Informationssikkerhedshåndbog

Transkript

1 Aarhus Universitet Informationssikkerhedshåndbog Regler

2 Indholdsfortegnelse Politik 2 Rektors forord 2 Informationssikkerhedspolitik - Aarhus Universitet 3 Regler 8 Indledning 8 1. Organisation og implementering Risikobevidsthed Informationssikkerhedspolitik Strategi for informationssikkerhed Sikkerhedsimplementering Outsourcing Sikkerhed i tredjeparts adgang Organisering af persondata-området Ejerskab Identifikation, klassifikation og ansvar for aktiver Håndtering af informationer og aktiver Klassifikation af informationer og data Ejere af systemer og data Dataintegritet Identifikation og registering af aktiver Personalesikkerhed og brugeradfærd Ansættelsesprocedurer Funktionsadskillelse Ledelsens ansvar Uddannelse Sanktionsmuligheder og anmeldelse af ulovligheder Adfærdsregler Adfærdsregler for brug af adgangskode Adfærdsregler for brug af internet Adfærdsregler for brug af Adfærdsregler for brug af trådløse netværk Adfærdsregler for databeskyttelse Adfærdsregler for brug af sociale netværkstjenester Adfærdsregler for overholdelse af licensregler Fysisk sikkerhed Generelle retningslinier Tekniske sikringsforanstaltninger Beskyttelsesanlæg Sikre områder Udstyrssikkerhed Gæster It- og netværksdrift Daglig administration Ekstern serviceleverandør Håndtering af datamedier Operationelle procedurer og ansvarsområder Systemplanlægning Overvågning af systemer Styring af ændringer Beskyttelse mod skadelige programmer Indholdsfiltrering Styring af netværk Trådløse netværk Forbindelser med andre netværk Netværksovervågning 31

3 5.14 Overvågning af systemadgang og brug Mobile arbejdspladser og hjemmearbejdspladser Elektroniske forretningsydelser Brug af kryptografi Adgangskontrol og metoder Adgangskontrol til operativsystemer Adgangskontrol for applikationer Logisk adgangskontrol Administration af adgangskontrol Brugerens ansvar Adgangskontrol til netværk Styring af systemadgang Udvikling, anskaffelse og vedligeholdelse Sikkerhedskrav ved anskaffelser Sikkerhed i softwareudviklingsmiljø Sikkerhed ved ændringer Integritet for programmer og data Styring af sikkerhedshændelser Opdagelse og rapportering af hændelser Reaktion på sikkerhedsmæssige hændelser Opfølgning på hændelser Beredskabsplanlægning og fortsat drift Beredskabsplaner Planlægning af beredskab Ansvar for kritiske funktioner og processer Sikkerhedskopiering Lovgivning, kontrakter og etik Overholdelse af lovmæssige krav Ophavsret Identificerede love og regelsæt Kontrol og revision 42

4 Politik Rektors forord Kære medarbejdere og studerende ved Aarhus Universitet. Aarhus Universitet er en vidensvirksomhed. En stadig større del af vores viden skabes, behandles og gemmes på ITsystemer. Derfor skal alle, der har deres virke på AU, såvel forskere, undervisere og teknisk/administrativt personale som studerende have den størst mulige fokus på informationssikkerhed. Informationssikkerhed betyder forskellige ting for forskellige mennesker. Denne håndbog prøver at komme rundt om alle væsentlige områder. Hvis du troede, at infomationssikkerhed bare er noget om vira og hackere, bør du studere politikken, reglerne og procedurerne nøje, der er langt flere aspekter. Det systematiske infomationssikkerhedsarbejde hviler på 3 hovedsøjler - tilgængelighed, integritet og fortrolighed. At tilgængeligheden skal sikres bedst muligt er vist indlysende for alle. Et universitet - på linie med snart sagt alle moderne virksomheder - er nærmest paralyseret hvis IT-systemerne er nede. Tilsvarende er hele Universitetets virke baseret på vores integritet - der må ikke kunne stilles spørgsmålstegn ved den, så vores IT-systemer skal altid være retvisende. Og endelig må vi, selvom vi er sat i verden til at formidle viden, ikke være blinde for at betydelige dele af vores data indeholder følsomme eller fortrolige oplysninger som skal beskyttes. Det gælder f.eks. forskningsdata med følsomme personoplysninger eller fortrolige informationer til rådgivning og myndighedsbetjening Så uanset hvad vores arbejde på Aarhus Universitet er - det være sig indenfor forskning, uddannelse, overvågning, rådgivning, information eller administration - skal vi altid have øje for informationssikkerheden. Informationssikkerhedshåndbogen for Aarhus Universitet udstikker spillereglerne for informationssikkerheden. Den udgør en integreret del af de regler og forordninger alle skal kende og overholde som betingelse for at være ansat eller indskrevet ved Universitetet. Meget af det der står på disse sider er almindelig sund fornuft. Ting man godt ved i forvejen. Nu er det skrevet ned i en håndbog, som alle har pligt til at kende og efterleve. Med venlig hilsen Lauritz B. Holm-Nielsen Rektor Side 2 af 42

