Informationssikkerhedspolitik

Aalborg Universitet (AAU) lægger stor vægt på informationssikkerhed. Alle ansatte og studerende samt øvrige, der har en tilknytning til Universitetet, skal være bekendte med Universitetets holdning til informationssikkerhed. Dette dokument beskriver AAU´s overordnede informationssikkerhedspolitik.

Baggrund

AAU´s informationssikkerhedspolitik skal understøtte dansk lovgivning samt efterleve Standard for informationssikkerhed i ISO2700x-serien, hvor det giver mening.

Afvigelser fra ISO standarderne skal begrundes i en dokumenteret risikovurdering.

Identifikation af informationssikkerhed

For AAU drejer informationssikkerhed sig om beskyttelse af samtlige elementer i forbindelse med Universitetets informations og kommunikations teknologi. Med sine naturlige behov for en meget åben kommunikation med omverdenen kan Universitetet ikke garantere perfekt sikkerhed, og der sigtes derfor mod en balance mellem åbenhed, sikkerhed og økonomi. Det er en selvfølge for AAU at overholde dansk lovgivning og at efterleve statslige retningslinjer. Ligeledes ønsker AAU at undgå misbrug - f.eks. brug af ulovligt erhvervet software, omgåelse af licensrettigheder eller andre krænkelser af copyright. Det skal sikres, at informationer og it-systemer er tilgængelige inden for de tidsmæssige rammer, ledelsen har fastsat.

Information er et aktiv, der i lighed med øvrige virksomhedsaktiver er væsentlig for AAUs forretningsaktiviteter og derfor skal beskyttes på passende vis. Dette er specielt vigtigt med den øgede digitale informationsudveksling, som har medført en forøgelse af både trusler og sårbarheder.

Information kan eksistere i mange former. Det kan være skrevet på papir, lagret elektronisk, transmitteret via kabler eller gennem luften, ligge på en film eller være fremført i en konversation. Uanset formen skal information beskyttes i henhold til dens betydning for AAU.

Informationssikkerhed opnås ved at implementere, overvåge, revurdere og løbende ajourføre et passende sæt af beskyttelsesforanstaltninger bestående af politikker, praksis, procedurer, organisatoriske tiltag og system- eller maskintekniske funktioner.

Begrebet informationssikkerhed omfatter på AAU følgende tre hovedelementer:

A. Integritet

Det skal sikres, at informationsaktivets integritet er intakt, ved at informationssystemerne fungerer korrekt, og at data er korrekte og fuldstændige.

B. Tilgængelighed

Det skal sikres, at informationsaktivet, data og informationssystemer, er tilgængeligt for autoriserede brugere, når dette er ønsket af forretningen AAU

C. Fortrolighed

Det skal sikres, at kun autoriserede personer har adgang til informationsaktivet (informationssystemer og data).

Der lægges vægt på at systemerne er så sikre, at fortrolighed og integritet kan opnås for de informationer, der har behov for det, og på at sikre universitetets omdømme. Samtidig skal systemerne være brugervenlige og de nødvendige beskyttende sikkerhedsforanstaltninger skal udformes på en måde, så de ikke medfører unødigt besvær for brugerne. Beskyttelsesforanstaltninger skal være vendt imod både naturgivne, tekniske og menneskeskabte trusler. Ingen personer eller grupper er hævet over sikkerhedsbestemmelserne.

Gyldighed

Informationssikkerhedspolitikken har gyldighed for alle ansatte, studerende og andre, der anvender AAU´s it-aktiver. Med it-aktiver menes fysiske ressourcer, IT-udstyr, kommunikationsudstyr, data og programmel.. Informationssikkerhedspolitikken omfatter alle it-aktiver ejet af eller placeret på AAU.

Informationssikkerhedspolitikken tillader forskellige sikkerhedsniveauer og sikkerhedsklassifikationer baseret på den specifikke anvendelse af it-aktiverne, på trusselsbilledet, på omkostningerne ved sikring, og på konsekvenserne af sikkerhedsbrud. Informationssikkerhedshåndbogen indeholder en fortegnelse over gældende sikkerhedsniveauer og - klassifikationer.

Informationssikkerhedspolitikken godkendes af Rektor efter forudgående behandling i informationssikkerhedsudvalget.

Informationssikkerhedspolitikken revurderes løbende og ændres efter behov.

Ansvarsforhold

Ansvarsplacering

Rektor har det overordnede ansvar for informationssikkerheden. Rektor har uddelegeret den overordnede styring og koordinering af informationssikkerhedsarbejdet til formanden for informationssikkerhedsudvalget, som i samarbejde med informationssikkerhedsudvalget udarbejder beslutningsgrundlag for fælles og overordnede retningslinjer for informationssikkerhed.

Ansvaret for udarbejdelse og overholdelse af decentrale retningslinier for informationssikkerhed er uddelegeret i overensstemmelse med universitetets organisatoriske ledelsesstruktur.

Enhver medarbejder, studerende eller anden person tilknyttet AAU har medansvar for informationssikkerheden. Til medansvaret hører at gøre opmærksom på eventuelle brister på informationssikkerheden.

Styringsprincipper

Den daglige styring af den fælles informationssikkerhed varetages af et informationssikkerhedsudvalg. Kommissoriet for denne gruppe er beskrevet i informationssikkerhedshåndbogen.

Den daglige styring af den lokale informationssikkerhed varetages af medarbejdere i de lokale enheder.

Sanktioner ved brud på informationssikkerheden

Bevidst overtrædelse af informationssikkerhedspolitikker, regler og retningslinier eller forsøg på at omgå dem vil medføre sanktion. Omfanget af sanktion skal modsvare overtrædelsens karakter.

Risikoanalyse

Omfanget og arten af informationssikkerhedssystemets retningslinier, regler, procedurer og instrukser skal baseres på risikovurderinger, så der vælges informationssikkerhedsløsninger ud fra en vurdering af sandsynlighed for skadens forekomst, skadens omfang og betydning sat i relation til omkostninger og ulemper ved at implementere forebyggelses- og/eller modforanstaltninger.

Risikoanalyse skal revurderes og ajourføres efter behov, dog som minimum hvert andet år. Procedurer for hvordan og hvornår risikoanalyser udføres er beskrevet i informationssikkerhedshåndbogen.

Informationssikkerhedshåndbog

Der skal forefindes en Informationssikkerhedshåndbog, der revideres løbende. Håndbogen skal indeholde:

AAU´s overordnede informationssikkerhedspolitik (dette dokument).
Beskrivelse af den overordnede it- sikkerhedsstrategi som anviser en handlingsplan for tilvejebringelse af fælles principper for Informationssikkerhedsstyring og forankring af informationssikkerhedssystemet
Generelle fælles retningslinjer for informationssikkerheden og de tilhørende procedurer og regler
Specifikke retningslinjer for informationssikkerheden og de tilhørende procedurer, instrukser og regler.

Indholdet af informationssikkerhedshåndbogen bør struktureres i overensstemmelse med Standard for informationssikkerhed ISO2700x-serien.

 

Rektor Per Michael Johansen
25. august 2017

 

(Informationssikkerhedshåndbogen for AAU findes nu i vort ISMS (Information Security Management System) der alene kan nås fra AAU´s netværk - https://secureaware.aau.dk/main/help/about)