Indledning

Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos Arkitektskolen Aarhus. Som et led i den overordnede sikkerhedsstyring tager ledelsen på grundlag af den løbende overvågning og rapportering informationssikkerhedspolitikken op til revurdering minimum hvert andet år.

Politikken omfatter Arkitektskolens Aarhus informationer, som er enhver information, der tilhører Arkitektskoen Aarhus  herudover også informationer, som ikke tilhører skolen, men som skolen kan gøres ansvarlig for. Dette inkluderer fx alle data om personale, data om finansielle forhold, alle data, som bidrager til administrationen af Arkitektskolen Aarhus, samt informationer som er overladt skolen af andre, herunder forsøgs- og forskningsdata. Disse data kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller enhver anden information, som kun er til intern brug.

Denne politik omfatter alle Arkitektskolen Aarhus informationer, ligegyldigt hvilken form de opbevares og formidles på.


Formål

Informationer og informationssystemer er nødvendige og livsvigtige for Arkitektskolen Aarhus, og informationssikkerheden har derfor vital betydning for skolens troværdighed og funktionsdygtighed.

Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af Arkitektskolens informationer og særligt at sikre, at kritiske og følsomme informationer og informationssystemer bevarer deres fortrolighed, integritet og tilgængelighed.

Derfor har skolens ledelse besluttet sig for et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav og indgåede aftaler, herunder licensbetingelser. Ledelsen vil oplyse medarbejdere og studerende om ansvarlighed i relation til skolens informationer og informationssystemer.

Hensigten med sikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til Arkitektskolen Aarhus, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres.


Omfang

Denne politik gælder for alle ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for Arkitektskolen Aarhus. Alle disse personer bliver her betegnet som medarbejderne.

Politikken gælder endvidere for studerende, der i forbindelse med deres studie anvender informationsaktiver tilhørende skolen.

Ved udlicitering af dele af eller hele IT-driften skal det sikres i samarbejdet med serviceleverandøren, at skolens sikkerhedsniveau fastholdes, således at serviceleverandøren, dennes faciliteter og de medarbejdere, som har adgang til skolens informationer, mindst lever op til Arkitektskolen Aarhus informationssikkerhedsniveau.


Sikkerhedsniveau

Det er skolens politik at beskytte sine informationer og udelukkende tillade brug, adgang og offentliggørelse af informationer i overensstemmelse med skolens retningslinjer og under hensyntagen til den til enhver tid gældende lovgivning.

Arkitektskolen Aarhus fastlægger på baggrund af en risikovurdering et sikkerhedsniveau som svarer til betydningen af de pågældende informationer.

Der gennemføres mindst en gang årligt en risikovurdering, så ledelsen kan holde sig informeret om det aktuelle risikobillede. Der foretages ligeledes en risikovurdering ved større forandringer i organisationen.

Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til arbejdets gennemførelse og økonomiske ressourcer. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it, samt det forhold at skolen har en samfundsrolle som leverandør af frit tilgængelig information.


Sikkerhedsbevidsthed

Informationssikkerhed vedrører Arkitektskolen Aarhus samlede informationsflow, og gennemførelse af en informationssikkerhedspolitik kan ikke foretages af ledelsen alene. Alle medarbejdere og studerende har et ansvar for at bidrage til at beskytte skolens informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Alle medarbejdere og studerende skal derfor løbende have information om informationssikkerhed i relevant omfang.

Som brugere af skolens informationer skal alle medarbejdere og studerende følge informationssikkerhedspolitikken og de retningslinjer, der er afledt heraf. Medarbejderne og de studerende må kun anvende skolens informationer i overensstemmelse med det arbejde, de udfører for skolen, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes følsomhed, særlige og/eller kritiske natur.


Brud på informationssikkerheden

Såfremt en medarbejder eller en studerende opdager trusler mod informationssikkerheden eller brud på denne, skal dette straks meddeles til den ansvarlige for den daglige ledelse af informationssikkerhedsindsatsen, enten IT teamlederen eller Administrationschefen.

Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til nærmeste leder, som i samarbejde med HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er således lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag.

Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden lovmæssig overtrædelse, vil der blive foretaget politianmeldelse