Informationssikkerhedshåndbog

Størrelse: px
Starte visningen fra side:

Download "Informationssikkerhedshåndbog"

Transkript

1 Aarhus Universitet Informationssikkerhedshåndbog Regler

2 Indholdsfortegnelse Politik 2 Rektors forord 2 Informationssikkerhedspolitik - Aarhus Universitet 3 Regler 8 Indledning 8 1. Organisation og implementering Risikobevidsthed Informationssikkerhedspolitik Strategi for informationssikkerhed Sikkerhedsimplementering Outsourcing Sikkerhed i tredjeparts adgang Organisering af persondata-området Ejerskab Identifikation, klassifikation og ansvar for aktiver Håndtering af informationer og aktiver Klassifikation af informationer og data Ejere af systemer og data Dataintegritet Identifikation og registering af aktiver Personalesikkerhed og brugeradfærd Ansættelsesprocedurer Funktionsadskillelse Ledelsens ansvar Uddannelse Sanktionsmuligheder og anmeldelse af ulovligheder Adfærdsregler Adfærdsregler for brug af adgangskode Adfærdsregler for brug af internet Adfærdsregler for brug af Adfærdsregler for brug af trådløse netværk Adfærdsregler for databeskyttelse Adfærdsregler for brug af sociale netværkstjenester Adfærdsregler for overholdelse af licensregler Fysisk sikkerhed Generelle retningslinier Tekniske sikringsforanstaltninger Beskyttelsesanlæg Sikre områder Udstyrssikkerhed Gæster It- og netværksdrift Daglig administration Ekstern serviceleverandør Håndtering af datamedier Operationelle procedurer og ansvarsområder Systemplanlægning Overvågning af systemer Styring af ændringer Beskyttelse mod skadelige programmer Indholdsfiltrering Styring af netværk Trådløse netværk Forbindelser med andre netværk Netværksovervågning 31

3 5.14 Overvågning af systemadgang og brug Mobile arbejdspladser og hjemmearbejdspladser Elektroniske forretningsydelser Brug af kryptografi Adgangskontrol og metoder Adgangskontrol til operativsystemer Adgangskontrol for applikationer Logisk adgangskontrol Administration af adgangskontrol Brugerens ansvar Adgangskontrol til netværk Styring af systemadgang Udvikling, anskaffelse og vedligeholdelse Sikkerhedskrav ved anskaffelser Sikkerhed i softwareudviklingsmiljø Sikkerhed ved ændringer Integritet for programmer og data Styring af sikkerhedshændelser Opdagelse og rapportering af hændelser Reaktion på sikkerhedsmæssige hændelser Opfølgning på hændelser Beredskabsplanlægning og fortsat drift Beredskabsplaner Planlægning af beredskab Ansvar for kritiske funktioner og processer Sikkerhedskopiering Lovgivning, kontrakter og etik Overholdelse af lovmæssige krav Ophavsret Identificerede love og regelsæt Kontrol og revision 42

4 Politik Rektors forord Kære medarbejdere og studerende ved Aarhus Universitet. Aarhus Universitet er en vidensvirksomhed. En stadig større del af vores viden skabes, behandles og gemmes på ITsystemer. Derfor skal alle, der har deres virke på AU, såvel forskere, undervisere og teknisk/administrativt personale som studerende have den størst mulige fokus på informationssikkerhed. Informationssikkerhed betyder forskellige ting for forskellige mennesker. Denne håndbog prøver at komme rundt om alle væsentlige områder. Hvis du troede, at infomationssikkerhed bare er noget om vira og hackere, bør du studere politikken, reglerne og procedurerne nøje, der er langt flere aspekter. Det systematiske infomationssikkerhedsarbejde hviler på 3 hovedsøjler - tilgængelighed, integritet og fortrolighed. At tilgængeligheden skal sikres bedst muligt er vist indlysende for alle. Et universitet - på linie med snart sagt alle moderne virksomheder - er nærmest paralyseret hvis IT-systemerne er nede. Tilsvarende er hele Universitetets virke baseret på vores integritet - der må ikke kunne stilles spørgsmålstegn ved den, så vores IT-systemer skal altid være retvisende. Og endelig må vi, selvom vi er sat i verden til at formidle viden, ikke være blinde for at betydelige dele af vores data indeholder følsomme eller fortrolige oplysninger som skal beskyttes. Det gælder f.eks. forskningsdata med følsomme personoplysninger eller fortrolige informationer til rådgivning og myndighedsbetjening Så uanset hvad vores arbejde på Aarhus Universitet er - det være sig indenfor forskning, uddannelse, overvågning, rådgivning, information eller administration - skal vi altid have øje for informationssikkerheden. Informationssikkerhedshåndbogen for Aarhus Universitet udstikker spillereglerne for informationssikkerheden. Den udgør en integreret del af de regler og forordninger alle skal kende og overholde som betingelse for at være ansat eller indskrevet ved Universitetet. Meget af det der står på disse sider er almindelig sund fornuft. Ting man godt ved i forvejen. Nu er det skrevet ned i en håndbog, som alle har pligt til at kende og efterleve. Med venlig hilsen Lauritz B. Holm-Nielsen Rektor Side 2 af 42

5 Informationssikkerhedspolitik - Aarhus Universitet 1 Informationssikkerhedspolitik for Aarhus Universitet 1.1 Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos Aarhus Universitet. Som et led i den overordnede sikkerhedsstyring tager ledelsen på grundlag af den løbende overvågning og rapportering informationssikkerhedspolitikken op til revurdering minimum hvert andet år. Politikken omfatter Aarhus Universitets informationer, som er enhver information, der tilhører Aarhus Universitet herudover også informationer, som ikke tilhører Aarhus Universitet, men som Aarhus Universitet kan gøres ansvarlig for. Dette inkluderer fx alle data om personale, data om finansielle forhold, alle data, som bidrager til administrationen af Aarhus Universitet, samt informationer som er overladt Aarhus Universitet af andre, herunder forsøgs- og forskningsdata. Disse data kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller enhver anden information, som kun er til intern brug. Denne politik omfatter alle Aarhus Universitets informationer, ligegyldigt hvilken form de opbevares og formidles på. 1.2 Formål Informationer og informationssystemer er nødvendige og livsvigtige for Aarhus Universitet, og informationssikkerheden har derfor vital betydning for Aarhus Universitets troværdighed og funktionsdygtighed. Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af Aarhus Universitets informationer og særligt at sikre, at kritiske og følsomme informationer og informationssystemer bevarer deres fortrolighed, integritet og tilgængelighed. Derfor har Aarhus Universitets ledelse besluttet sig for et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav og indgåede aftaler, herunder licensbetingelser. Ledelsen vil oplyse medarbejdere og studerende om ansvarlighed i relation til Aarhus Universitets informationer og informationssystemer. Hensigten med sikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til Aarhus Universitet, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres. 1.3 Omfang Denne politik gælder for alle ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for Aarhus Universitet. Alle disse personer bliver her betegnet som medarbejderne. Politikken gælder endvidere for studerende, der i forbindelse med deres studie anvender informationsaktiver tilhørende Aarhus Universitet. Ved udlicitering af dele af eller hele IT-driften skal det sikres i samarbejdet med serviceleverandøren, at Aarhus Universitets sikkerhedsniveau fastholdes, således at serviceleverandøren, dennes faciliteter og de medarbejdere, som har adgang til Aarhus Universitets informationer, mindst lever op til Aarhus Universitets informationssikkerhedsniveau. 1.4 Organisering af informationssikkerhedsarbejdet Aarhus Universitet har organiseret sit informationssikkerhedsarbejde gennem en række informationssikkerhedsudvalg, jf. Figur 1. Side 3 af 42

