Informationssäkerhets instruktioner för användare i Borlänge Kommun instruktion

Transkript

1 Författningssamling i Informationssäkerhets instruktioner för användare i Borlänge Kommun instruktion Beslutad av kommundirektören

2 Metadata om dokumentet Dokumentnamn Informationssäkerhetsinstruktioner för användare i Borlänge Kommun Dokumenttyp Instruktion Omfattar Kommunen Dokumentägare Kommundirektören Författningsstöd Dokumentansvarig Informationssäkerhetssamordnare Publicering Insidan stöd i det dagliga arbetet IT Informationssäkerhet Beslutad Bör revideras senast Vid behov Beslutsinstans Kommundirektören Diarienummer KS2013/190 Revidering 1 Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 2 (14)

3 Innehållsförteckning 1 Bakgrund och användarens ansvar Åtkomst till information Klassning Behörighet och inloggning Behörighet för externa användare Lösenord Din arbetsplats Utrustning Program och applikationer När du lämnar din arbetsplats Service och kassering Distansarbete Fjärranslutning Mobila enheter Lagring Internet Sociala medier Att representera kommunen i sociala medier Privata konton i sociala medier E-post Incidenter, virus m.m Incidenter Virus E-post och virus Användarens personliga integritet Avslutning eller förändring av anställning Rutin för efterlevnad av instruktionen Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 3 (14)

4 1 Bakgrund och användarens ansvar Kommunens alla verksamheter är beroende av att dess information är tillgänglig för rätt person vid rätt tidpunkt samt att den är riktig och därmed kan utgöra ett bra beslutsunderlag. Hoten mot våra informationstillgångar är många och för att säkerställa att informationen är skyddad finns det informationssäkerhetskrav som behöver uppfyllas. Användare av kommunens information är viktiga aktörer för att säkerställa att så sker. För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till: vilka krav som ställs på dig vad du ska göra vid incidenter (avvikelser som orsakar eller kan orsaka avbrott eller störning i utrustning eller i en tjänst) att du kan få stöd och hjälp från din chef, systemägaren, systemförvaltaren och IT kundstöd Kommunstyrelsens viljeinriktning och mål för informationssäkerhetsarbetet i redovisas i kommunens Informationssäkerhetspolicy. Policyn är nedbruten och indelad i Informationssäkerhetsinstruktioner för olika områden: Användare Förvaltning Driftsinstruktioner Informationssäkerhetsinstruktionerna innehåller regler för att skydda informationen, som kan finnas lagrad i såväl papper som i nätverket och i olika program/system eller bärbara enheter. Informationssäkerhetsinstruktion Användare riktar sig till alla användare av kommunens information: politiker, anställda och extern personal. Instruktionen redovisar hur man som användare ska agera för att upprätthålla en god informationssäkerhet. Denna instruktion beskriver en miniminivå på säkerheten. Chef, uppdragsgivare eller motsvarande är ansvarig för att instruktionen kommuniceras till den/de som berörs av den. Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 4 (14)

