IT-säkerhetsinstruktioner för användare i Mölndals stad

Transkript

1 IT-säkerhetsinstruktioner för användare i Mölndals stad Sida 1

2 1 INLEDNING Allmänt Instruktionens roll i IT-säkerhetsarbetet Organisation och rollfördelning Mål 5 2. INFORMATION OCH LAGRING Allmänt Handling som är sekretesskyddad Personuppgiftslagen (1998:204) Lagring av information Behörighet Lösenord 7 3. NÄTVERK, PROGRAM OCH KRINGUTRUSTNING Allmänt Bärbara datorer och hemdatorer Kringutrustning med mellanlagringsmöjlighet Vårt lokala nätverk (LAN) 9 4. INTERNET, MOLNTJÄNSTER OCH E-POST Internet Molntjänster E-post ARBETSGIVARENS ANSVAR RÄTTIGHETER/SKYLDIGHETER Integritetsskydd för de anställda grundregel Loggning Arbetsgivarens rätt till kontroll INCIDENTER, VIRUS, STÖLD M.M Obehörigt intrång Virus Stöld ÖVRIGT Stöd och hjälp i IT-säkerhetsfrågor När du slutar din anställning 16 Sida 2

3 1 INLEDNING 1.1. Allmänt Användningen av IT-stöd i vårt dagliga arbete ökar och man använder mer och mer IT-hjälpmedel. För att alla dessa IT-system ska vara säkra, tillgängliga och fungera som det effektiva verktyg vi önskar, är det viktigt att användningen sker på ett kontrollerat sätt. En förutsättning för detta är att känna till de krav som ställs på dig som IT-användare inom Mölndals stad. Du måste veta: Vilket ansvar du har Vad du ska göra vid olika incidenter Var du kan få stöd och hjälp De allmänna säkerhetsbestämmelserna Hur du får använda e-post och internet Hur du hanterar personuppgifter enligt personuppgiftslagen (1988:204) som också benämns PuL Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du på ett säkert sätt använder IT-stöden inom verksamheten. Se gärna dokumentet som ett uppslagsverk och viktig källa för kunskap om hur IT-systemen och informationen får användas. Saknar du någon information eller vill du veta mera så tveka inte att kontakta IT-avdelningens Helpdesk. Datorerna, programvarorna m.m. är arbetsredskap och tillhör arbetsgivaren Mölndals stad. Med stöd av arbetsledningsrätten har arbetsgivaren rätt att bestämma hur utrustningen på arbetsplatsen får användas. Utgångspunkten är att sådan utrustning i första hand ska användas i arbetet. Detta gäller även användandet av e-post och internet Instruktionens roll i IT-säkerhetsarbetet Styrande dokument för IT-säkerhetsarbetet i Mölndals stad är IT-säkerhetspolicyn samt IT-säkerhetsinstruktioner för Användare. IT-säkerhetsinstruktionerna är en konkretisering av IT-säkerhetspolicyn. Inom varje verksamhetsområde ska det finnas en aktuell kontinuitetsplan där organisering och åtgärdsplan vid störningar i IT-stödet finns dokumenterat. Respektive verksamhetsansvarig avgör vilka IT-stöd som behöver omfattas av en kontinuitetsplan. Krav på åtgärder för ett enskilt IT-system dokumenteras i en systemsäkerhetsplan. En sådan ska upprättas för de IT-system som bedöms som viktiga för verksamheten och samhället. Systemsäkerhetsplanen ska redovisa krav på säkerhetsåtgärder för enskilda system samt de åtgärder som är vidtagna och de som återstår. Förvaltningschefen ansvarar för systemsäkerhetsplanen. Sida 3

