Individuellt ansvar inom informationssäkerheten

Transkript

1 Dokumenttyp: Policy Revision nr: 2.4 Ägare av dokumentet: Information Security Manager Datum för revision: Godkänd av: Corporate HR (1 okt 2010) CIO (1 okt 2010) Informationsklassning: INTERN 1 Inledning Vi har alla intresse av att det går bra för SCA. SCA:s framgång beror i hög grad på vår information, våra kunskaper och erfarenheter. Vår marknadsposition och våra arbeten kan komma i fara om konkurrenter får tillgång till information om SCA:s forskning, produktutveckling, lanseringar eller andra affärsstrategier. Dessutom kan bilden av oss som ett bärkraftigt företag med gott anseende på aktiemarknaden och i samhället i stort skadas om vi inte lyckas upprätthålla en hög informationssäkerhetsnivå. Det är av yttersta vikt att skydda dessa värden på rätt sätt. Syftet med denna policy är att skydda SCA:s verksamhet samt aktieägarnas, kundernas, partners, de anställdas och övrigas intressen. I dokumentet beskrivs regler och riktlinjer för att skydda information, för användning av datorer, nätverk, informationssystem och Internet (IT-resurser) inom SCA. Reglerna gäller för anställda, tillfälligt anställda, oberoende leverantörer och övriga som använder SCA:s ITresurser (Användare). Policyn ska alltid implementeras i överensstämmelse med tillämpliga lagar och föreskrifter. SCA:s HR-organisation ansvarar för att alla berörda användare undertecknar policyn. 1.1 Grundläggande förutsättningar Denna policy bygger på grundprincipen att SCA:s IT-resurser ägs av SCA och betraktas som arbetsverktyg som används i företagets tjänst. Företaget ska inte riskera skadestånd, betalningsskyldigheter eller andra onödiga kostnader på grund av olämplig användning av dessa arbetsverktyg. 1.2 Individuellt ansvar Genom att följa policyn uppfyller du SCA:s förväntningar och bidrar till att skydda SCA:s tillgångar. Allvarliga överträdelser, som att avslöja konfidentiell information eller allvarligt missbruka de tillhandahållna IT-resurserna, kan leda till uppsägning och rättsliga åtgärder. 1.3 Privat användning av IT-resurser Användarna får tillgång till IT-resurser för att kunna arbeta effektivt. En befogad, mycket begränsad användning av IT-resurser för personligt bruk är dock acceptabel, under förutsättning att användningen inte hindrar åtaganden gentemot SCA eller åtaganden som SCA har, och att den inte orsakar betydande kostnader för SCA. Individual Responsibility for InfoSec _SV.doc - 1/8 -

2 2 Kontroll IT-resursernas användning kontrolleras utan föregående varning eller medgivande när en sådan kontroll är motiverad enligt SCA. En kontroll av den enskildes användning av ITresurser ska dock alltid utföras i ljuset av följande två allmänna principer. Kontroller och bruk av de uppgifter som framkommit under kontroller ska alltid följa tillämpliga lagar och föreskrifter. Kontroller ska inte utgöra ett uppenbart intrång i en anställds privatliv, med mindre än att de vidtagna åtgärderna har sanktionerats för ett visst syfte och betraktas som ett godtagbart intrång i en anställds privatliv. Kontroller kan exempelvis utföras för följande syften. Kontroller som en del av system- och nätverksadministration. Kontroller för att utreda misstänkt uppträdande eller överträdelser av denna policy. Kontroll för att förhindra spridning av konfidentiell information. Rutinkontroll av flödet av e-posttrafik samt undersökning och omdirigering av e-post som inte kan levereras på grund av felaktig e-postadress. Genomgång av arbetsrelaterad e-post om användaren är frånvarande, för att garantera att brådskande ärenden blir omhändertagna. SCA kan tvingas lämna elektronisk lagrad information till tredje man i samband med rättsliga åtgärder eller efter krav från myndigheter. Kontroller för att undersöka misstänkt uppträdande genomförs endast efter skriftlig begäran från berörd HR-chef. SCA:s informationssäkerhetschef tar emot begäran och godkänner kontrollen. En systemadministratör extraherar sedan relevanta uppgifter och skickar dem till HR-chefen eller dennes företrädare. Kontroller och granskning av kontrollresultaten utförs endast av ett bestämt och begränsat antal personer. SCA undviker, om så är möjligt, att öppna e-postmeddelanden/dokument som tydligt markerats som privata och konfidentiella, med undantag för om det finns misstankar om att meddelandena eller dokumenten ifråga innebär överträdelser mot denna policy. 3 Informationssäkerhetsanvisningar 3.1 Var uppmärksam Människan anses ofta vara den svagaste länken i informationssäkerhetskedjan. Det händer ofta att personer genom avsiktligt eller oavsiktligt missbruk av sin access utsätter nätverk och organisationer för risker. Säkerhetsprogram brukar alltför ofta fokusera på tekniska åtgärder snarare än den mänskliga faktorn. Gärningsmän använder sig därför av metoder som social engineering 1 och nätfiske (phishing) 2 för att få access till system och nätverk. 1 Social engineering innebär att man genom att framstå som tillförlitlig manipulerar personer och får dem att avslöja konfidentiell eller personlig information. 2 Nätfiske (phishing) innebär att man försöker få tillgång till känslig information som lösenord eller kreditkortsuppgifter genom att ge sig ut för att vara en tillförlitlig person i ett e-postmeddelande eller på Internet. Individual Responsibility for InfoSec _SV.doc - 2/8 -