5 Informationssikkerhedspolitik - Aarhus Universitet 1 Informationssikkerhedspolitik for Aarhus Universitet 1.1 Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos Aarhus Universitet. Som et led i den overordnede sikkerhedsstyring tager ledelsen på grundlag af den løbende overvågning og rapportering informationssikkerhedspolitikken op til revurdering minimum hvert andet år. Politikken omfatter Aarhus Universitets informationer, som er enhver information, der tilhører Aarhus Universitet herudover også informationer, som ikke tilhører Aarhus Universitet, men som Aarhus Universitet kan gøres ansvarlig for. Dette inkluderer fx alle data om personale, data om finansielle forhold, alle data, som bidrager til administrationen af Aarhus Universitet, samt informationer som er overladt Aarhus Universitet af andre, herunder forsøgs- og forskningsdata. Disse data kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller enhver anden information, som kun er til intern brug. Denne politik omfatter alle Aarhus Universitets informationer, ligegyldigt hvilken form de opbevares og formidles på. 1.2 Formål Informationer og informationssystemer er nødvendige og livsvigtige for Aarhus Universitet, og informationssikkerheden har derfor vital betydning for Aarhus Universitets troværdighed og funktionsdygtighed. Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af Aarhus Universitets informationer og særligt at sikre, at kritiske og følsomme informationer og informationssystemer bevarer deres fortrolighed, integritet og tilgængelighed. Derfor har Aarhus Universitets ledelse besluttet sig for et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav og indgåede aftaler, herunder licensbetingelser. Ledelsen vil oplyse medarbejdere og studerende om ansvarlighed i relation til Aarhus Universitets informationer og informationssystemer. Hensigten med sikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til Aarhus Universitet, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres. 1.3 Omfang Denne politik gælder for alle ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for Aarhus Universitet. Alle disse personer bliver her betegnet som medarbejderne. Politikken gælder endvidere for studerende, der i forbindelse med deres studie anvender informationsaktiver tilhørende Aarhus Universitet. Ved udlicitering af dele af eller hele IT-driften skal det sikres i samarbejdet med serviceleverandøren, at Aarhus Universitets sikkerhedsniveau fastholdes, således at serviceleverandøren, dennes faciliteter og de medarbejdere, som har adgang til Aarhus Universitets informationer, mindst lever op til Aarhus Universitets informationssikkerhedsniveau. 1.4 Organisering af informationssikkerhedsarbejdet Aarhus Universitet har organiseret sit informationssikkerhedsarbejde gennem en række informationssikkerhedsudvalg, jf. Figur 1. Side 3 af 42

6 Figur 1 - Organisering af informationssikkerhedsarbejdet Det operationelle ansvar for den daglige styring af informationssikkerhedsindsatsen er placeret hos it-sikkerhedschefen. Denne sikrer i samarbejde med primært sikkerhedsudvalgene og sekundært vicedirektøren for it, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltninger, der er beskrevet i sikkerhedshåndbogen, gennemføres og efterleves. Ligeledes er det væsentligt, at informationssikkerhed integreres i alle forretningsgange, driftsopgaver og projekter. De lokale informationssikkerhedsudvalg er ansvarlige for gennemførelsen af det arbejde som ligger i årshjulet, der er beskrevet i bilag Sikkerhedsniveau Det er Aarhus Universitets politik at beskytte sine informationer og udelukkende tillade brug, adgang og offentliggørelse af informationer i overensstemmelse med Aarhus Universitets retningslinjer og under hensyntagen til den til enhver tid gældende lovgivning. Aarhus Universitet fastlægger på baggrund af en risikovurdering et sikkerhedsniveau som svarer til betydningen af de pågældende informationer. Der gennemføres mindst en gang årligt en risikovurdering, så ledelsen kan holde sig informeret om det aktuelle risikobillede. Der foretages ligeledes en risikovurdering ved større forandringer i organisationen. Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til arbejdets gennemførelse og økonomiske ressourcer. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it, samt det forhold at Universitetet har en samfundsrolle som leverandør af frit tilgængelig information. 1.6 Sikkerhedsbevidsthed Side 4 af 42

7 Informationssikkerhed vedrører Aarhus Universitets samlede informationsflow, og gennemførelse af en informationssikkerhedspolitik kan ikke foretages af ledelsen alene. Alle medarbejdere og studerende har et ansvar for at bidrage til at beskytte Aarhus Universitets informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Alle medarbejdere og studerende skal derfor løbende have information om informationssikkerhed i relevant omfang. Som brugere af Aarhus Universitets informationer skal alle medarbejdere og studerende følge informationssikkerhedspolitikken og de retningslinjer, der er afledt heraf. Medarbejderne og de studerende må kun anvende Aarhus Universitets informationer i overensstemmelse med det arbejde, de udfører for Aarhus Universitet, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes følsomhed, særlige og/eller kritiske natur. 1.7 Brud på informationssikkerheden Såfremt en medarbejder eller en studerende opdager trusler mod informationssikkerheden eller brud på denne, skal dette straks meddeles til den ansvarlige for den daglige ledelse af informationssikkerhedsindsatsen. Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til nærmeste leder, som i samarbejde med HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er således lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag. Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden lovmæssig overtrædelse, vil der blive foretaget politianmeldelse. Bilag 1 : Anvendelse i praksis De retningslinjer samt sikkerheds- og kontrolforanstaltninger, der gælder i Aarhus Universitet, samles i en sikkerhedshåndbog. Sikkerhedshåndbogen skal indeholde en beskrivelse af de informationssikkerhedsområder, der er relevante for Aarhus Universitet. Som minimum omfatter det operationelle ansvar: at sikre, at informationssikkerhedspolitikken og afledte retningslinjer implementeres. at sikre en bestemmelse af værdien af de informationer, som er nødvendige for Aarhus Universitet, samt at træffe rimelige forholdsregler til beskyttelse af disse informationer, herunder at afse de nødvendige midler og ressourcer hertil. at der udpeges system- og informationsejere for samtlige informationer og informationssystemer. at klassificere og beskytte de informationer, som Aarhus Universitet har ansvaret for. at forebygge og begrænse risici til en for Aarhus Universitet kendt og accepteret størrelse. at udarbejde regler for informationskontrol og beskyttelse, som skal følges af de medarbejdere, der behandler og anvender informationerne. at etablere regler for adgang og brug af informationer samt at sikre, at reglerne bliver revideret med jævne mellemrum. at definere reglerne for arkivering af informationer, således at disse altid kan genskabes senere inden for en kendt og accepteret tidshorisont. at udarbejde en brugbar plan til at retablere daglig drift, såfremt informationerne eller informationssystemerne ødelægges, uanset af hvilken grund, således: at omfanget af og konsekvenserne ved nødsituationen kan minimeres. at væsentligste dele af den daglige forretningsmæssige drift i Aarhus Universitet kan gennemføres via alternative forretningsgange. Side 5 af 42