4 IT-säkerhetspolicyn redovisar ledningens viljeinriktning och mål för IT-säkerhetsarbetet och syftar till att klarlägga: Organisationen och roller för IT-säkerhetsarbetet Krav på riktlinjer för områden av särskild betydelse IT-säkerhetsinstruktioner för Användare syftar till att ge dig kunskaper och riktlinjer om hur du på ett säkert sätt använder IT-stöden Organisation och rollfördelning Det övergripande ansvaret för verksamhetens IT-system vilar på verksamhetens chef som också utser systemägare för verksamhetens IT-system. IT-råd tar beslut om alla IT-investeringar för kommunen övergripande eller inom förvaltningen lokalt som ligger i linje med den övergripande IT-strategin. Systemägare tecknar avtal med leverantören, äger budgeten och har det övergripande ansvaret inför ledningen att IT-systemen förvaltas på för verksamheten bästa sätt. Systemägaren beslutar om nyanskaffning, vidareutveckling eller avveckling av IT-system inom ramen för resurstilldelningen för sin verksamhet i samråd med förvaltningens IT-råd. Systemansvarig/Systemadministratör - Operativt ansvariga utses av systemägarna och är de personer som har ansvaret för den dagliga användningen av IT-systemet. Systemansvarig samverkar med systemförvaltare på IT-avdelningen för att säkerställa en säker och rationell drift av systemet. Systemförvaltare är placerad inom IT-avdelningen och ansvaret ligger i huvudsak kring teknisk förvaltning av systemen. Systemförvaltaren ska även fungera som en resurs i förvaltningens verksamhetsutveckling med hjälp av IT. Centrala IT-avdelningen är systemägare inom området teknisk IT-infrastruktur och har det övergripande ansvaret för att ett systems tekniska delar fungerar. ITavdelningen samverkar med systemansvarig vad avser drift och resurstilldelning för ett IT-system. Lokalt IT-säkerhetsombud har till uppgift att vara stöd åt förvaltningschefen i hanteringen av IT-säkerhetsfrågor. Det åligger varje förvaltning att utse ITsäkerhetsombud. Användaren Användarna ska följa gällande regler och riktlinjer för IT-säkerhet. I detta ingår att noga ta del av och följa de säkerhetsregler som finns för de IT-system som den enskilde använder. Sida 4

5 1.4. Mål Målet är att alla användare ska: Ansvara för informationens riktighet och att den skyddas mot obehörig insyn vid såväl inmatning, uttag och bearbetning av information. Meddela brister och fel i IT-säkerhetsrutinerna till IT-avdelningen på stadsledningsförvaltningen. Meddela behovet av skydd för känslig information. Förstå IT-systemens struktur och rollfördelning inom organisationen. Förstå begränsningar och risker i användandet av e-post och internet. Känna till och följa de lagar, säkerhetsföreskrifter samt PuL-föreskrifter som gäller inom verksamheten. 2. INFORMATION OCH LAGRING 2.1. Allmänt I ditt dagliga arbete kommer du i kontakt med information som kommer levererad till dig i många olika former. Det kan vara talad, på papper, lagrad i datorer via e-post m.m. En stor mängd handlingar (uppgifter) kan vara sekretesskyddade. Offentlighets- och sekretesslagen (2009:400) reglerar myndigheter och andra organs handläggning vid registrering, utlämnande och övriga hantering av allmänna handlingar. Allmän handling ska kunna lämnas ut om handlingen inte innehåller uppgifter som omfattas av sekretess enligt lagen. Vid registrering av handlingar ska det markeras om handlingen kan omfattas av sekretess. Det är viktigt att du känner till vilken typ av handlingar/uppgifter som du hanterar Handling som är sekretesskyddad Handlingar kan vara allmänna eller icke allmänna. Allmänna handlingar kan sedan vara offentliga eller sekretesskyddade. Hur du ska hantera dina handlingar framgår av kommunens rutiner för dokumenthantering. Huvudregeln är att allmänna handlingar är tillgängliga för alla som vill ta del av dem. En nämnd eller styrelse som vägrar lämna ut en allmän handling kan endast göra så med stöd av offentlighets- och sekretesslagen. Om du är tveksam ska du kontakta din chef. Kontrollera om din förvaltning också har en särskild rutin för utlämnande av allmän handling Personuppgiftslagen (1998:204) I personuppgiftslagen (PuL) regleras rätten att behandla personuppgifter. Lagen ska hindra att den personliga integriteten kränks genom behandlingar av personuppgifter. Om du som medarbetare behöver upprätta särskilda register som innehåller personuppgifter för uppföljning, kvalitetskontroll och forskning bör du samråda med kommunens jurist i ett tidigt stadium i planeringen av registret. Sida 5

