Informationssäkerhetsinstruktion. medarbetare

Transkript

1 Informationssäkerhetsinstruktion för medarbetare Upplands-Bro kommun Antagen av kommundirektören

2 Sid 2 (9) 1 Inledning Medarbetarens ansvar Åtkomst till information i nätverk och IT-system Behörighet Inloggning Lösenord Låsning av arbetsstation/utloggning Hantering av information Allmän handling och sekretess Personuppgift Restriktiv spridning Säkerställande av digital information Säkerställande av pappersburen information Utrustning Kommunens nätverk Arbete utanför ordinarie arbetsplats Kringutrustning med mellanlagring Internet och kommunikation Incidenter, datavirus Incidenter dokument Incidenter i IT-system Datavirus När du slutar din anställning... 9

3 Sid 3 (9) 1 Inledning Denna instruktion, vänder sig till samtliga medarbetare d v s anställda samt förtroendevalda och samarbetspartner som använder Upplands-Bro kommuns datorer och nätverk. För elever finns en särskild instruktion. Instruktionen innehåller regler och riktlinjer för hantering av information inom kommunen. Den avser all information som hanteras inom kommunen oavsett, vilket media som är databärare. Det innebär att information ska hanteras enligt tillämpliga delar i denna instruktion, om den finns i ett IT-nätverk, IT-system, på server, hårddisk, diskett, cd, dvd motsvarande eller om den finns nedskriven, tryckt på papper e dyl. Detsamma gäller information i form av bild eller ljud. 2 Medarbetarens ansvar En grundläggande princip är att varje medarbetare ska ha tillgång till den information som denne behöver för de egna arbetsuppgifterna, oavsett media. Inom vissa arbetsområden finns det restriktioner kring åtkomsten till uppgifter, exempelvis personuppgifter. Sådana restriktioner gäller inom flera kommunala verksamheter såsom socialtjänst, skola m fl. Reglering av åtkomst och hand havande finns bl. a i olika lagar och förordningar. För att tydliggöra var gränserna går för enskilda arbetsområden är verksamheten organiserad i olika myndigheter och inom dem i olika arbetsområden (enheter). Därtill hålls, inom varje arbetsområde, information av känslig natur förvarad enligt särskilda rutiner för att ges ett gott skydd. Inom IT-nätverk och enskilda IT-system skyddas informationen mot obehörig åtkomst med tekniska skyddsåtgärder som t ex behörighetssystem. Skyddsåtgärderna av organisatorisk och teknisk natur är till för att tydliggöra, säkerställa och underlätta skyddet av information. Som medarbetare har du del i ansvaret för säkerheten i informationshanteringen. För att du ska kunna leva upp till de säkerhetskrav som ställs på dig ska du känna till: vilket ansvar du har, följa de regler som anges i denna instruktion, vad du ska göra vid incidenter, var du kan få stöd och hjälp. Rätten att som medarbetare ta del av information är således begränsad till det som hör till arbetsuppgifterna. Ansvaret för att inte obehörigen befatta sig med uppgifter ligger, oavsett skyddsåtgärder, slutligen på den enskilde medarbetaren. Relaterat till medarbetarens ansvar är också det s.k. meddelarskyddet. Det står varje svensk medborgare fritt att, med iakttagande av de bestämmelser som finns i tryckfrihetsförordningen till skydd för enskild rätt och allmän säkerhet, att i tryckt skrift yttra sina tankar och åsikter, offentliggöra allmänna handlingar samt meddela uppgifter och underrättelser i vad ämne som helst. Vid ett sådant utlämnande finns det ett skydd enligt Tryckfrihetsförordningen. Det innebär att enskilda personer eller (i regel) myndigheter inte annat än under vissa omständigheter får forska efter personens namn. Det är om omständigheterna inte föreligger straffbart att lämna ut namnet, om personen vill eller kan antas vilja vara anonym.

