Informationssäkerhetsinstruktion användare

Transkript

1 Informationssäkerhetsinstruktion användare Detta dokument redovisar hur du som användare ska agera för att upprätthålla en god säkerhetsnivå

2 Informationssäkerhetspolicy Informationssäkerhetspolicyn är ett övergripande regelverk för hantering av information och informationssäkerhet. Policyn är ett stöd för samtliga anställda och reglerar de åtgärder som syftar till att förebygga eller minimera oönskade konsekvenser av händelser som negativt påverkar kommunens informationstillgångar. Policyn tydliggör kommunens viljeriktning och stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav samt lagar och föreskrifter. Ytterst ansvarig för arbetet är kommunstyrelsen. Informationssäkerhet omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Informationssäkerhetspolicyn omfattar samtliga anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system. Överenskommelse för elever upprättas utifrån kommunens informationssäkerhetspolicy. Begreppet information avser all information som skapas, inhämtas, distribueras och lagras, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Begreppet informationssystem avser samtliga digitala system. Dessa ska vara identifierade, förtecknade och bedömda efter vilka som är verksamhetskritiska. Begreppet IT är en förkortning för informationsteknik och avser användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssäkerhetspolicyn konkretiseras i följande instruktioner: Informationssäkerhetsinstruktion Förvaltning (inklusive Systeminventering) Informationssäkerhetsinstruktion Användare Informationssäkerhetsinstruktion Kontinuitet och drift (inklusive Informationssäkerhetsanalys). Policyn är ett levande dokument som revideras minst en gång per mandatperiod. Öckerö Ingvar TH Karlsson Kommunchef Öckerö kommun

3 1. Ansvar Samtliga användare inom kommunen (anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system samt elever utifrån separat överenskommelse) ska skydda den information han/hon hanterar. Det är varje användares ansvar att obehöriga inte nås av informationen. Du som användare har ett ansvar att känna till och följa befintliga regelverk för informationssäkerhet. För information om offentlighetsprincipen hänvisas till kommunens hemsida. 2. Support All felanmälan ska ske via IT-portalen som du når via intranätet. Vid akuta ärenden, kontakta ITservice eller växeln. Vid problem med nätverk, applikation eller hårdvara, kontakta IT-support. Vid problem med specifika informationssystem, kontakta systemansvarig. 3. Behörighet till informationssystem Kommunens informationssystem är utrustade med behörighetskontroll för att skydda kommunens information och endast ge behöriga användare tillgång. Behörighet är en rättighet du erhåller av närmaste chef. Inloggning och lösenord För att nyttja din behörighet i informationssystem krävs att du har ett lösenord. Tänk på att: användarnamn och lösenord är personliga och får inte lånas ut skydda ditt lösenord väl omedelbart byta lösenord om du misstänker att någon känner till det lösenord ska betraktas som en värdehandling alla noteringar om lösenord ska förvaras skyddade. Lösenord ska innehålla minst 8 tecken; bokstäver samt siffror och/eller specialtecken. Alla lösenord ska bytas ut var 90:e dag. I det interna nätverket samt de flesta informationssystem som kräver inloggning kommer du att bli påmind via en automatiskt genererad påminnelse. Följande typer av lösenord får inte användas: enkla repetitiva mönster som t ex BBbb22 lättforcerade lösenord såsom eget, familjemedlems eller husdjurs namn enkla tangentkombinationer såsom QWERTY. Efter upprepade misslyckade inloggningsförsök spärras din behörighet. Följande gäller för misslyckade inloggningsförsök: internt nätverk: 6 misslyckade inloggningsförsök kontakta IT-support informationssystem: 3 misslyckade inloggningsförsök kontakta systemansvarig. 4. Hantering av IT-utrustning IT-utrustning som finns tillgänglig för användare är stationär dator, bärbar dator, mobiltelefon, smartphone, läsplatta, USB-minnen mm. Utrustningen tillhör Öckerö kommun. Tänk på att hantera utrustningen varsamt och efter de regler som gäller samt att egna fysiska ingrepp inte får göras. Närmaste chef i samråd med IT-service tar beslut om inköp. All service av IT-utrustning ska ske via IT-service. Kassering av IT-utrustning ska ske via, eller efter samråd med, IT-service. Eventuell skadegörelse och stöld av IT-utrustning polisanmäls av närmaste chef.

