Bestyrelsesmøde nr. 89 d. 6. juni 2017 Punkt 10, bilag 1 IT- og Informationssikkerhed Orientering til Bestyrelsen Poul Halkjær Nielsen, Informationssikkerhedschef, 6.Juni 2017
30/05/2017 2 Indledende kommentar IT- og informationssikkerhed er i den universitære verden (verden over) en svær størrelse grundet den type organisering sektoren arbejder ud fra og de ret frie vilkår forskningen generelt fordrer IT- og informationssikkerhed er derfor i høj grad lagt i hænderne på slutbrugeren, hvorfor enhver opstramning eller ændring reelt set skal ske som en kulturændring dvs. igennem daglig ledelse IT- og informationssikkerhed er dog fortsat i stigende kurs som imageog reel konkurrenceparameter. Ikke mindst grundet eksterne pres Enheden Informationssikkerhed på KU har ikke beføjelser til at sætte konkrete standarder eller foretage revision på KU, men arbejder inden for linjerne af fælles accept og udvikling af løsninger, der kan fungere for alle Ledelsen har, jævnfør politikken, generelt en pligt til at risikovurdere og sikre informationer på passende vis
30/05/2017 3 KU s Risikoprofil 1. Trusler mod KU s evne og muligheder for at tiltrække samarbejdspartnere og forskningsmidler samt tab af image, som konsekvens af at personfølsomme oplysninger lækkes 2. Fejl i forskningsresultater som konsekvens af dårlig indledende datakvalitet, samt manglende evne til at kunne eftervise resultater grundet efterfølgende forvanskning af datagrundlag 3. Tab af image og validitet af eksamensbeviser grundet forvanskning af studiedata 4. Tab af image og evne til at udføre fremtidig forskning grundet destruktion af unikke og/eller ikke-genskabelige informationer
30/05/2017 4 Læsevejledning til Trafiklys Rød betyder at niveauet er faldet eller at en væsentlig deadline/leverance er overskredet Gul betyder at der skal ekstra tiltag til for at komme i mål Grøn betyder at projektet/opgaven følger det forventede/er på rette spor
30/05/2017 5 ISO 27001 og informationssikkerhedspolitik - det er den fælles offentlige standard for at udvikle en IS-politik under. Den tager en risikobaseret tilgang. Område Emne Trafiklys Status Deadline Kommentar ISO27001 Risikoprofil Politik vedtaget Forudsætning for at kunne udarbejde en KU-politik Retningslinjer og sikkerhedsvejlednin ger Organisatorisk implementering og opfølgning I gang Q3 2017 Skal understøtte EU Dataforordning og være på plads inden studiestart Ikke igangsat
30/05/2017 6 EU s Dataforordning -den bliver til dansk lov per maj 2018 og KU s overholdelse vil være en konkurrenceparameter både på omdømme som tiltrækning af eksterne midler Område Emne Trafiklys Status Deadline Kommentar EU s Dataforordning Program defineret Styregruppe nedsat Finansiering I gang Q1 2017 Forventet godkendelse Q2 Organisatorisk implementering og opfølgning Ikke igangsat 25. Maj 2018
30/05/2017 7 Revisionskommentarer - der udarbejdes en række svar til revisionen på de punkter som er påpeget, men som ikke meningsfuldt løses og/eller er en del af KU s risikobillede/universitetets væsen Område Emne Trafiklys Status Deadline Kommentar 2016 Revisionskom mentarer Punkter udvalgt til DIR accept Arbejdsgruppe nedsat Besvarelser udarbejdet DIR accept Forelæggelse for revisor inden 2017 revision I gang Q2 2017 Ikke igangsat August 2017 Ikke igangsat September 2017
30/05/2017 8 Sikkerhedshændelser Område Emne Trafiklys Status Deadline Kommentar Aktuelle hændelser ** Tilgængelighed Integritet Fortrolighed Personhenførbare data * Ingen ændring Ingen ændring Ingen ændring Ingen ændring *Særligt fokus grundet EU s Dataforordning programmet ** Kun indrapporterede hændelser
30/05/2017 9 Tilgængelighed/oppetider for målte systemer - målinger på centrale fællesovervågede KU systemer for Uddannelse, HR, Økonomi og Kommunikation samt fælles email Legend Tilgængelighed 24x7 - Mindst 98% Tilgængelighed Business Hours - Mindst 99% Svartid - Mindst 95% af aftalt niveau
30/05/2017 10 Samlet risikobillede Område Emne Trafiklys Status Deadline Kommentar Aktuelle områder Ændring i risikooplevelse siden sidst rapportering ** Organisatorisk forbedring Rapporterings forbedring Organisatorisk parathed EU s Dataforordning * Generel opmærksomhed i organisationen omkring lov og sikkerhed Ikke nye klare trusler eller store hændelser Q3 2017 Afventer fortolkning af politikken samt ITanalysen Afventer fortolkning af politikken samt ITanalysen 25.Maj 2018 Programmets leverancer og organisationens indsats vil afgøre det Eksterne pres i form af databehandleraftaler er store ambassadører for området *Særligt fokus grundet EU s Dataforordning programmet ** Kun indrapporterede hændelser