Politik for organisering af informationssikkerhed (A.6)

Politikken angiver kravene for, hvordan man skal agere for at sikre informationssikkerheden på Aarhus Universitet og følger kontroller i ISO 27001 standarden (reference er anført i parentes).

Kravene er minimumskrav, som alle enheder skal leve op til. Som enhedsleder er man ansvarlig for at beskytte informationer i de områder, som man har ansvaret for.

Under hver politik er listet (hvid kasse), hvad der er sikret fra centralt hold på Aarhus Universitet, samt at eventuelle yderligere tiltag eller særlige behov, som ligger ud over de centrale løsninger, skal udarbejdes lokalt på de enkelte fakulteter, institutter eller forskningsenheder.

De enkelte enheder på Aarhus Universitet skal sikre, at kravene specificeret i denne politik bliver fulgt, således at formål indfries. 


Formål

Formålet med Aarhus Universitets politik og regler for Organisering af informationssikkerhed: 

  • at etablere et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen 

  • at sikre fjernarbejdspladser og brugen af mobilt udstyr 

Intern organisering (A.6.1)

Alle ansvarsområder for informationssikkerhed skal defineres og fordeles. (A.6.1.1) 

Universitetsledelsen har det overordnede ansvar for organisering af informationssikkerheden på Aarhus Universitet.  

Det centrale sikkerhedsudvalg er nedsat til beslutning af målsætninger og rammer for informationssikkerhed. Stående udvalg for fakulteterne og enhedsadministrationen er herunder nedsat for at varetage koordination og samarbejde mellem universitetets enheder. 

Enhedsledelsen på linjeorganisationens område-niveau (svarende til institut) er af universitetsledelsen delegeret det samlede ansvar for informationssikkerheden i enheden. Dermed skal enhedsledelsen både sikre og hvor nødvendigt varetage indfrielsen af krav og formål i universitetets og subsidiært enhedens informationssikkerhedspolitikker. 

Modstridende funktioner og ansvarsområder skal adskilles for at nedsætte muligheden for uautoriseret eller utilsigtet anvendelse, ændring eller misbrug af organisationens aktiver. (A.6.1.2) 

Der skal opretholdes passende kontakt med relevante myndigheder. (A.6.1.3) 

Der skal opretholdes passende kontakt med særlige interessegrupper eller andre faglige sikkerhedsfora og faglige organisationer. (A.6.1.4) 

Informationssikkerhed skal anvendes ved projektstyring, uanset projekttype. (A.6.1.5) 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad. A.6.1.1 Roller og ansvarsområder:
    • det overordnede ansvar for informationssikkerheden på Aarhus Universitet hos universitetsledelsen er underorganiseret således, at implementering og forvaltning af informationssikkerheden er ansvarsfordelt mellem enhedsledelserne på linjeorganisationens område-niveau (svarende til institut).
  • ad. A.6.1.3 Kontakt med myndigheder:
    • i forbindelse med eventuelle brud på sikkerheden er der oprettet en proces for, hvordan enheder indmelder sådanne brud. Denne proces sikrer kontakt til relevante myndigheder, eksempelvis Datatilsynet.
  • ad. A.6.1.4 Kontakt med særlige interessegrupper:
    • der er etableret tværgående sikkerhedsfora kaldet CISO-forum, hvor Aarhus Universitet deltager med de andre danske universiteter, og der er tæt samarbejde med DKCERT under DeiC samt ledelsesdeltagelse i CFCS forum.
  • ad. A.6.1.5 Projekstyring: 
    • hvis Aarhus Universitets projektmodel benyttes, har den indbygget mekanismer til håndtering af sikkerhedsvurderinger før, under og efter et projekt.

Mobilt udstyr og fjernarbejdspladser (A.6.2)

Der skal vedtages en politik og understøttende sikkerhedsforanstaltninger til styring af de risici, der opstår ved anvendelse af mobilt udstyr. (A.6.2.1)

Der skal implementeres en politik og understøttende sikkerhedsforanstaltninger for at beskytte information, der er adgang til, og som behandles eller lagres på fjernarbejdspladser. (A.6.2.2)

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.6.2.2 Fjernarbejdspladser:
    • AU IT udbyder mange af universitetets informationer og systemer, så de kan tilgås på distancen gennem VPN-adgang.
    • separat politik omkring fjernarbejdspladser er under udarbejdelse

Godkendelse

Gældende 'Politik for organisering af informationssikkerhed' på Aarhus Universitet version 1.0 er princip-godkendt af CISU 22.06.2022.

Informationssikkerhed på Aarhus Universitet defineres som de samlede foranstaltninger til at sikre Fortrolighed, Integritet og Tilgængelighed af universitetets informationer, informationsaktiver og data.