6 Figur 1 - Organisering af informationssikkerhedsarbejdet Det operationelle ansvar for den daglige styring af informationssikkerhedsindsatsen er placeret hos it-sikkerhedschefen. Denne sikrer i samarbejde med primært sikkerhedsudvalgene og sekundært vicedirektøren for it, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltninger, der er beskrevet i sikkerhedshåndbogen, gennemføres og efterleves. Ligeledes er det væsentligt, at informationssikkerhed integreres i alle forretningsgange, driftsopgaver og projekter. De lokale informationssikkerhedsudvalg er ansvarlige for gennemførelsen af det arbejde som ligger i årshjulet, der er beskrevet i bilag Sikkerhedsniveau Det er Aarhus Universitets politik at beskytte sine informationer og udelukkende tillade brug, adgang og offentliggørelse af informationer i overensstemmelse med Aarhus Universitets retningslinjer og under hensyntagen til den til enhver tid gældende lovgivning. Aarhus Universitet fastlægger på baggrund af en risikovurdering et sikkerhedsniveau som svarer til betydningen af de pågældende informationer. Der gennemføres mindst en gang årligt en risikovurdering, så ledelsen kan holde sig informeret om det aktuelle risikobillede. Der foretages ligeledes en risikovurdering ved større forandringer i organisationen. Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til arbejdets gennemførelse og økonomiske ressourcer. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it, samt det forhold at Universitetet har en samfundsrolle som leverandør af frit tilgængelig information. 1.6 Sikkerhedsbevidsthed Side 4 af 42

7 Informationssikkerhed vedrører Aarhus Universitets samlede informationsflow, og gennemførelse af en informationssikkerhedspolitik kan ikke foretages af ledelsen alene. Alle medarbejdere og studerende har et ansvar for at bidrage til at beskytte Aarhus Universitets informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Alle medarbejdere og studerende skal derfor løbende have information om informationssikkerhed i relevant omfang. Som brugere af Aarhus Universitets informationer skal alle medarbejdere og studerende følge informationssikkerhedspolitikken og de retningslinjer, der er afledt heraf. Medarbejderne og de studerende må kun anvende Aarhus Universitets informationer i overensstemmelse med det arbejde, de udfører for Aarhus Universitet, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes følsomhed, særlige og/eller kritiske natur. 1.7 Brud på informationssikkerheden Såfremt en medarbejder eller en studerende opdager trusler mod informationssikkerheden eller brud på denne, skal dette straks meddeles til den ansvarlige for den daglige ledelse af informationssikkerhedsindsatsen. Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til nærmeste leder, som i samarbejde med HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er således lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag. Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden lovmæssig overtrædelse, vil der blive foretaget politianmeldelse. Bilag 1 : Anvendelse i praksis De retningslinjer samt sikkerheds- og kontrolforanstaltninger, der gælder i Aarhus Universitet, samles i en sikkerhedshåndbog. Sikkerhedshåndbogen skal indeholde en beskrivelse af de informationssikkerhedsområder, der er relevante for Aarhus Universitet. Som minimum omfatter det operationelle ansvar: at sikre, at informationssikkerhedspolitikken og afledte retningslinjer implementeres. at sikre en bestemmelse af værdien af de informationer, som er nødvendige for Aarhus Universitet, samt at træffe rimelige forholdsregler til beskyttelse af disse informationer, herunder at afse de nødvendige midler og ressourcer hertil. at der udpeges system- og informationsejere for samtlige informationer og informationssystemer. at klassificere og beskytte de informationer, som Aarhus Universitet har ansvaret for. at forebygge og begrænse risici til en for Aarhus Universitet kendt og accepteret størrelse. at udarbejde regler for informationskontrol og beskyttelse, som skal følges af de medarbejdere, der behandler og anvender informationerne. at etablere regler for adgang og brug af informationer samt at sikre, at reglerne bliver revideret med jævne mellemrum. at definere reglerne for arkivering af informationer, således at disse altid kan genskabes senere inden for en kendt og accepteret tidshorisont. at udarbejde en brugbar plan til at retablere daglig drift, såfremt informationerne eller informationssystemerne ødelægges, uanset af hvilken grund, således: at omfanget af og konsekvenserne ved nødsituationen kan minimeres. at væsentligste dele af den daglige forretningsmæssige drift i Aarhus Universitet kan gennemføres via alternative forretningsgange. Side 5 af 42

8 at alle relevante berørte parter kan holdes orienteret i fornødent omfang at den fulde drift af informationssystemerne kan genoptages inden for en kendt og accepteret tidshorisont. at sikre, at enhver sikkerhedsmæssig informationsaktivitet på følsomme og fortrolige data, kan henføres til den person, som har udført aktiviteten, samt at sikre gennemførelse af de fornødne kontroller til opdagelse af misbrug eller forsøg herpå. at etablere regler for rettighedstildeling og funktionsadskillelse, som skal forebygge og begrænse konsekvenser af fejl, uheld og negative handlinger, der bevidst er foretaget af enkeltpersoner. at sikre, at Aarhus Universitets udvikling og implementering af systemer udføres under iagttagelse af betryggende sikkerhedsforanstaltninger. at sikre, at Aarhus Universitets leverandører overholder de sikkerhedsforskrifter, som er gældende for Aarhus Universitets informationer, faciliteter og medarbejdere i samarbejdet med Aarhus Universitet. at træffe de nødvendige forholdsregler for at sikre, at informationssikkerhedspolitikken og afledte retningslinjer bliver overholdt. at sikre den fornødne ledelsesrapportering af status for informationssikkerheden, herunder aktiviteter og hændelser. Bilag 2 : Årshjul Aarhus Universitet har opstillet et årshjul som beskriver arbejdet med informationssikkerheden. Dette årshjul ser ud som følger: Som det fremgår af navnet skal alle aktiviteter i hjulet gennemføres en gang årligt, startende med system- og dataklassifikationen, og Awareness er en central del af arbejdet, som skal køre hele året. Side 6 af 42

