Informationssäkerhetsinstruktion användare

Transkript

1 1(6) Informationssäkerhetsinstruktion användare Inledning Denna användarinstruktion är en del i Borås Stads Informationssäkerhetpolicy. Den ska vägleda Dig i användningen av Borås Stads gemensamma IT-resurser och de IThjälpmedel Du använder i Ditt arbete. Instruktionen gäller anställd personal. Du som är användare i Borås Stads IT-miljö, är skyldig att känna till och följa de regler och anvisningar som gäller för IT-användningen inom Borås Stad. Alla som på något sätt använder kommunens IT-system, har ett ansvar för sin egen användning av systemen. Om Du är tveksam till vilka regler som gäller, kontakta då din närmaste chef. Borås Stads IT-miljö skall användas som ett stöd i det dagliga arbetet. Privat användning är tillåten men bör undvikas och i de fall det förekommer, förläggas utanför arbetstiden. Brott mot dessa regler, kan leda till arbetsrättsliga åtgärder. I begreppet IT-miljö inkluderar vi Internet, elektroniska media, e-post, telefoner, fax och andra former för kommunikation och informationshantering, via tekniska hjälpmedel. Åtkomst till information Sekretess Huvudregeln är att det råder offentlighet inom de kommunala verksamheterna samt de kommunala bolagen. Inom vissa områden får dock offentligheten inskränkas genom sekretess. Bestämmelser om sekretess finns i sekretesslagen och exempel på områden där sekretess kan gälla, i viss utsträckning, är inom socialtjänst, hälso- och sjukvård, skola samt vid upphandling. Sekretess gäller Dig som anställd även om Du inte skrivit under en särskild sekretessförbindelse. Bestämmelserna om sekretess gäller oavsett om uppgifterna finns på papper, finns lagrade i kommunens IT-system eller kan göras tillgängliga på annat sätt. Behörighetsregler Din arbetsledning bestämmer vilka applikationer/program och resurser du skall ha behörighet till, för att lösa dina arbetsuppgifter. Därutöver finns rutiner för behörighet inom respektive verksamhetssystem. Kontohantering Den användaridentitet (konto i nätet) du får är personlig och får aldrig lånas ut. Därav följer att du aldrig får låna någon annans användar-id och lösenord - även om du skulle uppmanas till detta. Om du har behov av att logga in i Borås Stads nätverk så skall du vända dig till din arbetsledare och be denne om ett eget användar-id. Ingen kan kräva av dig att du ska arbeta i Borås Stads IT-miljö, utan att ha ett eget användar-id och lösenord, i såväl nätverk som verksamhetssystem!

2 2(6) Lösenordshantering Du är som enskild användare personligt ansvarig för vad som händer i IT-systemen med hjälp av Din användaridentitet. Det lösenord som hör till din egen användaridentitet, skall Du därför hålla hemligt. Detta gäller både lösenord som hör till användar- ID för inloggning i nätverket och användar-id för att komma in i olika verksamhetssystem, som exempelvis personalsystem och äldreomsorgssystem. Du får inte heller förvara lösenord på sådant sätt att det finns risk för obehörig åtkomst. Lösenordet skall innehålla minst sex tecken. Använd en kombination av bokstäverna A- Z och siffrorna 0-9, som inte har någon koppling till dig som person. Återanvändning av gammalt lösenord är inte tillåten. Din arbetsplats Inköp av IT-utrustning och programvara Det finns stora vinster med att ha en strikt produkt- och programstandard. Standardiseringen av utrustning och program ger minskade kostnader för drift och underhåll samt en så säker och stabil driftsmiljö som möjligt. Inköp av IT-utrustning och programvara skall därför följa Borås Stads standard. Denna standard fastslås dels genom politiska beslut och dels genom den produktstandard som den centrala IT-funktionen löpande fastställer och publicerar på intranätet. Därav följer att annan utrustning ej får installeras i Borås Stads nätverk. Installation av IT-utrustning och programvara Det är endast den centrala IT-funktionen eller av denna anlitad leverantör, som får installera datorer, nätverksutrustning, program etc i Borås Stads IT-miljö. Detta för att minska kostnaderna för drift och underhåll samt för att få en så säker och stabil driftsmiljö som möjligt. Begäran om installation av nya program görs via IT-ansvarig på förvaltningen. Licens skall finnas för samtliga program som kräver det. På Intranet finns information om vilka programvaror som bekostas centralt, vilka som debiteras förvaltningen samt vilka som är gratis. Förvaltningen ansvarar för att ha rätt antal licenser för alla andra program. Tänk på att program som är gratis för Dig som privatperson, i vissa fall kräver licens i utbildningsnätet och ofta kräver licens för användning inom annan verksamhet i Borås Stad. Skydda din dator Om Du lämnar arbetsplatsen obevakad ska Du skydda åtkomsten till persondatorn genom att tillfälligt låsa datorn genom att aktivera den lösenordsskyddade skärmsläckaren. Avsluta alltid arbetsdagen med att logga ut (stänga av datorn), så att det krävs en ny påloggning för att komma åt vårt gemensamma nätverk.