8 at alle relevante berørte parter kan holdes orienteret i fornødent omfang at den fulde drift af informationssystemerne kan genoptages inden for en kendt og accepteret tidshorisont. at sikre, at enhver sikkerhedsmæssig informationsaktivitet på følsomme og fortrolige data, kan henføres til den person, som har udført aktiviteten, samt at sikre gennemførelse af de fornødne kontroller til opdagelse af misbrug eller forsøg herpå. at etablere regler for rettighedstildeling og funktionsadskillelse, som skal forebygge og begrænse konsekvenser af fejl, uheld og negative handlinger, der bevidst er foretaget af enkeltpersoner. at sikre, at Aarhus Universitets udvikling og implementering af systemer udføres under iagttagelse af betryggende sikkerhedsforanstaltninger. at sikre, at Aarhus Universitets leverandører overholder de sikkerhedsforskrifter, som er gældende for Aarhus Universitets informationer, faciliteter og medarbejdere i samarbejdet med Aarhus Universitet. at træffe de nødvendige forholdsregler for at sikre, at informationssikkerhedspolitikken og afledte retningslinjer bliver overholdt. at sikre den fornødne ledelsesrapportering af status for informationssikkerheden, herunder aktiviteter og hændelser. Bilag 2 : Årshjul Aarhus Universitet har opstillet et årshjul som beskriver arbejdet med informationssikkerheden. Dette årshjul ser ud som følger: Som det fremgår af navnet skal alle aktiviteter i hjulet gennemføres en gang årligt, startende med system- og dataklassifikationen, og Awareness er en central del af arbejdet, som skal køre hele året. Side 6 af 42

9 Side 7 af 42

10 Regler Indledning Ordforklaringer Bør: Ordet bør anvendes flere steder i denne håndbog. Generelt gælder det at bør = skal, medmindre der er givet dispensation herfor. Dispensation gives af det centrale informationssikkerhedsudvalg. En dispensation er altid skriftlig, og med en tidsbegrænset varighed - typisk 1 år. Det er brugerens ansvar at sikre sig en evt. forlængelse af dispensationen. IT-sikkerhedschefen vedligeholder en oversigt over de givne dispensationer. Arbejdsmæssig brug: Formuleringen "arbejdsmæssig brug", dækker, hvor intet andet er nævnt, også over studerendes studiemæssige brug. Det samme gælder for formuleringen "arbejdsrelateret brug". 1. Organisation og implementering Placering af ansvar er vitalt for at sikre opmærksomhed på Universitetets informationsaktiver. Organisationsstrukturen på Universitetet og samarbejde med eksterne partnere er yderst vigtig for at opretholde et tidssvarende sikkerhedsniveau. Kontrakter med partnere og andre aftaler er ligeledes et område, der har indflydelse på informationssikkerheden. 1.1 Risikobevidsthed Risikoanalyse Aarhus Universitet klassificerer sine systemer i A, B og C systemer. For type A systemer skal der udarbejdes både en risikoanalyse og en beredskabsplan, for type B systemer skal der udarbejdes en risikoanalyse, mens type C systemer ikke kræver hverken beredskabsplaner eller risikoanalyser. Arbejdet styres centralt, men udføres decentralt på fakultets- eller institutniveau efter nærmere beslutning. Der skal udarbejdes en detaljeret risikoanalyse for alle type A og B systemer på tværs af alle områder på Universitetet. Listen over systemtyper skal revideres årligt, og risikoprofilen for systemerne på listen revurderes med samme frekvens. Endvidere kan særlige områder udtages til detaljeret risikovurdering efter beslutning i det centrale informationssikkerhedsudvalg med det formål at få dækket alle områder i detaljer med tiden. Standardiserede metoder for risikovurdering skal anvendes. "Orakelmetoden" - hvor sandsynlighed og konsekvens af de forskellige trusler vurderes af ejere og eventuelle brugere på basis af deres erfaring - benyttes som udgangspunkt for en beregning af trusselsbilledet. Alle identificerede informationsaktiver skal i forbindelse med registreringen gennemgå en klassificering og en basal risikovurdering. Den basale risikovurdering kan tage udgangspunkt i "lignende systemer" (baselines) og har som primært sigte at få ejere af informationsaktiver til at indgå aktivt i udviklingen af risikostyringen. Side 8 af 42

11 Konsekvensvurdering Konsekvenser af hændelser i mod IT-systemerne skal løbende vurderes. Overordnet risikovurdering Der skal udføres en overordnet risikovurdering af trusselsbilledet for Universitetet. Den overordnede risikovurdering skal indeholde konsekvensvurdering og sårbarhedsvurdering. Risikovurderingen skal opdateres ved alle væsentlige ændringer i risikobilledet, dog mindst en gang om året. Der skal gennemføres en bredt funderet risikovurdering med revurdering, der dækker hele Universitetet. Målet er at sikre, at sårbarheder, trusler og konsekvenser er kendte, og at deres sammenhæng afspejles i Universitetets risikoprofil. Risikovurderingen skal omfatte alle type A og B systemer samt udvalgte IT-systemer, som er repræsentative for områdernes virke og qua deres antal i sig selv forretningskritiske. Information om nye trusler, virus og sårbarheder AU IT skal holde sig orienteret inden for de benyttede platforme. AU IT skal etablere en proces for identifikation af nye sårbarheder. Der skal udpeges en ansvarlig person eller gruppe for dette. AU IT skal gennem det centrale informationssikkerhedsudvalg informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældende forretningsenheder med henblik på at tilpasse forretningsgange og tilvejebringe de fornødne ressourcer for at modvirke truslerne. Håndtering af sikkerhedsrisici Når risikovurderingerne afdækker sikkerhedsbehov, som ikke pt. honoreres af de tilgængelige sikringsmekanismer og procedurer skal ITsikkerhedschefen bringe emnet op i det centrale informationssikkerhedsudvalg, som efter nærmere behandling pålægger AU IT at identificere mulige løsningsmodeller, prioriterer mellem forskellige behov og bistår AU IT med at få tilført de nødvendige resurser til løsning af opgaven. 1.2 Informationssikkerhedspolitik Dispensation for krav i sikkerhedspolitikken Dispensation for efterlevelsen af sikkerhedspolitikkerne er kun muligt, hvis dette dokumenteres grundigt og er forsvarligt for de respektive system- og procesejere. Dispenseringen tiltrædes af topledelsen, og revideres mindst en gang om året. Den relevante system- og procesejer er personligt ansvarlig for enhver sikkerhedshændelse, der sker som en direkte konsekvens af dispensationen. Offentliggørelse af sikkerhedspolitik Sikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere og studerende. Godkendelse af sikkerhedspolitik Sikkerhedspolitikken skal minimum hvert andet år godkendes af Universitetsledelsen efter indstilling fra det centrale informationssikkerhedsudvalg. Side 9 af 42