6 2.4. Lagring av information Allt arbetsmaterial ska lagras. För IT-stödet kan vi övergripande se det som två olika typer: information i våra IT-system egna register/dokument Information i våra IT-system Som stöd i det dagliga arbetet har kommunen och dess verksamheter olika IT-system bl.a. ekonomi- och lönesystem. I dessa system är informationen ofta redan klassad och inbyggda regelverk ger rättigheter eller sätter begräsningar för dig att hantera informationen. För vart och ett av IT-systemen ska det finnas en handbok eller en användningsinstruktion, som beskriver vilken information systemet innehåller, vad du ska och får tillföra, ändra och eventuellt ta bort. Genom att reglerna följs har vi goda möjligheter att klara kraven på en god informationssäkerhet i systemen. Egna register/dokument Utöver att arbeta i våra IT-system kommer du att upprätta egna register, handlingar och dokument, exempelvis med Word eller Excel. IT-systemens inbyggda skydd används inte då. Detta kräver särskild uppmärksamhet. Det är viktigt att du tänker över säkerheten och hur du klassar, lagrar och hanterar informationen. Oavsett om du använder system eller har skapat egna dokument så har du personligt ansvar för säkerheten i din hantering av information i alla dessa former. I detta ansvar ingår bl.a. att du själv måste känna till de regler som gäller när du hanterar information. När du hanterar information är du ansvarig för dess riktighet och att informationen skyddas mot obehörig insyn. Tveka inte att samråda med din närmaste chef om du känner dig osäker i dessa sammanhang. Du får inte lagra information på din lokala hårddisk (C:\). Om du lagrar information på din lokala hårddisk (C:\) riskerar du att förlora information som inte kan återskapas till rimliga kostnader, vid t.ex. en hårddiskkrasch. När du skapar egen information är det viktigt att veta var den bör lagras. Informationen som lagras på gemensamma utrymmen säkerhetskopieras automatiskt. Du kan välja att lagra på H:\ eller G:\, som är enheter åtkomliga på nätverket. H:\ (hemkatalog) är din personliga enhet som du kan använda för lagring av personligt arbetsmaterial. Om du väljer H-enheten kommer dina medarbetare inte åt informationen. G:\ (gemensam) är en enhet för lagring av information som du och medarbetarna på din enhet har tillgång till. Här kan även gemensam information mellan förvaltningar göras åtkomlig efter behörighetstilldelning från IT-avdelningen på stadsledningsförvaltningen. I vissa fall kan information mellanlagras på lokal disk (C:\) men ska vid första bästa tillfälle föras över till H:\ eller G:\. Sida 6

7 Om du använder mobiltelefon, surfplatta, kamera, USB-minnen, CD-skivor m.m. ska du undvika att lagra information på dessa, eftersom de kan komma bort eller gå sönder. Dylik utrustning är endast avsedd för mellanlagring. Notera att lagring av information i verksamhetssystem är arkivering och hanteringen ska framgå av verksamhetens dokumenthanteringsplan Behörighet Våra IT-system är utrustade med behörighetskontrollsystem för att säkerställa att endast behöriga användare kommer åt information. De behörigheter du blir tilldelad beror på dina arbetsuppgifter och avgörs av systemansvarig i samråd med din chef Lösenord Första gången du loggar in får du ett initialt lösenord av IT-avdelningens helpdesk. Detta lösenord kan du bara använda en gång för att komma in i nätverket. När du loggat in, måste du byta det initiala lösenordet till ett eget personligt lösenord. Även för övriga system som du fått behörighet till, måste du byta det initiala lösenordet mot ett eget. Lösenordet är strängt personligt och ska hanteras därefter. Du ansvarar för all registrering som sker med hjälp av ditt lösenord. Du ska därför: inte avslöja ditt lösenord för andra eller låna ut din behörighet skydda lösenordet väl omedelbart byta lösenordet om du misstänker att någon känner till det Lösenordet byts i intervall i respektive system. I nätverket byts det var 90:e dag. En ruta kommer då upp på skärmen med en uppmaning om att byta lösenord. Byt gärna lösenord samtidigt i alla dina system. Lösenordet ska bestå av minst 8 tecken och ska konstrueras så att det inte lätt kan kopplas till dig som person. För att väsentligt försvåra lösenordsknäckning ska bokstäver, siffror och specialtecken blandas i lösenordet. Undvik dock att använda svenska tecken såsom å, ä, ö. Viktigast av allt är dock att du väljer ett lösenord som du kommer ihåg. Skriv inte ner lösenorden på papper. Tidigare använda lösenord kan du inte återanvända. När du byter lösenord kontrollerar systemet att du inte använder något av de lösenorden som du tidigare använt. Om du glömmer ditt lösenord och försöker logga in i systemet med ett felaktigt sådant, kommer systemet att låsas efter fem felaktiga försök. Om detta inträffar vänder du dig till den centrala IT-avdelningens helpdesk. Du kommer då att få ett nytt initialt lösenord efter det att man säkerställt din identitet. Man kan också använda sig av stadens lösenordsportal för att få ett nytt lösenord. Mer information om hur detta går till finns att läsa på stadens intranät. Sida 7

