mac. 

Den samme centrale mærkning og styring af enheder gælder for tablets samt smartphones med udrulningsværktøj Intune på IOS og Android styresystemer til MDM (Mobile Device Management). 

MDM

Mobile Device Management. MDM er et stykke software, der gør det muligt at håndtere og sikre alle virksomhedens mobile enheder fra ét, centralt system.

Mobilt udstyr / mobile enheder / bærbare medier

Mobilt udstyr dækker bredt, herunder mobile enheder (som er en samlet betegnelse for mobiltelefoner, smartphones, tablets og lignende), bærbare pc'er (netbooks, laptops og lignedne) samt andet udstyr, der kan indeholde, behandle eller transportere informationer.

Modenhedsniveau

Modenhedsniveau er et udtryk for organisationens styring af informationssikkerhed, altså hvorvidt organisationen har et veludbygget kontrolmiljø med en høj grad af automatiserede sikringstiltag, er i opbygningen heraf med mange manuelle foranstaltninger eller ligger et sted midt imellem. Indenfor informationssikkerhed arbejdes med 5 niveauer med 5 som det højeste.  

Nettilslutningskontrol

Fx netværksprotokollen 802.1x, som sikrer at kun kendt udstyr kan tilsluttes et netværk.

Objekt-kode / Kildekode??

??? (nævnes i A12) 

Outsourcing/ Outsourcingpartner

AU indkøber en løsning med inklusiv de fornødne driftsmæssige tjenesteydelser og overlader derved den direkte kontrol med omfattede aktiver til leverandør. Den ansvarlige AU enhed udøver i denne driftsmodel en indirekte kontrol gennem kontraktstyring og leverandørstyring i forvaltningsprocesser omkring måling, rapportering og revision.

PDCA

Forkortelse for aktiviteterne Plan, Do, Check, Act. Også kendt som Demings-cirkel.

PDCA er et iterativ metode til kontrol og løbende forbedringer af processer.

Penetrationstest

Test af om man uden videre kan trænge ind i et system. Man tester sikkerheden og finder de sårbarheder der er ved adgang til et system. Test kan fx være at finde ud af, hvor nemt det er at trænge ind i et system med brugernavn og password, hvis ikke password krav er særlig strikse. 

Perimetersikring

Perimetersikring betyder sikring af værdier, som er placeret udenfor bygninger og kan skabes gennem mekanisk sikring, elektronisk overvågning eller lignende.

???DEFINTION???

Privilegerede adgangsrettigheder

Specielle brugernavne og adgangskoder som giver brugeren ret til at kunne se og udføre funktioner som kun ganske få kan få lov til og blive godkendt til. En privilegeret bruger har administrative adgangsrettigheder til forretningskritiske systemer. Det er brugere, som kan ændre i system-opsætninger, installere software og ændre brugerkonti samt tilgå beskyttet data. 

Redundans

I tekniske anlæg kan redundans betyde installation af flere ens enheder for at sikre korrekt funktion af anlægget i tilfælde af fejl på en eller flere af de pågældende enheder, eller det kan betyde en mere effektiv udnyttelse af enheden.  

Servicekonti

Anvendes til automatiserede kørsler i driften og systemer, hvor der fx er brug for specielle periodiske overførsler som ikke skal udføres af en bruger. Servicekonti installeres og sættes op af systemadministratorer med specielle privilegerede rettigheder. Servicekonti er dermed bruger uafhængige.

Sikker log on

Bruger har et entydigt brugernavn (AUID) at logge på med ved PC og der er tilknyttet sikker password opbygning. Endvidere er der krav om to faktor autentifikation ved fjern log on med VPN.

Sikre områder

Sikre områder på Aarhus Universitet defineres som områder, der indeholder enten følsomme eller fortrolige informationer og informationsbehandlingsfaciliteter. Sådanne områder findes både centralt og lokalt. 

Oversigt over systemer etableret i de sikre områder, som udbydes fra centralt hold til brug på universitetet.

Skrivebordstest

Manuel gennemgang, af de procedurer der er opstillet for bl.a. at opretholde et systems sikkerhed, hvor man simulerer genstart efter et nedbrud. 