12 Opfølgning på implementering af sikkerhedspolitikken Hver enkelt leder skal løbende sikre, at sikkerhedspolitikken bliver overholdt inden for eget ansvarsområde. Vedligeholdelse af sikkerhedspolitik Universitetets sikkerhedspolitik, regler, procedurer og deraf afledt dokumentation skal vedligeholdes af IT-sikkerhedschefen, i samarbejde med AU IT. 1.3 Strategi for informationssikkerhed Definition på Informationssikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer regelmæssige tekniske, proceduremæssige og lovmæssige kontroller. 1.4 Sikkerhedsimplementering Kontakt med relevante myndigheder Ved brud på sikkerheden er der etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder. Ledelsens rolle Ledelsen skal støtte Universitetets informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar. Sikkerhedsorganisation AUs Centrale Informationssikkerhedsudvalg har ansvar for at sikre, at strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med Universitetets mål. Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen varetages af IT-sikkerhedschefen. 1.5 Outsourcing Outsourcingpartnere Sikkerhedsniveauet hos alle outsourcingpartnere skal være acceptabelt. Alle outsourcingpartnere godkendes af Vicedirektøren for IT og ITsikkerhedschefen. Outsourcing AUs sikkerhed må samlet set ikke ikke forringes af outsourcing. Ved outsourcing af IT-systemer skal der inden indgåelse af kontrakt indhentes information om sikkerhedsniveau fra outsourcingpartner, herunder dennes sikkerhedspolitik. 1.6 Sikkerhed i tredjeparts adgang Samarbejdsaftaler Der må ikke gives adgang mellem Universitetets og eksterne parters informationsaktiver, før der er indgået en samarbejdsaftale, der som minimum skal indeholde en fortrolighedserklæring. Aftaler om informationsudveksling Ved udveksling af information og software imellem AU og evt. tredje part skal der foreligge en aftale herom. Side 10 af 42

13 Indhold af fortrolighedserklæringerne Definition af de informationer, der er omfattet. En fastlagt løbetid. Beskrivelse af hvad der skal ske, når aftalen udløber. Underskriverens ansvar for at undgå brud på den aftalte fortrolighed. Information om omfattede ophavsrettigheder. Beskrivelse af hvordan informationerne må anvendes, for eksempel hvilke brugsrettigheder til informationerne underskriveren får. Procedure for advisering og rapportering af brud på fortroligheden. Betingelser for returnering eller destruktion af informationsaktiver ved aftalens ophør. Sikkerhed i forhold til kunder Før AUs kunder må få adgang til organisationens informationsbehandlingssystemer, skal alle sikkerhedsforhold være afklaret. Sikkerhed ved samarbejde med partnere Ved integration af AUs systemer og processer med tredjepart skal sikkerhedsrisici altid vurderes og dokumenteres. Information til eksterne partnere Det skal sikres, at tredjepart gøres opmærksom på det forventede sikkerhedsniveau, herunder adgang til beskrevne politikker. Fortrolighedserklæring for studerende Det skal sikres, at studerende, der tildeles adgang til Universitetets følsomme og/eller fortrolige data, afgiver en fortrolighedserklæring. 1.7 Organisering af persondata-området Persondata-ansvarlig Dataejeren til aktiver som indeholder data, der er omfattet af persondataloven, er persondata-ansvarlig. Kontrol af overholdelse persondatalovgivning Den persondataansvarlige skal kontrollere overholdelse af persondatalovgivning. 1.8 Ejerskab Juridisk ejerskab Alle data på AUs computere (servere, stationære PC er, bærbare PC er etc.) tilhører Universitetet, med mindre andet er skriftligt aftalt, eller følger af gældende lovgivning, fx regler om intellectual property. Alle data på AUs computere er omfattet af AUs informationssikkerhedspolitik. Indholdet af studerendes netværksdrev anses som udgangspunkt for at være privat ejendom, medmindre den studerende har et ansættelsesforhold ved AU. Netværksdrev må kun anvendes til studiemæssig brug, og AU forbeholder sig retten til at overvåge brugen, og analysere på indholdet med henblik på at hindre misbrug. Side 11 af 42

14 Udpegelse af administrativ ejer Alle informationsaktiver skal have udpeget en administrativ ejer. Ejerskab defineres hos AU som en jobfunktion, som kan pålægges den enkelte medarbejder. Ejerskab i AU er hierakisk nedarvet fra Rektor gennem Dekanerne og Institutlederne til de enkelte medarbejdere. Ved fratræden eller andet fravær tilbagegår ejerskabet altid til den foregående person i kæden, indtil en ny ejer er udpeget. Der er således altid en ejer for alle AUs informationsaktiver. 2. Identifikation, klassifikation og ansvar for aktiver Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter, der er udskrevet, produktionsudstyr eller it-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 2.1 Håndtering af informationer og aktiver Accepteret brug af informationsaktiver Systemejere skal lave retningslinier for accepteret brug af AUs informationsaktiver. Opbevaring af følsomme eller fortrolige informationer på privat udstyr Personligt ejet IT-udstyr som pc, PDA, bærbare harddiske, memorysticks, MP3-afspillere, minidisks, CD- eller DVD-brændere må ikke anvendes til kopiering eller opbevaring af følsomme eller fortrolige data. Brug af bærbare medier til fortrolige data Følsomme og fortrolige informationer skal krypteres, når de opbevares eller transporteres på bærbare medier, fx USB-nøgler, PDA'er, CD'er eller DVD'er. Identifikation af kritiske processer Alle forretningskritiske funktioner og deres relaterede processer, systemer og ejere skal være identificerede og dokumenterede. 2.2 Klassifikation af informationer og data Kontrol med klassificerede informationer IT-sikkerhedschefen er ansvarlig for at definere et fast sæt af egnede og relevante sikkerhedskontroller til beskyttelse af de enkelte informationskategorier. Hvis der er tale om forretningskritiske informationer, skal der udarbejdes yderligere detaljerede kontroller ud fra en risikovurdering. IT-sikkerhedschefen skal i samarbejde med Vicedirektøren for IT sikre, at de nødvendige forholdsregler, procedurer og kontroller implementeres i de berørte driftsansvarlige afdelinger. Ansvar for klassifikation Det er ejeren, som har ansvaret for at klassificere det enkelte aktiv og tilse, at det sikres på behørig vis i overensstemmelse med klassifikationen. Side 12 af 42

