K Ø B E N H A V N S U N I V E R S I T E T Ledelsesteamet S A G S N O T A T 15. FEBRUAR 2013 Vedr.: Statusrapport vedr. informationssikkerhed på KU for 2012 fra ISU til LT Sagsbehandler: Henrik Larsen Bilag: 1. IS-årshjul 2. DK CERT Trendrapport 2012 KONCERN-IT NØRREGADE 10, POSTBOKS 2177 1017 KØBENHAVN K TLF 35 32 26 26 DIR 35 32 47 89 MOB 28 75 47 89 Indledning Rammerne for arbejdet med sikring af informationssikkerheden på KU er fastlagt i Informationssikkerhedspolitik for Københavns Universitet og i International Standard ISO/IEC 27001 Informationsteknologi Sikkerhedsteknikker - (understøttet af de tilhørende standarder i ISO/IEC 27000-serien). I ISO/IEC 27001 kræves det (i lighed med i DS 484:2005, som universitetet tidligere fulgte), at der årligt gives en rapport for arbejdet med og status for informationssikkerheden. Følgende er statusrapport for arbejdet med informationssikkerheden på Københavns Universitet pr. 1. februar 2013. henl@adm.ku.dk informationssikkerhed.ku.dk REF: HENL Opg. C, 4.1.15 Resume Københavns Universitet efterlever nu ISO/IEC 27001.
Arbejdet med informationssikkerheden er forankret bredt på universitetet gennem informationssikkerhedsorganisationen. Lokalt er arbejdet forankret hos de enkelte IS-ansvarlige og de lokale informationssikkerhedsudvalg (LISU), overordnet styres det af det fælles informationssikkerhedsudvalg (ISU), der referer til LT. KU har en fælles informationssikkerhedspolitik IS-politik, der ajourføres årligt og suppleres efter behov. IS-politikken findes i både en dansk og en engelsk udgave. De praktiske regler og krav vedrørende informationssikkerheden er detaljeret fastlagt i IS-håndbogen. IS-håndbogen er primært skrevet for ISorganisationen, mens der til universitetets øvrige brugere er skrevet en kortere vejledning, som findes i både dansk og engelsk udgave. De vigtigste løbende IS-aktiviteter er: håndtering af IS-hændelser, vurderinger af IS-risici i forbindelse med både drift og udvikling, vedligeholdelse af IS-beredskabsplaner løbende vejledning af brugere og udbredelse af vejledninger i sikker brug af informationsteknologi og anden omgang med kritiske informationer. Kun informationssikkerhedschefen er fuldtidsbeskæftiget med informationssikkerhed. Siden efteråret 2011 varetager informationssikkerhedschefen dog tillige en række interne informations- og it-sikkerhedsmæssige opgaver i Koncern-it. For de øvrige medlemmer af IS-organisationen er IS-opgaven blot en af flere opgaver, de varetager. For fortsat at kunne opretholde et passende lavt ressourceforbrug, er det vigtigt, at IS-arbejdet bestandigt har ledelsens opbakning, og at alle opgaver udføres rettidigt og som angivet i IS-håndbogen. I 2012 har arbejdet fortsat bl.a. været præget af implementeringen af et elektronisk system til risikovurderinger, som har vist sig mere ressourcekrævende end oprindelig antaget. ISU har i 2012 ud over den løbende gennemgang af hændelser mv. bl.a. behandlet sikkerhedspolitik for mobile enheder, den kommende EUfordning om persondatabeskyttelse, ansvaret for anmelder til Datatilsynet vedr. behandling af persondata, implementering af cookiebekendtgørelsen, passwordpolitik og politik for opsætning af trådløs adgang til KUs netværk. SIDE 2 AF 14
SIDE 3 AF 14 Indledning... 1 Resume... 1 Status... 4 IS-politik... 4 IS-håndbøger... 4 IS-organisationen... 5 IS-aktiviteter... 6 Risikovurderinger:... 6 Sikkerhedshændelser:... 8 Beredskabsplaner:... 9 Øvrige emner:... 11 KUs risikobillede... 12 Fokusområder og nye aktiviteter... 13 Skift fra DS484:2005 til ISO/IEC 27001:... 13 Test af beredskabsplaner samt auditeringer af IS-arbejde:... 14