4 Sid 4 (9) 3 Åtkomst till information i nätverk och IT-system 3.1 Behörighet Kommunens nätverk och IT-system är utrustade med behörighetskontrollsystem för att säkerställa att det endast är behöriga användare som kommer åt information. För att bli behörig användare krävs din chefs godkännande. Sedan ansvarar du för att följa de regler som kopplas till behörigheten. För att få behörighet krävs att: 1. Chefen beslutar om och beställer behörighet till nätverk och de system som dina arbetsuppgifter kräver. 2. Driftleverantören lägger in din behörighet till nätverk och systemförvaltarna till respektive system, efter beställning. 3. Därefter får du: en användaridentitet ett lösenord till vardera nätverket och respektive system. 3.2 Inloggning Första gången loggar du in i ett nätverk görs det med ditt unika initiala lösenord som måste bytas ut innan du ges tillgång till nätverket. Detta lösenord kan du således bara använda för att komma in i ett nätverk för att byta till ditt eget personliga lösenord som ingen annan känner till. För att få tillgång till de system du givits behörighet till ska du använda de lösenord du fått för dem. I vissa fall tilldelas du initiala lösenord för enskilda system som du måste byta ut. I andra fall får du ett lösenord som du kan byta frivilligt. För att de ska bli säkra och skydda din användning av nätverk och system är det viktigt att bara du själv känner till lösenorden. Lösenorden är strängt personliga och skall hanteras därefter. Du skall därför: aldrig låta en annan person nyttja ditt användarnamn och lösenord. Du är personligen ansvarig för det som sker i ditt namn, skydda lösenorden väl, omedelbart byta lösenord om du misstänker att någon känner till det, För nätverk gäller dessutom att: alltid när så är möjligt byta ut det första lösenord du får mot ett personligt sådant, lösenord skall bytas var 90:e dag. För applikationssystemen kan andra regler gälla. Det är medarbetarens ansvar att följa reglerna i respektive system. I den mån inga tvingande regler finns om lösenordsbyte i ett visst system har medarbetaren ett ansvar att byta efter förnuft. 3.3 Lösenord När du byter dina initiala lösenord eller därefter regelbundet byter lösenord är det viktigt att de utformas så att en obehörig inte kan gissa sig till dem. För att skapa starka lösenord ska du tänka på att - lösenordet inte får vara knutet till personlig information, som t ex namn,

5 Sid 5 (9) personnummer eller telefonnummer, - lösenordet inte får vara en vanlig teckenkombination, ett ord eller en vanlig kombination av ord som finns i ordböcker eller används i dagligt språkbruk, oberoende av språk, - lösenordet inte får vara ett ord som är skrivet baklänges, - inte använda samma lösenord i kommunens verksamhet som du använder i andra sammanhang, - lösenord inte bör skrivas ned. En anteckning om lösenordet ska behandlas som en värdehandling. För nätverk gäller dessutom att: - blanda små och stora bokstäver, siffror och specialtecken, - använda minst åtta tecken, - du får inte återanvända något av de 13 senaste lösenorden som du tidigare använt. - För applikationssystemen kan andra regler gälla för längd och sammansättning av lösenord. Du är skyldig att följa reglerna för respektive system. Om du glömmer ditt lösenord och försöker att logga in till nätverk med ett felaktigt lösenord kommer nätverket att låsas för din behörighet efter tre felaktiga försök. På samma sätt låses din behörighet om du varit borta från arbetet (tjänst-, sjuk-, föräldraledig etc.) och inte loggat in under mer än 90 dagar. Om detta inträffar vänder du dig till Servicedesk. Du kommer efter identifiering att få ett nytt lösenord. 3.4 Låsning av arbetsstation/utloggning För att skydda information mot obehörig åtkomst när du glömmer att logga ut nyttjas obligatorisk automatisk skärmsläckare med lösenord. Den släcker ned skärmbilden efter 10 minuters inaktivitet. Den aktiva sessionen ligger emellertid kvar och du kan börja arbeta igen på samma ställe som du lämnade genom att identifiera dig med ditt lösenord. En inloggad dator som lämnas obevakad kan användas av någon obehörig och utgör därmed en stor säkerhetsrisk. Det är den som är inloggad som har ansvar för vad som görs på datorn. Därför ska du alltid aktivt logga ut dig som användare när du lämnar arbetsplatsen för en längre stund eller går hem för dagen. Dessutom gör du både kommunen och miljön en tjänst genom att spara energi. Om du delar arbetsstation med andra användare ska du logga ut när du lämnar arbetsstationen. 4 Hantering av information 4.1 Allmän handling och sekretess All information inom den kommunala verksamheten styrs av samma regler om offentlighet, sekretess, förvaltning och arkivering. Reglerna avser främst den information som betecknas som allmän handling i verksamheten och är inkommen eller upprättad och förvarad hos kommunen. Reglerna gäller oavsett vilket media som en allmän handling lagras på. En allmän handling är antingen offentlig eller sekretessbelagd. I bestämmelserna finns också angivet vilken information som inte utgör allmän handling. Du ska därför - när en allmän handling inkommit eller upprättats hos kommunen se till att den registreras utan dröjsmål. När det gäller pappersbaserade handlingar ska de omgående

