POLITIK FOR INFORMATIONSSIKKERHED PÅ AAU
Published: 11.12.2018 (Last revised: 07.02.2023)
Print as pdfContent
Informationssikkerhed
AAU behandler store mængder informationer herunder personoplysninger, fortrolige informationer og kritiske data. Det er AAU’s ansvar, at denne behandling overholder gældende lovgivning og myndighedskrav til informationssikkerhed.
AAU skal derudover som arbejdsgiver, samarbejdspartner, myndighed og uddannelses- og forskningsinstitution leve op til omgivelsernes forventning om og tillid til, at den nødvendige informationssikkerhed opretholdes.
AAU’s arbejde med informationssikkerhed sker inden for rammerne af AAU’s overordnede strategi under hensyntagen til behov for samarbejde, åbenhed og gennemsigtighed. AAU’s politik for informationssikkerhed skal derfor bidrage til at overholde gældende love, retningslinjer og indgåede aftaler og samtidig sikre, at informationer anvendes og gøres tilgængelige ud fra de forretningsmæssige rammer, som ledelsen har udstukket.
AAU’s politik for informationssikkerhed er udarbejdet med afsæt i principperne i ISO/IEC 27001, der er en international standard for informationssikkerhed, som alle offentlige organisationer skal følge.
Informationer findes i mange former: På papir, elektronisk, på analoge medier, fremført under en samtale mv. Uanset formen skal informationerne beskyttes i henhold til deres klassifikation og betydning for AAU. Informationerne beskyttes ved at etablere og vedligeholde passende foranstaltninger af digital, fysisk og adfærdsregulerende karakter. Foranstaltninger omfatter derfor alt fra firewalls, antivirus programmer, alarmsystemer og dørlåse til vejledninger og uddannelse af medarbejdere.
God informationssikkerhed handler grundlæggende om at sikre informationers tilgængelighed, fortrolighed og integritet på samme tid:
Tilgængelighed:
Det skal sikres, at relevant information kan tilgås og anvendes, når der er behov for det.
Fortrolighed:
Det skal sikres, at kun personer med et relevant behov kan få adgang til information.
Integritet:
Det skal sikres, at information er korrekt og troværdig og eksempelvis ikke er blevet ændret af uvedkommende.
Gyldighed
Politik for informationssikkerhed har gyldighed for alle ansatte, studerende og andre, der anvender AAU’s informationer eller informationssystemer. Det omfatter også fysiske ressourcer, kommunikationsudstyr, IT-udstyr og -programmer, der er ejet af eller placeret på AAU.
Politik for informationssikkerhed godkendes af Rektor efter forudgående behandling i Informationssikkerhedsudvalget (ISU).
Politik for informationssikkerhed revurderes løbende og ændres efter behov.
Ansvarsforhold
Rektor har det overordnede ansvar for informationssikkerheden på AAU. Rektor har uddelegeret den overordnede styring og koordinering af informationssikkerhedsarbejdet til formanden for Informationssikkerhedsudvalget, der i samarbejde med Informationssikkerhedsudvalget vedligeholder de fælles og overordnede politikker og regler for informationssikkerhed.
Ansvaret for overholdelse af politikker og regler for informationssikkerhed er forankret lokalt hos lederen af de enkelte videnskabelige og administrative hovedområder i overensstemmelse med AAU’s organisatoriske ledelsesstruktur.
Enhver medarbejder, studerende, eller anden person, der er tilknyttet AAU, har medansvar for informationssikkerheden, herunder pligt til at gøre IT Support opmærksom på eventuelle trusler eller brud på informationssikkerheden. Dette omfatter også mulige brud, der involverer personoplysninger.
Den løbende styring af den fælles informationssikkerhed varetages af Informationssikkerhedsudvalget. Kommissoriet for denne gruppe er beskrevet i et selvstændigt dokument, som godkendes af Rektor.
Sanktioner
Overtrædelse af politikker og regler for informationssikkerhed eller forsøg på at omgå dem kan medføre sanktioner. Ledelsen skal tilse, at omfanget af sanktioner modsvarer overtrædelsen, samt at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler. Har overtrædelsen karakter af en erstatningsretlig eller anden strafbar overtrædelse, vil der blive foretaget politianmeldelse.
Risikovurderinger
AAU’s informationssikkerhedsindsats bygger på en risikobaseret tilgang, hvor regelmæssige risikovurderinger afdækker konsekvensen og sandsynligheden for en given hændelse og danner et samlet risikobillede for AAU. Det aktuelle risikobillede rapporteres til Informationssikkerhedsudvalget og AAU’s ledelse fire gange årligt samt ved væsentlige ændringer i risikobilledet. Regler for risikostyring er beskrevet i Informationssikkerhedshåndbogen.
Origin, background and history
Politikken for Informationssikkerhed på AAU er udarbejdet af AAU ́s Informationssikkerhedschef (CISO) og godkendt af Informationssikkerhedsudvalget (ISU).
Dokument "D-3279653, Politik for Informationssikkerhed - godkendt 29-11-2022, 04-01-2023" https://wz22.aau.dk/app/client/#/Records/3279653
Nærværende politik er godkendt af Rektor Per Michael Johansen, 29. november 2022
Contact and responsibility
Informationssikkerhedschefen (CISO) på AAU har ansvaret for nærværende politik.
Læs mere på sikkerhed.aau.dk.
Concept definitions
ISO/IEC 27001 er en international ledelsesstandard for informationssikkerhed. Standarden er et styringsværktøj, der hjælper virksomheder til at beskytte værdifulde informationer - herunder persondata - på en sikker og troværdig måde. ISO 27001 opstiller blandt andet krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed.