POLITIK FOR INFORMATIONSSIKKERHED PÅ AAU

Indhold

Formål 

AAU skal overholde lov- og myndighedskrav til informationssikkerhed.. AAU skal desuden som arbejdsgiver, myndighed og uddannelses- og forskningsinstitution leve op til omgivelsernes tillid og forventninger. AAU’s arbejde med informationssikkerhed sker inden for rammerne af AAU’s overordnede strategi under hensyntagen til behov for samarbejde, åbenhed og gennemsigtighed. AAU’s politik for informationssikkerhed skal derfor bidrage til at overholde gældende love, retningslinjer og indgåede aftaler og samtidig sikre, at informationer anvendes og gøres tilgængelige ud fra de forretningsmæssige rammer, som ledelsen har udstukket. 

Informationer findes i mange former: på papir, lagret elektronisk, transmitteret via kabler eller gennem luften, lagt på en film eller fremført under en samtale. Uanset formen skal informationer beskyttes i henhold til deres betydning for AAU. Informationssikkerhed opnås ved at etablere og vedligeholde passende foranstaltninger af digital, fysisk og adfærdsregulerende karakter. Foranstaltninger omfatter derfor alt fra firewalls og anti-virus programmer - over alarmsystemer og dørlåse - til vejledninger og uddannelse af medarbejdere. 

Informationssikkerhed indebærer at beskytte vores informationer imod tab af tre værdier: 

Integritet 

Det skal sikres, at informationers integritet er intakt, at informationssystemerne fungerer korrekt, og at information holdes korrekte og fuldstændige. 

Tilgængelighed 
Det skal sikres, at informationer og informationssystemer, er tilgængelige for autoriserede brugere og kun disse.

Fortrolighed 
Det skal sikres, at kun autoriserede personer har adgang til informationer og informationssystemer. 

En fastholdelse af en relevant integritet, tilgængelighed og fortrolighed skal understøtte AAUs virke og sikre, at interessenter har tillid til, at følsomme og kritiske informationer beskyttes på passende vis.

Gyldighed 

Informationssikkerhedspolitikken har gyldighed for alle ansatte, studerende og andre, der anvender AAU´s informationer eller informationssystemer. Det omfatter også, fysiske ressourcer, IT-og kommunikationsudstyr og programmel, som er ejet af eller placeret på AAU. 

Informationssikkerhedspolitikken godkendes af Rektor efter forudgående behandling i informationssikkerhedsudvalget. 

Informationssikkerhedspolitikken revurderes løbende og ændres efter behov. 

Ansvarsforhold 

Rektor har det overordnede ansvar for informationssikkerheden. Rektor har uddelegeret den overordnede styring og koordinering af informationssikkerhedsarbejdet til formanden for informationssikkerhedsudvalget, som i samarbejde med informationssikkerhedsudvalget udarbejder beslutningsgrundlag for fælles og overordnede retningslinjer for informationssikkerhed. 

Ansvaret for overholdelse af retningslinjer for informationssikkerhed er forankret lokalt i overensstemmelse med universitetets organisatoriske ledelsesstruktur. 

Enhver medarbejder, studerende eller anden person tilknyttet AAU har medansvar for informationssikkerheden. Til medansvaret hører at gøre ITS Support opmærksom på eventuelle trusler eller brister på informationssikkerheden. Dette omfatter også mulige persondatabrud.
Den løbende styring af den fælles informationssikkerhed varetages af et informationssikkerhedsudvalg. Kommissoriet for denne gruppe er beskrevet i informationssikkerhedshåndbogen. 

SanktioneR

Bevidst overtrædelse af retningslinjer for informationssikkerhed eller forsøg på at omgå dem vil medføre sanktioner. Ledelsen skal tilse, at omfanget af sanktioner modsvarer overtrædelsen, samt at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler. Har overtrædelsen karakter af en erstatningsretlig eller anden strafbar overtrædelse, vil der blive foretaget politianmeldelse.

Risikovurderinger

AAU´s informationssikkerhedsindsats udspringer af regelmæssige risikovurderinger, som afdækker konsekvensen og sandsynligheden for en given hændelse.
For at ledelsen kan holde sig ajourført med det aktuelle risikobillede, foretages risikovurderinger som minimum årligt og desuden ved større forandringer i organisationen, som kan have indflydelse på det samlede risikobillede. Regler for udførelse af risikovurderinger er beskrevet i informationssikkerhedshåndbogen. 

Informationssikkerhedspolitikken tillader forskellige sikkerhedsniveauer, afhængig af trusselsbilledet og mulige konsekvenser for AAU. Informationssikkerhedshåndbogen indeholder en fortegnelse over gældende sikkerhedsniveauer og - klassifikationer. 

Informationssikkerhedshåndbog 

Informationssikkerhedshåndbogen indeholder generelle og specifikke retningslinjer for informationssikkerheden og de tilhørende procedurer, instrukser og regler.

Indholdet af informationssikkerhedshåndbogen er struktureret efter ISO27001 anneks A. 

Oprindelse, baggrund og historik

Politikken for Informationssikkerhed på AAU er udarbejdet af AAU´s Informationssikkerhedschef (CISO) og godkendt af Informationssikkerhedsudvalget (ISU).

Nærværende politik er godkendt af Rektor Per Michael Johansen, 12.10.2018.

Formål og afgrænsning

BAGGRUND

Denne politik for informationssikkerhed tegner den overordnede ramme for beskyttelse af informationer på AAU. Alle ansatte og studerende samt øvrige, der har en tilknytning til Universitetet, skal være bekendte med og overholde Universitetets informationssikkerhedspolitik. 

Kontakt og ansvar

Informationssikkerhedschefen på AAU har ansvaret for nærværende politik.

Læs mere på informationssikkerhed.aau.dk.
 

Bilag

AAU´s Sikkerhedshåndbog

Kommissorium for Informationssikkerhedsudvalget, ISU

Vejledninger Informationssikkerhed:

• Dataklassifikationer
• Passwordpolitik
• Postpolitik