Status Københavns Universitet skal fremover efterleve international standard for informationssikkerhed ISO/IEC 27001. KU er i stigende grad afhængig at, at der er en passende høj sikkerhed omkring universitetets informationsaktiver (data, udstyr og personer). Forskere, studerende, sponsorer og samfundet generelt må have tillid til, at der er en passende beskyttelse imod tab af informationsaktiver, at disse ikke kommer i uvedkommendes hænder, og at de er sikret mod hændelig eller ulovlig forringelse eller tilintetgørelse. Endvidere at informationsaktiverne er tilgængelige for de retmæssige brugere, når de skal anvendes. At der er en passende høj sikkerhed vil sige, at sikkerheden til stadighed overholder de lovgivningsmæssige krav, samtidig med at der tages passende hensyn til universitetets specielle forhold, så det daglige virke understøttes og ikke generes unødigt. SIDE 4 AF 14 IS-politik I IS-politik (informationssikkerhedspolitik) for Københavns Universitet har ledelsen fastlagt rammerne for informationssikkerheden på universitetet. På web-siden http://informationssikkerhed.ku.dk findes KUs aktuelle ISpolitik i såvel dansk som engelsk udgave. At informationssikkerhedspolitikker og håndbog fortsat er tilgængelige på internettet og kun findes som kortere resumeer og links i medarbejderguiden på intranettet (KUnet), skyldes først og fremmest, at de skal være til rådighed for leverandører og konsulenter, der er forpligtede til at overholde KUs retningslinjer. Informationssikkerhedsudvalget (ISU) reviderer årligt IS-politikken og fremlægger denne for rektor til godkendelse og HSU til orientering. Senest revision er fra februar 2013, hvor der bl.a. er gennemført konsekvensrettelser efter overgang til ISO/IEC 27000-serien. IS-håndbøger I ISO/IEC 27001 er angivet en del krav, der skal vurderes og efterleves hvor dette er relevant set i forhold til lovkrav og universitetets virke. I IS-håndbogen er disse vurderinger angivet sammen med KU-specifikke krav til informationssikkerhed. IS-håndbogen ajourføres løbende og angiver som nævnt de krav alle skal efterleve. Hvor der er behov for lokale skærpelser, kan disse fastlægges af den lokale sikkerhedsorganisation, mens lempelse af IS-håndbogens krav ikke er tilladt. IS-håndbogen er tilgængelig for alle på sikkerhedshjemmesiden http://informationssikkerhed.ku.dk/is-haandbogen
IS-håndbogen er skrevet til brug som håndbog for IS-organisationen og er meget omfangsrig, og den kan virke svært tilgængelig for andre. Til brug for flertallet af KU s brugere findes der en lille let tilgængelig vejlednings pjece på både dansk og engelsk. Pjecerne er fordelt rundt på Universitetet og findes i elektronisk form på sikkerhedshjemmesiden. Pjecerne står over for en revision, der planlægges gennemført i 2. halvår 2013. SIDE 5 AF 14 IS-organisationen Rammerne for arbejdet med informationssikkerheden er beskrevet i IShåndbogen i kapitel 6 Organisering af informationssikkerhed Det er sikkerhedsorganisationens mål som en integreret og naturlig del af universitetet at kunne leve op til kravene i sikkerhedsstandarden og at understøtte universitetets målopfyldelse på såvel det forskningsmæssige, det administrative som det forskningsformidlende område. Ansvaret for informationssikkerhed er ledelsens og på hvert institut