- Formål
- Målsætninger
- Anvendelsesområde
- Overholdelse
- Revision
- Politikerklæring
- 1. Informationssikkerhedspolitikker
- 2. Organisering af informationssikkerheden
- 3. Human Resources Security
- 4. Forvaltning af aktiver
- 5. Adgangskontrol
- 6. Kryptografi
- 7. Fysisk og miljømæssig sikkerhed
- 8. Driftssikkerhed
- 9. Kommunikationssikkerhed
- 10. Systemanskaffelse, -udvikling og -vedligeholdelse
- 11. Leverandørforbindelser
- 12. Håndtering af informationssikkerhedshændelser
- 13. Informationssikkerhedsaspekter af forretningskontinuitetsstyring
- 14. Overholdelse
Formål
Informationer, der indsamles, analyseres, lagres, kommunikeres og rapporteres, kan blive udsat for tyveri, misbrug, tab og korruption.
Informationer kan blive udsat for risiko ved dårlig uddannelse og træning og ved brud på sikkerhedskontroller.
Informationssikkerhedshændelser kan give anledning til forlegenhed, økonomiske tab, manglende overholdelse af standarder og lovgivning samt mulige domme mod universitetet.
Denne politik for informationssikkerhed på højt niveau er sammen med politikken for informationsrisikostyring og databeskyttelsespolitikken en overordnet oversigt over og begrundelse for universitetets risikobaserede informationssikkerhedskontrol.
- Informationsrisikostyringspolitik
- Databeskyttelsespolitik
Målsætninger
Universitetets sikkerhedsmålsætninger er, at:
- Vores informationsrisici identificeres, styres og behandles i overensstemmelse med en aftalt risikotolerance
- Vores autoriserede brugere kan få sikker adgang til og dele oplysninger for at kunne udføre deres opgaver
- Vores fysiske, proceduremæssige og tekniske kontroller afbalancerer brugeroplevelse og sikkerhed
- Vores kontraktmæssige og juridiske forpligtelser vedrørende informationssikkerhed opfyldes
- Vores undervisning, forskning og administrative aktiviteter tager hensyn til informationssikkerhed
- De personer, der har adgang til vores oplysninger, er opmærksomme på deres ansvar for informationssikkerhed
- Hændelser, der påvirker vores informationsaktiver, løses og der drages lære af dem for at forbedre vores kontroller.
Anvendelsesområde
Informationssikkerhedspolitikken og dens understøttende kontroller, processer og procedurer gælder for alle oplysninger, der anvendes på universitetet, i alle formater. Dette omfatter oplysninger, der behandles af andre organisationer i deres forbindelser med universitetet.
Informationssikkerhedspolitikken og dens understøttende kontroller, processer og procedurer gælder for alle personer, der har adgang til universitetets oplysninger og teknologier, herunder eksterne parter, der leverer informationsbehandlingstjenester til universitetet.
Et detaljeret anvendelsesområde, herunder en opdeling af brugere, informationsaktiver og informationsbehandlingssystemer, er indeholdt i rammedokumentet for informationssikkerhedsstyringssystemet (ISMS).
Overholdelse
Overholdelse af kontrollerne i denne politik vil blive overvåget af informationssikkerhedsteamet og rapporteret til Information Governance Board.
Revision
En revision af denne politik vil blive foretaget af informationssikkerhedsteamet årligt eller oftere efter behov og vil blive godkendt af informationsstyringsrådet og University Executive Group.
Politikerklæring
Det er universitetets politik at sikre, at oplysninger er beskyttet mod et tab af:
- Fortrolighed – oplysninger vil kun være tilgængelige for autoriserede personer
- Integritet – oplysningernes nøjagtighed og fuldstændighed vil blive opretholdt
- Tilgængelighed – oplysninger vil være tilgængelige for autoriserede brugere og processer, når det er nødvendigt
Universitetet vil implementere et informationssikkerhedsstyringssystem baseret på den internationale ISO 27001-standard for informationssikkerhed. Universitetet vil også henvise til andre standarder efter behov, idet det tager hensyn til de fremgangsmåder, der anvendes af dets interessenter, herunder forskningspartnere.
