Informationssikkerhedshåndbog

Størrelse: px
Starte visningen fra side:

Download "Informationssikkerhedshåndbog"

Transkript

1 Aarhus Universitet Informationssikkerhedshåndbog Regler

2 Indholdsfortegnelse Politik 2 Rektors forord 2 Informationssikkerhedspolitik - Aarhus Universitet 3 Regler 8 Indledning 8 1. Organisation og implementering Risikobevidsthed Informationssikkerhedspolitik Strategi for informationssikkerhed Sikkerhedsimplementering Outsourcing Sikkerhed i tredjeparts adgang Organisering af persondata-området Ejerskab Identifikation, klassifikation og ansvar for aktiver Håndtering af informationer og aktiver Klassifikation af informationer og data Ejere af systemer og data Dataintegritet Identifikation og registering af aktiver Personalesikkerhed og brugeradfærd Ansættelsesprocedurer Funktionsadskillelse Ledelsens ansvar Uddannelse Sanktionsmuligheder og anmeldelse af ulovligheder Adfærdsregler Adfærdsregler for brug af adgangskode Adfærdsregler for brug af internet Adfærdsregler for brug af Adfærdsregler for brug af trådløse netværk Adfærdsregler for databeskyttelse Adfærdsregler for brug af sociale netværkstjenester Adfærdsregler for overholdelse af licensregler Fysisk sikkerhed Generelle retningslinier Tekniske sikringsforanstaltninger Beskyttelsesanlæg Sikre områder Udstyrssikkerhed Gæster It- og netværksdrift Daglig administration Ekstern serviceleverandør Håndtering af datamedier Operationelle procedurer og ansvarsområder Systemplanlægning Overvågning af systemer Styring af ændringer Beskyttelse mod skadelige programmer Indholdsfiltrering Styring af netværk Trådløse netværk Forbindelser med andre netværk Netværksovervågning 31

3 5.14 Overvågning af systemadgang og brug Mobile arbejdspladser og hjemmearbejdspladser Elektroniske forretningsydelser Brug af kryptografi Adgangskontrol og metoder Adgangskontrol til operativsystemer Adgangskontrol for applikationer Logisk adgangskontrol Administration af adgangskontrol Brugerens ansvar Adgangskontrol til netværk Styring af systemadgang Udvikling, anskaffelse og vedligeholdelse Sikkerhedskrav ved anskaffelser Sikkerhed i softwareudviklingsmiljø Sikkerhed ved ændringer Integritet for programmer og data Styring af sikkerhedshændelser Opdagelse og rapportering af hændelser Reaktion på sikkerhedsmæssige hændelser Opfølgning på hændelser Beredskabsplanlægning og fortsat drift Beredskabsplaner Planlægning af beredskab Ansvar for kritiske funktioner og processer Sikkerhedskopiering Lovgivning, kontrakter og etik Overholdelse af lovmæssige krav Ophavsret Identificerede love og regelsæt Kontrol og revision 42

4 Politik Rektors forord Kære medarbejdere og studerende ved Aarhus Universitet. Aarhus Universitet er en vidensvirksomhed. En stadig større del af vores viden skabes, behandles og gemmes på ITsystemer. Derfor skal alle, der har deres virke på AU, såvel forskere, undervisere og teknisk/administrativt personale som studerende have den størst mulige fokus på informationssikkerhed. Informationssikkerhed betyder forskellige ting for forskellige mennesker. Denne håndbog prøver at komme rundt om alle væsentlige områder. Hvis du troede, at infomationssikkerhed bare er noget om vira og hackere, bør du studere politikken, reglerne og procedurerne nøje, der er langt flere aspekter. Det systematiske infomationssikkerhedsarbejde hviler på 3 hovedsøjler - tilgængelighed, integritet og fortrolighed. At tilgængeligheden skal sikres bedst muligt er vist indlysende for alle. Et universitet - på linie med snart sagt alle moderne virksomheder - er nærmest paralyseret hvis IT-systemerne er nede. Tilsvarende er hele Universitetets virke baseret på vores integritet - der må ikke kunne stilles spørgsmålstegn ved den, så vores IT-systemer skal altid være retvisende. Og endelig må vi, selvom vi er sat i verden til at formidle viden, ikke være blinde for at betydelige dele af vores data indeholder følsomme eller fortrolige oplysninger som skal beskyttes. Det gælder f.eks. forskningsdata med følsomme personoplysninger eller fortrolige informationer til rådgivning og myndighedsbetjening Så uanset hvad vores arbejde på Aarhus Universitet er - det være sig indenfor forskning, uddannelse, overvågning, rådgivning, information eller administration - skal vi altid have øje for informationssikkerheden. Informationssikkerhedshåndbogen for Aarhus Universitet udstikker spillereglerne for informationssikkerheden. Den udgør en integreret del af de regler og forordninger alle skal kende og overholde som betingelse for at være ansat eller indskrevet ved Universitetet. Meget af det der står på disse sider er almindelig sund fornuft. Ting man godt ved i forvejen. Nu er det skrevet ned i en håndbog, som alle har pligt til at kende og efterleve. Med venlig hilsen Lauritz B. Holm-Nielsen Rektor Side 2 af 42

5 Informationssikkerhedspolitik - Aarhus Universitet 1 Informationssikkerhedspolitik for Aarhus Universitet 1.1 Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos Aarhus Universitet. Som et led i den overordnede sikkerhedsstyring tager ledelsen på grundlag af den løbende overvågning og rapportering informationssikkerhedspolitikken op til revurdering minimum hvert andet år. Politikken omfatter Aarhus Universitets informationer, som er enhver information, der tilhører Aarhus Universitet herudover også informationer, som ikke tilhører Aarhus Universitet, men som Aarhus Universitet kan gøres ansvarlig for. Dette inkluderer fx alle data om personale, data om finansielle forhold, alle data, som bidrager til administrationen af Aarhus Universitet, samt informationer som er overladt Aarhus Universitet af andre, herunder forsøgs- og forskningsdata. Disse data kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller enhver anden information, som kun er til intern brug. Denne politik omfatter alle Aarhus Universitets informationer, ligegyldigt hvilken form de opbevares og formidles på. 1.2 Formål Informationer og informationssystemer er nødvendige og livsvigtige for Aarhus Universitet, og informationssikkerheden har derfor vital betydning for Aarhus Universitets troværdighed og funktionsdygtighed. Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af Aarhus Universitets informationer og særligt at sikre, at kritiske og følsomme informationer og informationssystemer bevarer deres fortrolighed, integritet og tilgængelighed. Derfor har Aarhus Universitets ledelse besluttet sig for et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav og indgåede aftaler, herunder licensbetingelser. Ledelsen vil oplyse medarbejdere og studerende om ansvarlighed i relation til Aarhus Universitets informationer og informationssystemer. Hensigten med sikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til Aarhus Universitet, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres. 1.3 Omfang Denne politik gælder for alle ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for Aarhus Universitet. Alle disse personer bliver her betegnet som medarbejderne. Politikken gælder endvidere for studerende, der i forbindelse med deres studie anvender informationsaktiver tilhørende Aarhus Universitet. Ved udlicitering af dele af eller hele IT-driften skal det sikres i samarbejdet med serviceleverandøren, at Aarhus Universitets sikkerhedsniveau fastholdes, således at serviceleverandøren, dennes faciliteter og de medarbejdere, som har adgang til Aarhus Universitets informationer, mindst lever op til Aarhus Universitets informationssikkerhedsniveau. 1.4 Organisering af informationssikkerhedsarbejdet Aarhus Universitet har organiseret sit informationssikkerhedsarbejde gennem en række informationssikkerhedsudvalg, jf. Figur 1. Side 3 af 42