4 Sekretessbelagd information får endast lagras på anvisad plats på det interna nätverket och får inte förekomma på någon annan form av utrustning. Stationär och bärbar dator Stationär och bärbar dator ska ha virusskydd och brandvägg installerat. IT-service ansvarar för att alla datorer innehåller den programvara som krävs för att upprätthålla rätt säkerhetsnivå. Vid misstanke om att dator inte uppfyller säkerhetskraven, kontakta IT-service. Stationär dator ska vid behov vara fastlåst. Bärbar dator ska hanteras på ett säkerhetsmedvetet sätt och skyddas med inloggning till operativsystemet om den inte är installerad för att användas som tunn klient. Information ska inte lagras lokalt på bärbar dator då den inte omfattas av central säkerhetskopiering. Används den inte som tunn klient ska man spara under Dokument. Mobiltelefon/smartphone/läsplatta Mobiltelefon/smartphone/läsplatta ska hanteras på ett säkerhetsmedvetet sätt. Information på dessa enheter ska synkroniseras mot kommunens informationssystem så att information omfattas av central säkerhetskopiering. PIN-kod ska alltid vara aktiverad. Telefonnummer ska inte vidarekopplas till privat telefon. Vid frågor, kontakta informationsenheten. Bring your own device (BYOD) Privata enheter får inte anslutas till kommunens nätverk men åtkomst till internet är möjligt via gästinlogg (erhålles i medborgarkontoret). Kringutrustning Kringutrustning, t ex digitalkamera, kan lätt bli virusbärare eftersom information kan mellanlagras på dessa enheter. All USB-anslutning gentemot verksamhetens datorer ska godkännas av IT-service. Privat utrustning får inte anslutas eller användas i kommunens datorer eller nätverk. USB-minnen/extern hårddisk USB-minnen/extern hårddisk ska hanteras på ett säkerhetsmedvetet sätt. Så lite information som möjligt ska sparas på dessa enheter då de inte omfattas av central säkerhetskopiering. USB-minnen som delas ut på mässor eller liknande kan innehålla skadlig kod och ska därför innan användning testas och godkännas av IT-service. CD/DVD Information på CD/DVD-skivor ska före anslutning kontrolleras för att kunna identifiera eventuell skadlig kod. Om information lagras temporärt på CD/DVD-skivor rekommenderas att använda RWskivor där innehållet kan raderas. Information på lagringsmedia får endast lagras temporärt och ska efter användande raderas eller förstöras. Information på vanliga CD/DVD-skivor går inte att radera. Dessa ska därför förstöras efter att informationen använts. Molntjänster För fjärrarbete rekommenderas av IT-service godkänd programvara, exempelvis Citrix. Om man hanterar verksamhetsrelaterad information i så kallade molntjänster ska man vara medveten om att molntjänsterna kan sakna flera funktioner som finns inbyggda i verksamhetens ordinarie lagringssätt. Tjänsterna är generellt olämpliga för information som innehåller sekretess eller som annars är känslig eller verksamhetskritisk. Kontakta närmaste chef eller IT-service om du är osäker. För ytterligare vägledning, se: Sociala medier Det bör finnas ett uppdrag från närmaste chef för att en anställd ska kunna använda sociala medier i tjänsten. Med detta beslut klargörs att personen använder sociala medier som anställd och inte som privatperson. Sekretessbelagda uppgifter får inte publiceras på sociala medier. Det kan finnas regler för hur anställda får använda sociala medier på arbetstid. Här är det upp till varje arbetsgivare att bestämma vilka regler som ska gälla. För ytterligare vägledning, se:

5 5. Regler och rutiner Anställning Vid nyanställning och tillfälliga anställningar ska genomgång och undertecknande av Informationssäkerhetsinstruktion Användare ske. Personalenheten ansvarar i samråd med informationsenheten för att samtliga nyanställda genomgår en informationssäkerhetsutbildning. Närmaste chef i samarbete med informationsenheten ansvarar för att samtliga användare kontinuerligt uppdateras om informationssäkerhet. Systemägare beslutar om vilka krav som ställs på användare som tilldelas behörighet till informationssystem. Systemägare ska ha en plan för hantering av nyckelpersonsberoende (backup). Systemansvarig ansvarar för att det finns en användarhandledning för respektive informationssystem. Ansökan om behörighet till informationssystem görs av närmaste chef, som i sin tur gör beställning till systemansvarig. När anställd avslutar anställning ska all utrustning lämnas tillbaka till närmaste chef, som meddelar berörda systemansvariga. Systemansvarig ska spärra användarkonto i samband med anställningens upphörande. Om anställd byter tjänst inom kommunen ska dennes behörighetsprofil revideras. Vid avsked av anställd ska närmaste chef omgående kontakta IT-service som med omedelbar verkan spärrar användarkontot. Mobil datoranvändning och distansarbete Närmaste chef beslutar om mobil datoranvändning för distansarbete. Arbetsplats Fysisk information ska skyddas på samma sätt som digital information. När arbetsplatsen lämnas utan uppsikt, lås in eller lägg undan känsligt arbetsmaterial. Lås datorn med Ctrl+Alt+Del, lås WYSE-klient med Ctrl+Alt+pil vänster. Säkerhetskopiering Digital information ska sparas i Öckerö kommuns centrala lagringsmapp som omfattas av central säkerhetskopiering. Information ska inte sparas på lokal hårddisk (C:), då den ej omfattas av kommunens centrala säkerhetskopiering. Allt material som lagras på Öckerö kommuns servrar och datorer tillhör Öckerö kommun och kan, efter samråd med berörd person och/eller närmaste chef, kopieras, avlägsnas, flyttas och läsas av personal på IT-service utan medgivande från den person som placerat materialet där. Programvaror Endast programvaror som ägs eller är licensierade av Öckerö kommun får användas i kommunens utrustning. Alla programinstallationer på IT-utrustning ska utföras eller godkännas av systemansvarig och/eller IT-service. Vissa uppdateringar får ske av användare via godkännande av IT-service. Vid behov av ytterligare programvara, kontakta närmaste chef som i sin tur kontaktar IT-service. Utskrift av dokument Utskrift av dokument ska ske på ett säkerhets- och miljömedvetet sätt. Whiteboardtavlor/pappersblock Whiteboardtavlor och pappersblock är att betrakta som fysisk information och behandlas därefter. All information ska tas bort då rummet lämnas. Var uppmärksam på vilken information som kan läsas utifrån. Besök till kommunens lokaler Vid mottagande av besök till kommunens lokaler gäller följande: besökare ska anmälas i receptionen där sådan finns besökare ska hämtas i receptionen av ansvarig tjänsteman besökare ska under hela besöket hållas under uppsikt.

