Informationssikkerhedspolitik

Indledning

Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden på skolen. Bestyrelsen revurderer på baggrund af den løbende overvågning og rapportering, informationssikkerhedspolitikken mindst en gang om året.

Informationssikkerhedspolitikken er offentlig tilgængelig via skolens hjemmeside.

Formål

Informationer og it-systemer er nødvendige for skolen, og informationssikkerheden har derfor vital betydning for skolen troværdighed og funktionsdygtighed.

Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af skolens informationer samt specielt at sikre, at kritiske, fortrolige og følsomme informationer og informationssystemer bevarer deres fortrolighed, integritet og tilgængelighed.

Hensigten med informationssikkerhedspolitikken er endvidere at tilkendegive over for alle med relation til skolen, at anvendelse af informationer og informationssystemer er underkastet retningslinjer og regler. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader begrænses, og reetablering af informationer sikres.

Omfang

Informationssikkerhedspolitikken omfatter enhver information, der tilhører skolen. Også informationer, som ikke tilhører skolen, men som skolen kan gøres ansvarlig for er omfattet. Dette inkluderer f.eks. informationer om personale, finansielle forhold, data som bidrager til administrationen af skolen samt informationer, som er overladt skolen af andre.

Denne informationssikkerhedspolitik omfatter alle informationer, uanset hvordan de opbevares og formidles. Dermed er alle informationer der behandles eller opbevares i papirform eller andet medie også omfattet.

Informationssikkerhedspolitikken gælder for alle ansatte uden undtagelse, både fastansatte og medarbejdere med midlertidigt ansættelse på skolen samt bestyrelsesmedlemmer.

Ved anvendelsen af skolens faciliteter er skolens elever og forældre ligeledes omfattet af politikken og de deraf udledte regler og procedurer.

Eksterne samarbejdspartnere

Der skal indgås skriftlige aftaler med eksterne samarbejdspartnere, og de sikkerhedskrav, der stilles, skal defineres ud fra de gældende lovkrav. Kravene skal fremgå af de skriftlige databehandleraftaler.

Eksterne samarbejdspartnere, der har adgang til data, skal efterleve samme retningslinjer som gælder internt i organisationen.

Sikkerhedsniveau

Det er skolens politik at beskytte sine informationer. Derfor tillades brugen, adgang til og offentliggørelse af informationer udelukkende i overensstemmelse med skolen retningslinjer og under hensyntagen til gældende lovgivning. Skolen opretholder, på baggrund af en risikovurdering, et sikkerhedsniveau, der svarer til betydningen af de pågældende informationer, er afstemt efter risiko og væsentlighed og som endvidere overholder gældende lovkrav.

Informationssikkerhedspolitik søger at tage højde for at der flere lovgivninger der påvirker vores daglige administration. Retningslinjer og procedurer skal være i overensstemmelse med alle at relevante sikkerhedskrav i lovgivning, bekendtgørelser samt i indgåede kontraktlige forpligtelser styres og overholdes.

It-sikkerhedsbevidsthed

Alle brugere af skolen informationssystemer, udstyr m.m. har et ansvar for at bidrage til beskyttelse af skolens informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Derfor skal alle brugere løbende orienteres om og uddannes i informationssikkerhed i et relevant omfang.

Skolen ønsker at anvende awareness kampagne og anden informations formidling der er målrettet mod såvel ansatte som elever, der gør dem til ansvarsbevidste it-brugere.

Brud på informationssikkerheden

Hvis en bruger bliver bekendt med trusler mod informationssikkerheden eller brud på denne, skal vedkommende straks rapportere til den daglige styring af informationssikkerhedssystemet. Skolen har som målsætning at reagere og udvikle sig som organisation på bagrund af hændelser, nærved-hændelser og forbedringsforslag opsamlet i organisationen.

Den daglige styring

Skolelederen sikrer at de tiltag, der er beskrevet i informationssikkerhedspolitikken og de deraf udledte regler, procedurer og kontroller gennemføres og efterleves.

 

Godkendt af Bestyrelsen, 22. januar 2019