Informationssikkerhed

English

Politik for kryptering (A.10)

Her finder du den gældende politik for kryptering, og hvordan Aarhus Universitet anvender kryptering til at beskytte informationer.

Formål

Formålet med Aarhus Universitets politik og regler for Kryptering: 

  • at sikre korrekt og effektiv brug af kryptografi for at beskytte informationers fortrolighed, autenticitet og/eller integritet

Kryptografiske kontroller (A.10.1)

Der skal udarbejdes og implementeres en politik for anvendelse af kryptografi til beskyttelse af information. (A.10.1.1)

Under opretholdelse af forholdsregler til passende beskyttelse skal den ansvarlige enhedsledelse sikre, at Aarhus Universitet ikke mister tilgængeligheden af sine informationsaktiver. Etablering af et tilstrækkeligt niveau af tilgængelighed varetages gennem politikker og konkrete retningslinjer for blandt andet brug af kryptering i informationsbehandlingsfaciliteter. Disse indbefatter procedure for eksempelvis håndtering og opbevaring af kodeord og krypteringsnøgler uafhængigt af enkeltpersoner. Retningslinjerne skal hertil altid imødekomme eventuelle lovkrav i eksempelvis offentligheds- eller forvaltningsloven.   

Følsomme og fortrolige informationer skal altid være krypteret, når de opbevares på transportabelt udstyr. Såfremt det ikke er muligt at anvende kryptering (eksempelvis på mobile enheder som tablets og smartphones) skal man undlade at behandle følsomme eller fortrolige data på enheden.  

Adgangskoder og lignende skal aldrig opbevares ukrypteret, hverken på mobilt eller stationært udstyr. Krypteringen af passwords skal ske via anvendelse af en anerkendt krypteringsteknologi. 

E-mail og data, der indeholder fortrolige informationer, skal altid krypteres under transmission over åbne netværk. 

Der skal udarbejdes og implementeres en politik for anvendelse og beskyttelse af samt levetid for krypteringsnøgler gennem hele deres livscyklus. (A.10.1.2)

Ved enhver anvendelse af kryptografi skal der foreligge procedure dækkende sikker udskiftning, anvendelse og beskyttelse af de tilhørende krypteringsnøgler. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad. A.10.1.1 Anvendelse af kryptering:
    • der er fra centralt hold i AU IT etableret diverse vejledninger til kryptering samt brug af sikker mail.
  • ad. A.10.1.2 Administration af nøgler:
    • der er fra centralt hold i AU IT etableret procedurer til dette for managed AU udstyr.
    • vedrørende privat udstyr og udstyr, indkøbt lokalt uden om universitetets it-support afdelinger, påhviler det ejeren selv at overholde ovenstående politik for krypteringsnøgler.

Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet. 

Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.

SPØRGEGUIDE

Spørgeguiden skal anses som et hjælpeværktøj - en metode til at komme omkring kravene i den enkelte politik:    

  • Hvordan sikres tilstrækkelig niveau af kryptering (baseret på dataklassifikation) i både opbevaring, behandling og transmission af AU informationer?
  • Hvordan sikres og dokumenteres de fornødne procedurer for håndtering og beskyttelse af krypteringsnøgler i enheden?

Har du brug for hjælp?

Kontakt Aarhus Universitets Informationssikkerhedsafdeling, hvis du har spørgsmål eller brug for hjælp. 

Kryptografi / Kryptering i forbindelse med cybersikkerhed er konverteringen af data fra et læsbart format til et kodet format. Krypterede data kan kun læses eller behandles, når de er blevet dekrypteret. 

Kryptering er fundamentet for datasikkerhed. Det er den enkleste og vigtigste måde at sikre, at et computersystems informationer hverken kan stjæles og læses af personer, der vil bruge dem til ondsindede formål. 

Revideret 17.10.2023
-
Informationssikkerhed