eller tilsvarende enhed er der udpeget en person til at varetage opgaven, en ISansvarlig. Den IS-ansvarliges opgaver er blandt andre løbende at sikre, at sikkerhedshændelser bliver håndteret på passende vis og rapporteret korrekt, at enheden vedligeholder risikovurdering for alle væsentlige informationsaktiver (herunder projekter og anskaffelser), så risikobilledet er klarlagt og accepteret, at enheden vedligeholder en beredskabsplan, så enhedens største trusler er dækket, at alle enhedens brugere løbende bliver informeret om de gældende regler, og hvilke trusler disse skyldes. De lokale informationssikkerhedsudvalg (LISU) samler de lokale ISansvarlige. Der var i 2011 syv lokale udvalg i forbindelse med fakultetsfusionerne er to nedlagt i 1. kvartal 2012, således at der nu er fem LISU. Et sjette, LISU BRIC, er primo 2013 under etablering. I kapitel 6 i IS-håndbogen er det beskrevet hvordan LISU skal fungere, dvs. mødetidspunkter, mødefrekvens og mødedagsorden. LISU udgør det operative niveau i sikkerhedsorganisationen. Formændene for de enkelte LISU indgår, sammen med vicedirektøren for koncern-it og repræsentanter for HSU, i det centrale informations-
sikkerhedsudvalg (ISU), hvor universitetsdirektøren er formand og informationssikkerhedschefen sekretær. Rammerne for ISU er ligeledes fastlagt i kaptiel 6 i IS-håndbogen. ISU udgør KUs taktiske niveau i arbejdet med informationssikkerheden. ISU referer til LT, der udgør det det strategiske niveau i informationssikkerhedsarbejdet. SIDE 6 AF 14 IS-aktiviteter I bilag 1 IS-årshjulet er de faste aktiviteter med informationssikkerheden på KU kortlagt. Risikovurderinger: Standarderne for informationssikkerhed, ISO/IEC 27000-serien, omtaler risikovurdering flere steder. I ISO/IEC 27001, som opstiller krav til ledelsessystem for informationssikkerhed (ISMS), afsnit 4.2.1 om Etablering af ISMS-systemer hedder det bl.a.:
Virksomheden skal foretage følgende: c) Definere metoden til risikovurdering i virksomheden. 1) Identificere en metodik til risikovurdering, der passer til ISMS-systemet og de fastlagte krav til sikring af forretningsoplysninger samt lov- og myndighedskrav. 2) Udarbejde kriterier for risikovillighed og identificere de risikoniveauer, der kan accepteres. (se 5.1f)). Den valgte metodik til risikovurdering skal sikre, at risikovurderinger giver sammenlignelige og reproducerbare resultater. d) Identificere risiciene. 1) Identificere aktiverne inden for anvendelsesområdet for ISMS-systemet og disse aktivers ejere ²). 2) Identificere truslerne mod disse aktiver. 3) Identificere de sårbarheder, som kan opstå af truslerne. 4) Identificere de virkninger, som tab af fortrolighed, integritet og tilgængelighed kan have på aktiverne. e) Analysere og bedømme risiciene. 1) Vurdere de forretningsmæssige indvirkninger på virkshomheden, som følge af sikkerhedssvigt, under hensyntagen til konsekvenserne af tab af fortrolighed, integritet eller tilgængelighed af aktiverne. 2) Vurdere den realistiske sandsynlighed fr,a t der sker sikkerhedssvigt i lyset af de tilstedeværende trusler og sårbarheder samt indvirkninger, der er forbundet med disse aktiver, og de aktuelt iværksatte foranstaltninger. 3) Vurdere graderne af risici. 