8 3. NÄTVERK, PROGRAM OCH KRINGUTRUSTNING 3.1. Allmänt För att uppnå nödvändig IT-säkerhet finns regler och rekommendationer för användning av IT-systemen inom kommunens verksamhet: Ingen extern utrustning såsom datorer, surfplattor m.m. får kopplas in på kommunens nät. I det fall behov uppstår måste tillstånd inhämtas av ITavdelningen. Undantag är det trådlösa besöksnätet som finns i staden där vi tillåter att egna bärbara enheter kopplas in (BYOD, Bring your own device). Det är tillåtet att själv installera program på datorn. Man kan dock inte förvänta sig att få support från IT-avdelningen på dessa programvaror. Skulle problem uppstå i samband med egen installation kan det medföra att datorn behöver ominstalleras. Det är inte tillåtet att kopiera eller använda kommunens program utanför kommunens verksamhet. Om du är i behov av ytterligare programvaror eller annan hårdvara t.ex. surfplattor, digitala kameror m.m. ska du anmäla det till din chef. All installation och konfiguration av hårdvara och arbetsstationer ska ske av IT-avdelningen så att kommunens standard följs. Vid tillfällen när du inte har uppsikt över arbetsstationen ska du tillfälligt låsa arbetsstationen med kortkommandot: CTRL+ALT+ DEL, Enter eller Windows-tangenten+L. Vid fel på arbetsstation med tillhörande hårdvara ska du omgående anmäla detta till IT-avdelningens helpdesk. Din arbetsstation med tillhörande hårdvara är verksamhetens egendom och får inte bytas eller förändras utan verksamhetschefens medgivande. Inför service på din utrustning som innebär att din persondator lämnas bort eller kasseras måste känslig information på din hårddisk tas bort. Rådgör då med IT-avdelningen. När du går hem för dagen ska du logga ur systemen, stänga av datorn och låsa arbetsrummet Bärbara datorer och hemdatorer Om du har en egen bärbar- eller hemdator bör du tänka på att dessa kan utgöra en säkerhetsrisk. Tänk på att: Inte kopiera känslig information till USB-minne som du tar med hem. Risk finns att obehöriga då kan ta del av den. Att du inte får lagra sekretessbelagd eller för verksamheten känslig information på den egna datorn. Sida 8

