Informationssikkerhedspolitik

Informationssikkerhedspolitikken skal til enhver tid understøtte Professionshøjskolen Absalons værdigrundlag og vision samt de strategiske mål.

Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos Absalon. Som et led i den overordnede sikkerhedsstyring tager ledelsen på grundlag af den løbende overvågning og rapportering informationssikkerhedspolitikken op til revurdering minimum hvert andet år.

Politikken omfatter Absalons informationer, som er enhver information, der tilhører Absalon herudover også informationer, som ikke tilhører Absalon, men som Absalon kan gøres ansvarlig for. Dette inkluderer fx alle data om personale, data om finansielle forhold, alle data, som bidrager til administrationen af Absalon, samt informationer som er overladt Absalon af andre, herunder forsøgs- og forskningsdata. Disse data kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller enhver anden information, som kun er til intern brug.

Denne politik omfatter alle Absalons informationer, ligegyldigt hvilken form de opbevares og formidles på.

Informationer og informationssystemer er nødvendige og livsvigtige for Absalon, og informationssikkerheden har derfor vital betydning for Absalons troværdighed og funktionsdygtighed.

Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af Absalons informationer og særligt at sikre, at kritiske og følsomme informationer og informationssystemer bevarer deres fortrolighed, integritet og tilgængelighed.

Derfor har Absalons ledelse besluttet sig for et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav, databeskyttelsesforordningen (GDPR), databeskyttelsesloven og indgåede aftaler, herunder licensbetingelser. Ledelsen vil oplyse medarbejdere og studerende om ansvarlighed i relation til Absalons informationer og informationssystemer.

Hensigten med informationssikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til Absalon, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres.

Det er Absalons mål at opretholde et højt informationssikkerhedsniveau, der som minimum er på samme niveau som sammenlignelige institutioners. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it og øvrige økonomiske ressourcer.

Kravene til informationssikkerhed vurderes i forhold til deres relevans for Absalon, og hermed holdes fokus på et informationssikkerhedsniveau, hvor god sund fornuft samt hensynet til brugernes berettigede behov og offentlighedens forventning om en sikker forvaltning af data og aktiver er en afgørende faktor. Desuden skal data og systemer sikres ud fra en vurdering af, hvad der er nødvendigt under hensyntagen til de økonomiske rammer.

De overordnede mål for informationssikkerheden er derfor, at:

• opnå høj driftssikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab - TILGÆNGELIGHED
• opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer - INTEGRITET
• opnå fortrolig behandling, transmission og opbevaring af data - FORTROLIGHED

IT-systemer betragtes, næst efter medarbejderne, som Absalons mest kritiske ressource. Der lægges derfor vægt på driftssikkerhed, kvalitet, overholdelse af lovgivningskrav og på at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger.

Der skal skabes et effektivt værn mod IT-sikkerhedsmæssige trusler, så Absalons image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal være vendt mod såvel naturgivne som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe er hævet over sikkerhedsbestemmelserne.

Digital skal derfor understøtte informationssikkerheden til at:

• Opnå mulighed for fortrolig behandling, transmission og opbevaring af data, bl.a. ved brug af identificering/pseudonymisering og kryptering af data i størst muligt omfang.
• Opnå høj driftssikkerhed og minimal risiko for større nedbrud
• Understøtte overholdelsen af Databeskyttelsesforordningen (GDPR), også som databehandler for andre
• Forhindre datatab og -lækager
• Opnå korrekt funktion af it-systemerne med minimeret risiko for manipulation af data og systemer. Dvs. at faciliteter hertil skal være til stede og benyttes efter konkret behov
• Sikre mod forsøg på tilsidesættelse af sikringsforanstaltninger
• Understøtte bevidstheden om informationssikkerhed internt og eksternt, så alle medarbejdere og eksterne brugere er opmærksomme på og forholder sig til informationssikkerhed i det daglige arbejde.

Læs den fulde udgave af Absalons informationssikkerhedspolitik.

Informationssikkerhedspolitikken er godkendt af Direktionen den 5. november samt på Informationssikkerhedsudvalgets møde den 12. november 2019, hvorefter den er trådt i kraft.