4) Afgøre, om risiciene kan accepteres eller kræver håndtering ud fra kriterierne for risikovillighed i 4.2.1c)2). SIDE 7 AF 14 ²) Med udtrykket ejer menes en enkeltperson eller entitet, der har godkendt ledelsesmæssigt ansvar for at styre produktion, udvikling, vedligeholdelse og sikring af aktiverne. Udtrykket ejer betyder ikke, at personen har ejendomsret til aktivet. Risikovurderingen bør ikke indskrænkes til informationsteknologi i klassisk forstand, men også omfatte andre kritiske informationsaktiver i form af fx papirarkiver, samlinger af museumsgenstande og af håndskrifter, laboratoriejournaler, boreprøver af indlandsis, genprøver osv. Til opfyldelse af kravet i 4.2.1.c)1) om valg af metodik har Københavns Universitet valgt at anvende en kvalitativ vurderingsmetode, jf. beskrivelsen i ISO/IEC 27005, som er seriens standard for risikovurdering. Til at sikre sammenlignelige og reproducerbare resultater har KUs informationssikkerhedsorganisation anskaffet et elektronisk værktøj, SecureAware fra Neupart A/S. SecureAware er designet til at understøtte
mange af elementerne i ISMS, men er i første omgang alene taget i brug til risikovurderinger, idet der i 2011 har været tilbudt workshops til alle lokale IS-ansvarlige. Implementeringen og oplæringen af IS-ansvarlige er fortsat gennem 2012 også i starten af 2013 er der planlagt workshops. Værktøjet har i slutningen af 2012 gennemgået en opgradering med flere funktionaliteter, der gør det bedre egnet til KUs formål. Vurdering og håndtering af risici er helt essentielt for informationssikkerheden på universitetet. Det er vigtigt, at IS-organisationen og KUs brugere erkender og håndterer de risici, der er i forbindelse med skabelsen og bearbejdning af universitetets viden. Det er ligeledes afgørende at sikre, at risikohåndteringen og omgangen med universitetets informationsaktiver sker med passende hensyntagen til enhedens lokale forhold og fælles forpligtelser. Alle relevante personalegrupper skal høres og bidrage ved risikovurderingen. I IS-håndbogens kapitel 5 - Overordnede retningslinjer er det i bilaget http://informationssikkerhed.ku.dk/is-haandbogen/16_bilag- /risikovurdering_metode/ beskrevet hvordan risikovurderingen skal udføres. Alle institutter og tilsvarende enheder på KU har risikovurderinger for deres informationsaktiver, og vedligeholder disse - siden 2011 i SecureAware. De i rapporten for 2011 beskrevne vanskeligheder i forbindelse med implementeringen af et standardsystem, der har skullet tilpasses til at kunne understøtte KUs organisation og virkelighed er, som nævnt ovenfor, først blevet løst i ultimo 2012. Ligeledes har fakultets- og institutfusioner gjort, at man mange steder mere eller mindre har måttet starte forfra. I løbet af 2013 forventes det at alle enheder er på omgangshøjde med årshjulet for aktiviteterne. SIDE 8 AF 14 Sikkerhedshændelser: Pkt. A.13 i Standard for Informationssikkerhed ISO/IEC 27001, Appendiks A omhandler styring af informationssikkerhedshændelser og fastsætter: A.13.1 Rapportering af informationssikkerhedshændelser og svagheder Mål: At sikre, at informationssikkerhedshændelser og svagheder i forbindelse med informationssystemer kommunikeres på en sådan måde, at der kan iværksættes korrigerende handlinger rettidigt. Rapportering af informationssikkerhedshændelser Foranstaltning Informationssikkerhedshændelser skal rapporteres ad passende ledelseskanaler så hurtigt som muligt. Rapportering af sikkerhedssvagheder Foranstaltning Alle medarbejdere, kontrahenter og eksterne brugere af informationssystemer og tjenester skal have pligt til at notere og rapportere alle observerede svagheder eller mistanker om svagheder i systemer og tjenester.