5 2 Åtkomst till information 2.1 Klassning Verksamhets- och samhällsviktig information inom klassas av systemägare och - förvaltare utifrån aspekterna konfidentialitet, riktighet och tillgänglighet. Konfidentiellt (sekretess): Att informationen skyddas för obehöriga. Riktighet: Att informationen är riktig och inte ändras obehörigt. Tillgänglighet: Att informationen finns tillgänglig för rätt person vid rätt tillfälle. Det är klassningen som avgör hur informationen ska skyddas. Då du som användare ska flytta eller spara information på annan media (ex extern hårddisk, USB-sticka eller annan nätverksplats) behöver du känna till hur den är klassad för att kunna avgöra var du får lagra 1 den. Information kan vara klassad i tre olika nivåer Låg (tex Lokalvårdssystem), Mellan (tex Ekonomisystem) eller Hög (tex Elevvårdssystem). 2.2 Behörighet och inloggning För att få behörighet till kommunens nätverk, generella IT-system och verksamhetssystem krävs det att din chef, för din räkning, ansöker om behörighet till de system du behöver i ditt arbete. Ansökan från din chef är det som initierar registrering av dig som användare i de olika systemen. När det gäller behörighet i nätverket och e-post, så är det IT-enheten som registrerar dig som användare och därefter distribuerar användarnamn och lösenord till dig via epost till din chef. För behörighet i de verksamhetsspecifika system som du behöver tillgång till, är det systemförvaltare för respektive system som registrerar dig som användare. IT-enheten lägger upp programikonen i ditt nätapplikationsfönster. Användarnamn och lösenord distribueras till dig via din chef eller systemförvaltare per epost. Lösenordet du blir tilldelad ska användas den första gången du loggar in och bytes därefter omedelbart till ett lösenord 2 som bara du känner till. Varje gång du får behörighet till ett nytt IT-system, får du ett preliminärt lösenord som du vid första inloggningen omedelbart ska byta Behörighet för externa användare Externa användare, exempelvis konsulter, behöver ibland behörighet till nätverk och system. Uppdragsgivaren ska i sådana fall göra en ansökan om behörighet för konsulten, som personligen skriver under både behörighetsansökan samt sekretessförbindelse. Konsulten ska inte ha tillgång till mer information än hen behöver för sitt uppdrag. 2.3 Lösenord Lösenordet som är kopplat till ditt användarnamn, är till för att förhindra obehöriga från att få tillgång till kommunens information. Vissa system/applikationer har regler för hur lösenordet ska vara konstruerat, andra tillåter enklare lösenord. Tänk dock på att om du väljer ett enkelt lösenord underlättar du för eventuella angripare att ta sig in i kommunens nätverk och system. Många upplever att kraven på komplexa lösenord är omöjliga att efterleva med tanke på den stora mängd system som kräver inloggning. Detta resulterar ofta i att lösenorden antecknas på lappar intill datorn. 1 Läs mer om olika lagringsytor under 5. LAGRING. 2 Läs mer om lösenord under 2.4. LÖSENORD Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 5 (14)

6 Om du konstruerar ett avancerat lösenord enligt nedanstående instruktioner så är det tillåtet att använda detta lösenord i flera system/applikationer (på arbetet), under förutsättning att du förvarar det på ett säkert sätt. Tänk på detta då du väljer lösenord: lösenord är personliga och det är ditt ansvar att se till att ingen annan känner till dina lösenord undvik att dokumentera lösenordet (på tex papper, i datafil eller mobiltelefon) lösenordet ska vara minst 8 tecken långt. använd inga riktiga ord som lösenord använd inte heller namn på familjemedlemmar, husdjur, telefonnummer el dylikt som kan kopplas till dig personligen. lösenordet bör bestå av stora och små bokstäver samt siffror och specialtecken 3 i de fall applikationen/systemet tillåter det du får inte använda samma lösenord i kommunens system som de du använder hemma återanvänd inte lösenorden byt lösenord minst 4 gånger/år eller omgående om du misstänker att någon annan känner till det Tips! Skapa lösenord enligt samma princip varje gång, exempelvis genom att ta en mening som är lätt att komma ihåg Kalle var 32 när han besökte Oslo & Bergen första gången, skapa sedan lösenord genom att ta första bokstaven i alla ord: Kv32nhbO&Bfg. Lösenordet blir relativt komplicerat men ändå enkelt att komma ihåg. Gå gärna in på: och läs mer om lösenord och testa din princip. (Skriv aldrig in ett lösenord som du redan använder!) 3 Din arbetsplats 3.1 Utrustning För din dator med tillhörande utrustning gäller följande: Om du behöver ytterligare utrustning för att kunna klara av dina arbetsuppgifter ska du anmäla detta till din chef som i sin tur beställer den utrustning som behövs. fysiska ingrepp får endast ske av IT enheten fel ska omedelbart anmälas till IT kundstöd bärbara datorer skall förvaras inlåsta 4 eller tas med hem när du går för dagen din bildskärm skall vara fastlåst med vajer när du lämnar din arbetsplats för dagen ska du komma ihåg att dra ned/vinkla persienner för att hindra från insyn. Vissa verksamheter köper datorer, istället för att leasa dem. Dessa är inte är basladdade och därmed inte heller supporterade av IT-enheten. Hantering av dessa datorer sker enligt verksamhetens egna bestämmelser och eventuella frågor tas med IT-samordnare/chef eller liknande. Privat utrustning får endast anslutas till kommunens nätverk efter att den godkänts av IT-enheten. 3 Exempelvis! #%&/()=? 4 Det är upp till respektive verksamhet att avgöra hur datorn ska förvaras (ex i låst skåp, i låst rum etc) Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 6 (14)

7 3.2 Program och applikationer Arbetsgivaren tillhandahåller program och applikationer för din dator som du behöver i ditt arbete. du får inte ladda ned något från Internet utan att kontakta IT enheten först det är inte tillåtet att kopiera eller använda kommunens program utanför kommunens verksamhet det är inte tillåtet att använda kommunens program för mer än det du behöver i ditt arbete, såsom att söka information i verksamhetssystem för privata ändamål. Detta är att betrakta som dataintrång. Vissa verksamhetssystem lyder under hälso och sjukvårdslagstiftning och är därmed belagda med striktare regler som bland annat påbjuder regelbundna åtkomstkontroller 5 av användarna. 3.3 När du lämnar din arbetsplats stäng alltid av datorn när du går hem för dagen och logga ut från nätverket om du lämnar arbetsplatsen för en längre stund när du lämnar datorn utan uppsikt, lås datorn tillfälligt Ctrl+Alt+Delete välj Lock Workstation eller win+l. Om den möjligheten finns lås dörren när du lämnar rummet använd aldrig någon annans inloggning 3.4 Service och kassering Kommunen leasar datorer på 3 år, varefter din dator byts ut till en ny. när du byter ut/lämnar tillbaka din dator, kontrollera att det inte finns lagrade information på hårddisken C:\. all service av din dator skall utföras av IT enheten 4 Distansarbete När du jobbar utanför kontoret är det extra viktigt att tänka på säkerheten. Jobbar du hemifrån bör du särskilt tänka på att: du ansvarar för din dator (och annan kommunägdutrustning) när du tar den utanför kommunens lokaler. Det innebär att du ska skydda den från stöld och åverkan genom att: o förvara den på ett säkert sätt o inte lämna den obevakad ex i bilen om du stannar och handlar inte lagra arbetsrelaterad information på en privat dator inte lämna datorn obevakad så att ex. familjemedlemmar kan se ditt arbetsmaterial inte låta ex. familjemedlemmar använda din jobbdator eller annan kommunägd utrustning inte använda privat e post till arbetsrelaterad information Jobbar du på annat ställe utanför kontoret, exempelvis på tåg bör du tänka på: Använd ett insynsskydd på datorskärmen om du jobbar med känslig information. Skyddet förhindrar att någon obehörig kan läsa information från din skärm, såvida personen inte sitter mitt framför skärmen. 5 Vilka journaler en användare tagit del av. Personal får endast öppna journaler till brukare de har en vårdrelation till. Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 7 (14)

8 Om du talar i telefonen, tänk på att du inte vet vem som kan lyssna, prata därför inte om saker som kan vara känsligt. 4.1 Fjärranslutning När du jobbar hemifrån kan arbetsgivaren erbjuda uppkoppling mot kommunens nätverk via AppGate som är ett program som ger en säker tillgång till din hemmakatalog samt de system och applikationer som du normalt når på jobbet. Jobbar du hemifrån regelbundet skall Appgate användas för att undvika att information bearbetas och/eller mellanlagras på ett osäkert ställe. AppGate beställs via IT-enheten av din närmsta chef 4.2 Mobila enheter Antalet mobila enheter 6 ökar snabbt bland kommunens användare. Mobiliteten möjliggör ett mer flexibelt och i vissa fall även mer effektivt arbete. Många mobila enheter kan jämföras med en dator, trots detta saknar många utav dessa de självklara säkerhetsfunktionerna som finns i en dator, exempelvis antivirus, kryptering och brandvägg. Detta gör att vi måste vara extra uppmärksamma på hur vi använder och hanterar våra mobila enheter så att den, om den hamnar i orätta händer, ska vara obrukbar för upphittaren. Du som använder ex en smart mobiltelefon eller surfplatta, fortsättningsvis kallad enhet, i ditt arbete skall tillämpa följande regler för ditt användande: Förvara din enhet så att du alltid har den under uppsikt. Den är ditt arbetsredskap, låna därför inte ut den till andra (ex. familjemedlemmar) Din enhet skall ha ett kodlås, så att du inte kan använda den utan att ange din kod. Koden skall vara en som du kan komma ihåg, men som inte går att gissa sig till eller som kan kopplas till din person. Undvik vanliga sifferkombinationer såsom 1234, 0000, 2580, 1998, 5683, Du skall ställa in kodlåset så att enheten låser sig själv då du inte använder den, du ska dessutom ställa in tiden för när enheten ska låsas automatiskt. Ställ in detta på så kort tid som möjligt, exempelvis 1 minut. Då du inte använder Bluetooth ska den funktionen stängas av. När du använder den ska du bocka i att den ska vara osynlig. Bluetooth kan användas av andra för att föra över eller hämta information till/från din enhet när Bluetooth är påslagen. Har du däremot bockat i att den ska vara osynlig så försvårar det för en angripare då dennes enhet inte ser din enhet. Om du, i din enhet, använder webmail, facebook eller annan funktion som kräver inloggningspara inte inloggningsuppgifter såsom användarnamn och lösenord. Genom automatiska inloggningar bjuder du eventuella angripare att fritt stjäla din information och uppgifter. Innan du bestämmer dig för att synkronisera din enhet med e-post, fundera över om du verkligen behöver ha e-post i din enhet. En mobil enhet utgör en väldigt osäker förvaringsplats för e-post. Om du ändå hämtar e-post till din enhet, ställ in överföringen så att du har kopior på alla e- postmeddelanden kvar i e-postklienten på jobbet. På så sätt riskerar du inte att bli av med din e-post om telefonen skulle komma bort. Olika enheter har olika säkerhetsfunktioner (ex. radering av information efter ett visst antal misslyckade åtkomstförsök). Se till att aktivera alla dessa, så har du minskat risken för angrepp, samt konsekvenserna efter ett angrepp. 5 Lagring Det finns många olika ställen att lagra information på. Var du bör lagra din information beror på vilken typ av information det är. Vissa lagringsytor är mer säkra än andra. Du bör därför klassificera informationen för att kunna avgöra var den ska lagras. Generellt gäller att iaktta extra försiktighet när det gäller användandet av externa tjänster. 6 Exempel på mobil enhet kan vara mobiltelefon eller surfplatta. Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 8 (14)

9 Lagringsyta T Arbetsgruppens torg på nätverket. H Din personliga hemmakatalog, som bara du har tillgång till. C Lokalt på din dator. Pergas (dokumenthanteringssystem) Allmän säkerhetsbedömning Detta är kommunens lagringsyta. Vi kontrollerar den och ser till att den uppfyller säkerhetsregler. Informationen är skyddad från obehörig åtkomst. Detta är kommunens lagringsyta. Vi kontrollerar lagringsytan (ej den personliga informationen) och ser till att den uppfyller säkerhetsregler. Informationen är skyddad från obehörig åtkomst. Att spara på C innebär risker. Informationen säkerhetskopieras inte, den är endast skyddad av inloggning till datorn, om datorn blir stulen så är informationen stulen. Om disken kraschar så är informationen förlorad. Detta är kommunens lagringsyta. Vi kontrollerar den och ser till att den uppfyller säkerhetsregler. Informationen är skyddad mot obehörig åtkomst. Säkerhetskopiering All information säkerhetskopieras. All information säkerhetskopieras. Ingen säkerhetskopiering All information säkerhetskopieras. Lämplig för vilken typ av information? Information som din arbetsgrupp delar. Möjlighet att skapa mappar som bara är synliga för personer med beviljad åtkomst. Information som bara du själv ska ha tillgång till. Kan vara av känslig/sekretess karaktär. Endast du har tillgång till ditt H: Här ska du inte spara någonting. Undantaget temporärt material som inte är av vikt, ex kaffelista. Fastställda dokument som hela kommunen ska ha tillgång till, utan att kunna editera. Dokument som ska publiceras på Insidan/Hemsidan Pergas tillhandahåller versionshantering, vilket underlättar då du tillsammans med andra jobbar med samma dokument. Groupwise (e-postsystem) Kommunens e-post All information På grund av det Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 9 (14)

10 Mobiltelefon Insidan Arbetsrum USB-sticka, extern hårddisk el liknande Extern lagring i moln - (ex. Dropbox och liknande ) program. Skyddad mot obehörig åtkomst. Osäker lagring. Dåligt skyddad. Skyddad mot obehörig åtkomst. Mkt osäker lagringsyta. Stickan är i de flesta fall varken lösenordsskyddad eller krypterad. Stor risk för förlust. Använder du extern hårddisk för din information ska den vara krypterad. Extern leverantör av lagringsyta. Kommunen har ingen kontroll över detta. Skyddat mot obehörig åtkomst. Oftast krypterat i någon form, osäkert dock i överföringen av dokument. säkerhetskopieras. Ingen säkerhetskopiering. All information säkerhetskopieras. Ingen säkerhetskopiering. Ingen säkerhetskopiering på kommunen. Förmodligen någon form av säkerhetskopiering hos leverantören. begränsade utrymmet ska du inte lagra någon information här. Viktiga dokument som du får som bifogade filer i mail ska du spara på ett lämpligt ställe, H: el T:. Här ska du inte spara någonting. I vissa fall kan det vara nödvändigt ex när du är på resande fot, flytta isåfall informationen till ett säkrare lagringsutrymme så snart du får möjlighet. Här kan du spara arbetsmaterial som fler har behov av att ha tillgång till. När detta är fastställt ska det dock flyttas till ex. Pergas. Här får du inte spara information av känslig/sekretess karaktär. Endast temporärt material som inte är av vikt. Undantaget om du använder en extern krypterad hårddisk Här får du inte spara något annat än publikt material (enligt Datainspektionens regler). 6 Internet All Internetsurfning loggas vilket betyder att det finns möjlighet att se vilka sidor som besökts och av vem. Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 10 (14)

11 Det är inte tillåtet för anställda att utnyttja Internet för surfning som inte är arbetsrelaterad under arbetstid. Det är inte tillåtet att ladda ned filer till din dator för privat bruk. Arbetsrelaterade filer som laddas ned ska hållas till ett minimum. Vid behov kontakta IT kundstöd för hjälp. Eftersom kommunens användaradress alltid framgår när vi är uppkopplade, är det viktigt att tänka på att vi representerar kommunen i varje kommunikation på Internet. Det innebär att kommunens adress registreras offentligt på de sidor vi besöker samt att de sidor vi besöker registreras. Det är oacceptabelt att besöka kontroversiella hemsidor via kommunens datautrustning. 6.1 Sociala medier Användandet av sociala medier, såsom Facebook, Twitter, flickr och diverse bloggar, har ökat den senaste tiden. Det finns säkerhetsrisker även med användandet av dessa applikationer. För din egen och arbetsgivarens skull finns det saker du bör tänka på när du skapar och använder ditt konto Att representera kommunen i sociala medier Om du för kommunens räkning fått i uppdrag att skapa ett konto i ett socialt forum är det viktigt att ta hänsyn till vissa aspekter som ska höja säkerheten. För att kunna garantera säkerheten ska en person utses som ansvarig för kontot/sidan. Kontot/sidan ska övervakas och vid behov rensas för att undvika att personuppgifter, känslig eller kränkande information finns publicerat, rensning ska ske enligt kommunens gallringsregler Inlägg på sidan ska i de flesta fall betraktas som upprättad eller inkommen handling och behandlas därefter Information på sidan ska hållas aktuell och riktig All information som läggs ut på sidan ska vara publik Vid inlägg av känslig karaktär som kräver svar från en kommunrepresentant, ska den fortsatta kommunikationen ske över telefon, epost eller vid besök Privata konton i sociala medier Kommunen ansvarar inte för konton/sidor som anställda skapat och där den anställde representerar sig själv som privatperson. Den anställde ska däremot även i dessa forum respektera sekretessen gentemot arbetsgivaren, kollegor och brukare, genom att inte publicera personuppgifter eller känslig information kring dessa. Tänk på att: Om du gör inlägg som handlar om personer du kommer i kontakt med via ditt jobb, tänk då på att man med ganska lite information kan gissa sig till vem personen ifråga är, vilket gör att det mesta klassas som personuppgifter 7 E-post Det finns regler för användning av e-postprogrammet som talar om hur du ska använda detta. Dessa regler finner du i kommunens e-postpolicy och -riktlinjer se Insidan Det finns dock vissa regler när det gäller e-post och säkerhet som är viktiga att tillämpa: Det är inte tillåtet att skicka integritetskänslig eller sekretessbelagd information via e post. Kontrollera alltid mottagaren en extra gång, särskilt om du svarar på ett mail, så att du inte av misstag skickar mailet till fler/andra mottagare än du avsett. Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 11 (14)

12 Använd inte din kommunala epostadress i privata sammanhang, såsom användarnamn på sociala forum eller då du anmäler dig till tävlingar på internet. Använd inte din privata epostadress till att skicka arbetsrelaterade mail. 8 Incidenter, virus m.m Incident är en plötslig oönskad händelse som ger eller hade kunnat ge negativa konsekvenser för den egna verksamheten, en enskild individ eller för organisationen. Exempel på en incident är ett stopp i nätverket som gör att ingen användare kan logga in. (Ett borttappat lösenord är däremot ingen incident.) 8.1 Incidenter rapporterar IT incidenter till CERT-SE. Om du misstänker att någon använt din användaridentitet eller om du varit utsatt för någon annan typ av incident ska du: notera när du senast var inne i IT systemet notera när du upptäckte incidenten omedelbart anmäla förhållandet till din närmaste chef som i sin tur ska kontakta IT chefen, Informationssäkerhetssamordnaren samt Risk och säkerhetssamordnaren dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på din information har påverkats Dessa uppgifter behöver du senare när du eller din chef fyller i incidentrapporten, som finns på Insidan. Om du upptäcker fel och brister i de system du använder, ska du rapportera detta till IT-kundstöd, systemförvaltaren, din närmaste chef eller informationssäkerhetssamordnaren. 8.2 Virus har programvaror för viruskontroll både i klienterna och i nätverket, men kan ändå drabbas av effekter av s.k. skadlig kod. Om du misstänker att din dator innehåller virus ska du: dra ut nätverkskabeln, men låta datorn vara på omedelbart anmäla förhållandet till Informationssäkerhetssamordnare, IT kundstöd eller till närmaste chef. OBS! Anmälan ska ske per telefon eller besök, inte per e post Om du får brev med virusvarning gör inget annat än kontakta IT-kundstöd. USB minnen, handdatorer, digitala kameror, mobiltelefoner mm kan lätt bli virusbärare eftersom du kan mellanlagra information mellan olika datorer i dessa. Var noga med att den dator du ansluter sådan kringutrustning till har ett uppdaterat virusprogram E-post och virus Kommunen har installerat program som skydd mot virus i e-posten och bifogade filer. Även om dessa program uppdateras kontinuerligt finns risk för intrång av virus och det är därför viktigt att dessa rekommendationer alltid följs: öppna inte okända filer var försiktig med e post från okända var försiktig med bifogade filer i e post även från människor du känner stäng av alla funktioner som öppnar filer automatiskt Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 12 (14)