15 Klassifikation af data og andre informationer AUs data og informationer, i det følgende "data", skal klassificeres efter følgende skala: Offentlige data: Defineret som data, som alle, der udtrykker et ønske om det, har eller kan få adgang til. Det kan fx være data på offentlige hjemmesider, uddannelsesbrochurer m.v. Disse data kræver som udgangspunkt ikke nogen særlig beskyttelse, dog skal man sikre, at kun godkendte personer kan redigere i disse data. Interne data: Defineret som data, der kun må anvendes og kommunikeres internt, og som i den daglige drift er nødvendige for de brugere, der skal anvende dem. Det kan fx dreje sig om mødereferater, blanketter, fakturaer mv. Interne data kræver en vis grad af beskyttelse. Som minimum skal man sikre, at kun autoriserede brugere har adgang til både at læse og ændre data. Følsomme data: Defineret som de data, som kun særligt betroede brugere kan få adgang til for at kunne udøve deres arbejdsfunktioner, og hvor et brud på fortroligheden kan være skadelig for AU eller vores samarbejdspartnere. Det kan fx dreje sig om ansøgninger, kontrakter, regnskabsdata mv. Følsomme data kræver en høj grad af beskyttelse. Adgangen skal begrænses til godkendte personer, og anvendelse af kryptering bør overvejes. Følsomme data data må aldrig opbevares eller behandles på privat udstyr, og hvis data flyttes til eksterne medier, skal der anvendes kryptering. Fortrolige data: Defineret som data, der er omfattet af Lov om behandling af personoplysninger. Fortrolige data kræver ekstra høj grad af beskyttelse. Adgangen skal begrænses til så få godkendte personer som muligt, og kryptering skal anvendes i det omfang, som loven foreskriver det. Fortrolige data må aldrig opbevares eller behandles på privat udstyr, og hvis data flyttes til eksterne medier, skal der anvendes kryptering. Ansvar for betydningsvurderingen Det er ejeren, som har ansvaret for at betydningsvurdere det enkelte informationsaktiv og tilse, at det sikres på behørig vis i overensstemmelse med dets betydning for AU. Side 13 af 42

16 Informationsaktiver skal betydningsvurderes Informationsaktiver betydningsvurderes efter følgende skala: 1: Aktivet er af mindre betydning for AU. Disse aktiver er typisk interne understøttende systemer, som ikke er væsentlige i det daglige arbejde, eller der er alternative løsningsmuligheder. 2: Aktivet er af betydning for en enkelt afdeling eller et konkret projekt. Uden dette aktiv kan et mindre antal medarbejdere ikke udføre daglige opgaver. AU kan ikke leve op til en kontraktlig forpligtelse. 3: Aktivet er betydningsfuldt for AU. Uden dette aktiv kan AUs virke ikke afvikles hensigtsmæssigt, et antal af AUs medarbejdere kan ikke arbejde, AUs anseelse udadtil kan skades. 4: Aktivet er af høj betydning for AU. Uden dette aktiv kan dele af AU ikke fungere, et antal af AUs medarbejdere kan ikke arbejde, AUs anseelse udadtil kan skades betydeligt. 5: Aktivet er af kritisk betydning for AU. Uden dette aktiv kan de fleste dele af AU ikke fungere, flertallet af AUs medarbejdere kan ikke arbejde, AU må allokere betydelige ressourcer til genoprettelse mv, AUs anseelse udadtil skades betydeligt. 6: Aktivet er uvurderligt for AU. Uden dette aktiv kan AU ikke fungere, ingen af AUs medarbejdere kan arbejde, AUs overlevelse er truet. 2.3 Ejere af systemer og data Ansvar for adgangsrettigheder Aktivets ejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder i overensstemmelse med AUs, Fakultetets eller områdets generelle adgangspolitik. Administration af Internet-domænenavne Der skal forefindes en liste over AUs registrerede domænenavne, status for brug, betalingsoplysninger og dato for fornyelse. Ansvaret for registrering af de primære domænenavne ligger hos AU IT. Ansvaret for projektorienterede domænenavne kan ligge decentralt, men domænerne skal være centralt kendt. Sikkerhedsansvar for IT-funktioner Alle kritiske IT-funktioner, der kræver specialviden, færdighed eller erfaring skal identificeres, og der skal udpeges en driftsansvarlig ejer. Sikkerhedsansvar for informationsaktiver Vicedirektøren for IT har ansvaret for at vedligeholde lister over samtlige informationssystemer. Listerne angiver den sikkerhedsansvarlige ejer af hvert enkelt system. Listerne skal samles og vedligeholdes ét sted. 2.4 Dataintegritet Opbevaring og behandling af data Forretningskritiske data skal altid opbevares og behandles således, at dataintegriteten ikke kan drages i tvivl. Side 14 af 42

