Politik for organisering af informationssikkerhed (A.6)

Her finder du den gældende politik for organisering af arbejdet med informationssikkerhed på Aarhus Universitet.


Formål

Formålet med Aarhus Universitets politik og regler for organisering af informationssikkerhed er: 

  • at etablere et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen 

  • at sikre fjernarbejdspladser og brugen af mobilt udstyr 

Intern organisering (A.6.1)

Alle ansvarsområder for informationssikkerhed skal defineres og fordeles. (A.6.1.1) 

Universitetsledelsen har det overordnede ansvar for organisering af informationssikkerheden på Aarhus Universitet.  

Det centrale sikkerhedsudvalg er nedsat til beslutning af målsætninger og rammer for informationssikkerhed. Stående udvalg for fakulteterne og enhedsadministrationen er herunder nedsat for at varetage koordination og samarbejde mellem universitetets enheder. 

Enhedsledelsen på linjeorganisationens område-niveau (svarende til institut) er af universitetsledelsen delegeret det samlede ansvar for informationssikkerheden i enheden. Dermed skal enhedsledelsen både sikre og hvor nødvendigt varetage indfrielsen af krav og formål i universitetets og subsidiært enhedens informationssikkerhedspolitikker. 

Modstridende funktioner og ansvarsområder skal adskilles for at nedsætte muligheden for uautoriseret eller utilsigtet anvendelse, ændring eller misbrug af organisationens aktiver. (A.6.1.2) 

Der skal opretholdes passende kontakt med relevante myndigheder. (A.6.1.3) 

Der skal opretholdes passende kontakt med særlige interessegrupper eller andre faglige sikkerhedsfora og faglige organisationer. (A.6.1.4) 

Informationssikkerhed skal anvendes ved projektstyring, uanset projekttype. (A.6.1.5) 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad. A.6.1.1 Roller og ansvarsområder:
    • det overordnede ansvar for informationssikkerheden på Aarhus Universitet hos universitetsledelsen er underorganiseret således, at implementering og forvaltning af informationssikkerheden er ansvarsfordelt mellem enhedsledelserne på linjeorganisationens område-niveau (svarende til institut).
  • ad. A.6.1.3 Kontakt med myndigheder:
    • i forbindelse med eventuelle brud på sikkerheden er der oprettet en proces for, hvordan enheder indmelder sådanne brud. Denne proces sikrer kontakt til relevante myndigheder, eksempelvis Datatilsynet.
  • ad. A.6.1.4 Kontakt med særlige interessegrupper:
    • der er etableret tværgående sikkerhedsfora kaldet CISO-forum, hvor Aarhus Universitet deltager med de andre danske universiteter, og der er tæt samarbejde med DKCERT under DeiC samt ledelsesdeltagelse i CFCS forum.
  • ad. A.6.1.5 Projekstyring: 
    • hvis Aarhus Universitets projektmodel benyttes, har den indbygget mekanismer til håndtering af sikkerhedsvurderinger før, under og efter et projekt.

Mobilt udstyr og fjernarbejdspladser (A.6.2)

Der skal vedtages en politik og understøttende sikkerhedsforanstaltninger til styring af de risici, der opstår ved anvendelse af mobilt udstyr. (A.6.2.1)

Der skal implementeres en politik og understøttende sikkerhedsforanstaltninger for at beskytte information, der er adgang til, og som behandles eller lagres på fjernarbejdspladser. (A.6.2.2)

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.6.2.2 Fjernarbejdspladser:
    • AU IT udbyder mange af universitetets informationer og systemer, så de kan tilgås på distancen gennem VPN-adgang.
    • separat politik omkring fjernarbejdspladser er under udarbejdelse

SPØRGEGUIDE

Spørgeguiden skal anses som et hjælpeværktøj - en metode til at komme omkring kravene i den enkelte politik:    

  • Har ledelsen tildelt roller og ansvar for de lokale aktiviteter vedrørende informationssikkerhed?
  • Hvordan sikres og dokumenteres, at funktioner og ansvarsområder adskilles? (eksempelvis så rettigheder ikke kan misbruges)
  • Hvordan sikres og dokumenteres, at der er passende kontakt med relevante myndigheder, interessegrupper og lignende?
  • Hvordan sikres og dokumenteres, at informationssikkerhed anvendes ved projektstyring?
  • Hvordan sikres og dokumenteres, at ledelsen følger op på og tager stilling til manglende foranstaltninger?

Informationssikkerhed på Aarhus Universitet defineres som de samlede foranstaltninger til at sikre Fortrolighed, Integritet og Tilgængelighed af universitetets informationer, informationsaktiver og data.