Informationssäkerhetspolicy

Transkript

1 Informationssäkerhetspolicy Informationssäkerhet avser hantering av verksamhetens information. Policyn redovisar mål och regler för informationssäkerhetsarbetet. Med informationssäkerhet avses att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Informationssäkerheten ska vara en integrerad del av Privattandläkarnas verksamhet. Alla som hanterar information har ett ansvar att upprätthålla informationssäkerheten. Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för Privattandläkarnas information. Medarbetare och förtroendevalda omfattas av denna informationssäkerhetspolicy, vilket innebär att det inte finns utrymme att besluta om lokala regler som avviker från denna. För Privattandläkarnas informationssäkerhetsarbete ska gälla att: Kontoret har kunskap om gällande informationssäkerhetsregler All personal ska regelbundet få den utbildning som behövs för att informationssäkerheten ska upprätthållas. Krishanteringsförmågan upprätthålls Det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation Alla investeringar både i form av information och teknisk utrustning har skydd i tillräcklig grad Säkerheten för varje enskilt informationssystem som är av vikt för verksamheten analyseras fortlöpande och händelser som kan leda till negativa konsekvenser förebyggs Samtliga informationssystem ska vara dokumenterade. Där ska framgå vem som är systemägare Användning av Internet och e-post Vid användning av Internet exponeras Privattandläkarnas namn. Bland annat av detta skäl är det därför av vikt att lägga restriktioner på vilka hemsidor som får besökas. Hemsidor med exempelvis rasistiskt, våldsinriktat eller sexuellt innehåll får inte besökas. Känslig information skickas endast via krypterad e-post. Roller och ansvar Vd för Svensk Tandvård AB har det övergripande ansvaret för informationssäkerheten. Beslutad av Sveriges Privattandläkarförenings föreningsmöte

2 Rutiner för användare av Privattandläkarnas IT Samtliga användare av Privattandläkarnas IT ska känna till och använda sig av dess rutiner. Som användare räknas styrelse, ledning, personal samt förtroendevalda. Allmänt Datorer, servrar, andra IT-system samt datainnehåll är att betrakta som affärskritiska tillgångar/ resurser för Privattandläkarna. Det är varje anställds eller förtroendevalds skyldighet att i största möjliga mån hindra icke auktoriserade personer få tillgång till data. Förtroendenämndens ledamöter har en manual i det ärendehanteringssystem som de har behörighet till. Manualen återfinns under rubriken mallar. Internetpolicy Internet är för oss ett viktigt arbetsredskap och ska i första hand fungera som ett hjälpmedel i arbetet. Internet ska eller kan inte på något sätt ses som en säker plats att hämta eller sprida information på. Informationen är åtkomlig av obehöriga och kan modifieras eller förvanskas. Privat användande av Internet jämställs med annat användande av Privattandläkarnas egendom. Användandet måste vara i rimlig mängd och får inte påverka andra tjänster eller funktioner på nätverket eller datorn. Användandet får inte påverka andra användare genom att exempelvis utnyttja stor del av bandbredden. Användning av eller sökande efter pornografiskt, rasistiskt, kränkande eller diskriminerande material är inte tillåtet. Kommersiellt användande för egen vinning får inte förekomma. Användningen måste ligga i linje med företagets övriga policys. Det är inte tillåtet att: Förolämpa, kränka, trakassera eller diskriminera andra. Sända eller ta emot pornografiskt eller på annat sätt stötande material. Fildelningsprogram (ex. DC++, Kazaa eller Direct Connect) är inte tillåtna för varken utdelning eller inhämtning av någon typ av information. Uttrycka åsikter som kan misstolkas på så vis att de kan tros vara Privattandläkarnas. Utge dig för att vara någon annan individ eller representera annat bolag. Göra eller försöka göra intrång i interna eller externa system du inte har behörighet till. Kränka andras personliga integritet. Ladda ner eller installera program som inte har med verksamheten att göra. Ex är programvaror som I-tunes, skärmsläckare, spelprogram etc. Nätverksövervakning All inkommande och utgående trafik från och till Internet monitoreras av vår ISP i syfte att underlätta felsökning samt för statistikföring av Internetanvändandet. Inget enskilt användande kan urskiljas i den statistik som förs och är därmed inte kränkande av den enskildes integritet. Den samlade informationen raderas automatiskt och löpande. Data som kan härledas till en enskild individ, direkt eller indirekt sparas i högst en månads tid. Data som rör en enskild Sid 2 (8)