6 Figur 1 - Organisering af informationssikkerhedsarbejdet Det operationelle ansvar for den daglige styring af informationssikkerhedsindsatsen er placeret hos it-sikkerhedschefen. Denne sikrer i samarbejde med primært sikkerhedsudvalgene og sekundært vicedirektøren for it, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltninger, der er beskrevet i sikkerhedshåndbogen, gennemføres og efterleves. Ligeledes er det væsentligt, at informationssikkerhed integreres i alle forretningsgange, driftsopgaver og projekter. De lokale informationssikkerhedsudvalg er ansvarlige for gennemførelsen af det arbejde som ligger i årshjulet, der er beskrevet i bilag Sikkerhedsniveau Det er Aarhus Universitets politik at beskytte sine informationer og udelukkende tillade brug, adgang og offentliggørelse af informationer i overensstemmelse med Aarhus Universitets retningslinjer og under hensyntagen til den til enhver tid gældende lovgivning. Aarhus Universitet fastlægger på baggrund af en risikovurdering et sikkerhedsniveau som svarer til betydningen af de pågældende informationer. Der gennemføres mindst en gang årligt en risikovurdering, så ledelsen kan holde sig informeret om det aktuelle risikobillede. Der foretages ligeledes en risikovurdering ved større forandringer i organisationen. Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til arbejdets gennemførelse og økonomiske ressourcer. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it, samt det forhold at Universitetet har en samfundsrolle som leverandør af frit tilgængelig information. 1.6 Sikkerhedsbevidsthed Side 4 af 42

7 Informationssikkerhed vedrører Aarhus Universitets samlede informationsflow, og gennemførelse af en informationssikkerhedspolitik kan ikke foretages af ledelsen alene. Alle medarbejdere og studerende har et ansvar for at bidrage til at beskytte Aarhus Universitets informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Alle medarbejdere og studerende skal derfor løbende have information om informationssikkerhed i relevant omfang. Som brugere af Aarhus Universitets informationer skal alle medarbejdere og studerende følge informationssikkerhedspolitikken og de retningslinjer, der er afledt heraf. Medarbejderne og de studerende må kun anvende Aarhus Universitets informationer i overensstemmelse med det arbejde, de udfører for Aarhus Universitet, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes følsomhed, særlige og/eller kritiske natur. 1.7 Brud på informationssikkerheden Såfremt en medarbejder eller en studerende opdager trusler mod informationssikkerheden eller brud på denne, skal dette straks meddeles til den ansvarlige for den daglige ledelse af informationssikkerhedsindsatsen. Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til nærmeste leder, som i samarbejde med HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er således lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag. Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden lovmæssig overtrædelse, vil der blive foretaget politianmeldelse. Bilag 1 : Anvendelse i praksis De retningslinjer samt sikkerheds- og kontrolforanstaltninger, der gælder i Aarhus Universitet, samles i en sikkerhedshåndbog. Sikkerhedshåndbogen skal indeholde en beskrivelse af de informationssikkerhedsområder, der er relevante for Aarhus Universitet. Som minimum omfatter det operationelle ansvar: at sikre, at informationssikkerhedspolitikken og afledte retningslinjer implementeres. at sikre en bestemmelse af værdien af de informationer, som er nødvendige for Aarhus Universitet, samt at træffe rimelige forholdsregler til beskyttelse af disse informationer, herunder at afse de nødvendige midler og ressourcer hertil. at der udpeges system- og informationsejere for samtlige informationer og informationssystemer. at klassificere og beskytte de informationer, som Aarhus Universitet har ansvaret for. at forebygge og begrænse risici til en for Aarhus Universitet kendt og accepteret størrelse. at udarbejde regler for informationskontrol og beskyttelse, som skal følges af de medarbejdere, der behandler og anvender informationerne. at etablere regler for adgang og brug af informationer samt at sikre, at reglerne bliver revideret med jævne mellemrum. at definere reglerne for arkivering af informationer, således at disse altid kan genskabes senere inden for en kendt og accepteret tidshorisont. at udarbejde en brugbar plan til at retablere daglig drift, såfremt informationerne eller informationssystemerne ødelægges, uanset af hvilken grund, således: at omfanget af og konsekvenserne ved nødsituationen kan minimeres. at væsentligste dele af den daglige forretningsmæssige drift i Aarhus Universitet kan gennemføres via alternative forretningsgange. Side 5 af 42

8 at alle relevante berørte parter kan holdes orienteret i fornødent omfang at den fulde drift af informationssystemerne kan genoptages inden for en kendt og accepteret tidshorisont. at sikre, at enhver sikkerhedsmæssig informationsaktivitet på følsomme og fortrolige data, kan henføres til den person, som har udført aktiviteten, samt at sikre gennemførelse af de fornødne kontroller til opdagelse af misbrug eller forsøg herpå. at etablere regler for rettighedstildeling og funktionsadskillelse, som skal forebygge og begrænse konsekvenser af fejl, uheld og negative handlinger, der bevidst er foretaget af enkeltpersoner. at sikre, at Aarhus Universitets udvikling og implementering af systemer udføres under iagttagelse af betryggende sikkerhedsforanstaltninger. at sikre, at Aarhus Universitets leverandører overholder de sikkerhedsforskrifter, som er gældende for Aarhus Universitets informationer, faciliteter og medarbejdere i samarbejdet med Aarhus Universitet. at træffe de nødvendige forholdsregler for at sikre, at informationssikkerhedspolitikken og afledte retningslinjer bliver overholdt. at sikre den fornødne ledelsesrapportering af status for informationssikkerheden, herunder aktiviteter og hændelser. Bilag 2 : Årshjul Aarhus Universitet har opstillet et årshjul som beskriver arbejdet med informationssikkerheden. Dette årshjul ser ud som følger: Som det fremgår af navnet skal alle aktiviteter i hjulet gennemføres en gang årligt, startende med system- og dataklassifikationen, og Awareness er en central del af arbejdet, som skal køre hele året. Side 6 af 42