17 2.5 Identifikation og registering af aktiver Registrering af hardwaresystemer Registreringen af hardwaresystemer skal indeholde oplysninger om enhedens betydning for AU, klassificering af de data som det behandler, risikovurdering, type og placering, driftsforhold (herunder evt. delegerede), adgangskontrolforhold, backup og arkivforhold, krydsreferencer og oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus samt oplysninger om fabrikat, model, serienummer, serviceforhold og lignende. Registrering af sammenhænge/funktioner (ensembler) Registreringen af ensembler skal indeholde krydsreferencer for datasamlinger, software- og hardwaresystemer, som tilsammen udgør et forretningsmæssigt system og skal indeholde oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus. Registrering af datasamlinger Registreringen af datasamlinger skal indeholde oplysninger om datasamlingens betydning for AU, klassificering, risikovurdering, type og placering, driftsforhold (herunder evt. delegerede), adgangskontrolforhold, backup og arkivforhold, krydsreferencer og oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus. Registrering af softwaresystemer Registreringen af softwaresystemer skal indholde oplysninger om systemets betydning for AU, klassificering af de data som det behandler, risikovurdering, type og placering, driftsforhold (herunder evt. delegerede), adgangskontrolforhold, backup og arkivforhold, krydsreferencer og oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus samt oplysninger om licenser, kildekoder og versionsstyring. Identifikation af informationsaktiver Alle Universitetets informationsaktiver - hardware, software, datasamlinger og forretningskritiske funktioner - skal være identificerede. Registrering af informationsaktiver Alle AUs væsentlige informationsaktiver - hardware, software, datasamlinger og forretningskritiske funktioner - skal registreres i metadatabaser med ejerskab og alle relevante oplysninger. 3. Personalesikkerhed og brugeradfærd Informationssikkerheden i virksomheden afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre virksomheden gennem ansættelse af de rigtige medarbejdere, uddanne medarbejdere i jobfunktioner og sikkerhed - samt sætte regler for, hvordan man skal agere i forhold til sikkerhedshændelser og -risici. Side 15 af 42

18 3.1 Ansættelsesprocedurer Baggrundscheck af ansatte HR afdelingen skal i samarbejde med Vicedirektøren for IT tilse, at der sker forsvarligt baggrundscheck af IT-medarbejdere. HR afdelingen skal, i samarbejde med den ansættende enhed, tilse, at der sker forsvarligt baggrundscheck af medarbejdere med ansvar for forretningskritiske arbejdsområder. Baggrundscheck af medarbejdere bør omfatte: En personlig reference. Ansøgerens curriculum vitæ. Uddannelser og professionelle kvalifikationer. Returnering af aktiver ved fratrædelse Medarbejderen skal aflevere alle de af AU udleverede aktiver ved ansættelsens ophør. Såfremt der indgås særlige aftaler, fx Emeritusordninger, kan de udleverede aktiver forblive i medarbejderens varetægt. Inddragelse af privilegier ved fratrædelse HR skal i samarbejde med Vicedirektøren for IT lave og vedligeholde en procedure for inddragelse af privilegier i forbindelse med fratræden eller afskedigelse af personale. Proceduren skal gennemgås/opdateres minimum en gang om året. Proceduren for inddragelse af privilegier skal indeholde en liste over funktioner og personer, der skal informeres i forbindelse med fratrædelsen. 3.2 Funktionsadskillelse Sikring af forretningskritiske systemer Forretningskritiske systemer skal beskyttes ved hjælp af funktionsadskillelse, således at risikoen for misbrug af privilegier minimeres. Adgang til produktionsdata Systemadministratorers adgang til følsomme eller fortrolige oplysninger skal begrænses og registreres. 3.3 Ledelsens ansvar Ledelsens ansvar Det er nærmeste leders ansvar, at alle medarbejdere: Er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til Universitetets systemer og data. Er gjort bekendt med nødvendige retningslinier, således at de kan leve op til AUs informationssikkerhedspolitik. Opnår et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar i Universitetet. Side 16 af 42

19 3.4 Uddannelse Sikkerhedsuddannelse for IT-medarbejdere Alle IT-medarbejdere skal uddannes i sikkerhedsaspekterne i deres job. For eksempel for at mindske risiko for hændelser i forbindelse med deres eventuelle privilegerede adgang. Kendskab til klassificering af informationer Alle ansatte skal modtage instruktioner om, hvorledes data og dokumenter klassificeres. Kendskab til sikkerhedspolitikken Nærmeste leder er ansvarlig for, at nye medarbejdere modtager AUs informationssikkerhedspolitik senest på første arbejdsdag. Alle medarbejdere og studerende skal kvittere for, at de har læst og forstået AUs overordnede informationssikkerhedspolitik og de relevante regler. Alle IT-brugere modtager løbende instruktioner i overholdelse af AUs informationssikkerhedspolitik. Eksisterende studerende og medarbejdere hos Aarhus Universitet, har pligt til at holde sig informeret om de gældende regler på informationssikkerhed.au.dk Nye studerende ved Aarhus Universitet skal gøres bekendt med nødvendige retningslinjer inden de starter på Universitetet. Ansvaret herfor ligger hos studieadministrationen. 3.5 Sanktionsmuligheder og anmeldelse af ulovligheder Sanktioner Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til nærmeste leder, som i samarbejde med HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er således lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag. Anmeldelse Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden lovmæssig overtrædelse, vil der blive foretaget politianmeldelse. 3.6 Adfærdsregler Omgåelse af sikkerhedsforanstaltninger Det er ikke tilladt at forsøge at omgå sikkerhedsmekanismer. Det er ikke tilladt at foretage uautoriseret afprøvning af sikkerheden. Tavshedspligt AUs IT-medarbejdere er omfattet af tavshedspligt. De oplysninger om brugere, IT-medarbejderne i forbindelse med deres arbejde måtte få kendskab til, må ikke gives videre til uvedkommende. Side 17 af 42

20 Ytringsfrihed AUs medarbejdere har, som alle borgere i Danmark ytringsfrihed, som kun begrænses af straffelovens paragraffer om injurier, racisme el. lign. AU følger Justitsministeriets Vejledning om offentligt ansattes ytringsfrihed (September 2006). Relaterede Procedurer Vejledning om offentligt ansattes ytringsfrihed 3.61 Adfærdsregler for brug af adgangskode Brug af kodeordsbeskyttet pauseskærm Som bruger skal du aktivere kodeordsbeskyttet skærmlås, når du forlader din arbejdsstation, således at den er uden for din synsvidde. Alle arbejdsstationer skal automatisk aktivere skærmlås efter 10 minutters inaktivitet. Genbrug af kodeord Medarbejdere og studerende bør ikke genbruge kodeord til AUs infrastruktur til adgang til tredjeparts systemer som fx websteder og netbanker. Brug af samme kodeord på tredjeparts systemer øger sandsynlighed for, at kodeordets fortrolighed krænkes. Overdragelse af kodeord Kodeord må ikke overdrages på ukrypterede forbindelser, for eksempel . Midlertidige/engangskodeord kan overdrages verbalt efter sikring af modtageres identitet. Kodeord er strengt personlige Kodeord er strengt personlige og må ikke deles med andre, heller ikke itmedarbejdere Adfærdsregler for brug af internet Logning - Internetadgang Logning af alle forbindelser til Internettet kan ske automatisk via AUs Firewalls. Logningen kan omfatte dato og tidspunkt, netværksadresser på klient (fra hvilken brugernavnet kan udledes) og server, sti til besøgte sider og navn og størrelse på downloadede filer. AU IT udarbejder ikke rutinemæssigt oversigter over den enkelte brugers aktiviteter og foretager ingen vurdering af disse aktiviteters relevans for den pågældende medarbejders arbejde. Blokering af netadgang AU IT forbeholder sig ret til at spærre brugerkonti og foretage omgående frakobling af en given brugers computer, såfremt det skønnes nødvendigt for at opretholde netværkssikkerheden eller på anden måde at sikre driften. Side 18 af 42

