Politik for personalesikkerhed (A.7)

Efterprøvning af alle jobkandidaters baggrund skal udføres i overensstemmelse med relevante love, forskrifter og etiske regler og skal stå i forhold til de forretningsmæssige krav, klassifikationen af den information, der skal gives adgang til, og de relevante risici. (A.7.1.1)

Den ansvarlige HR-enhed skal, i samarbejde med den ansættende enhed, tilse, at der sker forsvarligt baggrundstjek af medarbejdere i særligt betroede stillinger, herunder leder- og IT-stillinger.

Kontrakter med medarbejdere og kontrahenter skal beskrive de pågældendes og organisationens ansvar for informationssikkerhed. (A.7.1.2)

Den ansvarlige på Aarhus Universitet, der indgår ansættelseskontrakten, skal videregive universitetets gældende informationssikkerhedspolitik til den nye medarbejder.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. A.7.1.2 Ansættelsesvilkår: som led i de enkelte enheders arbejde med informationssikkerhed og awareness kan der henvises til følgende centrale informationssikkerhedsdokumenter: Aarhus Universitet Informationssikkerhedspolitik, underliggende politikker A.5-A.18 politikker, Regler for informationssikkerhed samt central ISMS for AU. Få gode råd om ansættelse hos pet.dk (Politiets Efterretningstjeneste)

Ledelsen skal kræve, at alle medarbejdere og kontrahenter opretholder informationssikkerhed i overensstemmelse med organisationens fastlagte politikker og procedurer. (A.7.2.1)

Alle organisationens medarbejdere og, hvor det er relevant, kontrahenter skal ved hjælp af uddannelse og træning bevidstgøres om sikkerhed og regelmæssigt holdes ajour med organisationens politikker og procedurer, i det omfang det er relevant for deres jobfunktion. (A.7.2.2)

Det er enhedslederens ansvar, at alle enhedens medarbejdere:

• er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til universitetets systemer og informationer.
• er gjort bekendt med nødvendige retningslinjer, således at de kan leve op til Aarhus Universitets Informationssikkerhedspolitik.
• opnår uddannelse og et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar på universitetet.
• skal have kendskab til, hvorledes informationer klassificeres.

Der skal være etableret en formel og kommunikeret sanktionsproces, så der kan skrides ind over for medarbejdere, der har begået informationssikkerhedsbrud. (A.7.2.3)

Den ansvarlige HR-enhed skal, i samarbejde med den ansættende enhed, tilse, at den formelle sanktionsproces følges.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad A.7.2 Informationssikkerhed under ansættelse: ansvaret ligger her lokalt hos den enkelte enhedsleder, her kan henvises til dokumenter nævnt i A.7.1 bistand kan søges hos HR Få gode råd om ansættelse hos pet.dk (Politiets Efterretningstjeneste)

Informationssikkerhedsansvar og -forpligtelser, som gælder efter ansættelsens ophør eller ændring, skal defineres og kommunikeres til medarbejderen eller kontrahenten og håndhæves. (A.7.3.1)

Medarbejdere og kontrahenter skal aflevere alle aktiver udleveret af Aarhus Universitet ved ophør af ansættelse, kontrakt eller særlig aftale som eksempelvis emeritusordninger. Det påhviler ydermere disse at opretholde fortrolighed med Aarhus Universitets informationer efter aftaleforholdets ophør. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad A.7.3.1 Ansættelsesforholdets ophør: her henvises til Regler for informationssikkerhed retningslinjer fra HR selve den praktiske opgave i at få aktiver tilbageleveret ligger hos enheden. Få gode råd om ansættelse hos pet.dk (Politiets Efterretningstjeneste)