9 Lagringsmedia som du använder/skapar i hemdatormiljö på brända cd-skivor, usb-minnen m.m. får inte användas i organisationens nätverk förrän viruskontroll av lagringsmediet har skett. Kontakta IT-avdelningen om du är osäker. Har du en bärbar dator, surfplatta, mobil m.m. som tillhör verksamheten och som du använder utanför din ordinarie arbetsplats utgör detta en säkerhetsrisk. Tänk på att: Hålla utrustningen under ständig uppsikt om du inte kan låsa in den. Lämna inte utrustningen i bilen utan uppsikt. Du inte får lagra verksamhetskritisk information på den bärbara datorn. Förvara en säkerhetskopia av all information på din ordinarie arbetsplats. Vi kräver att du har ett uppdaterat antivirusskydd på din dator när du arbetar hemma för material som ska överföras till din arbetsplats. Rådgör gärna med IT-avdelningen kring dessa frågor Kringutrustning med mellanlagringsmöjlighet Surfplattor, digitala kameror, mobiltelefoner m.m. kan lätt bli virusbärare då du kan mellanlagra information mellan olika datorer i dessa. Därför ska du inte ansluta denna typ av kringutrustning mot en dator som du inte med säkerhet vet har ett uppdaterat antivirusprogram. All kringutrustning ska vara godkänd av IT-avdelningen. Tänk också på att du inte får skicka känslig/sekretessbelagd information via mobiltelefon eller surfplatta. Observera att när användningen av denna typ av utrustning inkluderar hantering av personuppgifter ska den behandlingen uppfylla de grundläggande kraven 9-10 Personuppgiftslagen (1998:204). Detta innebär bland annat att behandlingen ska vara laglig, korrekt och i enlighet med god sed. Det ska finnas ett särskilt och berättigat ändamål med den behandlingen. Dessutom ska behandlingen antingen grunda sig på samtycke eller på de undantagssituationer som finns angivna i lagen. Privat utrustning för fotografering och filmning får användas i tjänsten endast med avdelningschefens (eller motsvarande) godkännande i förväg. Sådan privat utrustning bör endast användas i undantagsfall. Arbetsgivaren ska i första hand tillhandahålla den utrustning som behövs för arbetets utförande. Foton eller filmer som tas med sådan utrustning ska lagras över i kommunens nätverk till anvisad plats och utrustningen ska därefter tömmas på fotona. Privata foton och filmer får inte lagras i kommunens nätverk. Bearbetning av foton med sekretessbelagt eller integritetskänsligt innehåll får endast ske på arbetsplatsen och inte hemifrån Vårt lokala nätverk (LAN) Nätverket är en mycket viktig gemensam resurs som ger oss alla möjligheter att lagra information, dela på filer och program samt skrivare, upprätta kommunikation m.m. Sida 9

10 Följande regler gäller för nätverket: Utskrifter av dokument på gemensam skrivare ska snarast hämtas. När du skriver ut sekretessbelagd information på gemensam skrivare har du ett personligt ansvar för att utskriften/informationen inte kommer obehörig till del. Du ska använda utskriftsfunktionen Skyddad utskrift där det är möjligt. Du måste alltid bevaka så att utskriften inte blir liggande vid skrivaren. Inloggning på nätverket ska ske med ditt personliga lösenord. All inloggning eller försök till inloggning med annans identitet är förbjudet. Information som skapas på gemensamma utrymmen i det lokala nätverket ska lagras på anvisad plats. Det är förbjudet att skaffa sig utökade systemrättigheter än det som tilldelats. Det är förbjudet att ansluta sig externt via egen icke godkänd uppkoppling t.ex. modem och accesspunkt. När du arbetar i kommunens nätverk loggas och registreras dina aktiviteter. Loggningsfunktioner används för att spåra obehörig verksamhet och intrång. Detta görs för att skydda information samt för att undvika att oskyldiga misstänks om oegentligheter inträffar. Om vi alla följer dessa regler så kan obehöriga inte komma åt informationen. Kom ihåg att du ansvarar för allt som registrerats med din användaridentitet. 4. INTERNET, MOLNTJÄNSTER OCH E-POST 4.1. Internet När du använder internet kan säkerheten i kommunens nätverk påverkas i mycket hög grad beroende på ditt beteende; du är ansvarig för det som händer då. Kommunen förutsätter att den som laddar ned filer och program från internet har gott omdöme och endast hämtar sådant som kommer från välkända webbplatser. Det är förbjudet att via internet titta, lyssna eller ladda ner material av pornografisk eller rasistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning, etc.) eller har anknytning till kriminell verksamhet. Kommunen blockerar sidor med kriminell verksamhet såsom illegala droger, vapen, barnpornografi, piratkopiering m.m. I specifika fall kan det dock vara motiverat för arbetet, t.ex. vid utredningar, omvärldsanalyser m.m. att besöka sidor som normalt är förbjudna. Skulle det vara aktuellt tas kontakt med IT-avdelningen. Det är straffbart enligt lag och absolut förbjudet att söka barnpornografi på internet. Det är också förbjudet att söka kontakt alternativt stämma möte med barn via chatt, diskussionsgrupper eller andra forum för sexuella syften. Innehav av barnpornografi är en kriminell handling. Vid upptäckt av barnpornografi på anställds dator kommer datorn omedelbart att beslagtas och arbetsgivaren meddelas. Arbetsgivaren måste alltid anmäla upptäckten till polisen. Barnpornografiskt material får aldrig raderas från datorn då det utgör bevismaterial. Sida 10