6 Sid 6 (9) lämnas till registrator för vidare beslut. När det gäller handlingar som inkommer elektroniskt så ska de hanteras enligt samma regler, se vidare Regler och riktlinjer för e-postanvändning i Upplands-Bro Kommun. - när handling inkommit via något annat media såsom cd, dvd, sms, mms eller liknande ska du behandla informationen på samma sätt som om den vore pappersburen. Det är innehållet som avgör diarieföringen, inte mediet. 4.2 Personuppgift Personuppgifter är integritetskänsliga och behandling av sådana ska hanteras varsamt i enlighet med personuppgiftslagen (PUL). Med behandling menas allt man gör med personuppgifter, vare sig det sker med en dators hjälp eller inte. Exempel på behandling av personuppgifter är: insamling, registrering, lagring och bearbetning, helt eller delvis automatiserad. I personuppgiftslagen regleras under vilka förutsättningar det är tillåtet att behandla personuppgifter. Utgångspunkten är att den enskilde själv ska avgöra om personuppgifter om honom eller henne får behandlas d v s att den registrerade har lämnat sitt samtycke. Från den regeln finns det dock omfattande undantag. En viktig del i integritetsskyddet är således att den registrerade informeras om de behandlingar av personuppgifter som utförs. Inom Upplands-Bro kommun ligger personuppgiftsansvaret hos respektive nämnd/myndighet som har utsett personuppgiftsombud som ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. - Om du (informationsägare) i arbetet överväger behandling av personuppgifter ska kontakt omgående tas med personuppgiftsombudet som ger råd för fortsatt hantering. 4.3 Restriktiv spridning Inom vissa verksamhetsområden kan det förekomma känslig information enligt avsnitt 4.1 och 4.2 ovan. Sådan känslig information ska hanteras restriktivt och om inte annat krävs endast muntligen delges behöriga personer. Undvik att diskutera sådan information där obehöriga kan höra vad som sägs, t ex i pausrum, allmänna kommunikationer eller i övrigt på allmän plats. Tänk också på att information som inte faller under någon särskild lagstiftning kan uppfattas som känslig av både den som avses och de som lyssnar. Var därför i sådana fall restriktiv med att diskutera yrkesfrågor på allmän plats. 4.4 Säkerställande av digital information Information utgör en viktig resurs för kommunen och ska därför skyddas genom säkerhetskopiering så att den inte förvanskas eller förstörs. De gemensamma G och H katalogerna säkerhetskopieras genom en central lösning. Arbetar du med en: - tunn klient behöver du inte tänka på säkerhetskopiering. - egen arbetsstation får du inte lagra information på hårddisk eller annat lokalt media. Du ska vid arbete på egen arbetsstation se till att dina data lagras centralt via nätverket. - bärbar dator eller annan fristående utrustning så ligger ansvaret på dig att regelbundet ta säkerhetskopior på cd, dvd, fickminne etc. Informationen ska sedan så snart som möjligt föras över till kommunens centrala lagringsmedia.