13 anmäl omedelbart misstänkt virus till IT kundstöd, anteckna först vad som var smittat av virus låt den infekterade filen ligga orörd spara inte ned den på nätverket. skicka inte virussmittad e post vidare om du i övrigt är osäker hur på du skall agera, kontrollera alltid med IT kundstöd Anmälan av virus syftar till att kunna begränsa spridningen, att viruset rensas bort och att en analys av var viruset kommer ifrån kan genomföras. 9 Användarens personliga integritet Som användare av s informationssystem, nätverk och utrustning behöver du känna till hur uppgifter om dig kan komma att användas av IT enheten. För att upprätthålla spårbarheten 7 sparas loggar i alla system och applikationer. I loggarna kan man exempelvis utläsa när användaren varit inloggad, vilka eventuella förändringar hen gjort och vid vilken tidpunkt. Loggarna granskas regelbundet för att upptäcka missförhållanden. Systemägaren beslutar om hur ofta och på vilket sätt loggarna ska granskas. Vid misstanke om missbruk av kommunens utrustning kan Chef begära att få granska loggarna avseende den användare eller applikation misstanken gäller, detta förgås alltid av en diskussion med Personalavdelningen och eventuellt facken. Vid misstanke om brott lämnas ärendet vidare till brottsutredande myndighet, som kan komma att begära ut innehåll i mailsystem och i hemmakatalog. Om du har anmält ett fel eller problem till IT kundstöd kan ibland en tekniker från IT enheten behöva fjärrstyra din dator för att lösa felet eller problemet. Teknikern kontaktar dig innan för att meddela detta. För att snabbt kunna avhjälpa dina problem kan teknikern komma att fjärrstyra din dator även om du inte är vid din dator när teknikern ringer eller om teknikern inte får tag på dig. I syfte att optimera användandet av nätkapacitet, diskutrymme med mera kan IT enheten komma att se över innehållet i hemmakataloger och torg. Enstaka filer granskas dock inte i dessa fall, utan endast det totala utnyttjade utrymmet. 10 Avslutning eller förändring av anställning När du slutar din anställning ansvarar du för att: rådgöra med din chef om vilket av ditt arbetsmaterial som ska sparas allt arbetsmaterial du framställt anses vara s egendom och får inte tas med utan chefs godkännande privat material tas bort de behörigheter du fått för åtkomst till kommunens informationssystem avbeställs av din chef till systemägaren Töm röstbrevlådan på hälsningsmeddelande och inkomna meddelanden, observera att det kan ligga kvar meddelanden trots att du kanske inte använder röstbrevlådan. 7 Att ha god Spårbarhet innebär att man vid en incident kan se bakåt i tiden, genom exempelvis loggar, vilken användare som utfört vilka åtgärder/transaktioner och vid vilken tidpunkt. Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 13 (14)

14 11 Rutin för efterlevnad av instruktionen För att bibehålla en säker informationshantering är det viktigt att: IT och informationssäkerhetsutbildning är en del av introduktionen för nyanställda Informationssäkerhetsinstruktioner för användare i Borlänge Kommun 14 (14)