Hverken 2011 eller 2012 har der været sager, hvor universitetet er blevet gjort ansvarlig for forkert omgang med følsomme persondata. Med KUs brugeres stadigt mere intensive brug af internettet herunder sociale medier og nye tjenester og services er det meget vigtigt, at alle er opmærksomme på de oplysninger der offentliggøres, og at man staks får rettet eventuelle fejl. Det har desværre ved flere lejligheder de seneste par år vist sig, at ikke alle brugere er klar over, hvad der må offentliggøres på internettet, hvordan de løser eventuelle fejl, hvor der kan fås hjælp, og hvem der er deres kontakt, i henseende til informationssikkerhed. Der er behov for at de enkelte IS-ansvarlige til stadighed gør opmærksom på deres funktion, og at de støttes af den lokale ledelse. En vejledning om emnet: Hvad må jeg offentliggøre på internettet, udarbejdet på baggrund af en tilsvarende publikation fra Aalborg Universitet og godkendt af ISU i 2011, findes på informationssikkerhedshjemmesiden. I 2012 har ISU vedtaget en sikkerhedspolitik for brugen af mobile enheder (mobiltelefoner, smartphones, tablets, bærbare computere, USB-sticks mv.) og herunder brugen af internetbaserede services som fx Dropbox. Formålet med sikkerhedspolitikken er at imødegå nye risici, der opstår ved den meget udbredte brug af mobile enheder ofte brugernes egne til tjenstlig e-mail og andre KU-data. Politikken har været forelagt HSU. SIDE 9 AF 14 Beredskabsplaner:
ISO/IEC 27001s krav til beredskabsplanlægning er følgende: SIDE 10 AF 14 A.14 Beredskabsstyring A.14.1 Informationssikkerhedsaspekter ved beredskabsstyring Mål: At modvirke afbrydelser af forretningsaktiviteter og at beskytte kritiske forretningsprocesser mod virkningerne af større nedbrud af informationssystemer eller katastrofer og at sikre rettidig retablering. A.14.1.1 A.14.1.2 A.14.1.3 A.14.1.4 A.14.1.5 Inddragelse af informationssikkerhed i beredskabsstyringsprocessen Beredskab og risikovurdering Udvikling og implementering af beredskabsplaner, herunder informationssikkerhed Rammer for beredskabsplanlægning Prøvning, vedligeholdelse og revurdering af beredskabsplaner Foranstaltning Der skal udarbejdes og opretholdes en styret proces til beredskabsstyring i virksomheden, som behandler de krav til informationssikkerhed, der er nødvendige for virksomhedens fortsatte drift. Foranstaltning Hændelser, der kan forårsage afbrydelser af forretningsprocesser, skal identificeres sammen med sandsynligheden for og virkningen af sådanne afbrydelser og deres konsekvenser for informationssikkerheden. Foranstaltning Der skal udarbejdes og implementeres planer for at vedligeholde eller retablere virksomhedens aktiviteter og sikre tilgængelighed af informationer på det krævede niveau og inden for de krævede tidsfrister efter afbrydelse eller nedbrud af kritiske forretningsprocesser. Foranstaltning Der skal opretholdes en enkelt ramme for beredskabsplaner for at sikre, at alle planer er overensstemmende, at krav til informationssikkerhed håndteres konsekvent, og at prioriteringen af test og vedligeholdelse fastlægges. Foranstaltning Beredskabsplaner skal afprøves og opdateres regelmæssigt for at sikre, af at de er tidssvarende og effektive. Formålet med beredskabsplaner i relation til informationssikkerhed er, at de skal bidrage til at sikre at universitet kan opretholde sine normale aktiviteter, at de skal sikre en passende beskyttelse af KUs informationsaktiver (bl.a. data, udstyr og ansatte/studerende), samt at de skal sikre mulighed for en passende hurtig tilbagevenden til normalt virke efter et nedbrud eller en anden sikkerhedshændelse. Beredskabsplanerne bygger på de risikovurderinger, der er udarbejdet og som løbende bliver vedligeholdt, samt på de hændelser der har fundet sted eller forventes at kunne ske, og de omfatter de situationer og hændelser, der er vurderet at være at mest kritiske for enheden. De lokale IS-ansvarlige sørger for, at beredskabsplanerne bliver udarbejdet og vedligeholdt. Til støtte i arbejdet er der udarbejdet skabeloner, drejebøger og vejledninger, ligesom der tidligere har været afholdt workshops og kurser i brugen af disse.