3 individ hanteras enbart av supportpersonal men kan på begäran av chef med personalansvar lämnas ut vid misstanke om brott enligt företagets regler och policy eller brott mot svensk lag. Information om den anställdes rättigheter gällande intrång i den personliga integriteten finns att tillgå i personuppgiftslagen (PUL), se Brott mot företagets regler kan om företeelsen upprepas leda till uppsägning av personliga skäl. E-post E-post är ett av våra viktigaste system idag och mycket av vår interna och externa kommunikation sköts via e-post. All e-post där Privattandläkarna står som avsändare ska självklart utformas på ett professionellt och ansvarsfullt sätt. Användandet måste vara i rimlig mängd och får inte påverka andra tjänster eller funktioner på nätverket eller datorn. Spridning eller mottagning av pornografiskt, rasistiskt, kränkande eller diskriminerande material är inte tillåtet. Kommersiellt användande för egen vinning är inte tillåtet. Användningen måste ligga i linje med företagets övriga policys. Användandet får inte påverka den enskildes faktiska arbetsuppgift så den påverkas menligt. E-post kan jämföras med t.ex. brev eller fax och kan på samma sätt som dessa läsas av andra än bara mottagaren. Det är inte privat, säkert eller temporärt. E-post kan enkelt kopieras, vidarebefordras, sparas, arkiveras och användas vid eventuella rättsliga efterspel. Olämpliga kommentarer i ett e-postmeddelande kan snabbt spridas som du och/eller bolaget kan hållas ansvarigt för. Det är inte tillåtet att: Förolämpa, kränka, trakassera eller diskriminera andra. Sända eller ta emot pornografiskt eller på annat sätt stötande material. Skicka kedjebrev, även om meddelandet har ett gott syfte. E-postmeddelanden får inte på något sätt bryta mot upphovsrättslagen (Lag (1960:729) om upphovsrätt). Ingå bindande kontrakt eller avtal om du inte har den rätten i din tjänst. All inkommande e-post passerar skräppostfiler och virusskydd för att minska dataflödet samt minska risken för virus. E-post innehållande körbara filer, skript och skärmsläckare blockeras. Kommentarer som inte passar att uttryckas direkt till en person ska inte heller uttryckas i ett e- postmeddelande. Meddelanden kan lätt missförstås och feltolkas. Var därför alltid noga med ditt val av ord och bifogade filer. Användning av e-post på sätt som strider mot detta dokument kan leda till uppsägning av personliga skäl om företeelsen upprepas. Observera att e-postadressen är företagets egendom och ska inte användas för ex privata beställningar, då det kan finnas en risk att Privattandläkarna uppfattas som beställare. Sid 3 (8)

4 Riktlinjer för e-postanvändning E-post gör det enkelt att skicka samma meddelande till ett stort antal mottagare på en gång. Var noga med att inte skicka onödig information. E-postsystemet är inte anpassat för massutskick till externa mottagare. Använd utskicksmodulen i Softadmin. Konfidentiell information får inte skickas till personer eller företag som inte är behöriga att se denna information. Vidarebeordra aldrig meddelanden utan att noga läsa igenom text och eventuella bifogade filer så att det inte innehåller något mottagaren inte ska se. Skicka aldrig e-post i någon annans namn, om du inte uttryckligen har blivit ombedd att göra så av den berörda personen. Använd vårdat språk och läs igenom ditt meddelande innan du skickar så att du upptäcker sådant som eventuellt kan misstolkas. Lägg in ett lämpligt frånvaromeddelande i frånvarohanteraren om du ska vara borta en längre tid. Tänk på att frånvaromeddelandet sänds till både interna och externa avsändare, lägg därför inte in information som du inte vill att alla ska kunna se. E-post meddelande och signatur ska följa Privattandläkarnas grafiska manual. Användning av plugins i Outlook som skapar externa länkar eller förändrar utseendet på e-postmeddelandet (ex. Hotbar m.f.) är inte tillåtet. Det kan uppfattas som ett mindre seriöst meddelande samt att risken ökar att meddelandet uppfattas som spam. Kontrollera alltid mottagarens adress innan du skickar meddelandet. Ta dig tid att gå igenom och rensa din brevlåda på meddelanden som du inte längre behöver, både inkorg, skickat och borttaget. Överföring av större dokument och media Då e-post inte är lämpligt för att överföra större filer och dokument finns istället en FTP där kunder och leverantörer kan logga in för att tanka hem eller ladda upp dessa istället. Åtkomst internt till denna katalogstruktur sker genom nätverksenheten w:\ [ftproot på PTL-SRV003] Denna nätverksenhet skall ständigt städas då materialet nått den avsedda parten för att inte ge andra tillgång till obehörigt material. För åtkomst via FTP för kunder och leverantörer används ett generellt användarnamn och lösenord. Generell ftp för leverantörer Servernamn FTP: Användarnamn: Lösenord: ftp.ptl.se ptlftp lämnas vid förfrågan Sid 4 (8)