7 Sid 7 (9) 4.5 Säkerställande av pappersburen information Papper är informationsbärare för en stor del av den information som finns inom den kommunala verksamheten. De tekniska/fysiska skyddsmekanismerna för denna typ av databärare är inte lika påtagliga som tekniken i IT-nätverk och IT-system. Det är emellertid samma regelverk som gäller för informationshanteringen i de båda fallen. Det är därför viktigt att pappersdokument ges ett skydd i paritet med regelverken för det informationsinnehåll de bär. Det innebär att allmänna handlingar ska registreras i diariet. Känslig information ska hållas under uppsikt av ansvarig tjänsteman och när så inte kan ske ska dokumenten vara inlåsta i säkerhetsskåp. Känslig information som skrivs ut, faxas eller liknande från utrustning i gemensamma utrymmen ska bevakas och omgående tas om hand av behörig tjänsteman. Alla handlingar ska förvaras i en god struktur, d v s pärm- eller mappsystem med register så att de är sökbara även av annan behörig tjänsteman. Vid särskilda behov ska det finnas kopior förvarade säkert på annan plats. Känsliga dokument ska hanteras med stor restriktivitet och endast om så är nödvändigt medföras utanför ordinarie arbetsplats. Vid arbete utanför ordinarie arbetsplats ska ansvarig tjänsteman vara vaksam så att ingen obehörig kan få tillgång till informationen. 5 Utrustning 5.1 Kommunens nätverk Nätverken är viktiga gemensamma resurser som ger medarbetare möjlighet att lagra information, dela på skrivare och program, upprätta kommunikation m m. Störningar i nätverken får omfattande konsekvenser för verksamheten. Därför är det inte tillåtet: - att koppla in ej godkänd utrustning, - att installera program på eget initiativ på hårddisk eller server. Sådan installation får endast göras av behörig systemadministratör, - att skaffa sig utökade systemrättigheter utöver de som tilldelats. 5.2 Arbete utanför ordinarie arbetsplats Om du använder en dator för arbete utanför arbetsplatsen bör du tänka på att dessa kan utgöra en säkerhetsrisk. Tänk på att: - inte lämna sådan utrustning utan uppsikt. Om du använder kommunens dator får inga andra, såsom familjemedlemmar m.fl., än du själv använda datorn. Skälet är att en sådan dator via kommunikation är kopplad till nätverken i kommunen vilket kan ge åtkomst till viktiga interna system. Om du använder din privata dator ansvarar du för att ingen utomstående kommer åt ditt arbetsmaterial. Var noga med att den alltid loggas av när du lämnar utrustningen vid paus etc. - inte lagra sekretessbelagd, känslig eller värdefull (undersökningsresultat etc.) information på sådan utrustning om den inte är krypterad. Gör inte heller överföring av information till externt lagringsmedia som diskett, fickminne etc. om inte informationen är krypterad. Risk finns annars att obehöriga då kan ta del av den.