11 När du surfar på internet representerar du vår kommun. Gör det med ett gott omdöme så att ditt agerande på nätet inte skadar oss. Agera i enlighet med våra värderingar så att det du förmedlar på nätet inte skadar kommunen. Du bör tänka på att allt du gör på internet lämnar spår och det lagras på servrar i nätverket. Kommunen tillåter att du får använda internet för privat bruk, men: Du får använda internet för privata ändamål i rimlig omfattning. En förutsättning är dock att det privata inslaget inte stör utförandet av arbetsuppgifterna i omfattning och kvalitet. Du får inte göra privata affärer via kommunens nät. Tänk på att du även då representerar vår kommun och du måste följa kommunens regler om vilka hemsidor du får besöka enligt ovan Molntjänster Molntjänster är IT-tjänster som tillhandahålls över internet, i synnerhet funktioner som traditionellt sköts på egna datorer men genom molnet sköts av någon annan. Man får enkelt tillgång till alla sina lagrade filer och dokument var man än befinner sig. Exempel på molntjänster kan vara Google Drive, DropBox, Evernote, Onedrive m.m. Genom att övergå till molntjänster slipper man ansvaret för underhåll av servrar och säkerhetskopiering. Samtidigt som ansvaret för underhåll minskar blir det svårare att kontrollera att underhåll och säkerhet sköts på rätt sätt. Dessutom tillkommer, i synnerhet om tjänsterna tillhandahålls utomlands, problem med hur lagarna i de berörda länderna samverkar. Utlokaliseringen av datatjänster innebär att kommunen delvis förlorar kontrollen över dem. Datasäkerheten beror då inte enbart på den egna verksamheten, utan också på den som erbjuder tjänsterna. Lagstiftningen i Sverige där kommunen verkar och landet där tjänsterna produceras, kan ställa olika krav. Till exempel kan företag i USA vara förpliktigade att utelämna skyddade uppgifter om EU-medborgare till de lokala myndigheterna. Vi kan idag inte förbjuda att man använder sig att dessa molntjänster men man ska vara medveten om vilket material man väljer att spara där. Personuppgifter samt sekretessuppgifter får inte sparas i molnet. Ett exempel på personuppgifter är adressboken i mobiltelefonen E-post Riktlinjer för e-post gäller för all personal. Postöppning För postöppning gäller motsvarande regler som för vanlig post. Du bör kontrollera din individuella e-postlåda minst en gång om dagen. Samma regler gäller för registrator och övriga som ansvarar för myndighets- och funktionsbrevlådor. Sida 11

12 Offentlighetslagstiftningen För all information som sänds med e-post eller är lagrad i de olika brevlådorna gäller samma offentlighets- och sekretessregler samt arkivregler som för traditionellt sänt post, t.ex. kan du i din brevlåda få ansökningar, anmälningar, synpunkter, klagomål m.m. De individuella tjänstebrevlådorna bevakas av sina innehavare. Om du är frånvarande och inte har möjlighet att kontrollera din e-post ska du sätta frånvarobesked i Autosvar och då hänvisa till annan handläggare. Vid längre frånvaro ska öppnande av e-post i din brevlåda delegeras till annan. Bedömning av e-post Registrator bedömer e-posten i myndighetsbrevlådan och registratorsbrevlådan. Varje tjänsteman med individuell brevlåda har själv ansvar för bedömningen av e- post. Bedömningen av en handlings status är i första skedet att avgöra om den är allmän eller inte allmän. Information/handlingar som rör verksamheten ska överlämnas till registrator för registrering. Sekretessbelagda handlingar/information E-postsystemet ska inte användas för överföring av sekretessbelagda handlingar varken internt eller externt. Använd inte heller e-postssystemet för känsliga uppgifter enligt personuppgiftsslagen. I de fall en handling inkommer som kan bli föremål för sekretesskydd tas den ut på papper och lämnas till registrator för bedömning. Därefter ska handlingen omgående tas bort ut e-postsystemet. Anbudshandlingar kan inte sändas eller mottas per e-post. Privat e-post Tänk på att e-post är arbetsgivarens egendom och att det i första hand är ett arbetsredskap. Inom rimlig omfattning får kommunens e-postsystem liksom kommunens telefon användas för privata angelägenheter. En förutsättning är dock att det privata inslaget inte stör utförandet av arbetsuppgifterna i omfattning och kvalitet. SPAM-filter För inkommande e-post har kommunen ett s.k. SPAM-filter. Där fångas e-post som är av tveksam karaktär. Kommunikationsverktyg Kommunen använder Lync som är ett kommunikationsverktyg ifrån Microsoft. Lync kan användas till att: Skicka korta meddelanden istället för att använda e-post Se närvaro på personer i staden om de är lediga eller upptagna, vilket är integrerat med kalendern i Outlook Dela skrivbord och dokument med dina kollegor och arbeta tillsammans via videochatt. Lync ska inte användas för meddelande av sekretessbelagd information. Använd inte heller Lync för känsliga uppgifter enligt personuppgiftsslagen. Sida 12

