Formålet med Aarhus Universitets politik og regler for Kryptering:
Der skal udarbejdes og implementeres en politik for anvendelse af kryptografi til beskyttelse af information. (A.10.1.1)
Under opretholdelse af forholdsregler til passende beskyttelse skal den ansvarlige enhedsledelse sikre, at Aarhus Universitet ikke mister tilgængeligheden af sine informationsaktiver. Etablering af et tilstrækkeligt niveau af tilgængelighed varetages gennem politikker og konkrete retningslinjer for blandt andet brug af kryptering i informationsbehandlingsfaciliteter. Disse indbefatter procedure for eksempelvis håndtering og opbevaring af kodeord og krypteringsnøgler uafhængigt af enkeltpersoner. Retningslinjerne skal hertil altid imødekomme eventuelle lovkrav i eksempelvis offentligheds- eller forvaltningsloven.
Følsomme og fortrolige informationer skal altid være krypteret, når de opbevares på transportabelt udstyr. Såfremt det ikke er muligt at anvende kryptering (eksempelvis på mobile enheder som tablets og smartphones) skal man undlade at behandle følsomme eller fortrolige data på enheden.
Adgangskoder og lignende skal aldrig opbevares ukrypteret, hverken på mobilt eller stationært udstyr. Krypteringen af passwords skal ske via anvendelse af en anerkendt krypteringsteknologi.
E-mail og data, der indeholder fortrolige informationer, skal altid krypteres under transmission over åbne netværk.
Der skal udarbejdes og implementeres en politik for anvendelse og beskyttelse af samt levetid for krypteringsnøgler gennem hele deres livscyklus. (A.10.1.2)
Ved enhver anvendelse af kryptografi skal der foreligge procedure dækkende sikker udskiftning, anvendelse og beskyttelse af de tilhørende krypteringsnøgler.
Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:
Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet. Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt. |
SPØRGEGUIDE
Spørgeguiden skal anses som et hjælpeværktøj - en metode til at komme omkring kravene i den enkelte politik:
Kryptografi / Kryptering i forbindelse med cybersikkerhed er konverteringen af data fra et læsbart format til et kodet format. Krypterede data kan kun læses eller behandles, når de er blevet dekrypteret.
Kryptering er fundamentet for datasikkerhed. Det er den enkleste og vigtigste måde at sikre, at et computersystems informationer hverken kan stjæles og læses af personer, der vil bruge dem til ondsindede formål.