3 3(6) Portabel utrustning, mobil användning Se till att du alltid har god uppsyn över portabel utrustning som bärbar dator, mobiltelefon etc, då sådan utrustning är mycket stöldbegärlig. Bärbar dator som innehåller integritetskänslig information, skall vara skyddade via lösenord vid uppstart och genom kryptering av hårddisken. Fjärrkommunikation med Borås Stads nätverk över Internet, mobilt bredband eller annat nätverk, får endast ske via kommunens behörighetskontrollösning, med en säkerhetsnivå som motsvarar den information som överförs. För åtkomst till integritetskänslig information, krävs en sk tvåfaktorslösning vid inloggningen. Felrapportering, incidensrapportering När ett fel uppstått är det viktigt att snabbt lösa problemet. Anteckna eventuella felmeddelanden innan Du kontaktar supporten via telefon 7600 eller E-post Datavirus Den centrala IT-funktionen ansvarar för att samtliga servrar och persondatorer har erforderligt antivirusprogram. Virusskyddet uppdateras automatiskt på datorer som är anslutna till nätverket. Användare av bärbara PC ansvarar för att det installerade virusskyddet uppdateras regelbundet. Vid upptäckt av datavirus skall du omedelbart meddela supporten. Undvik att använda persondatorn tills dess den är kontrollerad. Lagring av data, skydd för data Lagring av data Dokument och andra filer skall lagras på Borås Stads servrar så att de är skyddade mot obehörig åtkomst och så att det tas backup på dem (se säkerhetskopiering). De filer som sparas på Borås Stads IT-utrustning (servrar, stationära PC, bärbara PC, USB-minne mm) skall höra ihop med Dina arbetsuppgifter. Du får med andra ord inte spara ner foton, musikfiler, filmer mm, såvida det inte är för yrkesmässigt bruk. Säkerhetskopiering IT-avdelningen svarar för säkerhetskopiering av den information som finns lagrad i verksamhetssystemen och på de centrala gemensamma fil-servrarna. Lagra alla Dina dokument och andra filer på dom gemensamma servrarna, så försäkrar Du Dig om att det alltid finns en aktuell kopia. Det tas inte backup på enskilda PC i nätverket eller bärbara PC. Du skall inte lagra data på din stationära PC:s hårddisk. Dels kommer filerna inte att säkerhetskopieras och dels utgör det en säkerhetsrisk då vem som helst utan inloggning kan komma åt filer som ligger på Din PC. Därtill försvinner filerna om någon stjäl Din PC. USB-minne, USB-hårddiskar USB-minnen är praktiska när man ska flytta eller bära med sig information. USBminnen är inte avsedda för långtidslagring av information och Du skall aldrig lägga