21 Download af filer og programmer fra Internettet Filer må downloades fra Internet til arbejdsmæssig brug, og i rimeligt omfang til privat brug, jf. reglerne om privat anvendelse af Internetforbindelsen. Det er tilladt at hente programmer fra Internet til arbejdsmæssig brug, forudsat sikkerhedspolitikken og alle licensbetingelser i øvrigt overholdes, og at der ikke er et lokalt forbud mod installation af tredjepartsprogrammer på den pågældende maskine. Det er tilladt at hente programmer fra Internettet i rimeligt omfang til privat brug, forudsat sikkerhedspolitikken i øvrigt overholdes, og alle licensbetingelser overholdes. Kriminelle aktiviteter - Internetadgang Brug af Internetforbindelsen til kriminelle aktiviteter af enhver art, herunder (men ikke begrænset til) hackning, download eller distribution af pirat-software, -musik, -film eller anden omgåelse af lov om ophavsret, er forbudt. Det samme gælder for ulovlig pornografi, mens aktiviteter omhandlende legal pornografi vil falde under forbuddet mod aktiviteter udført med AUs identitet, som kan skade AUs anseelse. Forsøg på at omgå AUs sikkerhedsmekanismer er forbudt. Tilsvarende er ethvert forsøg på at omgå andres sikkerhedsmekanismer fra AUs Internetforbindelse forbudt. Andre begrænsninger - Internetadgang Begrænsninger i adgangen til visse tunge applikationer kan også gælde arbejdsrelaterede opgaver (fx overførsel af store mængder forskningsdata), hvor AU IT fx kan vurdere, at disse aktiviteter om muligt skal foretages uden for almindelig arbejdstid. Dette meldes i givet fald ud via og/eller intranettet. Kommerciel brug - Internetadgang AUs Internetforbindelse må ikke benyttes til private kommercielle aktiviteter. Studerende og medarbejdere, der har eget firma udenfor AU må gerne tilgå services i dette firma fra Universitetets netværk, såfremt det ikke udgør en sikkerhedsrisiko for AU, og såfremt eksisterende tekniske foranstaltninger tillader dette. Der kan ikke gives tilladelse til at åbne fx firewall porte e.lign. for at give adgang til private formål. Studerende og medarbejdere må under ingen omstændigheder drive private firmaer fra udstyr der befinder sig på AUs netværk, således at firmaet derved kan associeres med AU. Agtpågivenhed - Internetadgang AU IT gør deres yderste for at sikre nettrafikken ved hjælp af antivirusprogrammer, Firewall-regler samt sikkerhedsopdateringer på PC erne, men disse sikringsmekanismer kan i visse tilfælde være utilstrækkelige, og alle brugere skal derfor orientere sig om, og udvise agtpågivenhed overfor trusler mod IT-sikkerheden fra Internettet. Begrænset netadgang fra visse maskiner Vær opmærksom på, at visse maskiner (fx, men ikke begrænset til servere, styringsscomputere til laboratorie- og klinisk udstyr mv.) ikke må benyttes til netværksadgang. Side 19 af 42

22 Ansvarsfraskrivelse - Internetadgang Vælger man at benytte sin arbejds-pc til at udføre privatøkonomiske transaktioner (Netbank, PC-bank og lignende) over AUs Internetforbindelse skal man være opmærksom på, at AU er uden ansvar for fejl og tab af enhver art. Adgang og identitet - Internetadgang Computere tilsluttet AUs lokalnetværk har adgang til Internettet - og vil der sædvanligvis optræde med identiteter, som henviser til au.dk eller et andet af AUs domæner. Det påhviler derfor den enkelte bruger at sikre, at hans eller hendes færden på Internettet hverken kompromitterer sikkerheden eller AUs anseelse. Anvendelse - Internetadgang Adgang til WWW og andre net-tjenester er primært forbeholdt aktiviteter i direkte forbindelse med arbejde/studier, men det er tilladt at bruge AUs netforbindelse til private formål. Private aktiviteter må under ingen omstændigheder have et omfang, der kan genere andre medarbejderes eller studerendes legitime arbejds- eller studierelaterede aktiviteter Adfærdsregler for brug af Adgang og identitet Alle ansatte og studerende ved AU har en adresse og har adgang til at sende og modtage elektronisk post. adressen omfatter AUs navn ved at indeholde au.dk eller et andet af AUs domæner. Det påhviler den enkelte bruger at sikre, at hans eller hendes brug af er i overensstemmelse hermed, dvs. ikke kan skade AUs anseelse. Brevhemmelighed Der er generelt ikke adgang for andre til at læse en medarbejders eller en studerendes e-post. De enkelte afdelinger kan arrangere, at medarbejderne giver hinanden eller fx en sekretær læseadgang til postkasserne eller dele deraf, men sådanne arrangementer træffes i åbenhed af afdelingerne selv. AU IT kan skaffe sig adgang til alle e- postkasser på AUs posthuse. Dette kan være nødvendiggjort af tekniske nedbrud (fx mail-loops, der har fyldt en fraværende medarbejders/studerendes postkasse op), eller et tvingende behov for at skaffe sig adgang til en besked, der vides sendt til en fraværende medarbejder. Hvor AU IT er nødt til at skaffe sig en sådan adgang, skal det altid ske efter aftale med den pågældende medarbejder/studerende selv, eller hvis dette ikke er muligt, med medarbejderens chef/vicedirektøren for studieområdet. Den pågældende medarbejder/studerende skal uophørligt orienteres om episoden. Dataejerskab og journaliseringspligt Alle data på AUs servere ejes som udgangspunkt af AU. Dette gælder også tjenstlige s. er omfattet af samme regler som almindelig brevpost, og skal derfor journaliseres i henhold til samme regler som dette. Blokering af konti AU IT forbeholder sig ret til at spærre konti og foretage omgående frakobling af en given brugers computer, såfremt det skønnes nødvendigt for at opretholde sikkerheden eller på anden måde at sikre driften. Side 20 af 42

23 Agtpågivenhed AU IT gør sit yderste for at sikre trafikken ved hjælp af filtre mod virus, malware og spam samt via løbende sikkerhedsopdateringer på PC erne, men disse sikringsmekanismer kan være utilstrækkelige, og alle brugere skal derfor orientere sig om og udvise agtpågivenhed over for e- mail bårne trusler mod IT-sikkerheden. Registrering Alle s, som modtages (dvs. passerer institutionens spam-filter), og de s, som afsendes med egen-kopi, lagres i AUs databaser, som er beskyttet af omfattende transaktionslogning og regelmæssig backup. AU IT udarbejder ikke rutinemæssigt oversigter over den enkelte brugers aktiviteter og foretager ingen vurdering af disse aktiviteters relevans for den pågældende brugers arbejde. Anvendelse Brugen af er primært forbeholdt aktiviteter i direkte forbindelse med arbejde/studier, men det tillades at bruge til private formål. Private mails bør tydeligt sorteres/mærkes, således at de kan skelnes fra arbejdsmæssige/studierelaterede mails. Der bør laves en folder der hedder Privat/Private til opbevaring af privat korrespondace, og man bør markere sendte mails med ordet "privat"/"private" i emnefeltet. Private aktiviteter må under ingen omstændigheder have et omfang, der kan genere andre medarbejderes eller studerendes legitime arbejds- eller studierelaterede aktiviteter, og private s må ikke fylde AUs posthuse op. Kriminelle aktiviteter Brug af til kriminelle aktiviteter af enhver art, herunder (men ikke begrænset til) distribution af pirat-software, -musik, -film eller anden omgåelse af lov om ophavsret, er forbudt, og eventuelle overtrædelser af dette forbud håndteres efter de almindelige fagretlige regler (se afsnittet om Sanktioner ). Det samme gælder for ulovlig pornografi, mens aktiviteter omhandlende legal pornografi vil falde under forbuddet mod aktiviteter udført med AUs identitet, som kan skade AUs anseelse. må ikke benyttes til ulovlige aktiviteter såsom kædebreve mv. Kommerciel brug kontiene må ikke benyttes til private kommercielle aktiviteter. Godkendte kommercielle aktiviteter (fx datterselskaber under AU) skal have eget postdomæne, og der skal udarbejdes klare retningslinier, som sikrer, at de enkelte medarbejdere skal afsende fra den rigtige konto, således at sammenblanding af roller undgås Adfærdsregler for brug af trådløse netværk Forbindelse til fremmede trådløse netværk Brugere må forbinde sig til fremmede trådløse netværk, forudsat at godkendt Firewall eller VPN-software er i brug. Installation af trådløst udstyr Medarbejderne må kun benytte de officielle trådløse netværk. Man må ikke installere eller ibrugtage udstyr, der giver anden trådløs netadgang, herunder oprette ad-hoc trådløse net. Side 21 af 42

24 3.66 Adfærdsregler for databeskyttelse Basal beskyttelse af data forbuddet mod usikrede unika Den basale data-beskyttelse er baseret på regelmæssig sikkerhedskopiering (backup), som sikrer, at data kan rekonstrueres, hvis de er blevet slettet, overskrevet, en disk er fejlet, eller en computer stjålet. Pligten til at lagre data på sikrede servere AUs servere og netværksdrev er omfattet af backup, og som udgangspunkt skal alle data lagres på AUs servere, hvor sådanne findes. Forholdsregler når data ikke kan lagres sikkert on-line Der er selvfølgelig situationer, hvor unika ikke umiddelbart kan lagres på de sikrede servere (fx data som indsamles i felten, eller mens beregninger pågår), men man er som medarbejder hos AU forpligtet til at sikre alle data ved lagring ved først givne lejlighed. Først givne lejlighed varierer fra tilfælde til tilfælde; vurder det på baggrund af hvor mange data du/au kan tåle at miste som en del af den obligatoriske risikovurdering af dit informationsaktiv og få AU IT til at hjælpe med teknologiske løsninger (lokale backupenheder, fjernsynkronisering af data osv.) Adfærdsregler for brug af sociale netværkstjenester Universitetets informationer på sociale netværk Sociale netværk er ikke lukkede og ikke sikre. Kun informationer, som kan stilles til rådighed på AUs offentlige hjemmesider (dvs i laveste klassifikations kategori), må distribueres via sociale netværk. Logning af sociale netværk Som led i den almindelige netværksovervågning bliver netværkstrafik til sociale netværk også overvåget Adfærdsregler for overholdelse af licensregler Kommerciel brug - licenseret software Mange af de programmer, AU anvender, er anskaffet under særligt gunstige vilkår, fordi AU er en forsknings- og uddannelsesinstitution. Disse programmer vil være underlagt restriktioner i forhold til kommerciel anvendelse. AU IT skal altid spørges før kommerciel brug af software. Eksterne parter - licenseret software Mange af AUs IT-systemer er licenseret alene til AUs eget brug. Det er derfor sædvanligvis nødvendigt at tilkøbe yderligere licenser, hvis et system skal anvendes af eksterne parter i særdeleshed fx hvis et system stilles til rådighed bredt via Internettet. AU IT skal altid konsulteres om licensforhold ved udarbejdelse af projekter med ekstern adgang. (Licensforhold er således en del af den obligatoriske risikovurdering, som alle projekter med ekstern adgang skal gennemgå.) Side 22 af 42