5 Åtkomst till datorer och nätverk Åtkomst till bolagens datorer ska ske via inloggning som verifierar den aktuella användaren. Den som har tilldelats ett användarnamn och lösenord för nätverket och/eller en applikation får inte sprida detta vidare, inte heller till andra anställda. Lämna aldrig användaruppgifter så att de kan hittas av andra anställda eller utomstående personer. Otillåtet användande av ett konto kommer att leda till att det aktuella kontot spärras till dess att VD har underrättats om det inträffande samt godkänner återaktiverande. Även utrustning och rätten att använda nätverket kan återkallas vid missbruk. För att hindra åtkomst för obehöriga när du lämnar din dator ska den låsas (Lås datorn med Ctrl + Alt + Del eller Windowstangenten + L.) om du avviker från din arbetsplats för en kortare stund ska skärmsläckaren vara aktiverad med lösenordsskydd. Riktlinjer för lösenord: Lämna aldrig ut ditt lösenord till någon annan. Skriv aldrig upp ditt lösenord och lämna det vid din arbetsplats, hur väl gömt du än anser det vara. Skapa aldrig lösenord utifrån personlig information, t.ex. familjemedlemmars eller husdjurs namn. Skapa aldrig lösenord baserat på vanliga ord (speciellt engelska ord) eller enkla mönster. Undvik lösenord som innehåller å, ä, ö, och liknande tecken som inte finns på alla tangentbord. Lösenordet MÅSTE innehålla minst sex tecken och kan väljas fritt av de fyra kategorierna nedan: Stora bokstäver (A Z) Små bokstäver (a z) Siffror (0 9) Specialtecken (!, $,, %, &, etc. Blanda gärna versaler/gemener, specialtecken eller siffror Tips! En fras eller mening på ca tjugo tecken kan vara lättare att komma ihåg än ett lösenord på sex tecken (även mellanslag räknas som godkänt tecken i ett lösenord.) Lösenordet får INTE innehålla: Användarnamn, namn eller del av dessa som är längre än tre tecken. Tidigare använt lösenord eller del av tidigare använt lösenord som är längre än tre tecken. Lösenord som har använts tidigare kan återanvändas efter 18 byten. Detta lösenord bör bytas efter 90 dagar. Byt alltid ditt lösenord direkt om du misstänker att någon annan har ditt lösenord eller om du har lämnat ut det till supportpersonal som inte är anställd av Privattandläkarna. Sekretess All data skapad och lagrad på Privattandläkarnas nätverk eller i samarbetsparts nätverk för Privattandläkarnas räkning är företagets egendom, oavsett om det är skapat för personligt bruk eller i arbetet. Även om målsättningen är att skapa ett så säkert nätverk som möjligt finns det inga garantier för att den lagrade informationen kan hållas konfidentiell. Sid 5 (8)

6 Filer med känsligt eller konfidentiell information kan lösenordsskyddas i det program de har skapats. Man ska dock vara medveten om att lösenordsskydd av den typen kan hackas. Det finns inte någon möjlighet att rädda information i ett lösenordsskyddat dokument om lösenordet glöms bort. Dokument eller andra filer som måste ha lösenord får inte finnas hos en enskild person utan måste om så kan delas av två personer eller vara nedskrivet på papper och därefter vara inlåst. Det kuvertet kan endast öppnas av person som är medlem i Privattandläkarnas ledningsgrupp. Om det skulle uppstå problem där personal måste ha tillgång till annan medarbetares information så ska detta arbete utföras av två personer samtidigt så inget tvivel kan uppstå. Portabel utrustning Information lagrad på portabel utrustning t.ex. bärbara datorer, handdatorer, USB minnen och mobiltelefoner är extra känsliga. Portabel utrustning måste förvaras på ett säkert sätt, lämna inte utrustningen obevakad i t.ex. bilen eller på publika platser. Använd lösenordsskydd eller PIN kod när det är möjligt. Extra viktigt att använda någon form av låsning av smartphones där hela din e-post, kalender och annan information om företaget finns tillgänglig. De flesta telefoner har någon funktion för att låsa telefonen t.ex. efter 5 minuters inaktivitet. Backup/säkerhetskopiering All data sparad på servrarna säkerhetskopieras varje helgfri natt, måndag till fredag. Data sparat på individuella datorer inkluderas inte i säkerhetskopian. Spara dina filer på servern. Filer som är sparade på t.ex. lokala skrivbordet säkerhetskopieras inte. Vid ominstallation av datorn är det användarens eget ansvar att se till att dessa filer är sparade/ kopierade till annat lämpligt ställe, ex. vis hemkatalogen på nätverket. Observera att enskild lokal dator oavsett om det är en stationär eller bärbar inte säkerhetskopieras per automatik. Säkerhetskopia på enskilda datorer kan göras men då måste man ha det godkänt i organisationen att så ska ske. Detta ska skriftligen eller via e-post göras till Fredrik på LFK konsult eftersom det är en extra kostnad. Virus/ Spyware/Skadlig kod Virus är små program som installerar sig själva på den attackerade datorn och kan beroende på virusets typ orsaka olika skada. Virus har flera olika sätt att sprida sig på, det kan sprida sig själv via nätverket, via e-post, meddelandetjänster som t.ex. MSN och AOL eller via makron i exempelvis Word och Excel. Ytterligare en variant är bluffvarningar som cirkulerar dessa gör skada genom att ta upp de anställdas tid, öka nätverkstrafik och i vissa fall även uppmana till att ta bort filer eller göra ändringar i systemet som i sig självt kan leda till skada. Vidarebefordra därför aldrig några virusvarningar. Virusskydd finns installerat på e-postservern och på samtliga datorer och uppdateras automatiskt varje dag. Men på grund av antalet nya virus som sprids dagligen är vi inte skyddade mot allt, därför är det viktigt att vara försiktig med att öppna bifogade filer eller Internetlänkar som kommer via e-post, även om avsändaren är känd. Tag för vana att inte Sid 6 (8)

