Logning i Unilogin følger Børne- og Undervisningsministeriets politik for logning.

 Politikken fastlægger de krav til de retningslinjer for, hvordan arbejdet med logning skal tilrettelægges og kontrolleres.

  1. Offentligt tilgængelige informationer må tilgås uden logning (fx informationer på uvm.dk og viden.stil.dk).
  2. Unilogin og alle tilhørende produkter og services og deres driftsplatform er omfattet af krav om logning, når de anvendes til behandling af informationer, som ved klassifikation eller på anden vis er omfattet af krav til logning.
  3. Kravet om logning gælder også, når brugere tilgår informationer uden om produktets sædvanlige adgangssystemer (fx ved afvikling af database-scripts).
  4. Logning skal etableres i overensstemmelse med kravene i GDPR eller tilsvarende.
  5. Konkrete krav til logning fastlægges ved vurdering af det enkelte produkt og driftsplatformen.
  6. Det skal være muligt at benytte indsamlet log-information til kontroller og efterforskning.
  7. Adgang til log-information er forbeholdt brugere (i UVM) med et arbejdsbetinget behov. Dette behov fastlægges ud fra en vurdering af det enkelte produkt.
  8. Log-informationer må ikke kunne ændres eller slettes i den for produktet fastlagte opbevaringsperiode.
  9. Der skal føres løbende kontrol med, at logning, er aktiveret, hvor dette er et krav.
  10. Produktchefen er ansvarlig for relevant logning etableres på de enkelte produkter og services. Driftchefen har ansvaret når det gælder driftsplatformen. Chefen for STILs sikkerhedsfunktion har ansvaret for at føre kontrol ift. opfyldelse af krav til logning.
  11. Når logning etableres, skal den leve op til følgende operationelle krav.
    1. Formålet med den konkrete logning skal beskrives
    2. Det fastlægges og dokumenteres, hvilke typer af oplysninger der registres, og hvor længe de opbevares
    3. Loggen skal kunne tolkes af en person som har indsigt i systemet
    4. Den konkrete log skal kunne relateres til systemets samlede funktionalitet
    5. Logs skal kunne reetableres, hvis de går tabt eller manipuleres
    6. Tidssynkronisering bør implementeres i alle relevante produkter

Hvad logges?

Loggens formål er at registrere hændelser og tilvejebringe bevis herfor. Når produkter behandler persondata, stiller det en række krav i forhold til behandling af logs:

  • Hændelseslogning af brugeraktivitet
  • Undtagelser
  • Fejl
  • Tegn på informationssikkerhedshændelser.
  • hvilke brugere, der tilgår persondata, hvilke data der tilgås, hvornår data tilgås og fra hvilken funktion i systemet data
  • Oprettelse og sletning af persondata

Logs for persondata gemmes i minimum seks måneder

  • Ingen etiketter

Styrelsen for It og Læring - Teglholmsgade 1 - 2450 København SV - www.stil.dk