AAU Håndbogen

POLITIK FOR INFORMATIONSSIKKERHED PÅ AAU

Publiceret: 11.12.2018 (Sidst ændret: 29.11.2021)

Print som pdf

Indhold


Informationssikkerhed

AAU behandler store mængder informationer herunder både personoplysninger, fortrolige informationer og kritiske data. Det er AAU’s ansvar, at denne behandling overholder gældende lovgivning og myndighedskrav til informationssikkerhed.

AAU skal derudover som arbejdsgiver, samarbejdspartner, myndighed og uddannelses- og forskningsinstitution leve op til omgivelsernes forventning om og tillid til, at den nødvendige informationssikkerhed opretholdes.

AAU’s arbejde med informationssikkerhed sker inden for rammerne af AAU’s overordnede strategi under hensyntagen til behov for samarbejde, åbenhed og gennemsigtighed. AAU’s politik for informationssikkerhed skal derfor bidrage til at overholde gældende love, retningslinjer og indgåede aftaler og samtidig sikre, at informationer anvendes og gøres tilgængelige ud fra de forretningsmæssige rammer, som ledelsen har udstukket.

AAU’s politik for informationssikkerhed er udarbejdet med afsæt i principperne i ISO/IEC 27001, der er en international sikkerhedsstandard, alle offentlige organisationer skal følge.

Informationer findes i mange former: På papir, elektronisk, på analoge medier, fremført under en samtale mv. Uanset formen skal informationerne beskyttes i henhold til deres klassifikation og betydning for AAU. Informationerne beskyttes ved at etablere og vedligeholde passende foranstaltninger af digital, fysisk og adfærdsregulerende karakter. Foranstaltninger omfatter derfor alt fra firewalls, anti-virus programmer, alarmsystemer og dørlåse til vejledninger og uddannelse af medarbejdere.

God informationssikkerhed handler grundlæggende om at sikre informationers tilgængelighed, fortrolig-hed og integritet på samme tid:

Tilgængelighed:

Det skal sikres, at relevant information kan tilgås og anvendes, når der er behov for det.

Fortrolighed:

Det skal sikres, at kun personer med et relevant behov kan få adgang til information.

Integritet:

Det skal sikres, at information er korrekt og troværdig og eksempelvis ikke er blevet ændret af uvedkom-mende.

Gyldighed

Informationssikkerhedspolitikken har gyldighed for alle ansatte, studerende og andre, der anvender AAU’s informationer eller informationssystemer. Det omfatter også fysiske ressourcer, kommunikationsudstyr, IT-udstyr og -programmer, der er ejet af eller placeret på AAU.

Informationssikkerhedspolitikken godkendes af Rektor efter forudgående behandling i informationssikker-hedsudvalget.

Informationssikkerhedspolitikken revurderes løbende og ændres efter behov.

Ansvarsforhold

Rektor har det overordnede ansvar for informationssikkerheden. Rektor har uddelegeret den overord-nede styring og koordinering af informationssikkerhedsarbejdet til formanden for informationssikkerhedsudvalget, som i samarbejde med informationssikkerhedsudvalget vedligeholder de fælles og overord-nede politikker og regler for informationssikkerhed.

Ansvaret for overholdelse af politikker og regler for informationssikkerhed er forankret lokalt hos lederen af de enkelte videnskabelige og administrative hovedområder i overensstemmelse med universitetets or-ganisatoriske ledelsesstruktur.

Enhver medarbejder, studerende eller anden person tilknyttet AAU har medansvar for informationssikkerheden, herunder pligt til at gøre ITS Support opmærksom på eventuelle trusler eller brud på informationssikkerheden. Dette omfatter også mulige persondatabrud.

Den løbende styring af den fælles informationssikkerhed varetages af Informationssikkerhedsudvalget. Kommissoriet for denne gruppe er beskrevet i selvstændigt dokument, som godkendes af Rektor.

Sanktioner

Overtrædelse af politikker og regler for informationssikkerhed eller forsøg på at omgå dem kan medføre sanktioner. Ledelsen skal tilse, at omfanget af sanktioner modsvarer overtrædelsen, samt at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler. Har overtrædelsen karakter af en erstatningsretlig eller anden strafbar overtrædelse, vil der blive foretaget politianmeldelse.