4 4(6) integritetskänslig information på ett USB-minne, då det lätt kommer bort. Detsamma gäller externa bärbara hårddiskar, tex med USB-anslutning. Användning av Internet, E-post mm Internet Alla Borås Stads datoranvändare har tillgång till Internet som ett verktyg i det dagliga arbetet. Begränsad privat användning är tillåten men vägledande för Din Internet- och datoranvändning, är att den skall vara relaterad till Dina arbetsuppgifter. Internet ger många möjligheter, men det finns också mycket på Internet som inte hör ihop med den verksamhet vi bedriver. Exempel på användning som, för de flesta, är oförenlig med arbetet är nedladdning av program och upphovsrättsskyddat material såsom ljud och videofiler (t.ex. MP3, AVI och MPG-filer) eller att ta del av material av pornografisk, rasistisk, diskriminerande eller extremistisk karaktär. All användning av Internet och vår övriga IT-miljö, som strider mot Borås Stads uttalade policys, instruktioner eller på annat sätt uttalade värderingar - är förbjuden. När Du surfar på Internet representerar Du Borås Stad. Agera i enlighet med kommunens värderingar, så att det Du förmedlar på nätet inte skadar oss. Du lämnar elektroniska spår efter Dig överallt i form av kommunens IP-adress. Borås Stad har utförliga loggar över varje användares Internetanvändning, i såväl det pedagogiska som det administrativa nätet. Av loggarna framgår när Du besökt en viss sida och hur länge Du stannat där. Motsvarande loggar finns i verksamhetssystemen. Vid användning av Internet i strid mot dessa regler kan arbetsgivaren vidta disciplinära åtgärder (erinran eller varning) eller vid misstanke om brott, överlämna loggarna polis, vilket i allvarliga fall kan leda till uppsägning eller avsked. Motsvarande gäller tex missbruk av integritetskänslig information i verksamhetssystem. Spara aldrig lösenord i webbläsaren. Nästa person som går in på samma sida från samma dator, kan då automatiskt logga in med din användare och ditt lösenord. Anonymitets-server På Internet finns idag sk anonymitetsservrar, som gör att Borås Stad inte kan logga vilka sidor en användare är inne på. All användning av anonymitetsservrar från Borås Stads administrativa och pedagogiska nätverk eller annat nätverk Din PC är kopplad till, är förbjuden. Detta är inget Du kan råka använda av misstag, utan det krävs installation av programvara och ett avtal med den som driver anonymitetsservern. E-post E-post är ett rationellt hjälpmedel i arbetet, men många upplever mängden E-post som en belastning. Tänk på att inte skicka kopior eller vidarebefordra till fler än absolut nödvändigt. Den Du adresserar Till: är mottagaren av E-brevet och förväntas ofta agera på något sätt. Om Du i E-brevet ger ett uppdrag eller ber någon göra något, så bör Du få en accept på att mottagaren åtagit sig uppdraget. Den du adresserar som Kopia: får endast E-brevet för kännedom och förväntas inte agera.