9 Side 7 af 42

10 Regler Indledning Ordforklaringer Bør: Ordet bør anvendes flere steder i denne håndbog. Generelt gælder det at bør = skal, medmindre der er givet dispensation herfor. Dispensation gives af det centrale informationssikkerhedsudvalg. En dispensation er altid skriftlig, og med en tidsbegrænset varighed - typisk 1 år. Det er brugerens ansvar at sikre sig en evt. forlængelse af dispensationen. IT-sikkerhedschefen vedligeholder en oversigt over de givne dispensationer. Arbejdsmæssig brug: Formuleringen "arbejdsmæssig brug", dækker, hvor intet andet er nævnt, også over studerendes studiemæssige brug. Det samme gælder for formuleringen "arbejdsrelateret brug". 1. Organisation og implementering Placering af ansvar er vitalt for at sikre opmærksomhed på Universitetets informationsaktiver. Organisationsstrukturen på Universitetet og samarbejde med eksterne partnere er yderst vigtig for at opretholde et tidssvarende sikkerhedsniveau. Kontrakter med partnere og andre aftaler er ligeledes et område, der har indflydelse på informationssikkerheden. 1.1 Risikobevidsthed Risikoanalyse Aarhus Universitet klassificerer sine systemer i A, B og C systemer. For type A systemer skal der udarbejdes både en risikoanalyse og en beredskabsplan, for type B systemer skal der udarbejdes en risikoanalyse, mens type C systemer ikke kræver hverken beredskabsplaner eller risikoanalyser. Arbejdet styres centralt, men udføres decentralt på fakultets- eller institutniveau efter nærmere beslutning. Der skal udarbejdes en detaljeret risikoanalyse for alle type A og B systemer på tværs af alle områder på Universitetet. Listen over systemtyper skal revideres årligt, og risikoprofilen for systemerne på listen revurderes med samme frekvens. Endvidere kan særlige områder udtages til detaljeret risikovurdering efter beslutning i det centrale informationssikkerhedsudvalg med det formål at få dækket alle områder i detaljer med tiden. Standardiserede metoder for risikovurdering skal anvendes. "Orakelmetoden" - hvor sandsynlighed og konsekvens af de forskellige trusler vurderes af ejere og eventuelle brugere på basis af deres erfaring - benyttes som udgangspunkt for en beregning af trusselsbilledet. Alle identificerede informationsaktiver skal i forbindelse med registreringen gennemgå en klassificering og en basal risikovurdering. Den basale risikovurdering kan tage udgangspunkt i "lignende systemer" (baselines) og har som primært sigte at få ejere af informationsaktiver til at indgå aktivt i udviklingen af risikostyringen. Side 8 af 42

11 Konsekvensvurdering Konsekvenser af hændelser i mod IT-systemerne skal løbende vurderes. Overordnet risikovurdering Der skal udføres en overordnet risikovurdering af trusselsbilledet for Universitetet. Den overordnede risikovurdering skal indeholde konsekvensvurdering og sårbarhedsvurdering. Risikovurderingen skal opdateres ved alle væsentlige ændringer i risikobilledet, dog mindst en gang om året. Der skal gennemføres en bredt funderet risikovurdering med revurdering, der dækker hele Universitetet. Målet er at sikre, at sårbarheder, trusler og konsekvenser er kendte, og at deres sammenhæng afspejles i Universitetets risikoprofil. Risikovurderingen skal omfatte alle type A og B systemer samt udvalgte IT-systemer, som er repræsentative for områdernes virke og qua deres antal i sig selv forretningskritiske. Information om nye trusler, virus og sårbarheder AU IT skal holde sig orienteret inden for de benyttede platforme. AU IT skal etablere en proces for identifikation af nye sårbarheder. Der skal udpeges en ansvarlig person eller gruppe for dette. AU IT skal gennem det centrale informationssikkerhedsudvalg informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældende forretningsenheder med henblik på at tilpasse forretningsgange og tilvejebringe de fornødne ressourcer for at modvirke truslerne. Håndtering af sikkerhedsrisici Når risikovurderingerne afdækker sikkerhedsbehov, som ikke pt. honoreres af de tilgængelige sikringsmekanismer og procedurer skal ITsikkerhedschefen bringe emnet op i det centrale informationssikkerhedsudvalg, som efter nærmere behandling pålægger AU IT at identificere mulige løsningsmodeller, prioriterer mellem forskellige behov og bistår AU IT med at få tilført de nødvendige resurser til løsning af opgaven. 1.2 Informationssikkerhedspolitik Dispensation for krav i sikkerhedspolitikken Dispensation for efterlevelsen af sikkerhedspolitikkerne er kun muligt, hvis dette dokumenteres grundigt og er forsvarligt for de respektive system- og procesejere. Dispenseringen tiltrædes af topledelsen, og revideres mindst en gang om året. Den relevante system- og procesejer er personligt ansvarlig for enhver sikkerhedshændelse, der sker som en direkte konsekvens af dispensationen. Offentliggørelse af sikkerhedspolitik Sikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere og studerende. Godkendelse af sikkerhedspolitik Sikkerhedspolitikken skal minimum hvert andet år godkendes af Universitetsledelsen efter indstilling fra det centrale informationssikkerhedsudvalg. Side 9 af 42

12 Opfølgning på implementering af sikkerhedspolitikken Hver enkelt leder skal løbende sikre, at sikkerhedspolitikken bliver overholdt inden for eget ansvarsområde. Vedligeholdelse af sikkerhedspolitik Universitetets sikkerhedspolitik, regler, procedurer og deraf afledt dokumentation skal vedligeholdes af IT-sikkerhedschefen, i samarbejde med AU IT. 1.3 Strategi for informationssikkerhed Definition på Informationssikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer regelmæssige tekniske, proceduremæssige og lovmæssige kontroller. 1.4 Sikkerhedsimplementering Kontakt med relevante myndigheder Ved brud på sikkerheden er der etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder. Ledelsens rolle Ledelsen skal støtte Universitetets informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar. Sikkerhedsorganisation AUs Centrale Informationssikkerhedsudvalg har ansvar for at sikre, at strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med Universitetets mål. Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen varetages af IT-sikkerhedschefen. 1.5 Outsourcing Outsourcingpartnere Sikkerhedsniveauet hos alle outsourcingpartnere skal være acceptabelt. Alle outsourcingpartnere godkendes af Vicedirektøren for IT og ITsikkerhedschefen. Outsourcing AUs sikkerhed må samlet set ikke ikke forringes af outsourcing. Ved outsourcing af IT-systemer skal der inden indgåelse af kontrakt indhentes information om sikkerhedsniveau fra outsourcingpartner, herunder dennes sikkerhedspolitik. 1.6 Sikkerhed i tredjeparts adgang Samarbejdsaftaler Der må ikke gives adgang mellem Universitetets og eksterne parters informationsaktiver, før der er indgået en samarbejdsaftale, der som minimum skal indeholde en fortrolighedserklæring. Aftaler om informationsudveksling Ved udveksling af information og software imellem AU og evt. tredje part skal der foreligge en aftale herom. Side 10 af 42

13 Indhold af fortrolighedserklæringerne Definition af de informationer, der er omfattet. En fastlagt løbetid. Beskrivelse af hvad der skal ske, når aftalen udløber. Underskriverens ansvar for at undgå brud på den aftalte fortrolighed. Information om omfattede ophavsrettigheder. Beskrivelse af hvordan informationerne må anvendes, for eksempel hvilke brugsrettigheder til informationerne underskriveren får. Procedure for advisering og rapportering af brud på fortroligheden. Betingelser for returnering eller destruktion af informationsaktiver ved aftalens ophør. Sikkerhed i forhold til kunder Før AUs kunder må få adgang til organisationens informationsbehandlingssystemer, skal alle sikkerhedsforhold være afklaret. Sikkerhed ved samarbejde med partnere Ved integration af AUs systemer og processer med tredjepart skal sikkerhedsrisici altid vurderes og dokumenteres. Information til eksterne partnere Det skal sikres, at tredjepart gøres opmærksom på det forventede sikkerhedsniveau, herunder adgang til beskrevne politikker. Fortrolighedserklæring for studerende Det skal sikres, at studerende, der tildeles adgang til Universitetets følsomme og/eller fortrolige data, afgiver en fortrolighedserklæring. 1.7 Organisering af persondata-området Persondata-ansvarlig Dataejeren til aktiver som indeholder data, der er omfattet af persondataloven, er persondata-ansvarlig. Kontrol af overholdelse persondatalovgivning Den persondataansvarlige skal kontrollere overholdelse af persondatalovgivning. 1.8 Ejerskab Juridisk ejerskab Alle data på AUs computere (servere, stationære PC er, bærbare PC er etc.) tilhører Universitetet, med mindre andet er skriftligt aftalt, eller følger af gældende lovgivning, fx regler om intellectual property. Alle data på AUs computere er omfattet af AUs informationssikkerhedspolitik. Indholdet af studerendes netværksdrev anses som udgangspunkt for at være privat ejendom, medmindre den studerende har et ansættelsesforhold ved AU. Netværksdrev må kun anvendes til studiemæssig brug, og AU forbeholder sig retten til at overvåge brugen, og analysere på indholdet med henblik på at hindre misbrug. Side 11 af 42

