POLITIK FOR INFORMATIONSSIKKERHED PÅ AAU
Publiceret: 11.12.2018 (Sidst ændret: 29.11.2021)
Print som pdfIndhold
Informationssikkerhed
AAU behandler store mængder informationer herunder både personoplysninger, fortrolige informationer og kritiske data. Det er AAU’s ansvar, at denne behandling overholder gældende lovgivning og myndighedskrav til informationssikkerhed.
AAU skal derudover som arbejdsgiver, samarbejdspartner, myndighed og uddannelses- og forskningsinstitution leve op til omgivelsernes forventning om og tillid til, at den nødvendige informationssikkerhed opretholdes.
AAU’s arbejde med informationssikkerhed sker inden for rammerne af AAU’s overordnede strategi under hensyntagen til behov for samarbejde, åbenhed og gennemsigtighed. AAU’s politik for informationssikkerhed skal derfor bidrage til at overholde gældende love, retningslinjer og indgåede aftaler og samtidig sikre, at informationer anvendes og gøres tilgængelige ud fra de forretningsmæssige rammer, som ledelsen har udstukket.
AAU’s politik for informationssikkerhed er udarbejdet med afsæt i principperne i ISO/IEC 27001, der er en international sikkerhedsstandard, alle offentlige organisationer skal følge.
Informationer findes i mange former: På papir, elektronisk, på analoge medier, fremført under en samtale mv. Uanset formen skal informationerne beskyttes i henhold til deres klassifikation og betydning for AAU. Informationerne beskyttes ved at etablere og vedligeholde passende foranstaltninger af digital, fysisk og adfærdsregulerende karakter. Foranstaltninger omfatter derfor alt fra firewalls, anti-virus programmer, alarmsystemer og dørlåse til vejledninger og uddannelse af medarbejdere.
God informationssikkerhed handler grundlæggende om at sikre informationers tilgængelighed, fortrolig-hed og integritet på samme tid:
Tilgængelighed:
Det skal sikres, at relevant information kan tilgås og anvendes, når der er behov for det.
Fortrolighed:
Det skal sikres, at kun personer med et relevant behov kan få adgang til information.
Integritet:
Det skal sikres, at information er korrekt og troværdig og eksempelvis ikke er blevet ændret af uvedkom-mende.
Gyldighed
Informationssikkerhedspolitikken har gyldighed for alle ansatte, studerende og andre, der anvender AAU’s informationer eller informationssystemer. Det omfatter også fysiske ressourcer, kommunikationsudstyr, IT-udstyr og -programmer, der er ejet af eller placeret på AAU.
Informationssikkerhedspolitikken godkendes af Rektor efter forudgående behandling i informationssikker-hedsudvalget.
Informationssikkerhedspolitikken revurderes løbende og ændres efter behov.
Ansvarsforhold
Rektor har det overordnede ansvar for informationssikkerheden. Rektor har uddelegeret den overord-nede styring og koordinering af informationssikkerhedsarbejdet til formanden for informationssikkerhedsudvalget, som i samarbejde med informationssikkerhedsudvalget vedligeholder de fælles og overord-nede politikker og regler for informationssikkerhed.
Ansvaret for overholdelse af politikker og regler for informationssikkerhed er forankret lokalt hos lederen af de enkelte videnskabelige og administrative hovedområder i overensstemmelse med universitetets or-ganisatoriske ledelsesstruktur.
Enhver medarbejder, studerende eller anden person tilknyttet AAU har medansvar for informationssikkerheden, herunder pligt til at gøre ITS Support opmærksom på eventuelle trusler eller brud på informationssikkerheden. Dette omfatter også mulige persondatabrud.
Den løbende styring af den fælles informationssikkerhed varetages af Informationssikkerhedsudvalget. Kommissoriet for denne gruppe er beskrevet i selvstændigt dokument, som godkendes af Rektor.
Sanktioner
Overtrædelse af politikker og regler for informationssikkerhed eller forsøg på at omgå dem kan medføre sanktioner. Ledelsen skal tilse, at omfanget af sanktioner modsvarer overtrædelsen, samt at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler. Har overtrædelsen karakter af en erstatningsretlig eller anden strafbar overtrædelse, vil der blive foretaget politianmeldelse.
Risikovurderinger
AAU’s informationssikkerhedsindsats bygger på en risikobaseret tilgang, hvor regelmæssige risikovurde-ringer afdækker konsekvensen og sandsynligheden for en given hændelse og danner et samlet risikobil-lede for AAU. Det aktuelle risikobillede rapporteres til informationssikkerhedsudvalget og universitetets ledelse fire gange årligt samt ved væsentlige ændringer i risikobilledet. Regler for risikostyring er beskre-vet i Informationssikkerhedshåndbogen.
Politik for informationssikkerhed tillader forskellige sikkerhedsniveauer afhængig af trusselsbilledet og mulige konsekvenser for AAU. Sikkerhedsniveauer og dataklassifikationer er beskrevet i Informationssikkerhedshåndbogen.
Oprindelse, baggrund og historik
Politikken for Informationssikkerhed på AAU er udarbejdet af AAU ́s Informationssikkerhedschef (CISO) og godkendt af Informationssikkerhedsudvalget (ISU).
Dokument "D-2513741, Politik for Informationssikkerhed, 02-09-2021" https://wz16.aau.dk/app/client/#/Records/2513741
Nærværende politik er godkendt af Rektor Per Michael Johansen, 22. september 2021
Kontakt og ansvar
Informationssikkerhedschefen (CISO) på AAU har ansvaret for nærværende politik.
Læs mere på sikkerhed.aau.dk.
Begrebsdefinitioner
ISO/IEC 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde. ISO 27001 opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.