13 Rensning E-post är ett rationellt hjälpmedel i arbetet men minneskapaciteten för det är begränsat. Tänk därför på att regelbundet radera i mapparna Inkorgen och Sända för att frigöra utrymme så att inte din e-post spärras. Om utrymme för din e-post tar slut kommer du att få meddelande om detta. Radera eller flytta då e-post snarast för att återigen kunna ta emot ny e-post. Virus Var extra uppmärksam då du använder e-post. E-post med bilagor utgör ett stort hot då det gäller spridning av virus. Om du misstänker att det kommit in virus via e-postsystemet ska du: Omedelbart anmäla förhållandet till IT-avdelningen. OBS! Anmälan ska ske per telefon eller besök, inte per e-post. Om du får e-post med virusvarning där man talar om att ett virus är på gång ska du inte skicka meddelande om detta vidare till andra i kommunen. Kontakta ITavdelningen som kan avgöra om det är en seriös varning eller kanske bara ett skämt, ett s.k. hoax. Det kan också förekomma e-post med nätfiske eller lösenordsfiske s.k. phishing. Det är oftast e-post som uppmanar om att lämna ut information såsom kontokortsnummer, bankinformation, lösenord m.m. E-posten ser ut att komma från en bank, kreditkortsbolag eller IT-avdelning och som innehåller en uppmaning om att logga in snarast möjligt samt en länk till en falsk webbsida med inloggningsformulär. Fyll aldrig i ett sådant formulär. Kontakta alltid IT-avdelningen om du är osäker. Övrigt Du ska följa de råd om inställningar i och hantering av e-postsystemet som du får av IT-avdelningen. Ange alltid ämne för meddeladet för att klargöra för mottagaren vad denne kan förvänta sig för innehåll i e-brevet. Kontrollera vilka som är medlemmar på sändlistor innan du använder dem. (risk att mail når fel mottagare) Du bör vara selektiv med att använda stora gruppadresser (massutskick) och med att skicka eller vidarebefordra meddelanden som innehåller stora filer. Som mottagare av en bilaga via e-post har du ansvar att signalera om det är något som är fel. På grund av virusrisk spärrar vi för vissa filtyper. Det finns begränsningar i kommunen på hur stora bilagor man kan skicka, max 60 Mb. Kan inte mottagaren ta emot så stora filer kommer e-posten inte att komma fram. Det är inte tillåtet med automatisk vidarekoppling till extern e-postadress utan särskilt tillstånd från IT-avdelningen. Sida 13

14 Du får inte skicka eller vidarebefordra kedjebrev av någon sort. Om du får hotelsebrev eller liknande, kontakta din chef. Ta inte bort mailet. KOM IHÅG! Kontrollera din brevlåda varje dag. Se till att din post delegeras vid ledighet eller oplanerad frånvaro. Kontakta alltid registrator om du är osäker på om en handling är allmän eller inte. Skicka aldrig sekretessbelagd eller känslig information via e-post. 5. ARBETSGIVARENS ANSVAR RÄTTIGHETER/SKYLDIGHETER Arbetsgivaren ska Beskriva vilka personuppgifter som behandlas i verksamheten. Utforma interna regler som riktlinjer för behandlingarna. Skapa behörighetsregler. Informera och utbilda personalen. Arbetsgivaren ansvarar för verksamhetens informationssäkerhet och för att inga otillåtna behandlingar av personuppgifter utförs på arbetsplatsen. Arbetsgivaren har rätt att kontrollera att framtagna och beslutade regler följs. All kontroll av anställda måste ha ett i förväg uttryckligt bestämt ändamål som är sakligt grundat i verksamheten. De anställda måste vara informerade om vilka regler som gäller, vilka kontroller som kan komma att utföras samt syftet med dessa. Arbetsgivaren bör inte lämna ut behandling/registrering om sina anställda till tredje man utan samtycke eller lagstöd. Observera att begäran enligt offentlighetsprincipen har företräde och i de fallen kan inte arbetsgivaren tala om för den anställde till vem uppgifterna lämnats och syftet Integritetsskydd för de anställda grundregel De anställde ska känna till vilka behandlingar av personuppgifter om honom eller henne som arbetsgivaren utför, vara informerad om regler och riktlinjer för dataanvändningen på arbetsplatsen och kunna lita på att det följs Loggning Loggning sker i: Användningen av internet Användningen av telefon Användningen av e-post Verksamhetssystem All kommunikation i nätet Brandväggsloggar Sida 14