6 Mediahantering Kontakt med media hänvisas till närmaste chef. Vid frågor, kontakta kommunikatör. Användning av Internet Internet är ett arbetsverktyg och får endast användas för privat bruk i sådan omfattning att det inte inkräktar på arbetet eller medför kostnader för kommunen. Nedladdning av filer är endast tillåten då arbetet kräver detta. Nedladdning av programvara är inte tillåten. När du surfar på Internet representerar du Öckerö kommun och lämnar spår efter dig i form av din IP-adress. Vid missbruk av dessa internetregler gör närmaste chef en anmälan till personalenheten, som agerar enligt gällande regelverk. E-handel är endast tillåten för arbetsrelaterade inköp och ska godkännas av närmaste chef. Användning av e-post Endast arbetsrelaterat material i e-postsystemet skyddas. Vid eventuell kontroll och rensning tar ITservice inget ansvar för privat material. Digital, kommunrelaterad information ska kommuniceras via Öckerö kommuns e-postserver. Uppgifter som berörs av sekretesslagen får inte okrypterat förekomma i e-postsystemet. Detsamma gäller för meddelanden som innehåller integritetskänsliga uppgifter enligt personuppgiftslagen (PUL). Radering av e-postmeddelanden ska ske i enlighet med nämndens dokumenthanteringsplan. Det är endast tillåtet att skicka eller öppna bifogade filer som är arbetsrelaterade. Vid problem med bifogade filer, filer med okänd avsändare eller misstanke om virus i e-postmeddelande, kontakta ITservice. Många virus fortplantar sig som en bilaga till ett e-postmeddelande. Arbetsrelaterade e-postkonton får inte vidarebefordras till privat e-postkonto. Vid frånvaro längre än 24 timmar ska autosvarsfunktionen i e-postsystemet användas. I det automatiska svaret ska det framgå hur lång frånvaron är samt vid behov hänvisning till annan tjänsteman. Skadlig kod Skadlig kod kan vara olika typer av virus, trojaner och maskar som gör intrång i datorerna. För att skydda nätet används både centrala skydd i form av brandväggar och virusskydd samt lokala skydd i datorerna. Datavirus är små program som laddas ned i datorn utan din vetskap. Öppna aldrig en bifogad fil där avsändaren är okänd eller innehållet verkar misstänksamt. Tecken på datavirus kan vara att datorn utför något utan din vetskap, startar om sig med jämna mellanrum, arbetar mycket långsamt eller att antivirusprogrammet varnar om upptäckt virus. Vid misstanke om virus, kontakta IT-service. Incidenter En säkerhetsincident är en händelse som kan få negativa konsekvenser för verksamheten. Vid misstanke om att någon använt din användaridentitet eller att du varit utsatt för någon annan typ av säkerhetsincident ska du notera när du upptäckte incidenten och dokumentera alla iakttagelser i samband med upptäckten. Alla säkerhetsincidenter ska rapporteras i incidentrapporteringssystemet. Överträdelser Eventuella överträdelser av dessa regler kan leda till disciplinära åtgärder, även om överträdelsen skett på grund av oaktsamhet.

7 Vid undertecknande av detta dokument, som har upprättats i två exemplar, intygas att medarbetaren är införstådd med, tagit del av och förbinder sig att följa Informationssäkerhetspolicy och Informationssäkerhetsinstruktion användare. Ett exemplar behålls av medarbetaren och ett sänds till personalenheten. Medarbetaren För Öckerö kommun (närmaste chef) Datum och ort Datum och ort Namnunderskrift Namnunderskrift Namnförtydligande Namnförtydligande Befattning Förvaltning/verksamhet/enhet Personnummer