3 SCA:s säkerhet och framgång beror på ditt agerande och sunda förnuft. Om du exempelvis ser att en okänd person befinner sig i SCA:s lokaler utan sällskap, ska du närma dig honom eller henne och fråga om du kan hjälpa till med något. Var också uppmärksam på att de flesta hoten mot ett företag kommer inifrån. Se till att de som besöker SCA:s lokaler inte av en händelse kan få se konfidentiell information på bildskärmar, whiteboardtavlor eller papper. Tänk på denna risk när du till exempel visar en kund runt i lokalerna. Genom att visa medvetenhet om säkerhetsfrågor i möten med kunder och andra besökare framstår du som tillförlitlig och trovärdig. 3.2 Informationsklassning Hanteringen av information och data har en direkt inverkan på SCA:s affärer och anseende. Informationsklassning innebär att man klassificerar och definierar hur information ska behandlas. SCA klassificerar information på följande sätt: Klass Beskrivning Handhavande Public Information som allmänheten i regel känner Få godkännande för (Offentlig) till och har tillgång till. publicering. Internal (Intern) Confidential (Konfidentiell) Information som allmänheten i regel inte känner till eller har tillgång till. Intern information som ska förbli konfidentiell och behandlas aktsamt. Ska behandlas som företagets egendom. Var aktsam! Strictly Confidential (Strikt konfidentiell) Intern information som det är av yttersta vikt att bevara konfidentiell och som ska behandlas med största aktsamhet. Behandlas med största aktsamhet. Information kan vara Confidential (Konfidentiell) eller Strictly Confidential (Strikt konfidentiell) av olika skäl. Att offentliggöra viss information kan i vissa fall skada företaget eller någon av företagets alla intressenter (anställda, aktieägare, finansiärer, affärspartners och andra). Det kan också vara så att SCA i avtal har ålagt sig att inte yppa viss information. Vi kan under vissa omständigheter också vara bundna av lagen att behandla viss information som konfidentiell. Användare är ansvariga för att skydda företagsinformation de innehar mot förlust, förfalskning och alla slag av missbruk. Konfidentiella och strikt konfidentiella dokument och lagringsmedier får inte lämnas utan uppsikt och måste låsas in när de inte används. Information som sparas på en dator ska alltid placeras i <My Documents>. Mappen är krypterad. När du ansluter till SCA:s nätverk tas en säkerhetskopia av den automatiskt. Konfidentiell information som redan har använts eller inte längre behövs ska kasseras på ett säkert sätt. Använd dokumentstrimlare för papper och förstör oraderbara Individual Responsibility for InfoSec _SV.doc - 3/8 -

4 lagringsmedier (t.ex. DVD-skivor) fysiskt. All IT-utrustning som inte har använts ska återlämnas till IT-avdelningen. Läs mer i Information Classification Standard, Ditt lösenord Lösenord är användarkontonas yttre skydd. Ett illa valt lösenord kan resultera i att obehöriga får tillgång till SCA:s hela företagsnätverk. Använd aldrig samma lösenord till SCA:s system som du använder privat eller till andra platser än SCA:s. SCA:s system måste skyddas av starka lösenord som: är minst åtta tecken långa består av en kombination av såväl små och stora bokstäver, siffror och andra tecken ska ändras minst var 60:e dag inte får återanvändas en historik över de senaste 12 ändringarna sparas. Användarna har ett ansvar för aktiviteter och eventuellt missbruk som kan härledas till deras konton. Det är därför viktigt att inte avslöja lösenordet för någon, varken avsiktligt eller oavsiktligt. Lösenordet ska inte skrivas ned i klartext eller lagras okrypterat. Ändra genast lösenordet vid misstanke om att det kan ha avslöjats. 3.4 På kontoret Besökare till SCA:s lokaler ska alltid anmäla sig och få en besöksbricka som visar att de har tillåtelse att vistas i lokalerna. Tack vare besöksbrickan kan man tilltala besökare och kunder vid deras namn och få dem att känna sig mer välkomna. Brickor med namn på bidrar också till att höja säkerheten på SCA:s anläggningar. Det är därför viktigt att också du som är anställd på SCA bär ett företagskort. För att minska risken för säkerhetsbrott, bedrägeri och stöld av information till följd av att handlingar lämnats oövervakade i SCA:s lokaler, gäller följande regler. Lås alltid datorn (Ctrl-Alt-Delete, Enter) eller (Start-L) om du ska lämna den oövervakad. Ställ alltid undan bärbara datorer som lämnas på kontoret över natten och över helgen. Det gör det svårare för tjuvar att länsa arbetsplatsen på alla bärbara datorer vid ett inbrott. Dokument och datormedier ska alltid hanteras på ett sådant sätt att förlust, skada, förstöring, sammanblandning och obehörig access förhindras. Stäng av datorn med jämna mellanrum så att korrigeringsfiler (patches) kan installeras vid nästa start. Exempel: Ta bort eller lägg undan all konfidentiell information efter ett sammanträde. Det omfattar uppgifter på blädderblock, anteckningar på whiteboardtavlor och andra anteckningar. Kontrollera alltid så att ingenting har lämnats kvar i kopieringsapparaten, skrivaren, faxen eller annan apparat när du har kopierat eller skrivit ut ett konfidentiellt dokument. Individual Responsibility for InfoSec _SV.doc - 4/8 -

5 Om ett konfidentiellt eller strikt konfidentiellt dokument blir upphittat ska det alltid återlämnas till ägaren. Om man inte kan avgöra vem ägaren är ska det upphittade dokumentet överlämnas till en högre chef. 3.5 Utanför kontoret SCA Global Network (SGN) och SCA:s interna system är tillgängliga även utanför SCA:s lokaler genom godkända VPN 3 -tjänster, t.ex. (ec)access. SCA:s VPN-tjänster ger ett utökat skydd när man ansluter till Internet från platser utanför kontoret, och de måste användas om det finns tekniska möjligheter till det. Datorer och andra enheter med installerad VPN-access till SGN måste låsas ordentligt och skyddas. Om konfidentiell eller strikt konfidentiell information lagras på bärbara datorer, USBminnen, mobiler eller annan bärbar utrustning som används utanför SCA:s lokaler måste denna information krypteras med stark kryptering. Bärbara apparater och externa enheter får inte lämnas oövervakade där de kan synas, i synnerhet inte i bilar, på hotellrum eller på allmänna platser. Om man under ett samtal eller ett telefonsamtal på allmän plats behöver diskutera konfidentiella uppgifter måste man först säkerställa att ingen obehörig kan avlyssna samtalet. 3.6 Säkerhetskopiering Alla data ska lagras på servrar vars innehåll regelbundet säkerhetskopieras. När en användare arbetar offline, ansvarar användaren själv för att säkerhetskopiera informationen på klienten, exempelvis en bärbar dator. Det kan företrädesvis göras med hjälp av en tjänst för automatisk synkronisering eller genom att man manuellt kopierar data till en server (till exempel home directory) där säkerhetskopiering genomförs. När en så kallad Personlig mapp används för att arkivera e-postmeddelanden i Outlook ansvarar användaren själv för att regelbundet göra en säkerhetskopia av PSTfilen. Kontrollera hur detta görs med den lokala IT-supporten. 3.7 Säker e-post Elektroniska meddelanden ska behandlas som formell korrespondens, och deras innehåll och språk ska vara i enlighet med företagets vedertagna policy. Elektroniska meddelanden kan, oavsett vem avsändaren är, enkelt arkiveras av andra parter och göras sökbara under långa tidsperioder. Information som skickas över Internet, däribland elektroniska meddelanden, kan leda till rättsliga åtgärder mot SCA. Missbruk eller slarvigt bruk av kommunikation över Internet kan leda till anklagelser om förtal, brutet tysthetslöfte eller kontraktsbrott. Var omsorgsfull med hur du formulerar dina e-postmeddelanden, i synnerhet om de ska skickas till personer vars kultur och lagar kan vara annorlunda de du är van vid. Kontrollera så att ingenting du skriver i ett e-postmeddelande eller skickar som ett inlägg till en diskussionsgrupp kan uppfattas som kränkande eller stötande eller skada ditt, dina medarbetares eller SCA:s anseende. 3 VPN: Virtual Private Network en teknik för att skapa säkra anslutningar mellan två punkter i ett oskyddat nätverk, t.ex. Internet. Individual Responsibility for InfoSec _SV.doc - 5/8 -

6 Åtgärder som genomförs från en e-postadress tillhörande SCA (dvs får direkta följder för SCA:s image och anseende. Användare har inte tillåtelse att genomföra åtgärder som kan genera eller skada SCA:s image eller anseende. E-postadresser tillhörande SCA ska användas med omdöme och i första hand för affärsangelägenheter. Det är förbjudet att distribuera kedjebrev. Radera kedjebrev och liknande e- postmeddelanden. Kedjebrev och falska virusvarningar (s.k. hoaxes) blockerar nätverkstrafiken. Endast auktoriserade avdelningar eller personer får skicka varningsmeddelanden. Behandla e-postbilagor från oväntat håll med misstänksamhet. Öppna aldrig e- postbilagor om du inte vet att de är ofarliga. Klicka aldrig på länkar i e-postmeddelanden eller dokument från oväntat håll. Företagsinformation får inte förvaras på servrar som inte står under SCA:s kontroll. Det är därför förbjudet att t.ex. vidarebefordra e-post som rör företaget till allmänna e- posttjänster (som HOTMAIL). E-postmeddelanden och bilagor som klassas som Confidential (Konfidentiell) eller Strictly Confidential (Strikt konfidentiell) måste skyddas med kryptering. I e-postmeddelanden där innehållets integritet eller avsändarens rättsliga ansvar måste kunna säkerställas ska digitala signaturer användas (för sig eller i kombination med kryptering om så krävs). 3.8 Använda Internet Internet är en utmärkt källa till information och underlättar för oss att arbeta effektivt. Användningen av Internet medför dock också ett antal risker som vi måste vara observanta på. Agera professionellt för att skydda SCA:s interna och konfidentiella information avslöja aldrig konfidentiell information på Internetsidor. Följ de lagar och etiska principer som gäller i det land du befinner dig i när du ansluter till Internet de kan skilja sig från de som gäller i det land du bor i. Kom ihåg att Internet är ett allmänt forum, och att du alltid representerar SCA när du använder en SCA-gateway till Internet. När sociala medier 4 används i företagssyften kan de anställda endast representera SCA i samma funktion och egenskap som i det dagliga arbetet. Låt aldrig andra tro att du publicerar innehåll eller agerar för företaget SCA:s räkning när du använder sociala medier privat. Det är strängt förbjudet att visa, ladda ned eller hantera material som kan uppfattas som stötande eller grovt (inklusive, men inte begränsat till, material som kan uppfattas som sexuellt stötande eller som kränkande på grund av ras, sexuell läggning, nationalitet, kön, funktionshinder, religiös eller politisk tillhörighet) på en dator tillhörande SCA. Förutom att det innebär ett brott mot denna policy kan nedladdning av sådant material också leda till åtal. Det är likaså förbjudet att i e-postmeddelanden göra uttalanden som kan uppfattas som stötande av samma skäl som ovan. 4 Sociala medier: Internetbaserade tekniker för social samverkan som bygger på användargenererat innehåll, t.ex. Internetforum (Facebook), bloggar, wiki-artiklar. Individual Responsibility for InfoSec _SV.doc - 6/8 -

7 3.9 Affärspartner Affärspartners måste underteckna ett sekretessavtal innan de bereds tillgång till företagets system eller information. Om avtal finns med annan part om strängare regler för informationssäkerheten, eller om en affärspartner kräver att strängare regler följs, ska dessa regler iakttas Rapportering av incidenter Alla händelser som äventyrar SCA:s system eller information är säkerhetsincidenter eller brott mot säkerheten, oavsett om de är avsiktliga eller inte. Det kan handla om virusspridning, missbruk av andras lösenord/rättigheter, förlust av dataintegritet, hackning av datorer, att förlora en smartphone, att få sin dator med nätverksaccess stulen etc. Alla incidenter, oavsett hur allvarliga de är, ska rapporteras. Incidenter ska vanligtvis rapporteras till en lokal eller regional ServiceDesk. Incidenter av känslig eller konfidentiell karaktär ska dock rapporteras till SCA:s informationssäkerhetschef. Incidentrapporter är bland de främsta källorna till att förstå vilken säkerhetsnivå som krävs. Alla förslag till förbättringar av säkerheten värdesätts högt och kan förmedlas via en ServiceDesk Godtagbar användning Alla anslutningar till och andra justeringar av datorer och annan utrustning i företagets nätverk måste utan undantag först godkännas av IT-avdelningen. Det finns restriktioner vad gäller anslutning av mobila enheter till SCA:s interna nätverk. Användaren ansvarar för säkerheten på hans eller hennes dator/personliga enhet. Användare får bara nyttja SCA:s affärsinformation för SCA:s affärsangelägenheter och i enlighet med anvisningar från överordnade, exempelvis din linjechef. Kontrollera att du uppfyller nationella personuppgiftslagar i fråga om lagring och förmedling av personuppgifter. Ha ett etiskt förhållningssätt till hur du hanterar personlig information om medarbetare och andra enskilda. Endast godkänd licensierad programvara får installeras eller användas på företagssystem. IT-ledningen måste godkänna all programvara, och installationer ska utföras under SCA:s IT-organisations överinseende. CD-skivor, DVD-skivor eller USB-minnen från oväntade källor får inte användas på eller anslutas till SCA:s utrustning Immateriella egendomar SCA:s immateriella egendomar, konfidentiella information och data liksom SCA:s kunder och partners immateriella egendomar, information och data är högt värderade tillgångar. Som sådana måste de skyddas från avsiktlig, oavsiktlig samt obehörig ändring, kopiering, förstörande och otillbörligt yppande eller spridning och endast brukas i enlighet med av SCA fastställd policy eller standard och alla tillämpliga lagar och föreskrifter i länder eller delstater i vilka SCA och dess dotterbolag verkar. Enligt lagstiftning om immateriell egendom, dvs. copyright och patent, är det förbjudet att kopiera och ändra material utan föregående godkännande. Det är förbjudet att distribuera, Individual Responsibility for InfoSec _SV.doc - 7/8 -

8 ladda ned eller ladda upp piratprogramvara samt att distribuera, ladda ned eller ladda upp annat material, inklusive men inte begränsat till, musik-/ljudfiler, filmer, AV-inspelningar, textdatabaser, bilder, fotografier och logotyper, utan föregående tillstånd från ägaren till verken i fråga. 4 Ytterligare råd och information Din lokala IT- eller HR-avdelning kan vara behjälplig med att besvara alla eventuella frågor du kan tänkas ha om denna policy eller kring hur IT-resurser ska användas på rätt sätt. Även din chef eller arbetsledare kan hjälpa dig med att tolka policyn om så behövs. Några av de ämnen som berörs i den här policyn beskrivs mer detaljerat i andra dokument som är tillgängliga SCA:s informationssäkerhetshemsida Individual Responsibility for InfoSec _SV.doc - 8/8 -

9 Tagit del av policyn Jag har tagit del av de villkor och regler som gäller för att skydda SCA:s information och för att använda SCA:s IT-resurser som beskrivs i policyn Individuellt ansvar för informationssäkerheten. Jag kommer efter bästa förmåga att agera i enlighet med denna. Datum Namn Signatur Individual Responsibility for InfoSec _SV.doc - Bilaga -