Universitetet vil anvende en risikobaseret tilgang til anvendelsen af kontrolforanstaltninger:
- Informationssikkerhedspolitikker
- Organisering af informationssikkerhed
- Sikkerhed for menneskelige ressourcer
- Asset Management
- Access Kontrol
- Kryptografi
- Fysisk og miljømæssig sikkerhed
- Operationssikkerhed
- Kommunikationssikkerhed
- Systemanskaffelse, Udvikling og vedligeholdelse
- Leverandørforbindelser
- Informationssikkerhedshåndtering af hændelser
- Informationssikkerhedsaspekter af forretningskontinuitetsstyring
- Opfyldelse
1. Informationssikkerhedspolitikker
Der vil blive defineret et sæt kontroller, processer og procedurer på lavere niveau for informationssikkerhed til støtte for den overordnede informationssikkerhedspolitik og dens erklærede mål. Denne pakke af støttedokumentation skal godkendes af informationssikkerhedsrådet, offentliggøres og formidles til universitetets brugere og relevante eksterne parter.
2. Organisering af informationssikkerheden
Universitetet vil definere og gennemføre passende styringsordninger for forvaltningen af informationssikkerheden. Dette vil omfatte identifikation og tildeling af sikkerhedsansvar for at iværksætte og kontrollere gennemførelsen og driften af informationssikkerheden på universitetet.
Universitetet vil som minimum udpege:
- En leder til at være formand for informationsstyringsrådet og tage ansvar for informationsrisici
- Et informationsstyringsråd til at påvirke, overvåge og fremme effektiv forvaltning af universitetets oplysninger
- En specialist i informationssikkerhed til at lede den daglige informationssikkerhedsfunktion
- Information Asset Owners (IAO’er) til at påtage sig det lokale ansvar for informationsstyring; og informationsaktivforvaltere (IAM’er), der er ansvarlige for den daglige informationsforvaltning
3. Human Resources Security
Universitetets sikkerhedspolitikker og forventninger til acceptabel brug vil blive kommunikeret til alle brugere for at sikre, at de forstår deres ansvar. Uddannelse og træning i informationssikkerhed vil blive stillet til rådighed for alle medarbejdere, og dårlig og uhensigtsmæssig adfærd vil blive behandlet.
Hvor det er praktisk muligt, vil sikkerhedsansvaret blive inkluderet i rollebeskrivelser, personspecifikationer og personlige udviklingsplaner.
4. Forvaltning af aktiver
Alle aktiver (information, software, elektronisk informationsbehandlingsudstyr, servicefaciliteter og personale) dokumenteres og gøres til genstand for regnskab. Der identificeres ejere for alle aktiver, og de er ansvarlige for vedligeholdelse og beskyttelse af deres aktiver.
Alle informationsaktiver klassificeres i henhold til deres juridiske krav, forretningsmæssige værdi, kritiske karakter og følsomhed, og klassificeringen angiver passende krav til håndtering. Alle informationsaktiver vil have en fastlagt tidsplan for opbevaring og bortskaffelse.
5. Adgangskontrol
Adgang til alle oplysninger vil blive kontrolleret og vil blive styret af forretningskrav. Der vil kun blive givet adgang, eller der vil blive truffet foranstaltninger for brugerne i overensstemmelse med deres rolle og informationsklassificeringen, til et niveau, der gør det muligt for dem at udføre deres opgaver.
Der vil blive opretholdt en formel procedure for registrering og afregistrering af brugere for adgang til alle informationssystemer og -tjenester. Dette vil omfatte obligatoriske autentificeringsmetoder baseret på følsomheden af de oplysninger, der gives adgang til, og vil omfatte overvejelse af flere faktorer, hvor det er relevant.
Specifikke kontroller vil blive gennemført for brugere med forhøjede rettigheder for at reducere risikoen for uagtsomt eller forsætligt misbrug af systemet. Der vil blive gennemført adskillelse af opgaver, hvor det er praktisk muligt.