5 5(6) Det är tillåtet att använda Borås Stads E-postsystem för privat bruk, men det skall ske utanför arbetstiden och Du ska vara mycket restriktiv med användningen. Tänk på att det är Borås Stad som står som avsändare för E-brevet samt att all E-post utan undantag är allmän handling. Det innebär att E-breven på begäran kan komma att lämnas ut som offentlig handling, även de E-brev Du anser är privata. Arbetsgivaren har även rätt att ta del av de E-brev som finns lagrade på Borås Stads E-post servrar. Du skall regelbundet gallra i din E-post, men spara först ner de bifogade filer som du vill behålla. Du kan även radera den bifogade filen, men behålla själva meddelandetexten. Användningen av E-post innebär säkerhetsrisker: - Tänk på att 95% av alla virus sprids via E-post - Var försiktig med att öppna E-post med bilagor från okända personer. - Vidarebefordra aldrig kedjebrev utan radera dem direkt. - Vidarebefordra inte E-brev med virusvarningar, det är E-brevet som är själva viruset. - Det finns möjlighet för andra att läsa dina E-brev när de skickas över Internet. Skicka därför inte integritetskänslig uppgifter via E-post, såvida informationen inte är krypterad. - Borås Stad har möjlighet att spåra användandet av E-post och vidta åtgärder vid missbruk. - Vid missbruk av Borås Stads E-postsystem kan arbetsgivaren vidta diciplinära åtgärder (erinran, varning). Fax Använd om möjligt förprogrammerade faxnummer när du skall faxa känslig information, för att undvika att faxet går till fel mottagare. Kontroll av Internt- och E-postanvändning Stickprovskontroll av Internetanvändingen genomförs varje månad på IT-chefens initiativ. Avpersonifierad surf- och E-poststatistik, kan tas fram vid behov. Vid skälig misstanke om användning som står i strid med denna instruktion, kan arbetsledare/anställd begära hos Förvaltningschef eller Personuppgiftsombud, att en kontroll av användningen skall genomföras. Som skälig misstanke räknas konkreta objektivt underbyggda omständigheter, observationer eller andra förhållande som med viss styrka talar för att en viss person brutit mot denna instruktion. Förvaltningen/Personuppgiftsombudet informerar de n anställde om att en kontroll kommer att göras och hur den genomförs. Begäran om kontroll lämnas sedan av Fförvaltningschef eller Personuppgiftsombud, till IT-chefen. Den anställde skall ta del av resultatet av kontrollen. Gallring Loggar över internetanvändning gallras efter 6 månader. Gallring av loggar i verksamhetssystem, skall följa gallringsplanen för respektive verksamhetssystem.

6 6(6) Nätradio, nät-tv, strömmande media, chat och social nätverk Borås Stads Internetförbindelse skall användas för verksamhetskritisk kommunikation mot landsting, statliga myndigheter, företag, privatpersoner, för E-handel, E-post, undervisning, informationsinhämtning samt för att informera om Borås Stad och för att erbjuda E-tjänster mm. De multimediatekniker som nämns i rubriken kräver mycket bandbredd och skulle störa ut nyttotrafiken om de missbrukas. Borås Stad har ingen direkt kostnad för att någon lyssnar på en traditionell radio, men om Du lyssnar på samma program via Internet så tar det kapacitet från Borås Stads Internetförbindelse, vilket ger sämre svarstider för nyttotrafiken och och skulle kosta stora pengar i uppgradering av kapaciteten. Om användningen är direkt arbetsrelaterad, tillåter Borås Stad att Du lyssnar på Nätradio som tex SR eller andra radiostationer på nätet, musiktjänster som Spotify eller andra strömmande media som Webb-TV, tex SVT eller andra TV-kanaler på nätet som YouTube etc. Även viss privat användning är tillåten utanför arbetstid, men här gäller en mycket restriktiv policy. Chat-program som tex Skype och MSN, kan användas i arbetsrelaterade sammanhang och detsamma gäller för sociala nätverk och sociala nätverkstekniker som facebook, myspace, twitter, YouTube, flickr, bloggar, bilddagboken mfl. Borås Stad använder tex facebook, twitter, YouTube, bloggar, Web-TV, Web-radio och andra strömmande media, för att nå ut med information och marknadsföring samt som ett led i den demokratiska processen. Det är ett exempel på en arbetsrelaterad användning av nämnda tekniker. Sanktioner Generellt gäller att dessa anvisningar är att betrakta som delar i de interna ordningsreglerna för Borås Stads anställda. Dessa regler skall följas och om så inte sker kan arbetsgivaren vidta arbetsrättsliga åtgärder, även om detta inte särskilt påpekas under varje avsnitt. Administrativa kontoret Börje Hedström Förvaltningschef Johannes Adolfsson IT-strateg