Politik for personalesikkerhed (A.7)

Her finder du den gældende politik for personalesikkerhed til at sikre, at medarbejdere og kontrahenter er bevidste om deres ansvar og roller i forhold til informationssikkerhed i deres relation til Aarhus Universitet.


Formål

Formålet med Aarhus Universitets politik og regler for Personalesikkerhed: 

  • at sikre, at medarbejdere og kontrahenter forstår deres ansvarsområder og er egnede til de roller, de er tiltænkt
  • at sikre, at medarbejdere og kontrahenter er bevidste om og lever op til deres informationssikkerhedsansvar
  • at beskytte organisationens interesser som led i ansættelsesforholdets ændring eller ophør

Før ansættelsen (A.7.1)

Efterprøvning af alle jobkandidaters baggrund skal udføres i overensstemmelse med relevante love, forskrifter og etiske regler og skal stå i forhold til de forretningsmæssige krav, klassifikationen af den information, der skal gives adgang til, og de relevante risici. (A.7.1.1)

Den ansvarlige HR-enhed skal, i samarbejde med den ansættende enhed, tilse, at der sker forsvarligt baggrundstjek af medarbejdere i særligt betroede stillinger, herunder leder- og IT-stillinger.

Kontrakter med medarbejdere og kontrahenter skal beskrive de pågældendes og organisationens ansvar for informationssikkerhed. (A.7.1.2)

Den ansvarlige på Aarhus Universitet, der indgår ansættelseskontrakten, skal videregive universitetets gældende informationssikkerhedspolitik til den nye medarbejder.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

Få gode råd om ansættelse hos pet.dk (Politiets Efterretningstjeneste)

Under ansættelsen (A.7.2)

Ledelsen skal kræve, at alle medarbejdere og kontrahenter opretholder informationssikkerhed i overensstemmelse med organisationens fastlagte politikker og procedurer. (A.7.2.1)

Alle organisationens medarbejdere og, hvor det er relevant, kontrahenter skal ved hjælp af uddannelse og træning bevidstgøres om sikkerhed og regelmæssigt holdes ajour med organisationens politikker og procedurer, i det omfang det er relevant for deres jobfunktion. (A.7.2.2)

Det er enhedslederens ansvar, at alle enhedens medarbejdere:

  • er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til universitetets systemer og informationer.
  • er gjort bekendt med nødvendige retningslinjer, således at de kan leve op til Aarhus Universitets Informationssikkerhedspolitik.
  • opnår uddannelse og et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar på universitetet.
  • skal have kendskab til, hvorledes informationer klassificeres.

Der skal være etableret en formel og kommunikeret sanktionsproces, så der kan skrides ind over for medarbejdere, der har begået informationssikkerhedsbrud. (A.7.2.3)

Den ansvarlige HR-enhed skal, i samarbejde med den ansættende enhed, tilse, at den formelle sanktionsproces følges.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.7.2 Informationssikkerhed under ansættelse:
    • ansvaret ligger her lokalt hos den enkelte enhedsleder, her kan henvises til dokumenter nævnt i A.7.1
    • bistand kan søges hos HR

Få gode råd om ansættelse hos pet.dk (Politiets Efterretningstjeneste)

Ansættelsesforholdets ophør eller ændring (A.7.3)

Informationssikkerhedsansvar og -forpligtelser, som gælder efter ansættelsens ophør eller ændring, skal defineres og kommunikeres til medarbejderen eller kontrahenten og håndhæves. (A.7.3.1)

Medarbejdere og kontrahenter skal aflevere alle aktiver udleveret af Aarhus Universitet ved ophør af ansættelse, kontrakt eller særlig aftale som eksempelvis emeritusordninger. Det påhviler ydermere disse at opretholde fortrolighed med Aarhus Universitets informationer efter aftaleforholdets ophør. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.7.3.1 Ansættelsesforholdets ophør:

Få gode råd om ansættelse hos pet.dk (Politiets Efterretningstjeneste)

SPØRGEGUIDE

Spørgeguiden skal anses som et hjælpeværktøj - en metode til at komme omkring kravene i den enkelte politik:    

  • Hvordan sikres forsvarligt baggrundstjek af medarbejdere?
  • Hvordan sikres, at medarbejdere og kontrahenter er bekendt med deres del i ansvaret for informationssikkerheden på Aarhus Universitet?
  • Er de kontraktuelle forhold på plads? - og hvordan er behovet for informationssikkerhed dækket i aftalen?
  • Hvordan tager procedurer for on-/offboarding højde for informationssikkerhed i forhold til eksempelvis tildelingen af adgange og tilbagelevering af aktiver?

Kontrahent på Aarhus Universitet defineres som en aftalepartner (kan være både person eller institution), der har indgået en kontrakt eller en aftale med Aarhus Universitet.

Studerende anses ikke som værende kontrahenter.