9 Side 7 af 42

10 Regler Indledning Ordforklaringer Bør: Ordet bør anvendes flere steder i denne håndbog. Generelt gælder det at bør = skal, medmindre der er givet dispensation herfor. Dispensation gives af det centrale informationssikkerhedsudvalg. En dispensation er altid skriftlig, og med en tidsbegrænset varighed - typisk 1 år. Det er brugerens ansvar at sikre sig en evt. forlængelse af dispensationen. IT-sikkerhedschefen vedligeholder en oversigt over de givne dispensationer. Arbejdsmæssig brug: Formuleringen "arbejdsmæssig brug", dækker, hvor intet andet er nævnt, også over studerendes studiemæssige brug. Det samme gælder for formuleringen "arbejdsrelateret brug". 1. Organisation og implementering Placering af ansvar er vitalt for at sikre opmærksomhed på Universitetets informationsaktiver. Organisationsstrukturen på Universitetet og samarbejde med eksterne partnere er yderst vigtig for at opretholde et tidssvarende sikkerhedsniveau. Kontrakter med partnere og andre aftaler er ligeledes et område, der har indflydelse på informationssikkerheden. 1.1 Risikobevidsthed Risikoanalyse Aarhus Universitet klassificerer sine systemer i A, B og C systemer. For type A systemer skal der udarbejdes både en risikoanalyse og en beredskabsplan, for type B systemer skal der udarbejdes en risikoanalyse, mens type C systemer ikke kræver hverken beredskabsplaner eller risikoanalyser. Arbejdet styres centralt, men udføres decentralt på fakultets- eller institutniveau efter nærmere beslutning. Der skal udarbejdes en detaljeret risikoanalyse for alle type A og B systemer på tværs af alle områder på Universitetet. Listen over systemtyper skal revideres årligt, og risikoprofilen for systemerne på listen revurderes med samme frekvens. Endvidere kan særlige områder udtages til detaljeret risikovurdering efter beslutning i det centrale informationssikkerhedsudvalg med det formål at få dækket alle områder i detaljer med tiden. Standardiserede metoder for risikovurdering skal anvendes. "Orakelmetoden" - hvor sandsynlighed og konsekvens af de forskellige trusler vurderes af ejere og eventuelle brugere på basis af deres erfaring - benyttes som udgangspunkt for en beregning af trusselsbilledet. Alle identificerede informationsaktiver skal i forbindelse med registreringen gennemgå en klassificering og en basal risikovurdering. Den basale risikovurdering kan tage udgangspunkt i "lignende systemer" (baselines) og har som primært sigte at få ejere af informationsaktiver til at indgå aktivt i udviklingen af risikostyringen. Side 8 af 42

11 Konsekvensvurdering Konsekvenser af hændelser i mod IT-systemerne skal løbende vurderes. Overordnet risikovurdering Der skal udføres en overordnet risikovurdering af trusselsbilledet for Universitetet. Den overordnede risikovurdering skal indeholde konsekvensvurdering og sårbarhedsvurdering. Risikovurderingen skal opdateres ved alle væsentlige ændringer i risikobilledet, dog mindst en gang om året. Der skal gennemføres en bredt funderet risikovurdering med revurdering, der dækker hele Universitetet. Målet er at sikre, at sårbarheder, trusler og konsekvenser er kendte, og at deres sammenhæng afspejles i Universitetets risikoprofil. Risikovurderingen skal omfatte alle type A og B systemer samt udvalgte IT-systemer, som er repræsentative for områdernes virke og qua deres antal i sig selv forretningskritiske. Information om nye trusler, virus og sårbarheder AU IT skal holde sig orienteret inden for de benyttede platforme. AU IT skal etablere en proces for identifikation af nye sårbarheder. Der skal udpeges en ansvarlig person eller gruppe for dette. AU IT skal gennem det centrale informationssikkerhedsudvalg informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældende forretningsenheder med henblik på at tilpasse forretningsgange og tilvejebringe de fornødne ressourcer for at modvirke truslerne. Håndtering af sikkerhedsrisici Når risikovurderingerne afdækker sikkerhedsbehov, som ikke pt. honoreres af de tilgængelige sikringsmekanismer og procedurer skal ITsikkerhedschefen bringe emnet op i det centrale informationssikkerhedsudvalg, som efter nærmere behandling pålægger AU IT at identificere mulige løsningsmodeller, prioriterer mellem forskellige behov og bistår AU IT med at få tilført de nødvendige resurser til løsning af opgaven. 1.2 Informationssikkerhedspolitik Dispensation for krav i sikkerhedspolitikken Dispensation for efterlevelsen af sikkerhedspolitikkerne er kun muligt, hvis dette dokumenteres grundigt og er forsvarligt for de respektive system- og procesejere. Dispenseringen tiltrædes af topledelsen, og revideres mindst en gang om året. Den relevante system- og procesejer er personligt ansvarlig for enhver sikkerhedshændelse, der sker som en direkte konsekvens af dispensationen. Offentliggørelse af sikkerhedspolitik Sikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere og studerende. Godkendelse af sikkerhedspolitik Sikkerhedspolitikken skal minimum hvert andet år godkendes af Universitetsledelsen efter indstilling fra det centrale informationssikkerhedsudvalg. Side 9 af 42

12 Opfølgning på implementering af sikkerhedspolitikken Hver enkelt leder skal løbende sikre, at sikkerhedspolitikken bliver overholdt inden for eget ansvarsområde. Vedligeholdelse af sikkerhedspolitik Universitetets sikkerhedspolitik, regler, procedurer og deraf afledt dokumentation skal vedligeholdes af IT-sikkerhedschefen, i samarbejde med AU IT. 1.3 Strategi for informationssikkerhed Definition på Informationssikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer regelmæssige tekniske, proceduremæssige og lovmæssige kontroller. 1.4 Sikkerhedsimplementering Kontakt med relevante myndigheder Ved brud på sikkerheden er der etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder. Ledelsens rolle Ledelsen skal støtte Universitetets informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar. Sikkerhedsorganisation AUs Centrale Informationssikkerhedsudvalg har ansvar for at sikre, at strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med Universitetets mål. Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen varetages af IT-sikkerhedschefen. 1.5 Outsourcing Outsourcingpartnere Sikkerhedsniveauet hos alle outsourcingpartnere skal være acceptabelt. Alle outsourcingpartnere godkendes af Vicedirektøren for IT og ITsikkerhedschefen. Outsourcing AUs sikkerhed må samlet set ikke ikke forringes af outsourcing. Ved outsourcing af IT-systemer skal der inden indgåelse af kontrakt indhentes information om sikkerhedsniveau fra outsourcingpartner, herunder dennes sikkerhedspolitik. 1.6 Sikkerhed i tredjeparts adgang Samarbejdsaftaler Der må ikke gives adgang mellem Universitetets og eksterne parters informationsaktiver, før der er indgået en samarbejdsaftale, der som minimum skal indeholde en fortrolighedserklæring. Aftaler om informationsudveksling Ved udveksling af information og software imellem AU og evt. tredje part skal der foreligge en aftale herom. Side 10 af 42

13 Indhold af fortrolighedserklæringerne Definition af de informationer, der er omfattet. En fastlagt løbetid. Beskrivelse af hvad der skal ske, når aftalen udløber. Underskriverens ansvar for at undgå brud på den aftalte fortrolighed. Information om omfattede ophavsrettigheder. Beskrivelse af hvordan informationerne må anvendes, for eksempel hvilke brugsrettigheder til informationerne underskriveren får. Procedure for advisering og rapportering af brud på fortroligheden. Betingelser for returnering eller destruktion af informationsaktiver ved aftalens ophør. Sikkerhed i forhold til kunder Før AUs kunder må få adgang til organisationens informationsbehandlingssystemer, skal alle sikkerhedsforhold være afklaret. Sikkerhed ved samarbejde med partnere Ved integration af AUs systemer og processer med tredjepart skal sikkerhedsrisici altid vurderes og dokumenteres. Information til eksterne partnere Det skal sikres, at tredjepart gøres opmærksom på det forventede sikkerhedsniveau, herunder adgang til beskrevne politikker. Fortrolighedserklæring for studerende Det skal sikres, at studerende, der tildeles adgang til Universitetets følsomme og/eller fortrolige data, afgiver en fortrolighedserklæring. 1.7 Organisering af persondata-området Persondata-ansvarlig Dataejeren til aktiver som indeholder data, der er omfattet af persondataloven, er persondata-ansvarlig. Kontrol af overholdelse persondatalovgivning Den persondataansvarlige skal kontrollere overholdelse af persondatalovgivning. 1.8 Ejerskab Juridisk ejerskab Alle data på AUs computere (servere, stationære PC er, bærbare PC er etc.) tilhører Universitetet, med mindre andet er skriftligt aftalt, eller følger af gældende lovgivning, fx regler om intellectual property. Alle data på AUs computere er omfattet af AUs informationssikkerhedspolitik. Indholdet af studerendes netværksdrev anses som udgangspunkt for at være privat ejendom, medmindre den studerende har et ansættelsesforhold ved AU. Netværksdrev må kun anvendes til studiemæssig brug, og AU forbeholder sig retten til at overvåge brugen, og analysere på indholdet med henblik på at hindre misbrug. Side 11 af 42

14 Udpegelse af administrativ ejer Alle informationsaktiver skal have udpeget en administrativ ejer. Ejerskab defineres hos AU som en jobfunktion, som kan pålægges den enkelte medarbejder. Ejerskab i AU er hierakisk nedarvet fra Rektor gennem Dekanerne og Institutlederne til de enkelte medarbejdere. Ved fratræden eller andet fravær tilbagegår ejerskabet altid til den foregående person i kæden, indtil en ny ejer er udpeget. Der er således altid en ejer for alle AUs informationsaktiver. 2. Identifikation, klassifikation og ansvar for aktiver Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter, der er udskrevet, produktionsudstyr eller it-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 2.1 Håndtering af informationer og aktiver Accepteret brug af informationsaktiver Systemejere skal lave retningslinier for accepteret brug af AUs informationsaktiver. Opbevaring af følsomme eller fortrolige informationer på privat udstyr Personligt ejet IT-udstyr som pc, PDA, bærbare harddiske, memorysticks, MP3-afspillere, minidisks, CD- eller DVD-brændere må ikke anvendes til kopiering eller opbevaring af følsomme eller fortrolige data. Brug af bærbare medier til fortrolige data Følsomme og fortrolige informationer skal krypteres, når de opbevares eller transporteres på bærbare medier, fx USB-nøgler, PDA'er, CD'er eller DVD'er. Identifikation af kritiske processer Alle forretningskritiske funktioner og deres relaterede processer, systemer og ejere skal være identificerede og dokumenterede. 2.2 Klassifikation af informationer og data Kontrol med klassificerede informationer IT-sikkerhedschefen er ansvarlig for at definere et fast sæt af egnede og relevante sikkerhedskontroller til beskyttelse af de enkelte informationskategorier. Hvis der er tale om forretningskritiske informationer, skal der udarbejdes yderligere detaljerede kontroller ud fra en risikovurdering. IT-sikkerhedschefen skal i samarbejde med Vicedirektøren for IT sikre, at de nødvendige forholdsregler, procedurer og kontroller implementeres i de berørte driftsansvarlige afdelinger. Ansvar for klassifikation Det er ejeren, som har ansvaret for at klassificere det enkelte aktiv og tilse, at det sikres på behørig vis i overensstemmelse med klassifikationen. Side 12 af 42

15 Klassifikation af data og andre informationer AUs data og informationer, i det følgende "data", skal klassificeres efter følgende skala: Offentlige data: Defineret som data, som alle, der udtrykker et ønske om det, har eller kan få adgang til. Det kan fx være data på offentlige hjemmesider, uddannelsesbrochurer m.v. Disse data kræver som udgangspunkt ikke nogen særlig beskyttelse, dog skal man sikre, at kun godkendte personer kan redigere i disse data. Interne data: Defineret som data, der kun må anvendes og kommunikeres internt, og som i den daglige drift er nødvendige for de brugere, der skal anvende dem. Det kan fx dreje sig om mødereferater, blanketter, fakturaer mv. Interne data kræver en vis grad af beskyttelse. Som minimum skal man sikre, at kun autoriserede brugere har adgang til både at læse og ændre data. Følsomme data: Defineret som de data, som kun særligt betroede brugere kan få adgang til for at kunne udøve deres arbejdsfunktioner, og hvor et brud på fortroligheden kan være skadelig for AU eller vores samarbejdspartnere. Det kan fx dreje sig om ansøgninger, kontrakter, regnskabsdata mv. Følsomme data kræver en høj grad af beskyttelse. Adgangen skal begrænses til godkendte personer, og anvendelse af kryptering bør overvejes. Følsomme data data må aldrig opbevares eller behandles på privat udstyr, og hvis data flyttes til eksterne medier, skal der anvendes kryptering. Fortrolige data: Defineret som data, der er omfattet af Lov om behandling af personoplysninger. Fortrolige data kræver ekstra høj grad af beskyttelse. Adgangen skal begrænses til så få godkendte personer som muligt, og kryptering skal anvendes i det omfang, som loven foreskriver det. Fortrolige data må aldrig opbevares eller behandles på privat udstyr, og hvis data flyttes til eksterne medier, skal der anvendes kryptering. Ansvar for betydningsvurderingen Det er ejeren, som har ansvaret for at betydningsvurdere det enkelte informationsaktiv og tilse, at det sikres på behørig vis i overensstemmelse med dets betydning for AU. Side 13 af 42

16 Informationsaktiver skal betydningsvurderes Informationsaktiver betydningsvurderes efter følgende skala: 1: Aktivet er af mindre betydning for AU. Disse aktiver er typisk interne understøttende systemer, som ikke er væsentlige i det daglige arbejde, eller der er alternative løsningsmuligheder. 2: Aktivet er af betydning for en enkelt afdeling eller et konkret projekt. Uden dette aktiv kan et mindre antal medarbejdere ikke udføre daglige opgaver. AU kan ikke leve op til en kontraktlig forpligtelse. 3: Aktivet er betydningsfuldt for AU. Uden dette aktiv kan AUs virke ikke afvikles hensigtsmæssigt, et antal af AUs medarbejdere kan ikke arbejde, AUs anseelse udadtil kan skades. 4: Aktivet er af høj betydning for AU. Uden dette aktiv kan dele af AU ikke fungere, et antal af AUs medarbejdere kan ikke arbejde, AUs anseelse udadtil kan skades betydeligt. 5: Aktivet er af kritisk betydning for AU. Uden dette aktiv kan de fleste dele af AU ikke fungere, flertallet af AUs medarbejdere kan ikke arbejde, AU må allokere betydelige ressourcer til genoprettelse mv, AUs anseelse udadtil skades betydeligt. 6: Aktivet er uvurderligt for AU. Uden dette aktiv kan AU ikke fungere, ingen af AUs medarbejdere kan arbejde, AUs overlevelse er truet. 2.3 Ejere af systemer og data Ansvar for adgangsrettigheder Aktivets ejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder i overensstemmelse med AUs, Fakultetets eller områdets generelle adgangspolitik. Administration af Internet-domænenavne Der skal forefindes en liste over AUs registrerede domænenavne, status for brug, betalingsoplysninger og dato for fornyelse. Ansvaret for registrering af de primære domænenavne ligger hos AU IT. Ansvaret for projektorienterede domænenavne kan ligge decentralt, men domænerne skal være centralt kendt. Sikkerhedsansvar for IT-funktioner Alle kritiske IT-funktioner, der kræver specialviden, færdighed eller erfaring skal identificeres, og der skal udpeges en driftsansvarlig ejer. Sikkerhedsansvar for informationsaktiver Vicedirektøren for IT har ansvaret for at vedligeholde lister over samtlige informationssystemer. Listerne angiver den sikkerhedsansvarlige ejer af hvert enkelt system. Listerne skal samles og vedligeholdes ét sted. 2.4 Dataintegritet Opbevaring og behandling af data Forretningskritiske data skal altid opbevares og behandles således, at dataintegriteten ikke kan drages i tvivl. Side 14 af 42

17 2.5 Identifikation og registering af aktiver Registrering af hardwaresystemer Registreringen af hardwaresystemer skal indeholde oplysninger om enhedens betydning for AU, klassificering af de data som det behandler, risikovurdering, type og placering, driftsforhold (herunder evt. delegerede), adgangskontrolforhold, backup og arkivforhold, krydsreferencer og oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus samt oplysninger om fabrikat, model, serienummer, serviceforhold og lignende. Registrering af sammenhænge/funktioner (ensembler) Registreringen af ensembler skal indeholde krydsreferencer for datasamlinger, software- og hardwaresystemer, som tilsammen udgør et forretningsmæssigt system og skal indeholde oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus. Registrering af datasamlinger Registreringen af datasamlinger skal indeholde oplysninger om datasamlingens betydning for AU, klassificering, risikovurdering, type og placering, driftsforhold (herunder evt. delegerede), adgangskontrolforhold, backup og arkivforhold, krydsreferencer og oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus. Registrering af softwaresystemer Registreringen af softwaresystemer skal indholde oplysninger om systemets betydning for AU, klassificering af de data som det behandler, risikovurdering, type og placering, driftsforhold (herunder evt. delegerede), adgangskontrolforhold, backup og arkivforhold, krydsreferencer og oplysninger om placering af systemdokumentation og administrative forhold, herunder revisionscyklus samt oplysninger om licenser, kildekoder og versionsstyring. Identifikation af informationsaktiver Alle Universitetets informationsaktiver - hardware, software, datasamlinger og forretningskritiske funktioner - skal være identificerede. Registrering af informationsaktiver Alle AUs væsentlige informationsaktiver - hardware, software, datasamlinger og forretningskritiske funktioner - skal registreres i metadatabaser med ejerskab og alle relevante oplysninger. 3. Personalesikkerhed og brugeradfærd Informationssikkerheden i virksomheden afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre virksomheden gennem ansættelse af de rigtige medarbejdere, uddanne medarbejdere i jobfunktioner og sikkerhed - samt sætte regler for, hvordan man skal agere i forhold til sikkerhedshændelser og -risici. Side 15 af 42

18 3.1 Ansættelsesprocedurer Baggrundscheck af ansatte HR afdelingen skal i samarbejde med Vicedirektøren for IT tilse, at der sker forsvarligt baggrundscheck af IT-medarbejdere. HR afdelingen skal, i samarbejde med den ansættende enhed, tilse, at der sker forsvarligt baggrundscheck af medarbejdere med ansvar for forretningskritiske arbejdsområder. Baggrundscheck af medarbejdere bør omfatte: En personlig reference. Ansøgerens curriculum vitæ. Uddannelser og professionelle kvalifikationer. Returnering af aktiver ved fratrædelse Medarbejderen skal aflevere alle de af AU udleverede aktiver ved ansættelsens ophør. Såfremt der indgås særlige aftaler, fx Emeritusordninger, kan de udleverede aktiver forblive i medarbejderens varetægt. Inddragelse af privilegier ved fratrædelse HR skal i samarbejde med Vicedirektøren for IT lave og vedligeholde en procedure for inddragelse af privilegier i forbindelse med fratræden eller afskedigelse af personale. Proceduren skal gennemgås/opdateres minimum en gang om året. Proceduren for inddragelse af privilegier skal indeholde en liste over funktioner og personer, der skal informeres i forbindelse med fratrædelsen. 3.2 Funktionsadskillelse Sikring af forretningskritiske systemer Forretningskritiske systemer skal beskyttes ved hjælp af funktionsadskillelse, således at risikoen for misbrug af privilegier minimeres. Adgang til produktionsdata Systemadministratorers adgang til følsomme eller fortrolige oplysninger skal begrænses og registreres. 3.3 Ledelsens ansvar Ledelsens ansvar Det er nærmeste leders ansvar, at alle medarbejdere: Er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til Universitetets systemer og data. Er gjort bekendt med nødvendige retningslinier, således at de kan leve op til AUs informationssikkerhedspolitik. Opnår et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar i Universitetet. Side 16 af 42

19 3.4 Uddannelse Sikkerhedsuddannelse for IT-medarbejdere Alle IT-medarbejdere skal uddannes i sikkerhedsaspekterne i deres job. For eksempel for at mindske risiko for hændelser i forbindelse med deres eventuelle privilegerede adgang. Kendskab til klassificering af informationer Alle ansatte skal modtage instruktioner om, hvorledes data og dokumenter klassificeres. Kendskab til sikkerhedspolitikken Nærmeste leder er ansvarlig for, at nye medarbejdere modtager AUs informationssikkerhedspolitik senest på første arbejdsdag. Alle medarbejdere og studerende skal kvittere for, at de har læst og forstået AUs overordnede informationssikkerhedspolitik og de relevante regler. Alle IT-brugere modtager løbende instruktioner i overholdelse af AUs informationssikkerhedspolitik. Eksisterende studerende og medarbejdere hos Aarhus Universitet, har pligt til at holde sig informeret om de gældende regler på informationssikkerhed.au.dk Nye studerende ved Aarhus Universitet skal gøres bekendt med nødvendige retningslinjer inden de starter på Universitetet. Ansvaret herfor ligger hos studieadministrationen. 3.5 Sanktionsmuligheder og anmeldelse af ulovligheder Sanktioner Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til nærmeste leder, som i samarbejde med HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er således lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag. Anmeldelse Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden lovmæssig overtrædelse, vil der blive foretaget politianmeldelse. 3.6 Adfærdsregler Omgåelse af sikkerhedsforanstaltninger Det er ikke tilladt at forsøge at omgå sikkerhedsmekanismer. Det er ikke tilladt at foretage uautoriseret afprøvning af sikkerheden. Tavshedspligt AUs IT-medarbejdere er omfattet af tavshedspligt. De oplysninger om brugere, IT-medarbejderne i forbindelse med deres arbejde måtte få kendskab til, må ikke gives videre til uvedkommende. Side 17 af 42

20 Ytringsfrihed AUs medarbejdere har, som alle borgere i Danmark ytringsfrihed, som kun begrænses af straffelovens paragraffer om injurier, racisme el. lign. AU følger Justitsministeriets Vejledning om offentligt ansattes ytringsfrihed (September 2006). Relaterede Procedurer Vejledning om offentligt ansattes ytringsfrihed 3.61 Adfærdsregler for brug af adgangskode Brug af kodeordsbeskyttet pauseskærm Som bruger skal du aktivere kodeordsbeskyttet skærmlås, når du forlader din arbejdsstation, således at den er uden for din synsvidde. Alle arbejdsstationer skal automatisk aktivere skærmlås efter 10 minutters inaktivitet. Genbrug af kodeord Medarbejdere og studerende bør ikke genbruge kodeord til AUs infrastruktur til adgang til tredjeparts systemer som fx websteder og netbanker. Brug af samme kodeord på tredjeparts systemer øger sandsynlighed for, at kodeordets fortrolighed krænkes. Overdragelse af kodeord Kodeord må ikke overdrages på ukrypterede forbindelser, for eksempel . Midlertidige/engangskodeord kan overdrages verbalt efter sikring af modtageres identitet. Kodeord er strengt personlige Kodeord er strengt personlige og må ikke deles med andre, heller ikke itmedarbejdere Adfærdsregler for brug af internet Logning - Internetadgang Logning af alle forbindelser til Internettet kan ske automatisk via AUs Firewalls. Logningen kan omfatte dato og tidspunkt, netværksadresser på klient (fra hvilken brugernavnet kan udledes) og server, sti til besøgte sider og navn og størrelse på downloadede filer. AU IT udarbejder ikke rutinemæssigt oversigter over den enkelte brugers aktiviteter og foretager ingen vurdering af disse aktiviteters relevans for den pågældende medarbejders arbejde. Blokering af netadgang AU IT forbeholder sig ret til at spærre brugerkonti og foretage omgående frakobling af en given brugers computer, såfremt det skønnes nødvendigt for at opretholde netværkssikkerheden eller på anden måde at sikre driften. Side 18 af 42

21 Download af filer og programmer fra Internettet Filer må downloades fra Internet til arbejdsmæssig brug, og i rimeligt omfang til privat brug, jf. reglerne om privat anvendelse af Internetforbindelsen. Det er tilladt at hente programmer fra Internet til arbejdsmæssig brug, forudsat sikkerhedspolitikken og alle licensbetingelser i øvrigt overholdes, og at der ikke er et lokalt forbud mod installation af tredjepartsprogrammer på den pågældende maskine. Det er tilladt at hente programmer fra Internettet i rimeligt omfang til privat brug, forudsat sikkerhedspolitikken i øvrigt overholdes, og alle licensbetingelser overholdes. Kriminelle aktiviteter - Internetadgang Brug af Internetforbindelsen til kriminelle aktiviteter af enhver art, herunder (men ikke begrænset til) hackning, download eller distribution af pirat-software, -musik, -film eller anden omgåelse af lov om ophavsret, er forbudt. Det samme gælder for ulovlig pornografi, mens aktiviteter omhandlende legal pornografi vil falde under forbuddet mod aktiviteter udført med AUs identitet, som kan skade AUs anseelse. Forsøg på at omgå AUs sikkerhedsmekanismer er forbudt. Tilsvarende er ethvert forsøg på at omgå andres sikkerhedsmekanismer fra AUs Internetforbindelse forbudt. Andre begrænsninger - Internetadgang Begrænsninger i adgangen til visse tunge applikationer kan også gælde arbejdsrelaterede opgaver (fx overførsel af store mængder forskningsdata), hvor AU IT fx kan vurdere, at disse aktiviteter om muligt skal foretages uden for almindelig arbejdstid. Dette meldes i givet fald ud via og/eller intranettet. Kommerciel brug - Internetadgang AUs Internetforbindelse må ikke benyttes til private kommercielle aktiviteter. Studerende og medarbejdere, der har eget firma udenfor AU må gerne tilgå services i dette firma fra Universitetets netværk, såfremt det ikke udgør en sikkerhedsrisiko for AU, og såfremt eksisterende tekniske foranstaltninger tillader dette. Der kan ikke gives tilladelse til at åbne fx firewall porte e.lign. for at give adgang til private formål. Studerende og medarbejdere må under ingen omstændigheder drive private firmaer fra udstyr der befinder sig på AUs netværk, således at firmaet derved kan associeres med AU. Agtpågivenhed - Internetadgang AU IT gør deres yderste for at sikre nettrafikken ved hjælp af antivirusprogrammer, Firewall-regler samt sikkerhedsopdateringer på PC erne, men disse sikringsmekanismer kan i visse tilfælde være utilstrækkelige, og alle brugere skal derfor orientere sig om, og udvise agtpågivenhed overfor trusler mod IT-sikkerheden fra Internettet. Begrænset netadgang fra visse maskiner Vær opmærksom på, at visse maskiner (fx, men ikke begrænset til servere, styringsscomputere til laboratorie- og klinisk udstyr mv.) ikke må benyttes til netværksadgang. Side 19 af 42

22 Ansvarsfraskrivelse - Internetadgang Vælger man at benytte sin arbejds-pc til at udføre privatøkonomiske transaktioner (Netbank, PC-bank og lignende) over AUs Internetforbindelse skal man være opmærksom på, at AU er uden ansvar for fejl og tab af enhver art. Adgang og identitet - Internetadgang Computere tilsluttet AUs lokalnetværk har adgang til Internettet - og vil der sædvanligvis optræde med identiteter, som henviser til au.dk eller et andet af AUs domæner. Det påhviler derfor den enkelte bruger at sikre, at hans eller hendes færden på Internettet hverken kompromitterer sikkerheden eller AUs anseelse. Anvendelse - Internetadgang Adgang til WWW og andre net-tjenester er primært forbeholdt aktiviteter i direkte forbindelse med arbejde/studier, men det er tilladt at bruge AUs netforbindelse til private formål. Private aktiviteter må under ingen omstændigheder have et omfang, der kan genere andre medarbejderes eller studerendes legitime arbejds- eller studierelaterede aktiviteter Adfærdsregler for brug af Adgang og identitet Alle ansatte og studerende ved AU har en adresse og har adgang til at sende og modtage elektronisk post. adressen omfatter AUs navn ved at indeholde au.dk eller et andet af AUs domæner. Det påhviler den enkelte bruger at sikre, at hans eller hendes brug af er i overensstemmelse hermed, dvs. ikke kan skade AUs anseelse. Brevhemmelighed Der er generelt ikke adgang for andre til at læse en medarbejders eller en studerendes e-post. De enkelte afdelinger kan arrangere, at medarbejderne giver hinanden eller fx en sekretær læseadgang til postkasserne eller dele deraf, men sådanne arrangementer træffes i åbenhed af afdelingerne selv. AU IT kan skaffe sig adgang til alle e- postkasser på AUs posthuse. Dette kan være nødvendiggjort af tekniske nedbrud (fx mail-loops, der har fyldt en fraværende medarbejders/studerendes postkasse op), eller et tvingende behov for at skaffe sig adgang til en besked, der vides sendt til en fraværende medarbejder. Hvor AU IT er nødt til at skaffe sig en sådan adgang, skal det altid ske efter aftale med den pågældende medarbejder/studerende selv, eller hvis dette ikke er muligt, med medarbejderens chef/vicedirektøren for studieområdet. Den pågældende medarbejder/studerende skal uophørligt orienteres om episoden. Dataejerskab og journaliseringspligt Alle data på AUs servere ejes som udgangspunkt af AU. Dette gælder også tjenstlige s. er omfattet af samme regler som almindelig brevpost, og skal derfor journaliseres i henhold til samme regler som dette. Blokering af konti AU IT forbeholder sig ret til at spærre konti og foretage omgående frakobling af en given brugers computer, såfremt det skønnes nødvendigt for at opretholde sikkerheden eller på anden måde at sikre driften. Side 20 af 42

23 Agtpågivenhed AU IT gør sit yderste for at sikre trafikken ved hjælp af filtre mod virus, malware og spam samt via løbende sikkerhedsopdateringer på PC erne, men disse sikringsmekanismer kan være utilstrækkelige, og alle brugere skal derfor orientere sig om og udvise agtpågivenhed over for e- mail bårne trusler mod IT-sikkerheden. Registrering Alle s, som modtages (dvs. passerer institutionens spam-filter), og de s, som afsendes med egen-kopi, lagres i AUs databaser, som er beskyttet af omfattende transaktionslogning og regelmæssig backup. AU IT udarbejder ikke rutinemæssigt oversigter over den enkelte brugers aktiviteter og foretager ingen vurdering af disse aktiviteters relevans for den pågældende brugers arbejde. Anvendelse Brugen af er primært forbeholdt aktiviteter i direkte forbindelse med arbejde/studier, men det tillades at bruge til private formål. Private mails bør tydeligt sorteres/mærkes, således at de kan skelnes fra arbejdsmæssige/studierelaterede mails. Der bør laves en folder der hedder Privat/Private til opbevaring af privat korrespondace, og man bør markere sendte mails med ordet "privat"/"private" i emnefeltet. Private aktiviteter må under ingen omstændigheder have et omfang, der kan genere andre medarbejderes eller studerendes legitime arbejds- eller studierelaterede aktiviteter, og private s må ikke fylde AUs posthuse op. Kriminelle aktiviteter Brug af til kriminelle aktiviteter af enhver art, herunder (men ikke begrænset til) distribution af pirat-software, -musik, -film eller anden omgåelse af lov om ophavsret, er forbudt, og eventuelle overtrædelser af dette forbud håndteres efter de almindelige fagretlige regler (se afsnittet om Sanktioner ). Det samme gælder for ulovlig pornografi, mens aktiviteter omhandlende legal pornografi vil falde under forbuddet mod aktiviteter udført med AUs identitet, som kan skade AUs anseelse. må ikke benyttes til ulovlige aktiviteter såsom kædebreve mv. Kommerciel brug kontiene må ikke benyttes til private kommercielle aktiviteter. Godkendte kommercielle aktiviteter (fx datterselskaber under AU) skal have eget postdomæne, og der skal udarbejdes klare retningslinier, som sikrer, at de enkelte medarbejdere skal afsende fra den rigtige konto, således at sammenblanding af roller undgås Adfærdsregler for brug af trådløse netværk Forbindelse til fremmede trådløse netværk Brugere må forbinde sig til fremmede trådløse netværk, forudsat at godkendt Firewall eller VPN-software er i brug. Installation af trådløst udstyr Medarbejderne må kun benytte de officielle trådløse netværk. Man må ikke installere eller ibrugtage udstyr, der giver anden trådløs netadgang, herunder oprette ad-hoc trådløse net. Side 21 af 42