SoA

(Statement of Applicability) 

Dokument angiver, på baggrund af risikovurderingen, en begrundet stillingtagen til til- og fravalg i forhold til, hvilke kontroller organisationen har besluttet sig for, at der skal følges op på i relation til kravene i ISO27001 annekserne A.5 til A.18.  

SOC

Security Operation Center 

Skal nok beskrives yderligere!!!!!!!!!!!!

SaaS (Software as a Service)

SaaS (Software as a Service) er en clodbaseret måde at levere software på, som stilles til rådighed og opdateres af en leverandør. (Yderligere FORKLARING)

System / Informationssystem??

??? (nævnes i A12) 

Systembillede

Et systembillede er en komplet kopi af den aktuelle tilstand på din computers harddisk eller en af ​​dens partitioner. Det vil omfatte alle systemindstillinger, filer og Windows-konfiguration. 

Du kan bruge et systembillede til at gendanne data og computerindstillinger i tilfælde af en harddisknedbrud. 

Systemejer

Systemejeren repræsenterer det overordnede forretningsmæssige ansvar for systemet - strategisk, økonomisk og juridisk.  

System- og applikationskontroller

Bruges i forbindelse med revision, hvor man følger op på om server til drift af applikationer er placeret sikkert fysisk i et datacenter, om adgangene er sikre og om man kan logge ind i systemer og applikationer uden brug af de indbyggede funktioner og krav til brugernavn og password. 

Systemklassifikation

Vurdering af hvilke data (offentlige, Interne, Fortrolige eller Følsomme) der arbejdes med i et system.  

Type A: Her kræves en Risikovurdering og en forretningsberedskabsplan. 

Type B: Her kræves en Risikovurdering, men ikke nødvendigvis en forretningsbredskabsplan. 

Type C: Her kræves nødvendigvis ikke risikovurdering og forretningsberedskabsplan.

Sårbarhedstest eller -scanning

Også kaldet en sårbarhedsscanning der viser om servere er opdateret korrekt og om netværk og tilhørende komponenter som firewall er sat rigtigt op til at modstå uautoriseret adgang. 

Termer

Fagudtryk benævnes også termer og er oftest ord eller ordforbindelser.  

Tilgængelighed

Indenfor informationssikkerhed betyder Tilgængelighed, at informationer skal være tilgængelige for de rette personer, når der er behov for det.  

To-faktor godkendelse eller MFA

To-faktor godkendelse er en sikkerhedsforanstaltning, som forbedrer din sikkerhed markant. Teknologien kaldes også to-faktor autentifikation, 2-trins autentifikation (2FA) eller multi-faktor autentifikation (MFA). Dvs. at du mindst skal logge på med 2 forskellige ting. Fx brugernavn og password samt en sms kode fra en mobiltelefon. 

Type A, B og C system

Angiver om et AU system er blevet klassificeret som et vigtigt/væsentligt system, hvor A er det mest vigtige. Skal bruges i forbindelse med prioritering ved evt. beredskabs- retablering efter en katastrofe/uheld samt en vurdering af de risici der er for tab af eller bortkomst af AU data. Klassifikationer af systemer udarbejdes sammen med og revurderes en gang årligt med systemejer (Evt. systemforvalter) og systemansvarlige.  

System A fordrer, at der er udarbejdet en forretnings-beredskabsplan og at der er udarbejdet en risikovurdering. 

System B fordrer, at der er udarbejdet en risikovurdering. 

System C fordrer ikke nødvendigvis yderligere driftsmæssige foranstaltninger. 

UPS

Et nødstrømsanlæg (forkortet UPS fra engelsk:  Uninterruptible power supply, på dansk: Uafbrudt Strømforsyning), også kendt som et backupbatteri, er en anordning til at sikre levering af en uafbrudt strømforsyning til det tilkoblede udstyr ved at levere strøm fra en separat kilde i tilfælde af elnetstrømafbrydelse. 

VPN

Virtuel Privat Netværk er en beskyttet netværksforbindelse. Giver en sikker krypteret opkobling til netværk. Bruges typisk ved fjernadgang fra ikke sikre og offentlige netværk.