Politik for mobilt udstyr (A.6.2.1)

Alt mobilt udstyr tilhørende AU skal registreres som informationsaktiver af den enhed, der udleverer udstyret.

Den primær bruger af mobilt udstyr er dataansvarlig. På mobilt udstyr uden en primær bruger er seneste bruger ansvarlig for at data fjernes fra udstyret efter brug. Brugere af universitetets mobile udstyr er ansvarlige for at beskytte udstyret og de data, der behandles på disse

Mobilt udstyr skal fjernes, låses inde, overvåges, eksempelvis medbringes i håndbagage på rejser eller på anden måde sikres mod tyveri eller misbrug i alle tilfælde, hvor en tilhørende risikovurdering tilsiger dette.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. håndtering af mobilt udstyr: her henvises til Regler for informationssikkerhed på Aarhus Universitet.

Der henvises til AU Patchpolitik samt Regler for informationssikkerhed.

Aarhus Universitet ønsker at sikre et minimum af beskyttelse af mobile enheder, der kan opnå adgang til AU it-infrastruktur og AU data. Dette som et led i den overordnede beskyttelse af AU’s ansatte mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og tab af data.

Brug af MDM sikrer, at Aarhus Universitet imødekommer 2 ufravigelige tekniske minimumskrav defineret i den nationale cyber- og informationssikkerhedsstrategi for statslige myndigheder.

Alle ansatte, der ønsker adgang til AU’s Microsoft 365 og OneDrive løsning, skal efterleve AU’s krav om MDM. Dette sikres ved at installere AU’s MDM software på den mobile enhed, uanset om det er en AU enhed eller privat enhed.

AU MDM-løsninger skal håndhæve følgende minimumskrav:

• Anvendelse af 6 cifret numerisk adgangskode eller biometrisk identifikation kræves for at få adgang til enheden
• Enheden skal være krypteret 
• Regelmæssig opdatering af operativsystem på mobile enheder:
  • Nyeste version af enhedens Operativ System påkrævet. Enheden markeres som ikke-kompatibel efter 30 dage
  • Brugeren af enheden notificeres via e-mail, når enheden ikke længere er kompatibel
  • I tilfælde af sikkerhedspatch vedrørende sårbarhed med CVE* > 8 skal enhedens Operativ System opdateres øjeblikkeligt 
• Mobilt udstyr skal sikres med malwarebeskyttelse som udgangspunkt og i alle tilfælde, hvor tilhørende risikovurdering tilsiger dette 

*CVE er en index angivelse fra 0 til 10, for hvor kritisk en sårbarhed er for enheden. Index større end 8 betyder høj til kritisk og CVE er en forkortelse for Common Vulnerabilities and Exposures eller på dansk Almindelige sårbarheder og eksponeringer

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. MDM: vejledning til installation af Intune.  ad. adgangsstyring: her henvises til regler for adgangskoder på Aarhus Universitet. ad. kryptering: her kan med fordel hentes vejledning i Sådan krypterer du dine data. ad. opdatering af software: jævnfør regler for antivirus, opdateringer og udstyr på Aarhus Universitet vil udstyr udleveret af AU oftest have automatisk opdateringsfunktionalitet aktiveret, men hvor dette ikke understøttes, herunder privat udstyr, har du pligt til at holde dit udstyr opdateret, så det det ikke kompromitterer universitetets sikkerhed.

Uanset om lagret data ejes af AU, enkeltpersoner, eller en tredjepart, kan AU frit disponere over eget udstyr. Dette indbefatter at AU i forbindelse med eksempelvis studieophør eller medarbejderfratrædelse kan nulstille og slette brugerindhold på eksempelvis mobiltelefoner, computere, netværksdrev samt diverse lagringsenheder og -medier uden forudgående brugersamtykke og uden ansvar for tab.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. returnering af materiale og udstyr: som nævnt i Regler for informationssikkerhed (antivirus, opdateringer og udstyr) på Aarhus Universitet skal computer, telefoner, software, adgangskort, dokumenter og andet, som du har fået udleveret eller finansieret af Aarhus Universitet, returneres, når din formelle tilknytning til AU stopper, med mindre det er omfattet af en særlig aftale.