Risikovurderinger

AAU’s informationssikkerhedsindsats bygger på en risikobaseret tilgang, hvor regelmæssige risikovurde-ringer afdækker konsekvensen og sandsynligheden for en given hændelse og danner et samlet risikobil-lede for AAU. Det aktuelle risikobillede rapporteres til informationssikkerhedsudvalget og universitetets ledelse fire gange årligt samt ved væsentlige ændringer i risikobilledet. Regler for risikostyring er beskre-vet i Informationssikkerhedshåndbogen.

Politik for informationssikkerhed tillader forskellige sikkerhedsniveauer afhængig af trusselsbilledet og mulige konsekvenser for AAU. Sikkerhedsniveauer og dataklassifikationer er beskrevet i Informationssikkerhedshåndbogen.

Oprindelse, baggrund og historik

Politikken for Informationssikkerhed på AAU er udarbejdet af AAU ́s Informationssikkerhedschef (CISO) og godkendt af Informationssikkerhedsudvalget (ISU).

Dokument "D-2513741, Politik for Informationssikkerhed, 02-09-2021" https://wz16.aau.dk/app/client/#/Records/2513741

Nærværende politik er godkendt af Rektor Per Michael Johansen, 22. september 2021

Formål og afgrænsning

Denne politik for informationssikkerhed tegner den overordnede ramme for beskyttelse af informationer på AAU. Alle ansatte og studerende samt øvrige, der har en tilknytning til Universitetet, skal være be-kendte med og overholde Universitetets informationssikkerhedspolitik.

Overordnede rammer

Sikkerhedshåndbogen indeholder generelle og specifikke regler og procedurer for informationssikkerhed.Indholdet af sikkerhedshåndbogen er struktureret efter ISO/IEC 27001 Anneks A

Kontakt og ansvar

Informationssikkerhedschefen (CISO) på AAU har ansvaret for nærværende politik.

Læs mere på sikkerhed.aau.dk.
 

Begrebsdefinitioner

ISO/IEC 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde. ISO 27001 opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.

Søg i AAU håndbogen

Målgruppe

  • Det Humanistiske Fakultet
  • Det Ingeniør- og Naturvidenskabelige Fakultet
  • Det Samfundsvidenskabelige Fakultet
  • Det Sundhedsvidenskabelige Fakultet
  • Ansatte på AAU
  • Det Tekniske Fakultet for IT og Design
  • Fælles Service
  • Institutter
  • Skoler
  • Studienævn

Kategori

  • Fysiske forhold
  • Bolig til udenlandske studerende og ansatte
  • Byggeri og bygningsdrift
  • Fysisk arbejdsmiljø
  • Lejemål
  • Lokaler
  • Miljø
  • Sikkerhed
  • Udendørs arealer
  • Organisation
  • Forsikring
  • GDPR
  • Journalisering
  • Strategi og udvikling
  • Styrelsesspørgsmål
  • Styrende organer
  • Personale
  • Ansættelse
  • Arbejdsmiljø
  • Barsel
  • Ferie
  • Fratrædelse
  • Internationale medarbejdere
  • Kompetenceudvikling
  • Krænkende adfærd
  • Løn
  • Personalepolitik
  • Rekruttering
  • Samarbejde
  • Sygdom
  • Kommunikation
  • Design og logo
  • Intern kommunikation
  • Markedsføring
  • PR og presse
  • Sprog og oversættelse
  • Forskning
  • Forskningsregistrering i VBN
  • Input fra fakulteterne
  • Ph.d.
  • Økonomi
  • Anlæg
  • Bogholderi
  • Budget
  • e-handel
  • eforms
  • Indkøb
  • Projektøkonomi
  • Prophix
  • Qlikview
  • Regnskab
  • Rejser
  • RES
  • RUS2
  • Statistik
  • Økonomistyring
  • Uddannelse
  • Hjemmesider om uddannelse
  • Internationalisering
  • Klager dispensationer og disciplinære foranstaltninger
  • Kvalitetssikring og akkreditering
  • Optagelse orlov og udmeldelse
  • Undervisning eksamen og merit
  • IT
  • Hjemmesider
  • IT - diverse
  • IT Services
  • Scanpas-vejledninger

Type

  • Politik
  • Procedure
  • Regel
  • Et godt råd