Politik for anskaffelse, udvikling og vedligeholdelse af systemer (A.14)

Informationssikkerhedsrelaterede krav skal være omfattet af kravene til nye informationssystemer eller forbedringer af eksisterende informationssystemer. (A.14.1.1)  

Informationssikkerhed skal inkluderes som en integreret del af alle anskaffelses- og udviklingsprojekter. 

Rekvirenten skal sikre, at nyanskaffelser overholder eksisterende krav i informationssikkerhedspolitikken og anden lovgivning som eksempelvis Udbudsloven. 

Anskaffelser må ikke give anledning til forringelse af Aarhus Universitets samlede informationssikkerhedsniveau. 

I forbindelse med enhver nyanskaffelse skal data klassificeres, og der skal laves en risikovurdering samt eventuelt en forretningsberedskabsplan (herunder tekniske beredskabs- og reetableringsplaner), såfremt risikovurderingen tilsiger det. 

Informationer i forbindelse med applikationstjenester over offentlige netværk skal beskyttes mod svindel, kontraktlige uoverensstemmelser og uautoriseret offentliggørelse og ændring. (A.14.1.2) 

Informationer i forbindelse med handelsapplikationer og -tjenester skal beskyttes for at forhindre ufuldstændig transmission, fejlforsendelser, uautoriseret ændring af meddelelser, uautoriseret offentliggørelse, uautoriseret kopiering eller retransmission af meddelelser. (A.14.1.3) 

Der skal anvendes kryptering, signering og anden sikring af informationsmæssig integritet, fortrolighed og tilgængelighed på applikationstjenester i henhold til gældende risikovurdering samt lovgivning og retningslinjer fra relevante myndigheder som Datatilsynet. 

I de tilfælde, hvor AU udbyder applikationer og –tjenester til brug for handel skal disse til enhver tid overholde gældende lovgivning og retningslinjer. 

Benyttes systemer og services udbudt af AU IT sikres følgende fra centralt hold: ad. A.14.1.1 Analyse og specifikation af informationssikkerhedskrav: AU IT følger den fælles projektmodel, hvor sikkerhed er opført som aktivitet vedr. forretningsberedskabsplan henvises til Informationssikkerhedsaspekter ved nød-beredskabs- og reetableringsstyring (A17)  ad. A.14.1.2 Procedure for styring af systemændringer: på Aarhus Universitet sikres større ændringer, som køres som et projekt, gennem den fælles projektmodel, mens løbende ændringer ifht. daglig drift sikres gennem Change Management processen Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret.  I øvrige tilfælde samt såfremt I har andre behov baseret på jeres risikovurdering, har enheden selv ansvaret for, at kravene i denne politik overholdes.

Der skal fastlægges og anvendes regler for udvikling af software og systemer i organisationen. (A.14.2.1)  

Informationssikkerhed skal altid medtages i overvejelserne om informationssystemets livscyklus, herunder ved design, test, opgradering og implementering af nye IT-systemer samt ved systemændringer. 

Universitetets ønsker til nye såvel som bestående systemer skal indeholde krav til sikkerheden med udgangspunkt i en risikovurdering. 

IT-udstyr skal anskaffes i overensstemmelse med gældende indkøbsaftaler og/eller udbudsregler. 

Ændringer af systemer indenfor udviklingslivscyklussen skal styres ved hjælp af formelle procedurer for ændringsstyring. (A.14.2.2) 

Hvor tilhørende risikovurdering tilsiger dette, skal ændringer på universitetets systemer styres efter formelle procedurer i forbindelse med udvikling, over hele systemets levetid.  

Ved ændring af driftsplatforme skal forretningskritiske applikationer gennemgås og testes for at sikre, at ændringen ikke indvirker negativt på organisationens drift eller sikkerhed. (A.14.2.3) 

AU IT driftsplatforme skal følge enhedens fastlagte Change Management proces, der sikrer ovenstående. Alle andre driftsplatforme skal sikres gennem tilsvarende foranstaltninger. 

Ændringer i softwarepakker skal vanskeliggøres, begrænses til nødvendige ændringer, og alle ændringer skal styres effektivt. (A.14.2.4) 

Principper for udvikling af sikre systemer skal fastlægges, dokumenteres, opretholdes og anvendes i forbindelse med implementering af informationssystemer. (A.14.2.5) 

Indkøb, udvikling/ændringer og implementering af systemer på universitetet skal foregå kontrolleret for at undgå en unødvendig forøgelse af risiko for informationssikkerheden. Når løsninger implementeres, skal sikkerhedsovervejelser altid indgå som en integreret del heraf. 

Sikkerhedsovervejelser skal være dokumenteret i forbindelse med enhver væsentlig IT- system-nyanskaffelse eller IT-systemopgradering. 

Organisationen skal etablere sikre udviklingsmiljøer for systemudvikling og -integration, som dækker hele systemudviklingens livscyklus. (A.14.2.6) 

Organisationen skal føre tilsyn med og overvåge systemudviklingsaktiviteter, der er outsourcet. (A.14.2.7) 

Test af sikkerhedsfunktionalitet skal udføres ved udvikling. (A.14.2.8) 

Der skal etableres godkendelsestestprogrammer og relaterede kriterier for nye informationssystemer, opgraderinger og nye versioner. (A.14.2.9) 

Enheder, der varetager udviklingsmiljøer, skal etablere procedurer, der sikrer ovenstående.  

Benyttes systemer og services udbudt af AU IT sikres følgende fra centralt hold: ad. A.14.2.2 Procedurer for styring af systemændringer: sikkerhedsbetragtninger indgår som en del af overvejelserne ved og styring af ændringer ad. A.14.2.3 Teknisk gennemgang af applikationer efter ændringer af driftsplatforme: gennemgang følger den fastlagte Change Management proces ad. A.14.2.6 - 14.2.9 Udvikling: der er etableret 'Procedure for sikkerudvikling og brug af testdata' testafdelingen stiller kompetencer til rådighed  Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret.  Yderligere stiller indkøb rådgivning til rådighed ved anskaffelse, udvikling og vedligehold af systemer ad. A.14.2.5 Principper for udvikling af sikre systemer: gældende retningslinjer varetages af Indkøb, AU Økonomi I øvrige tilfælde samt såfremt I har andre behov baseret på jeres risikovurdering, har enheden selv ansvaret for, at kravene i denne politik overholdes.

Testdata skal udvælges omhyggeligt og skal beskyttes og styres. (A.14.3.1) 

Data til test skal udvælges, kontrolleres og beskyttes omhyggeligt og i henhold til deres klassifikation. 

Det skal formelt godkendes af den ansvarlige for informationerne, inden data fra driftsmiljøet kopieres til et testmiljø. 

Kopiering og brug af data fra driftsmiljøet til test skal logges for at sikre kontrolsporet. 

Informationssikkerhed skal sikres på linje med lov- og myndighedskrav på tværs af udviklings- og hjælpeprocesser samt i håndtering af testdata. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. A.14.3.1 Sikring af testdata: testdata skal sikres i henhold til deres klassifikation samt godkendes af ejer AU IT tilbyder testkapacitet (AU ITs testpolitik-om test-confluence)  Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.   Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.