14 Udpegelse af administrativ ejer Alle informationsaktiver skal have udpeget en administrativ ejer. Ejerskab defineres hos AU som en jobfunktion, som kan pålægges den enkelte medarbejder. Ejerskab i AU er hierakisk nedarvet fra Rektor gennem Dekanerne og Institutlederne til de enkelte medarbejdere. Ved fratræden eller andet fravær tilbagegår ejerskabet altid til den foregående person i kæden, indtil en ny ejer er udpeget. Der er således altid en ejer for alle AUs informationsaktiver. 2. Identifikation, klassifikation og ansvar for aktiver Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter, der er udskrevet, produktionsudstyr eller it-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 2.1 Håndtering af informationer og aktiver Accepteret brug af informationsaktiver Systemejere skal lave retningslinier for accepteret brug af AUs informationsaktiver. Opbevaring af følsomme eller fortrolige informationer på privat udstyr Personligt ejet IT-udstyr som pc, PDA, bærbare harddiske, memorysticks, MP3-afspillere, minidisks, CD- eller DVD-brændere må ikke anvendes til kopiering eller opbevaring af følsomme eller fortrolige data. Brug af bærbare medier til fortrolige data Følsomme og fortrolige informationer skal krypteres, når de opbevares eller transporteres på bærbare medier, fx USB-nøgler, PDA'er, CD'er eller DVD'er. Identifikation af kritiske processer Alle forretningskritiske funktioner og deres relaterede processer, systemer og ejere skal være identificerede og dokumenterede. 2.2 Klassifikation af informationer og data Kontrol med klassificerede informationer IT-sikkerhedschefen er ansvarlig for at definere et fast sæt af egnede og relevante sikkerhedskontroller til beskyttelse af de enkelte informationskategorier. Hvis der er tale om forretningskritiske informationer, skal der udarbejdes yderligere detaljerede kontroller ud fra en risikovurdering. IT-sikkerhedschefen skal i samarbejde med Vicedirektøren for IT sikre, at de nødvendige forholdsregler, procedurer og kontroller implementeres i de berørte driftsansvarlige afdelinger. Ansvar for klassifikation Det er ejeren, som har ansvaret for at klassificere det enkelte aktiv og tilse, at det sikres på behørig vis i overensstemmelse med klassifikationen. Side 12 af 42

15 Klassifikation af data og andre informationer AUs data og informationer, i det følgende "data", skal klassificeres efter følgende skala: Offentlige data: Defineret som data, som alle, der udtrykker et ønske om det, har eller kan få adgang til. Det kan fx være data på offentlige hjemmesider, uddannelsesbrochurer m.v. Disse data kræver som udgangspunkt ikke nogen særlig beskyttelse, dog skal man sikre, at kun godkendte personer kan redigere i disse data. Interne data: Defineret som data, der kun må anvendes og kommunikeres internt, og som i den daglige drift er nødvendige for de brugere, der skal anvende dem. Det kan fx dreje sig om mødereferater, blanketter, fakturaer mv. Interne data kræver en vis grad af beskyttelse. Som minimum skal man sikre, at kun autoriserede brugere har adgang til både at læse og ændre data. Følsomme data: Defineret som de data, som kun særligt betroede brugere kan få adgang til for at kunne udøve deres arbejdsfunktioner, og hvor et brud på fortroligheden kan være skadelig for AU eller vores samarbejdspartnere. Det kan fx dreje sig om ansøgninger, kontrakter, regnskabsdata mv. Følsomme data kræver en høj grad af beskyttelse. Adgangen skal begrænses til godkendte personer, og anvendelse af kryptering bør overvejes. Følsomme data data må aldrig opbevares eller behandles på privat udstyr, og hvis data flyttes til eksterne medier, skal der anvendes kryptering. Fortrolige data: Defineret som data, der er omfattet af Lov om behandling af personoplysninger. Fortrolige data kræver ekstra høj grad af beskyttelse. Adgangen skal begrænses til så få godkendte personer som muligt, og kryptering skal anvendes i det omfang, som loven foreskriver det. Fortrolige data må aldrig opbevares eller behandles på privat udstyr, og hvis data flyttes til eksterne medier, skal der anvendes kryptering. Ansvar for betydningsvurderingen Det er ejeren, som har ansvaret for at betydningsvurdere det enkelte informationsaktiv og tilse, at det sikres på behørig vis i overensstemmelse med dets betydning for AU. Side 13 af 42

16 Informationsaktiver skal betydningsvurderes Informationsaktiver betydningsvurderes efter følgende skala: 1: Aktivet er af mindre betydning for AU. Disse aktiver er typisk interne understøttende systemer, som ikke er væsentlige i det daglige arbejde, eller der er alternative løsningsmuligheder. 2: Aktivet er af betydning for en enkelt afdeling eller et konkret projekt. Uden dette aktiv kan et mindre antal medarbejdere ikke udføre daglige opgaver. AU kan ikke leve op til en kontraktlig forpligtelse. 3: Aktivet er betydningsfuldt for AU. Uden dette aktiv kan AUs virke ikke afvikles hensigtsmæssigt, et antal af AUs medarbejdere kan ikke arbejde, AUs anseelse udadtil kan skades. 4: Aktivet er af høj betydning for AU. Uden dette aktiv kan dele af AU ikke fungere, et antal af AUs medarbejdere kan ikke arbejde, AUs anseelse udadtil kan skades betydeligt. 5: Aktivet er af kritisk betydning for AU. Uden dette aktiv kan de fleste dele af AU ikke fungere, flertallet af AUs medarbejdere kan ikke arbejde, AU må allokere betydelige ressourcer til genoprettelse mv, AUs anseelse udadtil skades betydeligt. 6: Aktivet er uvurderligt for AU. Uden dette aktiv kan AU ikke fungere, ingen af AUs medarbejdere kan arbejde, AUs overlevelse er truet. 2.3 Ejere af systemer og data Ansvar for adgangsrettigheder Aktivets ejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder i overensstemmelse med AUs, Fakultetets eller områdets generelle adgangspolitik. Administration af Internet-domænenavne Der skal forefindes en liste over AUs registrerede domænenavne, status for brug, betalingsoplysninger og dato for fornyelse. Ansvaret for registrering af de primære domænenavne ligger hos AU IT. Ansvaret for projektorienterede domænenavne kan ligge decentralt, men domænerne skal være centralt kendt. Sikkerhedsansvar for IT-funktioner Alle kritiske IT-funktioner, der kræver specialviden, færdighed eller erfaring skal identificeres, og der skal udpeges en driftsansvarlig ejer. Sikkerhedsansvar for informationsaktiver Vicedirektøren for IT har ansvaret for at vedligeholde lister over samtlige informationssystemer. Listerne angiver den sikkerhedsansvarlige ejer af hvert enkelt system. Listerne skal samles og vedligeholdes ét sted. 2.4 Dataintegritet Opbevaring og behandling af data Forretningskritiske data skal altid opbevares og behandles således, at dataintegriteten ikke kan drages i tvivl. Side 14 af 42

