Politik for personalesikkerhed (A.7)

Politikken angiver kravene for, hvordan man skal agere for at sikre informationssikkerheden på Aarhus Universitet og følger kontroller i ISO 27001 standarden (reference er anført i parentes).

Kravene er minimumskrav, som alle enheder skal leve op til. Som enhedsleder er man ansvarlig for at beskytte informationer i de områder, som man har ansvaret for.

Under hver politik er listet (hvid kasse), hvad der er sikret fra centralt hold på Aarhus Universitet, samt at eventuelle yderligere tiltag eller særlige behov, som ligger ud over de centrale løsninger, skal udarbejdes lokalt på de enkelte fakulteter, institutter eller forskningsenheder.

De enkelte enheder på Aarhus Universitet skal sikre, at kravene specificeret i denne politik bliver fulgt, således at formål indfries. 


Formål

Formålet med Aarhus Universitets politik og regler for Personalesikkerhed: 

  • at sikre, at medarbejdere og kontrahenter forstår deres ansvarsområder og er egnede til de roller, de er tiltænkt
  • at sikre, at medarbejdere og kontrahenter er bevidste om og lever op til deres informationssikkerhedsansvar
  • at beskytte organisationens interesser som led i ansættelsesforholdets ændring eller ophør

Før ansættelsen (A.7.1)

Efterprøvning af alle jobkandidaters baggrund skal udføres i overensstemmelse med relevante love, forskrifter og etiske regler og skal stå i forhold til de forretningsmæssige krav, klassifikationen af den information, der skal gives adgang til, og de relevante risici. (A.7.1.1)

Den ansvarlige HR-enhed skal, i samarbejde med den ansættende enhed, tilse, at der sker forsvarligt baggrundstjek af medarbejdere i særligt betroede stillinger, herunder leder- og IT-stillinger.

Kontrakter med medarbejdere og kontrahenter skal beskrive de pågældendes og organisationens ansvar for informationssikkerhed. (A.7.1.2)

Den ansvarlige på Aarhus Universitet, der indgår ansættelseskontrakten, skal videregive universitetets gældende informationssikkerhedspolitik til den nye medarbejder.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

Under ansættelsen (A.7.2)

Ledelsen skal kræve, at alle medarbejdere og kontrahenter opretholder informationssikkerhed i overensstemmelse med organisationens fastlagte politikker og procedurer. (A.7.2.1)

Alle organisationens medarbejdere og, hvor det er relevant, kontrahenter skal ved hjælp af uddannelse og træning bevidstgøres om sikkerhed og regelmæssigt holdes ajour med organisationens politikker og procedurer, i det omfang det er relevant for deres jobfunktion. (A.7.2.2)

Det er enhedslederens ansvar, at alle enhedens medarbejdere:

  • er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til universitetets systemer og informationer.
  • er gjort bekendt med nødvendige retningslinjer, således at de kan leve op til Aarhus Universitets Informationssikkerhedspolitik.
  • opnår uddannelse og et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar på universitetet.
  • skal have kendskab til, hvorledes informationer klassificeres.

Der skal være etableret en formel og kommunikeret sanktionsproces, så der kan skrides ind over for medarbejdere, der har begået informationssikkerhedsbrud. (A.7.2.3)

Den ansvarlige HR-enhed skal, i samarbejde med den ansættende enhed, tilse, at den formelle sanktionsproces følges.

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.7.2 Informationssikkerhed under ansættelse:
    • ansvaret ligger her lokalt hos den enkelte enhedsleder, her kan henvises til dokumenter nævnt i A.7.1
    • bistand kan søges hos HR

Ansættelsesforholdets ophør eller ændring (A.7.3)

Informationssikkerhedsansvar og -forpligtelser, som gælder efter ansættelsens ophør eller ændring, skal defineres og kommunikeres til medarbejderen eller kontrahenten og håndhæves. (A.7.3.1)

Medarbejdere og kontrahenter skal aflevere alle aktiver udleveret af Aarhus Universitet ved ophør af ansættelse, kontrakt eller særlig aftale som eksempelvis emeritusordninger. Det påhviler ydermere disse at opretholde fortrolighed med Aarhus Universitets informationer efter aftaleforholdets ophør. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav:

  • ad A.7.3.1 Ansættelsesforholdets ophør:

Godkendelse

Gældende 'Politik for personalesikkerhed' på Aarhus Universitet version 1.0 er princip-godkendt af CISU 22.06.2022.

Kontrahent på Aarhus Universitet defineres som en aftalepartner (kan være både person eller institution), der har indgået en kontrakt eller en aftale med Aarhus Universitet.

Studerende anses ikke som værende kontrahenter.