6. Kryptografi
Universitetet vil give vejledning og værktøjer til at sikre korrekt og effektiv brug af kryptografi for at beskytte fortrolighed, autenticitet og integritet af oplysninger og systemer.
7. Fysisk og miljømæssig sikkerhed
Informationsbehandlingsfaciliteter er placeret i sikre områder, der er fysisk beskyttet mod uautoriseret adgang, beskadigelse og forstyrrelser ved hjælp af definerede sikkerhedsperimeter. Der indføres lagdelt intern og ekstern sikkerhedskontrol for at afskrække eller forhindre uautoriseret adgang og beskytte aktiver, især kritiske eller følsomme aktiver, mod voldelige eller skjulte angreb.
8. Driftssikkerhed
Universitetet vil sikre korrekt og sikker drift af informationsbehandlingssystemer.
Dette vil omfatte:
- Dokumenterede driftsprocedurer
- Anvendelse af formel ændrings- og kapacitetsstyring
- Kontrol mod malware
- Defineret anvendelse af logning
- Sårbarhedsstyring
9. Kommunikationssikkerhed
Universitetet opretholder netværkssikkerhedskontrol for at sikre beskyttelsen af oplysninger i dets netværk og stiller værktøjer og vejledning til rådighed for at sikre sikker overførsel af oplysninger både inden for dets netværk og med eksterne enheder i overensstemmelse med de klassificerings- og håndteringskrav, der er knyttet til disse oplysninger.
10. Systemanskaffelse, -udvikling og -vedligeholdelse
Informationssikkerhedskrav vil blive defineret under udarbejdelsen af forretningskrav til nye informationssystemer eller ændringer af eksisterende informationssystemer.
Kontrolforanstaltninger til begrænsning af eventuelle identificerede risici vil blive gennemført, hvor det er hensigtsmæssigt.
Systemudvikling vil være underlagt ændringskontrol og adskillelse af test-, udviklings- og driftsmiljøer.
11. Leverandørforbindelser
Universitetets krav til informationssikkerhed vil blive taget i betragtning, når der etableres forbindelser med leverandører, for at sikre, at aktiver, der er tilgængelige for leverandører, er beskyttet.
Leverandøraktivitet vil blive overvåget og revideret i overensstemmelse med aktivernes værdi og de tilknyttede risici.
12. Håndtering af informationssikkerhedshændelser
Vejledning vil være tilgængelig om, hvad der udgør en informationssikkerhedshændelse, og hvordan denne skal rapporteres.
Faktuelle eller formodede brud på informationssikkerheden skal rapporteres og vil blive undersøgt.
Der vil blive truffet passende korrigerende foranstaltninger, og enhver læring vil blive indbygget i kontrollen.
13. Informationssikkerhedsaspekter af forretningskontinuitetsstyring
Universitetet skal have indført ordninger for at beskytte kritiske forretningsprocesser mod virkningerne af større svigt i informationssystemer eller katastrofer og for at sikre, at de genoprettes rettidigt i overensstemmelse med dokumenterede forretningsbehov.
Dette vil omfatte passende backup-rutiner og indbygget robusthed.
Der skal vedligeholdes og testes forretningskontinuitetsplaner til støtte for denne politik.
Der vil blive foretaget en analyse af konsekvenserne af katastrofer, sikkerhedssvigt, tab af tjenester og manglende tilgængelighed af tjenester.
14. Overholdelse
Design, drift, brug og forvaltning af informationssystemer skal overholde alle lovbestemte, lovgivningsmæssige og kontraktmæssige sikkerhedskrav.
På nuværende tidspunkt omfatter dette databeskyttelseslovgivning, standarden for betalingskortindustrien (PCI-DSS), regeringens vejledning om Prevent og universitetets kontraktmæssige forpligtelser.
Universitetet vil anvende en kombination af intern og ekstern revision for at påvise overholdelse af udvalgte standarder og bedste praksis, herunder i forhold til interne politikker og procedurer.
Dette vil omfatte IT Health Checks, gapanalyser i forhold til dokumenterede standarder, intern kontrol af medarbejdernes overholdelse og tilbagemeldinger fra ejere af informationsaktiver.