24 3.66 Adfærdsregler for databeskyttelse Basal beskyttelse af data forbuddet mod usikrede unika Den basale data-beskyttelse er baseret på regelmæssig sikkerhedskopiering (backup), som sikrer, at data kan rekonstrueres, hvis de er blevet slettet, overskrevet, en disk er fejlet, eller en computer stjålet. Pligten til at lagre data på sikrede servere AUs servere og netværksdrev er omfattet af backup, og som udgangspunkt skal alle data lagres på AUs servere, hvor sådanne findes. Forholdsregler når data ikke kan lagres sikkert on-line Der er selvfølgelig situationer, hvor unika ikke umiddelbart kan lagres på de sikrede servere (fx data som indsamles i felten, eller mens beregninger pågår), men man er som medarbejder hos AU forpligtet til at sikre alle data ved lagring ved først givne lejlighed. Først givne lejlighed varierer fra tilfælde til tilfælde; vurder det på baggrund af hvor mange data du/au kan tåle at miste som en del af den obligatoriske risikovurdering af dit informationsaktiv og få AU IT til at hjælpe med teknologiske løsninger (lokale backupenheder, fjernsynkronisering af data osv.) Adfærdsregler for brug af sociale netværkstjenester Universitetets informationer på sociale netværk Sociale netværk er ikke lukkede og ikke sikre. Kun informationer, som kan stilles til rådighed på AUs offentlige hjemmesider (dvs i laveste klassifikations kategori), må distribueres via sociale netværk. Logning af sociale netværk Som led i den almindelige netværksovervågning bliver netværkstrafik til sociale netværk også overvåget Adfærdsregler for overholdelse af licensregler Kommerciel brug - licenseret software Mange af de programmer, AU anvender, er anskaffet under særligt gunstige vilkår, fordi AU er en forsknings- og uddannelsesinstitution. Disse programmer vil være underlagt restriktioner i forhold til kommerciel anvendelse. AU IT skal altid spørges før kommerciel brug af software. Eksterne parter - licenseret software Mange af AUs IT-systemer er licenseret alene til AUs eget brug. Det er derfor sædvanligvis nødvendigt at tilkøbe yderligere licenser, hvis et system skal anvendes af eksterne parter i særdeleshed fx hvis et system stilles til rådighed bredt via Internettet. AU IT skal altid konsulteres om licensforhold ved udarbejdelse af projekter med ekstern adgang. (Licensforhold er således en del af den obligatoriske risikovurdering, som alle projekter med ekstern adgang skal gennemgå.) Side 22 af 42

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed

Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed Sikker Inform hed ations Informationssikkerhed Informationssikkerhedspolitik og regler Version 2.0 Dataklassifikation: Offentlig Aarhus Unversitet 2013 Aarhus Universitet 2013 Indholdsfortegnelse Rektors

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Konference 27. januar 2011 Personale og IT-sikkerhed /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Hvordan sikrer I, at medarbejderne iagttager og overholder IT-sikkerheden?

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

IT-regler gældende for Danmarks Medie- og Journalisthøjskole

IT-regler gældende for Danmarks Medie- og Journalisthøjskole IT-regler gældende for Danmarks Medie- og Journalisthøjskole Retningslinjer for studerende og medarbejdere ved Danmarks Medie- og Journalisthøjskole vedrørende brugen af organisationens IT-ressourcer 1

Læs mere

Politik for It-brugeradfærd For Aalborg Kommune

Politik for It-brugeradfærd For Aalborg Kommune Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1. Sikkerhedspolitik Informationssikkerhedspolitik for DIFO og DK Hostmaster Gruppe Sikkerhedspolitik Godkendt af Jakob Bring Truelsen Godkendt 05.07.2016 Ansvarlig Erwin Lansing Version / ID 11.1.0 / 00002

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

UNIVERSITY COLLEGE LILLEBÆLT. IT-Politik. Retningslinier for brug af ITfaciliteter

UNIVERSITY COLLEGE LILLEBÆLT. IT-Politik. Retningslinier for brug af ITfaciliteter UNIVERSITY COLLEGE LILLEBÆLT IT-Politik Retningslinier for brug af ITfaciliteter hos UCL Godkendt november 2015 Indhold 1) Indledning...3 2) Formål med IT-politikken...3 3) Gyldighedsområde...3 4) Gode

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

CYBERFORSIKRING OFFENTLIG KONFERENCE

CYBERFORSIKRING OFFENTLIG KONFERENCE CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

Skabelon: Regler for medarbejderes brug af it

Skabelon: Regler for medarbejderes brug af it Notat Skabelon: Regler for medarbejderes brug af it I dag er det en naturlig ting, at medarbejderen i en virksomhed har en pc til sin rådighed til at udføre sit arbejde. Pc en har typisk adgang til internettet

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen

Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen 1/10 Udgivet af: Red Barnet og DI Digital Redaktion: Kuno Sørensen og Henning Mortensen ISBN: 978-87-7353-938-5 3. opdaterede

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

REGLER FOR IT-BRUG. Med venlig hilsen Ole Jakobsen Øverste ansvarlige for IT-sikkerheden IT-SIKKERHED FOR GULDBORGSUND KOMMUNE

REGLER FOR IT-BRUG. Med venlig hilsen Ole Jakobsen Øverste ansvarlige for IT-sikkerheden IT-SIKKERHED FOR GULDBORGSUND KOMMUNE IT-SIKKERHED 1 REGLER FOR IT-BRUG I dagligdagen tænker de fleste nok mest på, hvad vi kan bruge vores IT til - og knapt så meget på, hvordan vi bruger det. Men af hensyn til sikkerheden er det vigtigt

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT

- med dig i fremtiden DATABEHANDLERAFTALE. Aftale omkring behandling af persondata. Udarbejdet af: Mentor IT DATABEHANDLERAFTALE Aftale omkring behandling af persondata Udarbejdet af: Mentor IT Aftalen Denne databehandleraftale (Aftalen) er er et tillæg til den indgåede kontrakt mellem kunden (Dataansvarlig)

Læs mere

RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE

RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE Som elev erklærer jeg herved, at jeg til enhver tid vil optræde som ansvarsbevidst bruger af IT-udstyr på Tjele Efterskole (herefter benævnt "vi", "os"

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

Hørsholm Kommune. Regler 3.3. Slutbruger

Hørsholm Kommune. Regler 3.3. Slutbruger Hørsholm Kommune Regler 3.3 Slutbruger 17-11-2016 Indholdsfortegnelse 6 Organisering af informationssikkerhed 1 6.1 Interne organisatoriske forhold 1 6.1.4 Godkendelsesprocedure ved anskaffelser 1 6.1.5

Læs mere

Arbejdsmiljøguide for Odder Kommune

Arbejdsmiljøguide for Odder Kommune Arbejdsmiljøguide for Odder Kommune 1. Politikker Logpolitik Dok. Nr. 1.12 Version: 1 Niveau: 2 Dato 050508 Side 1 af 9 Logpolitik Formål At fastlægge og beskrive ansvar, pligter og konsekvenser når medarbejdere

Læs mere

Retningslinier for ansattes anvendelse af IT-systemer på Syddansk Universitet(SDU).

Retningslinier for ansattes anvendelse af IT-systemer på Syddansk Universitet(SDU). Retningslinier for ansattes anvendelse af IT-systemer på Syddansk Universitet(SDU). Formål. Formålet med nærværende regelsæt for IT-anvendelse ved SDU er at fastlægge regler for god ITadfærd og sikre en

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium 18. juni 2015 BILAG 1 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) Databehandleraftale mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler) og Hedensted Kommune Horsens Kommune Odder Kommune Niels Espes Vej 8 Rådhustorvet 4 Rådhusgade

Læs mere