17 2.5 Identifikation og registering af aktiver Registrering af hardwaresystemer Registreringen af hardwaresystemer skal indeholde oplysninger om enhedens betydning for AU, klassificering af de data som det behandler, risikovurdering, type og placering, driftsforhold (herunder evt. delegerede), adgangskontrolforhold, backup og arkivforhold, krydsreferencer og oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus samt oplysninger om fabrikat, model, serienummer, serviceforhold og lignende. Registrering af sammenhænge/funktioner (ensembler) Registreringen af ensembler skal indeholde krydsreferencer for datasamlinger, software- og hardwaresystemer, som tilsammen udgør et forretningsmæssigt system og skal indeholde oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus. Registrering af datasamlinger Registreringen af datasamlinger skal indeholde oplysninger om datasamlingens betydning for AU, klassificering, risikovurdering, type og placering, driftsforhold (herunder evt. delegerede), adgangskontrolforhold, backup og arkivforhold, krydsreferencer og oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus. Registrering af softwaresystemer Registreringen af softwaresystemer skal indholde oplysninger om systemets betydning for AU, klassificering af de data som det behandler, risikovurdering, type og placering, driftsforhold (herunder evt. delegerede), adgangskontrolforhold, backup og arkivforhold, krydsreferencer og oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus samt oplysninger om licenser, kildekoder og versionsstyring. Identifikation af informationsaktiver Alle Universitetets informationsaktiver - hardware, software, datasamlinger og forretningskritiske funktioner - skal være identificerede. Registrering af informationsaktiver Alle AUs væsentlige informationsaktiver - hardware, software, datasamlinger og forretningskritiske funktioner - skal registreres i metadatabaser med ejerskab og alle relevante oplysninger. 3. Personalesikkerhed og brugeradfærd Informationssikkerheden i virksomheden afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre virksomheden gennem ansættelse af de rigtige medarbejdere, uddanne medarbejdere i jobfunktioner og sikkerhed - samt sætte regler for, hvordan man skal agere i forhold til sikkerhedshændelser og -risici. Side 15 af 42

18 3.1 Ansættelsesprocedurer Baggrundscheck af ansatte HR afdelingen skal i samarbejde med Vicedirektøren for IT tilse, at der sker forsvarligt baggrundscheck af IT-medarbejdere. HR afdelingen skal, i samarbejde med den ansættende enhed, tilse, at der sker forsvarligt baggrundscheck af medarbejdere med ansvar for forretningskritiske arbejdsområder. Baggrundscheck af medarbejdere bør omfatte: En personlig reference. Ansøgerens curriculum vitæ. Uddannelser og professionelle kvalifikationer. Returnering af aktiver ved fratrædelse Medarbejderen skal aflevere alle de af AU udleverede aktiver ved ansættelsens ophør. Såfremt der indgås særlige aftaler, fx Emeritusordninger, kan de udleverede aktiver forblive i medarbejderens varetægt. Inddragelse af privilegier ved fratrædelse HR skal i samarbejde med Vicedirektøren for IT lave og vedligeholde en procedure for inddragelse af privilegier i forbindelse med fratræden eller afskedigelse af personale. Proceduren skal gennemgås/opdateres minimum en gang om året. Proceduren for inddragelse af privilegier skal indeholde en liste over funktioner og personer, der skal informeres i forbindelse med fratrædelsen. 3.2 Funktionsadskillelse Sikring af forretningskritiske systemer Forretningskritiske systemer skal beskyttes ved hjælp af funktionsadskillelse, således at risikoen for misbrug af privilegier minimeres. Adgang til produktionsdata Systemadministratorers adgang til følsomme eller fortrolige oplysninger skal begrænses og registreres. 3.3 Ledelsens ansvar Ledelsens ansvar Det er nærmeste leders ansvar, at alle medarbejdere: Er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til Universitetets systemer og data. Er gjort bekendt med nødvendige retningslinier, således at de kan leve op til AUs informationssikkerhedspolitik. Opnår et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar i Universitetet. Side 16 af 42

19 3.4 Uddannelse Sikkerhedsuddannelse for IT-medarbejdere Alle IT-medarbejdere skal uddannes i sikkerhedsaspekterne i deres job. For eksempel for at mindske risiko for hændelser i forbindelse med deres eventuelle privilegerede adgang. Kendskab til klassificering af informationer Alle ansatte skal modtage instruktioner om, hvorledes data og dokumenter klassificeres. Kendskab til sikkerhedspolitikken Nærmeste leder er ansvarlig for, at nye medarbejdere modtager AUs informationssikkerhedspolitik senest på første arbejdsdag. Alle medarbejdere og studerende skal kvittere for, at de har læst og forstået AUs overordnede informationssikkerhedspolitik og de relevante regler. Alle IT-brugere modtager løbende instruktioner i overholdelse af AUs informationssikkerhedspolitik. Eksisterende studerende og medarbejdere hos Aarhus Universitet, har pligt til at holde sig informeret om de gældende regler på informationssikkerhed.au.dk Nye studerende ved Aarhus Universitet skal gøres bekendt med nødvendige retningslinjer inden de starter på Universitetet. Ansvaret herfor ligger hos studieadministrationen. 3.5 Sanktionsmuligheder og anmeldelse af ulovligheder Sanktioner Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til nærmeste leder, som i samarbejde med HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er således lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag. Anmeldelse Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden lovmæssig overtrædelse, vil der blive foretaget politianmeldelse. 3.6 Adfærdsregler Omgåelse af sikkerhedsforanstaltninger Det er ikke tilladt at forsøge at omgå sikkerhedsmekanismer. Det er ikke tilladt at foretage uautoriseret afprøvning af sikkerheden. Tavshedspligt AUs IT-medarbejdere er omfattet af tavshedspligt. De oplysninger om brugere, IT-medarbejderne i forbindelse med deres arbejde måtte få kendskab til, må ikke gives videre til uvedkommende. Side 17 af 42

20 Ytringsfrihed AUs medarbejdere har, som alle borgere i Danmark ytringsfrihed, som kun begrænses af straffelovens paragraffer om injurier, racisme el. lign. AU følger Justitsministeriets Vejledning om offentligt ansattes ytringsfrihed (September 2006). Relaterede Procedurer Vejledning om offentligt ansattes ytringsfrihed 3.61 Adfærdsregler for brug af adgangskode Brug af kodeordsbeskyttet pauseskærm Som bruger skal du aktivere kodeordsbeskyttet skærmlås, når du forlader din arbejdsstation, således at den er uden for din synsvidde. Alle arbejdsstationer skal automatisk aktivere skærmlås efter 10 minutters inaktivitet. Genbrug af kodeord Medarbejdere og studerende bør ikke genbruge kodeord til AUs infrastruktur til adgang til tredjeparts systemer som fx websteder og netbanker. Brug af samme kodeord på tredjeparts systemer øger sandsynlighed for, at kodeordets fortrolighed krænkes. Overdragelse af kodeord Kodeord må ikke overdrages på ukrypterede forbindelser, for eksempel . Midlertidige/engangskodeord kan overdrages verbalt efter sikring af modtageres identitet. Kodeord er strengt personlige Kodeord er strengt personlige og må ikke deles med andre, heller ikke itmedarbejdere Adfærdsregler for brug af internet Logning - Internetadgang Logning af alle forbindelser til Internettet kan ske automatisk via AUs Firewalls. Logningen kan omfatte dato og tidspunkt, netværksadresser på klient (fra hvilken brugernavnet kan udledes) og server, sti til besøgte sider og navn og størrelse på downloadede filer. AU IT udarbejder ikke rutinemæssigt oversigter over den enkelte brugers aktiviteter og foretager ingen vurdering af disse aktiviteters relevans for den pågældende medarbejders arbejde. Blokering af netadgang AU IT forbeholder sig ret til at spærre brugerkonti og foretage omgående frakobling af en given brugers computer, såfremt det skønnes nødvendigt for at opretholde netværkssikkerheden eller på anden måde at sikre driften. Side 18 af 42

