Politik for organisering af informationssikkerhed (A.6)

Alle ansvarsområder for informationssikkerhed skal defineres og fordeles. (A.6.1.1) 

Universitetsledelsen har det overordnede ansvar for organisering af informationssikkerheden på Aarhus Universitet.  

Det centrale sikkerhedsudvalg er nedsat til beslutning af målsætninger og rammer for informationssikkerhed. Stående udvalg for fakulteterne og enhedsadministrationen er herunder nedsat for at varetage koordination og samarbejde mellem universitetets enheder. 

Enhedsledelsen på linjeorganisationens område-niveau (svarende til institut) er af universitetsledelsen delegeret det samlede ansvar for informationssikkerheden i enheden. Dermed skal enhedsledelsen både sikre og hvor nødvendigt varetage indfrielsen af krav og formål i universitetets og subsidiært enhedens informationssikkerhedspolitikker. 

Modstridende funktioner og ansvarsområder skal adskilles for at nedsætte muligheden for uautoriseret eller utilsigtet anvendelse, ændring eller misbrug af organisationens aktiver. (A.6.1.2) 

Der skal opretholdes passende kontakt med relevante myndigheder. (A.6.1.3) 

Der skal opretholdes passende kontakt med særlige interessegrupper eller andre faglige sikkerhedsfora og faglige organisationer. (A.6.1.4) 

Informationssikkerhed skal anvendes ved projektstyring, uanset projekttype. (A.6.1.5) 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. A.6.1.1 Roller og ansvarsområder: det overordnede ansvar for informationssikkerheden på Aarhus Universitet hos universitetsledelsen er underorganiseret således, at implementering og forvaltning af informationssikkerheden er ansvarsfordelt mellem enhedsledelserne på linjeorganisationens område-niveau (svarende til institut). ad. A.6.1.3 Kontakt med myndigheder: i forbindelse med eventuelle brud på sikkerheden er der oprettet en proces for, hvordan enheder indmelder sådanne brud. Denne proces sikrer kontakt til relevante myndigheder, eksempelvis Datatilsynet. ad. A.6.1.4 Kontakt med særlige interessegrupper: der er etableret tværgående sikkerhedsfora kaldet CISO-forum, hvor Aarhus Universitet deltager med de andre danske universiteter, og der er tæt samarbejde med DKCERT under DeiC samt ledelsesdeltagelse i CFCS forum. ad. A.6.1.5 Projekstyring:  hvis Aarhus Universitets projektmodel benyttes, har den indbygget mekanismer til håndtering af sikkerhedsvurderinger før, under og efter et projekt.

Der skal vedtages en politik og understøttende sikkerhedsforanstaltninger til styring af de risici, der opstår ved anvendelse af mobilt udstyr. (A.6.2.1)

Der skal implementeres en politik og understøttende sikkerhedsforanstaltninger for at beskytte information, der er adgang til, og som behandles eller lagres på fjernarbejdspladser. (A.6.2.2)

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad A.6.2.2 Fjernarbejdspladser: AU IT udbyder mange af universitetets informationer og systemer, så de kan tilgås på distancen gennem VPN-adgang. separat politik omkring fjernarbejdspladser er under udarbejdelse