15 Loggregister får föras och kontrolleras av tekniska eller säkerhetsmässiga skäl. Kontrollen sker av behörig personal. Det kan också uppställas särskilda krav på loggning på grund av författningsbestämmelser, t.ex. för att kontrollera att arbetstagare har behörighet till register med känsliga uppgifter och vilka åtgärder som har vidtagits. Tänk på att du endast får söka fram de uppgifter som du behöver i tjänsten. Att söka fram personuppgifter enbart av nyfikenhet kan vara en brottslig handling i form av dataintrång Arbetsgivarens rätt till kontroll Arbetsgivaren får kontrollera privat information, om det är av stort intresse/vikt för arbetsgivaren vid: Misstanke om illojal verksamhet. Brottslig verksamhet. Virusangrepp och sabotageangrepp. Misstanke om spridning av programvara, bilder, filer och text som innehåller våld, terror, hets mot folkgrupp, rasism, pornografi och mobbning. Dataintrång. (Olovligen bereda sig tillgång till, och ändra uppgifter). Vid misstanke om illojal verksamhet m.m. enligt ovan fattas beslut om kontroll av loggar av närmaste chef. 6. INCIDENTER, VIRUS, STÖLD M.M Obehörigt intrång Om du misstänker att någon obehörig använt din användaridentitet och varit inne i IT-systemet ska du: Notera när du senast var inne i IT-systemet. Notera när du upptäckte intrånget. Omedelbart anmäla till IT-avdelningen eller din chef. Dokumentera alla iakttagelser i samband med upptäckten och försöka att fastställa om kvaliteten på din information har påverkats Virus Kan beskrivas som ett program eller en programsekvens vars uppgift är att tränga in i andra program för att utföra något otillbörligt. Datavirus är oftast ytterst smittsamma och smittkällan kan vara svår att identifiera. Hemsidor, Gratisprogram, spel och filer som laddas ner från internet eller medföljande filer till e-post är de vanligaste smittbärarna. Kommunen tillåter inte att du utan tillstånd laddar hem sådana program. Kommunen har antivirusskydd och det görs kontinuerligt kontroll i nätverket. Även filer som du hämtar från internet kontrolleras av antivirusprogram i nätverket. Vi kräver att du har ett uppdaterat antivirusskydd när du arbetar hemma för material som sedan ska överföras till din arbetsplats. Sida 15

16 Om du misstänkter att systemet innehåller virus eller liknande ska du: Omedelbart anmäla förhållandet till IT-avdelningen. OBS! Anmälan ska ske per telefon eller besök, inte per e-post Stöld Om du misstänker stöld, brand, sabotage etc. ska du kontakta kommunens säkerhetschef eller din närmaste chef. 7. ÖVRIGT 7.1. Stöd och hjälp i IT-säkerhetsfrågor För ytterligare stöd och hjälp i IT-säkerhetsfrågor kan du kontakta IT-avdelningens helpdesk, tel eller helpdesk@molndal.se När du slutar din anställning Ansvarar du för att: Rådgöra med din chef om vilket av ditt arbetsmaterial som ska sparas. Notera att allt arbetsmaterial du framställt anses vara kommunens egendom och får inte tas med utan chefens godkännande. Privat material rensas och tas bort. Närmaste chef fattar beslut om att ta del av en viss dators innehåll när en anställd slutar eller är frånvarande från sin tjänst en längre period. Sida 16