21 Download af filer og programmer fra Internettet Filer må downloades fra Internet til arbejdsmæssig brug, og i rimeligt omfang til privat brug, jf. reglerne om privat anvendelse af Internetforbindelsen. Det er tilladt at hente programmer fra Internet til arbejdsmæssig brug, forudsat sikkerhedspolitikken og alle licensbetingelser i øvrigt overholdes, og at der ikke er et lokalt forbud mod installation af tredjepartsprogrammer på den pågældende maskine. Det er tilladt at hente programmer fra Internettet i rimeligt omfang til privat brug, forudsat sikkerhedspolitikken i øvrigt overholdes, og alle licensbetingelser overholdes. Kriminelle aktiviteter - Internetadgang Brug af Internetforbindelsen til kriminelle aktiviteter af enhver art, herunder (men ikke begrænset til) hackning, download eller distribution af pirat-software, -musik, -film eller anden omgåelse af lov om ophavsret, er forbudt. Det samme gælder for ulovlig pornografi, mens aktiviteter omhandlende legal pornografi vil falde under forbuddet mod aktiviteter udført med AUs identitet, som kan skade AUs anseelse. Forsøg på at omgå AUs sikkerhedsmekanismer er forbudt. Tilsvarende er ethvert forsøg på at omgå andres sikkerhedsmekanismer fra AUs Internetforbindelse forbudt. Andre begrænsninger - Internetadgang Begrænsninger i adgangen til visse tunge applikationer kan også gælde arbejdsrelaterede opgaver (fx overførsel af store mængder forskningsdata), hvor AU IT fx kan vurdere, at disse aktiviteter om muligt skal foretages uden for almindelig arbejdstid. Dette meldes i givet fald ud via og/eller intranettet. Kommerciel brug - Internetadgang AUs Internetforbindelse må ikke benyttes til private kommercielle aktiviteter. Studerende og medarbejdere, der har eget firma udenfor AU må gerne tilgå services i dette firma fra Universitetets netværk, såfremt det ikke udgør en sikkerhedsrisiko for AU, og såfremt eksisterende tekniske foranstaltninger tillader dette. Der kan ikke gives tilladelse til at åbne fx firewall porte e.lign. for at give adgang til private formål. Studerende og medarbejdere må under ingen omstændigheder drive private firmaer fra udstyr der befinder sig på AUs netværk, således at firmaet derved kan associeres med AU. Agtpågivenhed - Internetadgang AU IT gør deres yderste for at sikre nettrafikken ved hjælp af antivirusprogrammer, Firewall-regler samt sikkerhedsopdateringer på PC erne, men disse sikringsmekanismer kan i visse tilfælde være utilstrækkelige, og alle brugere skal derfor orientere sig om, og udvise agtpågivenhed overfor trusler mod IT-sikkerheden fra Internettet. Begrænset netadgang fra visse maskiner Vær opmærksom på, at visse maskiner (fx, men ikke begrænset til servere, styringsscomputere til laboratorie- og klinisk udstyr mv.) ikke må benyttes til netværksadgang. Side 19 af 42

22 Ansvarsfraskrivelse - Internetadgang Vælger man at benytte sin arbejds-pc til at udføre privatøkonomiske transaktioner (Netbank, PC-bank og lignende) over AUs Internetforbindelse skal man være opmærksom på, at AU er uden ansvar for fejl og tab af enhver art. Adgang og identitet - Internetadgang Computere tilsluttet AUs lokalnetværk har adgang til Internettet - og vil der sædvanligvis optræde med identiteter, som henviser til au.dk eller et andet af AUs domæner. Det påhviler derfor den enkelte bruger at sikre, at hans eller hendes færden på Internettet hverken kompromitterer sikkerheden eller AUs anseelse. Anvendelse - Internetadgang Adgang til WWW og andre net-tjenester er primært forbeholdt aktiviteter i direkte forbindelse med arbejde/studier, men det er tilladt at bruge AUs netforbindelse til private formål. Private aktiviteter må under ingen omstændigheder have et omfang, der kan genere andre medarbejderes eller studerendes legitime arbejds- eller studierelaterede aktiviteter Adfærdsregler for brug af Adgang og identitet Alle ansatte og studerende ved AU har en adresse og har adgang til at sende og modtage elektronisk post. adressen omfatter AUs navn ved at indeholde au.dk eller et andet af AUs domæner. Det påhviler den enkelte bruger at sikre, at hans eller hendes brug af er i overensstemmelse hermed, dvs. ikke kan skade AUs anseelse. Brevhemmelighed Der er generelt ikke adgang for andre til at læse en medarbejders eller en studerendes e-post. De enkelte afdelinger kan arrangere, at medarbejderne giver hinanden eller fx en sekretær læseadgang til postkasserne eller dele deraf, men sådanne arrangementer træffes i åbenhed af afdelingerne selv. AU IT kan skaffe sig adgang til alle e- postkasser på AUs posthuse. Dette kan være nødvendiggjort af tekniske nedbrud (fx mail-loops, der har fyldt en fraværende medarbejders/studerendes postkasse op), eller et tvingende behov for at skaffe sig adgang til en besked, der vides sendt til en fraværende medarbejder. Hvor AU IT er nødt til at skaffe sig en sådan adgang, skal det altid ske efter aftale med den pågældende medarbejder/studerende selv, eller hvis dette ikke er muligt, med medarbejderens chef/vicedirektøren for studieområdet. Den pågældende medarbejder/studerende skal uophørligt orienteres om episoden. Dataejerskab og journaliseringspligt Alle data på AUs servere ejes som udgangspunkt af AU. Dette gælder også tjenstlige s. er omfattet af samme regler som almindelig brevpost, og skal derfor journaliseres i henhold til samme regler som dette. Blokering af konti AU IT forbeholder sig ret til at spærre konti og foretage omgående frakobling af en given brugers computer, såfremt det skønnes nødvendigt for at opretholde sikkerheden eller på anden måde at sikre driften. Side 20 af 42