Informationssikkerhedschefen har skrevet et bidrag til DKCERTs årsrapport for 2012, om behovet for fortsat udvikling af beredskabsplanlægningen på KU: En væsentlig, fremadrettet opgave for informationssikkerhedsorganisationen på KU er løbende at videreudvikle konceptet for beredskabsplanlægning, at udbrede forståelsen for betydningen af gode, risikobaserede planer og ikke mindst at udbrede kendskabet til planerne og sikre at de bliver brugt, når uheldet er ude., lyder konklusionen. SIDE 11 AF 14 Øvrige emner: Det er god dataskik, ligesom det er krævet i KUs IS-håndbog, at universitetets informationsaktiver bliver beskyttet på passende vis imod tab (tilgængelighedsbrud), imod uautoriserede ændringer (integritetsbrud), samt imod at komme i uvedkommendes besiddelse (fortrolighedsbrud). Passende beskyttelse af fortrolige og følsomme oplysninger kan eksempelvis opnås ved brug af kryptering, og når disse oplysninger er på mobile enheder, eller er under transport i netværk udenfor KU, skal de være sikret ved anvendelse af kryptering. Kryptering af informationer kan udføres på utallige måder. Der findes både freeware produkter, der kan anvendes gratis og kommercielle. Mange moderne værktøjer som eksempelvis Microsoft Office har indbygges krypterings muligheder. På http://informationssikkerhed.ku.dk/vejledninger/ findes et antal videoer og vejledninger i brugen af kryptering. Kryptering af e-mails og andre data har også været drøftet af ISU i 2012. KU tilbyder nu en service Bluewhale der kan anvendes til at erstatte store vedhæftninger til e-mails med et link til en server, placeret på KU, ligesom de kan bruges til sikre e-mails og vedhæftninger med adgangskode. Der er dog ikke tale om en egentlig kryptering, hvorfor den ikke kan anvendes i de tilfælde, hvor Datatilsynets regler stiller krav om stærk kryptering. Den er dog et udmærket supplement, specielt til interne mails og til de tilfælde, hvor kravene til sikring er lidt mindre. ISU har også i årets løb behandlet forberedelserne til en ny EU-forordning om persondata, der ventes at skærpe kravene til beskyttelse betydeligt. Endvidere krav om anmeldelse til Datatilsynet, hvor ISU har fastslået, at det er et lokalt ansvar at anmeldelse af fx forskningsprojekters behandling af følsomme persondata foretages, i det omfang det er krævet. En ændring af Persondataloven pr. 1. januar 2013 har fjernet kravet om forhåndsgodkendelse i en række tilfælde, men der skal fortsat ske anmeldelse.
Implementering på KUaf Erhvervs- og Væskstministeriets cookiebekendtgørelse, der bygger på et EU-direktiv, har været behandlet på et par møder i årets løb. ISU har på forslag fra Kommunikationsafdelingen vedtaget en model, der er lidt mere vidtgående end den minimumsmodel, de fleste andre universiteter vælger. Det er ISUs holdning, at vi dermed i højere grad lever op til bekendtgørelsens bestemmelser. SIDE 12 AF 14 Endelig har ISU vedtaget en politik for trådløse accesspunkter, der forbyder opsætningen af private trådløse net, koblet til KUs netværk, og behandlet et forslag til lempelse af politikken om udskiftning af password. ISU mener ikke, at det henset til trussselsbilledet vil være hensigtsmæssigt at lempe yderligere, da KU i forvejen har en længere levetid for passwords end god praksis og revisionens anbefalinger tilsiger. KUs risikobillede Registreringen af hændelser i 2012 er som i 2011 foretaget dels i et selvbetjeningssystem på KUnet, dels i det fælles KU IT Service Management-system (KUITSM), hvor tenikerne i forbindelse med behandling af it-hændelser skal tage stilling til om de er relaterede til informationssikkerheden. Rapporteringsformenen er i årets løb blevet forbedret, og der er for de to sidste kvartaler udarbejdet en oversigt over hændelsernes fordeling på kategorier og informationsaktiver. De største trusler for KU vurderes fortsat at være: at følsomme personoplysninger bliver lækket som følge af uagtsom adfærd. Eksempler på disse trusler er fejlagtig offentliggørelse af hold- og deltagerlister med cpr.nr. ISU behandler i 1. kvartal 2013 efter at der har været flere læk og tilløb til læk i den senere tid et oplæg til at reducere fejlkilderne ved roden at data går tabt som følge af manglende overholdelse af gældende regler. Eksemplerne er her tab af videnskabelige data som følgende af manglende sikkerhedskopieringer at lokalt udstyr bliver inficeret med malware som følge af uheldig brugeradfærd. Her er eksemplerne, at brugerne svarer på phishingmails, hvorved der afgives følsomme personoplysninger, og/eller at der installeres malware på brugernes pc. En kompromitteret mailkonto (brugeren har udleveret passwordet) bruges typisk til at udsende spam- og phishingmails med den konsekvens at KU blokeres på diverse mailservere på internettet.