8 Sid 8 (9) - lagringsmedia som du använder/skapar i hemdatormiljö på disketter, cd/dvd, fickminnen mm får inte användas i organisationens nätverk förrän viruskontroll av lagringsmediet har skett. Kontrollen sker mot ett uppdaterat program i av organisationen anvisad utrustning. - för bärbara datorer (eller motsvarande) som är avsedda att anslutas mot kommunens nätverk får du själv inte installera program mm. Vänd dig till Servicedesk om du har behov av detta. 5.3 Kringutrustning med mellanlagring Utrustning som kopiatorer, telefax, handdatorer, mobiltelefoner etc mellanlagrar både inkommande och utgående information. Det gör att information kan ligga kvar i utrustningen även sedan den hämtats i form av papper eller via elektronisk överföring. Det är därför viktigt att information som inte får komma obehöriga till del inte hanteras via sådan utrustning, alternativt ska användare aktivt se till att informationen omgående raderas från utrustningen. Använd alltid säker utskrift med PIN-kod vid utskrift av känsliga dokument. 6 Internet och kommunikation Internet är en resurs som ska användas för omvärldsbevakning samt hämtning och lämnande av information. Observera att användningen av Internet i första hand ska vara arbetsrelaterad. Vid användning av Internet exponeras kommunens namn och du lämnar spår efter dig i form av kommunens IP-adress. Cookies från besökta hemsidor finns också lagrade i kommunens utrustning. Därför finns det restriktioner för vilka webbplatser som får besökas. Kommunens medarbetare får inte besöka webbplatser med olagligt innehåll eller som i övrigt strider mot kommunens värderingar, så som de uttryckts i policyer för olika områden. Det är inte tillåtet att via Internet titta, lyssna eller ladda ned material av pornografisk eller rasistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning etc) eller har anknytning till kriminell verksamhet. Det är inte heller tillåtet att ladda ned upphovsrättsligt skyddat material genom s.k. olaglig fildelning. Kommunen förbehåller sig rätten att på aggregerad nivå följa upp kommunens internettrafik men även - i de fall misstanke finns om överträdelse av dessa begränsningar - enskilda loggar och ip- adresser. Elektronisk post, e-post, är ett smidigt, snabbt, effektivt och billigt sätt att kommunicera på. Det finns olika typer av elektroniska brevlådor; funktionsbrevlådor och individuella brevlådor. Funktionsbrevlåda är den officiella adressen till myndigheten och är inte knuten till enskild person utan till nämnd, enhet eller funktion. E-post från allmänheten ska styras till funktionsbrevlådor. På kommunens Intranät finns information om tillgängliga funktionsbrevlådor. Individuell brevlåda är en brevlåda som är knuten till en enskild person. All information som skickas med e-post eller är lagrad i gemensamma eller individuella elektroniska brevlådor styrs av samma regler om registrering, offentlighet, sekretess, arkivering etc. som gäller för traditionellt postbefordrade handlingar eller handlingar vi själva upprättar. Det är därför viktigt att varje medarbetare dagligen öppnar de e-brevlådor denne ansvarar för och hanterar e-posten enligt reglerna. Stor försiktighet ska iakttas vad gäller interna massutskick av e-post. Skicka inte meddelanden till samtliga anställda eller grupper av användare om det inte är nödvändigt. Se vidare Regler och riktlinjer för e-postanvändning i Upplands-Bro kommun.

9 Sid 9 (9) Det är tillåtet att använda sms, mms och liknande kommunikationstekniker så länge du inte förmedlar känslig information. 7 Incidenter, datavirus 7.1 Incidenter dokument Om du misstänker att dokument med känslig eller i övrigt värdefull information förkommit, förstörts eller kommit obehörig till del ska Servicedesk larmas och närmaste chef eller informationssäkerhetssamordnaren underrättas. 7.2 Incidenter i IT-system Om du misstänker att någon använt din användaridentitet eller att du varit utsatt för någon annan typ av incident ska du: notera när du senast var inne i IT-systemet notera när du upptäckte incidenten omedelbart anmäla förhållandet till Servicedesk eller informationssäkerhetssamordnaren dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på din information har påverkats. Om du upptäcker fel och brister i de system du använder ska du rapportera dessa till Servicedesk för nätverket eller systemförvaltaren för enskilda system. 7.3 Datavirus Om du misstänker att din dator innehåller virus ska du: låta datorn vara på och dra ut nätverkskabeln eller stänga av det trådlösa nätverket, omedelbart anmäla förhållandet till informationssäkerhetssamordnaren eller Servicedesk. OBS! Anmälan ska ske per telefon eller besök, inte per e-post. Om du får e-post med misstänkt innehåll gör inget annat än kontakta Servicedesk eller informationssäkerhetssamordnaren. Handdatorer, digitala kameror, mobiltelefoner mm kan lätt bli virusbärare eftersom du kan mellanlagra information från olika datorer i dessa. Var noga med att den dator du ansluter sådan kringutrustning till har ett uppdaterat virusprogram. 8 När du slutar din anställning När du slutar din anställning ansvarar du för att: rådgöra med din chef om vilket av ditt arbetsmaterial som ska sparas och hur det ska överlämnas. Notera att allt arbetsmaterial du framställt anses vara kommunens egendom och får inte tas med utan chefs godkännande. privat material tas bort. De behörigheter du fått för åtkomst till våra informationssystem avbeställs av din chef.