23 Agtpågivenhed AU IT gør sit yderste for at sikre trafikken ved hjælp af filtre mod virus, malware og spam samt via løbende sikkerhedsopdateringer på PC erne, men disse sikringsmekanismer kan være utilstrækkelige, og alle brugere skal derfor orientere sig om og udvise agtpågivenhed over for e- mail bårne trusler mod IT-sikkerheden. Registrering Alle s, som modtages (dvs. passerer institutionens spam-filter), og de s, som afsendes med egen-kopi, lagres i AUs databaser, som er beskyttet af omfattende transaktionslogning og regelmæssig backup. AU IT udarbejder ikke rutinemæssigt oversigter over den enkelte brugers aktiviteter og foretager ingen vurdering af disse aktiviteters relevans for den pågældende brugers arbejde. Anvendelse Brugen af er primært forbeholdt aktiviteter i direkte forbindelse med arbejde/studier, men det tillades at bruge til private formål. Private mails bør tydeligt sorteres/mærkes, således at de kan skelnes fra arbejdsmæssige/studierelaterede mails. Der bør laves en folder der hedder Privat/Private til opbevaring af privat korrespondace, og man bør markere sendte mails med ordet "privat"/"private" i emnefeltet. Private aktiviteter må under ingen omstændigheder have et omfang, der kan genere andre medarbejderes eller studerendes legitime arbejds- eller studierelaterede aktiviteter, og private s må ikke fylde AUs posthuse op. Kriminelle aktiviteter Brug af til kriminelle aktiviteter af enhver art, herunder (men ikke begrænset til) distribution af pirat-software, -musik, -film eller anden omgåelse af lov om ophavsret, er forbudt, og eventuelle overtrædelser af dette forbud håndteres efter de almindelige fagretlige regler (se afsnittet om Sanktioner ). Det samme gælder for ulovlig pornografi, mens aktiviteter omhandlende legal pornografi vil falde under forbuddet mod aktiviteter udført med AUs identitet, som kan skade AUs anseelse. må ikke benyttes til ulovlige aktiviteter såsom kædebreve mv. Kommerciel brug kontiene må ikke benyttes til private kommercielle aktiviteter. Godkendte kommercielle aktiviteter (fx datterselskaber under AU) skal have eget postdomæne, og der skal udarbejdes klare retningslinier, som sikrer, at de enkelte medarbejdere skal afsende fra den rigtige konto, således at sammenblanding af roller undgås Adfærdsregler for brug af trådløse netværk Forbindelse til fremmede trådløse netværk Brugere må forbinde sig til fremmede trådløse netværk, forudsat at godkendt Firewall eller VPN-software er i brug. Installation af trådløst udstyr Medarbejderne må kun benytte de officielle trådløse netværk. Man må ikke installere eller ibrugtage udstyr, der giver anden trådløs netadgang, herunder oprette ad-hoc trådløse net. Side 21 af 42

24 3.66 Adfærdsregler for databeskyttelse Basal beskyttelse af data forbuddet mod usikrede unika Den basale data-beskyttelse er baseret på regelmæssig sikkerhedskopiering (backup), som sikrer, at data kan rekonstrueres, hvis de er blevet slettet, overskrevet, en disk er fejlet, eller en computer stjålet. Pligten til at lagre data på sikrede servere AUs servere og netværksdrev er omfattet af backup, og som udgangspunkt skal alle data lagres på AUs servere, hvor sådanne findes. Forholdsregler når data ikke kan lagres sikkert on-line Der er selvfølgelig situationer, hvor unika ikke umiddelbart kan lagres på de sikrede servere (fx data som indsamles i felten, eller mens beregninger pågår), men man er som medarbejder hos AU forpligtet til at sikre alle data ved lagring ved først givne lejlighed. Først givne lejlighed varierer fra tilfælde til tilfælde; vurder det på baggrund af hvor mange data du/au kan tåle at miste som en del af den obligatoriske risikovurdering af dit informationsaktiv og få AU IT til at hjælpe med teknologiske løsninger (lokale backupenheder, fjernsynkronisering af data osv.) Adfærdsregler for brug af sociale netværkstjenester Universitetets informationer på sociale netværk Sociale netværk er ikke lukkede og ikke sikre. Kun informationer, som kan stilles til rådighed på AUs offentlige hjemmesider (dvs i laveste klassifikations kategori), må distribueres via sociale netværk. Logning af sociale netværk Som led i den almindelige netværksovervågning bliver netværkstrafik til sociale netværk også overvåget Adfærdsregler for overholdelse af licensregler Kommerciel brug - licenseret software Mange af de programmer, AU anvender, er anskaffet under særligt gunstige vilkår, fordi AU er en forsknings- og uddannelsesinstitution. Disse programmer vil være underlagt restriktioner i forhold til kommerciel anvendelse. AU IT skal altid spørges før kommerciel brug af software. Eksterne parter - licenseret software Mange af AUs IT-systemer er licenseret alene til AUs eget brug. Det er derfor sædvanligvis nødvendigt at tilkøbe yderligere licenser, hvis et system skal anvendes af eksterne parter i særdeleshed fx hvis et system stilles til rådighed bredt via Internettet. AU IT skal altid konsulteres om licensforhold ved udarbejdelse af projekter med ekstern adgang. (Licensforhold er således en del af den obligatoriske risikovurdering, som alle projekter med ekstern adgang skal gennemgå.) Side 22 af 42

Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed

Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed Sikker Inform hed ations Informationssikkerhed Informationssikkerhedspolitik og regler Version 2.0 Dataklassifikation: Offentlig Aarhus Unversitet 2013 Aarhus Universitet 2013 Indholdsfortegnelse Rektors

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

IT-regler gældende for Danmarks Medie- og Journalisthøjskole

IT-regler gældende for Danmarks Medie- og Journalisthøjskole IT-regler gældende for Danmarks Medie- og Journalisthøjskole Retningslinjer for studerende og medarbejdere ved Danmarks Medie- og Journalisthøjskole vedrørende brugen af organisationens IT-ressourcer 1

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Arbejdsmiljøguide for Odder Kommune

Arbejdsmiljøguide for Odder Kommune Arbejdsmiljøguide for Odder Kommune 1. Politikker Logpolitik Dok. Nr. 1.12 Version: 1 Niveau: 2 Dato 050508 Side 1 af 9 Logpolitik Formål At fastlægge og beskrive ansvar, pligter og konsekvenser når medarbejdere

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

GENERELLE BETINGELSER FBI.TV

GENERELLE BETINGELSER FBI.TV GENERELLE BETINGELSER FBI.TV Senest opdateret maj 2013 Indholdsfortegnelse 1. Filmtjenesten FBI.TV... 3 2. Brug af og adgang til FBI.TV... 3 3. Særligt vedr. leje af film via FBI.TV... 4 4. Særligt vedr.

Læs mere

GENERELLE BRUGERBETINGELSER FOR

GENERELLE BRUGERBETINGELSER FOR GENERELLE BRUGERBETINGELSER FOR mypku Disse generelle brugerbetingelser ( Betingelser ) fastsætter de betingelser, der gælder mellem dig som bruger ( Brugeren ) og Nutricia A/S, CVR.: 73128110 ( Nutricia

Læs mere

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351.

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351. ABONNEMENTS- OG MEDLEMSKABSBETINGELSER for Berlingske Business Premium For IP-adgang til biblioteker, uddannelsesinstitutioner og højere læreanstalter, 21-08-2013 (Version 1.2) Biblioteker på uddannelsesinstitutioner

Læs mere

Vejledning i brug af Kollegienettet

Vejledning i brug af Kollegienettet Vejledning i brug af Kollegienettet Del I - Sådan tilsluttes din computer til netværket/internettet - side 2 Del II - Vejledning for intranetog internetadgang - side 16 Del III - Regler for Intranetog

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 03-05-2011 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund

Læs mere

Dokumenthåndtering E-post Internet Virus Lagringsmedier Brugerrettigheder. Sikkerhed I BIRKERØD KOMMUNE

Dokumenthåndtering E-post Internet Virus Lagringsmedier Brugerrettigheder. Sikkerhed I BIRKERØD KOMMUNE Dokumenthåndtering E-post Internet Virus Lagringsmedier Brugerrettigheder IT Sikkerhed I BIRKERØD KOMMUNE 1 Sikker IT i Birkerød Kommune Indhold 4 Regler & retningslinier for IT-brugere i Birkerød Kommune

Læs mere

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router:

