Det er forventet, at systemejere er bekendt med indholdet i nedenstående dokumenter og agerer herefter. At systemejere kender deres rolle og ansvar i forhold til informationssikkerhed på Aarhus Universitet.
Dokumenterne angiver minimumskrav, men skal eventuelt suppleres med yderligere lokale krav og retningslinjer - afhængig af hvad risikovurderingen tilsiger.
Systemejer har det samlede ansvar for informationssikkerheden i sit respektive system, hvor aktiviteter omfatter:
at udarbejdelse en skriftlig risikovurdering for systemer, der behandler, opbevarer eller videreføre fortrolige og/eller følsomme informationer, herunder personoplysninger
at sikre, at der tages stilling til risici og sikkerhedsforanstaltninger - jævnfør risikovurderingen
at sikre, at udfyldt risikovurdering godkendes og påtegnes hos din ledelse
at sikre, at risikovurderingen som minimum revurderes én gang årligt eller:
ved større ændringer i datatype/-behandling
ændring i system/setup/samarbejdspartnere/databehandleraftale
ved sikkerhedshændelser/-brud.
Yderligere ansvarsopgaver og funkionsbeskrivelse - se Systemejerhåndbog