Politik for kryptering (A.10)

Politikken angiver kravene for, hvordan man skal agere for at sikre informationssikkerheden på Aarhus Universitet og følger kontroller i ISO 27001 standarden (reference er anført i parentes).

Kravene er minimumskrav, som alle enheder skal leve op til. Som enhedsleder er man ansvarlig for at beskytte informationer i de områder, som man har ansvaret for.

Under hver politik er listet (hvid kasse), hvad der er sikret fra centralt hold på Aarhus Universitet, samt at eventuelle yderligere tiltag eller særlige behov, som ligger ud over de centrale løsninger, skal udarbejdes lokalt på de enkelte fakulteter, institutter eller forskningsenheder.

De enkelte enheder på Aarhus Universitet skal sikre, at kravene specificeret i denne politik bliver fulgt, således at formål indfries. 


Formål

Formålet med Aarhus Universitets politik og regler for Kryptering: 

  • at sikre korrekt og effektiv brug af kryptografi for at beskytte informationers fortrolighed, autenticitet og/eller integritet

Kryptografiske kontroller (A.10.1)

Der skal udarbejdes og implementeres en politik for anvendelse af kryptografi til beskyttelse af information. (A.10.1.1)

Under opretholdelse af forholdsregler til passende beskyttelse skal den ansvarlige enhedsledelse sikre, at Aarhus Universitet ikke mister tilgængeligheden af sine informationsaktiver. Etablering af et tilstrækkeligt niveau af tilgængelighed varetages gennem politikker og konkrete retningslinjer for blandt andet brug af kryptering i informationsbehandlingsfaciliteter. Disse indbefatter procedure for eksempelvis håndtering og opbevaring af kodeord og krypteringsnøgler uafhængigt af enkeltpersoner. Retningslinjerne skal hertil altid imødekomme eventuelle lovkrav i eksempelvis offentligheds- eller forvaltningsloven.   

Følsomme og fortrolige informationer skal altid være krypteret, når de opbevares på transportabelt udstyr. Såfremt det ikke er muligt at anvende kryptering (eksempelvis på mobile enheder som tablets og smartphones) skal man undlade at behandle følsomme eller fortrolige data på enheden.  

Adgangskoder og lignende skal aldrig opbevares ukrypteret, hverken på mobilt eller stationært udstyr. Krypteringen af passwords skal ske via anvendelse af en anerkendt krypteringsteknologi. 

E-mail og data, der indeholder fortrolige informationer, skal altid krypteres under transmission over åbne netværk. 

Der skal udarbejdes og implementeres en politik for anvendelse og beskyttelse af samt levetid for krypteringsnøgler gennem hele deres livscyklus. (A.10.1.2)

Ved enhver anvendelse af kryptografi skal der foreligge procedure dækkende sikker udskiftning, anvendelse og beskyttelse af de tilhørende krypteringsnøgler. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad. A.10.1.1 Anvendelse af kryptering:
    • der er fra centralt hold i AU IT etableret diverse vejledninger til kryptering samt brug af sikker mail.
  • ad. A.10.1.2 Administration af nøgler:
    • der er fra centralt hold i AU IT etableret procedurer til dette for managed AU udstyr.
    • vedrørende privat udstyr og udstyr, indkøbt lokalt uden om universitetets it-support afdelinger, påhviler det ejeren selv at overholde ovenstående politik for krypteringsnøgler.

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet. 

Såfrem I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

Godkendelse

Gældende 'Politik for kryptering' på Aarhus Universitet version 1.0 er princip-godkendt af CISU 22.06.2022.

Kryptografi / Kryptering i forbindelse med cybersikkerhed er konverteringen af data fra et læsbart format til et kodet format. Krypterede data kan kun læses eller behandles, når de er blevet dekrypteret. 

Kryptering er fundamentet for datasikkerhed. Det er den enkleste og vigtigste måde at sikre, at et computersystems informationer hverken kan stjæles og læses af personer, der vil bruge dem til ondsindede formål.