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router: Velkommen til Foreningen Kollegienet Odense (FKO). Ved at udfylde og indsende tilmeldingsblanketten bagerst i denne folder har du mulighed for at benytte internet og internt netværk med FKO som din professionelle

Læs mere

POLITIK FOR DATABESKYTTELSE

POLITIK FOR DATABESKYTTELSE POLITIK FOR DATABESKYTTELSE Disse retningslinjer for databeskyttelse beskriver, hvordan vi bruger og beskytter oplysninger, som du afgiver i forbindelse med brug af vores hjemmeside. Vi har forpligtet

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Udgivet af DANSK ERHVERV

Udgivet af DANSK ERHVERV GODE RÅD OM Internet og e-mail 2008 gode råd om INTERNET OG E-MAIL Udgivet af DANSK ERHVERV Læs i denne pjece om: Indholdsfortegnelse 1. Indledning 3 2. Retningslinjer 3 3. Privat brug af Internet og e-mail

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Politik for medarbejderes brug af virksomhedens IT

Politik for medarbejderes brug af virksomhedens IT Jan Trzaskowski - www.legalriskmanagement.com - Politik for medarbejderes brug af virksomhedens IT Jan Trzaskowski og Benjamin Lundström Jan Trzaskowski og Benjamin Lundströms artikel og checkliste vedrørende

Læs mere

Regler. - for sikker brug af Aalborg Kommunes IT

Regler. - for sikker brug af Aalborg Kommunes IT Regler - for sikker brug af Aalborg Kommunes IT For en sikkerheds skyld! Hvorfor regler om IT? - for kommunens og din egen sikkerheds skyld Aalborg Kommune er efterhånden meget digitaliseret og derfor

Læs mere

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed Advokat (H), partner Anders Aagaard Ledelsesansvar for IT-sikkerhed 1 AGENDA Ledelsens opgaver og ansvar Persondataforordningen Cases 2 Ledelsens opgaver og ansvar Selskabsloven hard law: SL 115: I kapitalselskaber,

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

Databeskyttelse og cyber risk-forsikringer

Databeskyttelse og cyber risk-forsikringer Databeskyttelse og cyber risk-forsikringer v/ partner Anne Buhl Bjelke & Den offentlige uddannelsesdag 2014 persondataspecialist Charlotte Bagger Tranberg Persondataretlige aspekter Personoplysninger kun

Læs mere

Gode råd til en sikker it-adfærd

Gode råd til en sikker it-adfærd Gode råd til en sikker it-adfærd It-sikkerhed starter og slutter med dig! Hvis du benytter dig af denne folders 18 gode råd, er både du som personlig bruger og bruger af Aarhus Universitets it-udstyr på

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

guide til it-sikkerhed

guide til it-sikkerhed Codans guide til it-sikkerhed Hvad du som virksomhed bør vide om it-kriminalitet og hvordan du kan forebygge det Indhold Side 3...Forord Side 4...Virksomhedernes tanker om it-kriminalitet Side 5...Sådan

Læs mere

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og. persondataspecialist, ph.d. Charlotte Bagger Tranberg

WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og. persondataspecialist, ph.d. Charlotte Bagger Tranberg WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og persondataspecialist, ph.d. Charlotte Bagger Tranberg HVAD ER WHISTLEBLOWING? Whistleblowing = angiveri Sikre at oplysninger

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Online Banking Sikkerhedsvejledning PC-baseret version

Online Banking Sikkerhedsvejledning PC-baseret version Sikkerhedsvejledning PC-baseret version Indhold Introduktion til Sikkerhedsvejledningen...3 Sikkerhedsvejledningen...3 Sikker brug af internettet...3 Sikkerhedsløsninger i...3 Hvad er sikkerhed i?...4

Læs mere

IT-politik i Trafikselskabet Movia. Version 1.0

IT-politik i Trafikselskabet Movia. Version 1.0 Bestyrelsen den 9. august 2007 Dagsordenens punkt 07 - IT-politik for Movia Bilag 1 IT-politik i Trafikselskabet Movia Version 1.0 Oprettet: 23. januar 2007 CBL / IUa Indholdsfortegnelse Indledning...3

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere

Samarbejdsaftale. mellem. [Navn] [Adresse] [Adresse] CVR-nr.: [Indsæt] (herefter betegnet A ) [Navn] [Adresse] [Adresse]

Samarbejdsaftale. mellem. [Navn] [Adresse] [Adresse] CVR-nr.: [Indsæt] (herefter betegnet A ) [Navn] [Adresse] [Adresse] Samarbejdsaftale mellem CVR-nr.: [Indsæt] (herefter betegnet A ) og CVR-nr.: [Indsæt] (herefter betegnet Erhververen ) (herefter samlet B ) 1 Formål og projektbeskrivelse Formålet med denne samarbejdsaftale

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Rigshospitalets retningslinier for brug af elektroniske sociale medier

Rigshospitalets retningslinier for brug af elektroniske sociale medier Personaleafdelingen Afsnit 5212 Blegdamsvej 9 2100 København Ø Direkte 35 45 64 39 Journal nr.: - Ref.: hep Dato 7. september 2011 Rigshospitalets retningslinier for brug af elektroniske sociale medier

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

O Guide til it-sikkerhed

O Guide til it-sikkerhed It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder

Læs mere

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet

Læs mere

Bilag til rapporten Brugernes it-sikkerhed

Bilag til rapporten Brugernes it-sikkerhed Bilag til rapporten Brugernes it-sikkerhed Resultater fra spørgeskemabesvarelserne på interviewmødet i november 2007 23 deltagere besvarede spørgeskemaet, og deres svar er angivet i tabeller ved frekvens

Læs mere

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk ISO27001 og klassifikation Case Dubex A/S 14. maj 2012 Jacob Herbst jhe@dubex.dk Agenda Dubex A/S Hvorfor en ISO27001 certificering? Sikkerhedshåndbogen Dubex dataklassifikation Klassifikation i praksis

Læs mere

SAMARBEJDSAFTALE OM ADMINISTRATIVE OG TEKNISKE STØTTEFUNKTIONER MELLEM DE 12 GYMNASIER I GYMNASIEFÆLLESSKABET

SAMARBEJDSAFTALE OM ADMINISTRATIVE OG TEKNISKE STØTTEFUNKTIONER MELLEM DE 12 GYMNASIER I GYMNASIEFÆLLESSKABET SAMARBEJDSAFTALE SAMARBEJDSAFTALE OM ADMINISTRATIVE OG TEKNISKE STØTTEFUNKTIONER MELLEM DE 12 GYMNASIER I GYMNASIEFÆLLESSKABET GYMNASIEFÆLLESSKABET Skolegade 3 4000 Roskilde Telefon 4633 2040 www.gymnasiefaellesskabet.dk

Læs mere

Version 8.0. BullGuard. Backup

Version 8.0. BullGuard. Backup Version 8.0 BullGuard Backup 0GB 1 2 INSTALLATIONSVEJLEDNING WINDOWS VISTA, XP & 2000 (BULLGUARD 8.0) 1 Luk alle åbne programmer, bortset fra Windows. 2 3 Følg instrukserne på skærmen for at installere

Læs mere

TV-overvågning - etiske anbefalinger

TV-overvågning - etiske anbefalinger TV-overvågning - etiske anbefalinger kopiering tilladt med kildeangivelse Network Indledning TV-overvågning er et område i meget stærk vækst - både med hensyn til hvad angår hvor, hvordan og af hvem det

Læs mere