7 öppna bifogade filer som du inte väntar på eller då du inte känner avsändaren. Är du osäker tag kontakt med kontoret eller avsändande part. Spyware eller skräpprogram liknar till stor del virus men har inte samma förmåga att sprida sig vidare. Vanligaste sättet att få in dessa på sin dator är när man surfar på mindre seriösa internetsidor. Effekten av dessa program kan vara minst lika destruktiva som virus och man bör därför vara försiktig med att surfa på internetsidor man inte litar på. IT-utrustning I vårt nätverk finns många och olika komponenter som på olika sätt ska fungera tillsammans utan att störa någon del av affärsverksamheten. Det är därför viktigt att alla tar ansvar för att denna utrustning sköts och behandlas på rätt sätt. Inköp sköts enligt gällande inköpsregler och attestordning. Produkter som köpts utanför dessa anvisningar får inte anslutas till företagets nätverk. Du får inte: Genom oaktsamhet eller illvilja störa den normala driften av datorer, utrustning eller nätverk. Ansluta någon form av utrustning till nätverket eller datorer utan att först få detta godkänt av IT-ansvarig (undantaget USB-minnen och lokala skrivare på bärbara datorer). Medvetet slösa på IT-resurser, inklusive bandbredd på nätverket, diskutrymme eller printerpapper. Installera någon programvara på datorn som inte är godkänd. Detta gäller både gratisprogram och licensierade. Använda företagets datorer för att göra intrång eller försöka göra intrång i interna eller externa system där du inte har tillträde. Programvaror Enligt svensk lag är vi skyldiga att äga licenser för de programvaror som finns installerade på våra datorer och servrar. Brott mot dessa regler kan leda till fängelse och/eller böter. All programvara ska köpas in av IT-ansvarig, detta för att få en testad programvara som fungerar med övriga program och utrustning i nätverket. Licenshandlingar och installationsdiskar ska förvaras på säkert sätt. Det är inte tillåtet att kopiera programvara utan programvarutillverkarens medgivande, undantaget säkerhetskopior (Lag (1960:729) 1 Kap 26g ) Program som utvecklats av anställda i tjänsten är företagets egendom. Inköpsregler för IT-utrustning Vår IT-miljö består av en mängd olika komponenter, allt från komplexa servrar och nätverkskomponenter ner till den enklaste användarutrustningen. Det är därför viktigt att begränsa antalet olika typer av utrustning för att dels kunna förse användarna med bästa möjliga support och även kunna utnyttja rabatter och kontrollera kostnader. Vid inköp av en produkt eller ett system ska inte enbart funktionalitet utgöra den avgörande faktorn utan även garantier och support ska vägas in i köpet. Vi ska sträva efter att i de fall det är möjligt utnyttja de grupprabatter vi är berättigade till hos vissa leverantörer genom moderbolaget. Sid 7 (8)

8 Som IT-utrustning räknas, oavsett användningsområde och användare t.ex. följande: Datorer Nätverksutrustning Programvaror (gratisprogram och licensierade) Skrivare Kopiatorer som kopplas till nätverk eller dator. Mobiltelefoner, fasta telefoner samt tillbehör. I vissa fall kameror och annat som ska användas i samband med dator Alla inköp av IT-utrustning och programvaror sköts efter avstämning med IT-ansvarig. Inköp ska även godkännas av budgetansvarig i respektive bolag samt påskrift av VD. Endast utrustning eller programvara som köps in enligt inköpsreglerna får installeras eller kopplas in på företagets nätverk. Sid 8 (8)