Mængden af phishingmails er stigende, ligesom de bliver stadigt mere raffinerede. Der har været registreret adskillige hændelser af denne art i 2012 at de daglige aktiviteter bliver bremset eller begrænset som følge af tekniske fejl i IT. Der har i 2012 været flere omfattende nedbrud, værst primo januar og medio august At der er relativt få alvorlige sikkerhedshændelser må dog ikke resultere i en mindsket opmærksomhed på informationssikkerheden og forebyggelse af uheld. KU har rigtig mange uerstattelige informationsaktiver, og faren for endog meget alvorlige hændelser med store økonomiske og/eller prestigemæssige tab til følge er bestemt til stede. Der er generelt en meget god og fornuftig omgang med universitetets informationer. Brugerne er meget bevidste om, at sikkerheden afhænger af dem, men det er alligevel nødvendigt løbende at afvikle opmærksomhedsskabende aktiviteter. At mængden af smitte med virus og anden malware er så lav på KU, som den er, kan primært tages som udtryk for, at de tekniske forebyggende tiltag er effektive, såvel lokalt som centralt. Der er overalt gode antivirusprogrammer i funktion. Firewalls er udstyret med gode regler til kontrol af trafikken på nettet, og der foretages en hensigtsmæssig frafiltrering af mails med spam og anden uønsket vedhæftning desværre kan denne filtrering dog ikke være 100% effektiv. I bilag 3, DKCERT Trendrapport 2012 kan det ses, at der er stort sammenfald imellem de trusler KU er udsat for, og de, der eksisterer på internettet generelt og på Forskningsnettet specielt. Konklusionen fra DKCERT er, at der er oplevet en betydelig vækst i antallet af sikkerhedshændelser i 2012. SIDE 13 AF 14 Fokusområder og nye aktiviteter Skift fra DS484:2005 til ISO/IEC 27001: Som beskrevet i årsrapporten for 2012, er der en regeringsbeslutning administreret af Digitaliseringsstyrelsen om at den offentlige sektor skal overgå til den internationale standard for informationssikkerhed, senest når standarden er opdateret, forventeligt i løbet af 2013. KU har valgt at påbegynde skiftet i 2011. Der udestår stadig enkelte konsekvensrettelser i IS-håndbogen, men i øvrigt følger KU nu ISO/IEC 27001 og de tilhørende standarder i ISO/IEC 27000-serien. Også den eksterne revision af KUs it-kontroller foregår efter ISO/IEC 27001.
SIDE 14 AF 14 Test af beredskabsplaner samt auditeringer af IS-arbejde:. I 2013 vil der ud over behandlingen af emner, der måtte blive aktuelle i årets løb i forbindelse med den almindelige fastholdelse og udvikling af niveauet for informationssikkerhed være fokus at komme på omgangshøjde med årshjulet, hvad angår risikovurderinger og beredskabsplanlægning, herunder at få foretaget test af alle beredskabsplaner. KUs eksterne revisor, PwC, har i 2012 koncentreret it-revisionsindsatsen omkring udvalgte administrative systemer, der er i drift hos Koncern-it. Det forventes at et eller flere fakulteter vil blive inddraget i revisionen i 2013. Der har derfor været afholdt en workshop med fakulteterne i januar 2013, hvor informationssikkerhedschefen har gennemgået revisionens metoder og findings med repræsentanter for fakulteternes it-afdelinger.