Syfte...1 Omfattning...1 Beskrivning...1

Transkript

1 Innehållsförteckning 1 Syfte Omfattning Beskrivning Utgångspunkter och generella regler Tillämpning av riktlinjerna inom Mälarenergi Styrande lagar och regler...3 Bilaga 1 Tips och råd för IT-användare...4 Bilaga 2 Instruktion för dig som är chef...5

2 1 Syfte Instruktionen beskriver riktlinjer och regler för användning av IT inom Mälarenergi ur ett användarperspektiv. 2 Omfattning Dessa riktlinjer gäller för samtliga användare av datorer, telefoner och nätverk inom Mälarenergikoncernen, dvs. alla som får behörighet till nätverket, även tillfällig personal och konsulter. Riktlinjerna gäller även för arbete på bärbara datorer, mobiltelefoner eller via extern uppkoppling till nätverket. 3 Beskrivning 3.1 Utgångspunkter och generella regler En grundläggande utgångspunkt är att datorer, telefoner och IT-system är arbetsredskap och att användning av utrustningen ska vara arbetsrelaterad. Riktlinjerna innebär inte ett förbud mot privat användning utan viss sådan användning får ske, men endast i begränsad omfattning och då i enlighet med dessa riktlinjer. Den privata användningen får inte gå ut över arbetet. IT-utrustningen får inte användas för olagliga eller annars olämpliga aktiviteter. Den som har fått behörighet att använda sig av IT-utrustningen måste alltid vara inloggad med sin tilldelade användaridentitet. Det är inte tillåtet att använda någon annans användaridentitet eller att låna ut sin behörighet. Ansvaret för uppföljning av att riktlinjerna efterlevs ligger på respektive chef. 3.2 Tillämpning av riktlinjerna inom Mälarenergi Lösenord Lösenord till IT-system ska hållas hemliga. Information om lösenord, PIN-koder eller andra säkerhetsåtgärder som ska skydda IT-system kan betraktas som sekretessbelagda (hemliga). Informationssökning i system Informationssökning i verksamhetssystem som till exempel affärssystem, verksamhetssystem, gruppwebbplatser, e-postsystem och filsystem med information om affärsverksamheten och anställda får bara genomföras i den utsträckning det är nödvändigt för att kunna utföra arbetsuppgifterna. Internet Anställda som använder en uppkoppling till Internet via Mälarenergis nätverk måste agera i enlighet med Mälarenergis värderingar så att det som förmedlas på nätet inte skadar oss. Deltagande i chattsidor, anslagstavlor, bloggar, nyhetsgrupper, anmälan till e-postlistor eller liknande får bara göras i den mån det behövs i tjänsten. Privat Internet-användning Anställda får i begränsad omfattning använda Internetanslutningen för privata syften. Detta får inte inkräkta på arbetet eller medföra extra kostnader för arbetsgivaren. Det är tillåtet att tillfälligt lagra enstaka privata bilder eller texter i företagets persondator. Innehållet i lagrade bilder eller texter får dock inte vara kränkande, oetiskt, pornografiskt, rasistiskt, skildra våld eller annan råhet eller på annat sätt framstå som stötande.

3 Otillåten användning av Internet Det är inte tillåtet att besöka webbplatser med extrempolitiskt eller pornografiskt innehåll, eller annat kränkande eller stötande material. Filmer och program inklusive spel eller andra utrymmeskrävande filtyper får inte för privat bruk laddas ned, lagras eller spridas i eller via Mälarenergis e-postsystem eller nätverk. Material som innebär intrång i annans upphovsrätt får inte laddas ned, lagras eller spridas via Mälarenergis nätverk. Lagring och kommunikation Verksamhetsrelaterad information skall lagras på gemensamma diskutrymmen och inte på datorns hårddisk. Mängden lagrad information skall av kostnadsskäl begränsas och information skall inte lagras på flera ställen. IT-utrustningen får inte användas för att utveckla eller sprida virus eller annat skadligt material eller på annat sätt störa eller skada IT-säkerhet eller kommunikationsnät. Det är inte tillåtet att på egen hand installera trådlös accesspunkt, VPN-klient eller annan kommunikationsutrustning och på så sätt skapa alternativa vägar för datakommunikation. Alla sådana anslutningar måste anmälas till och efter acceptans installeras av IT. Privat e-post E-posten får användas för anställdas privata syften, men bara i sådan begränsad omfattning att det inte inkräktar på arbetet eller medför onödiga kostnader för arbetsgivaren. Anställda kan också välja att styra eventuell privat e-post till ett e-postkonto hos annan operatör. Virus och skräppost, s.k. spam All inkommande e-post har gått igenom virusskydd för att minimera risken att drabbas av virus, men en antivirusprodukt kan inte skydda mot allt. Bifogade filer får bara öppnas om de kommer från en känd avsändare och att en bilaga är förväntad. Inkommande e-post passerar genom ett spam-filter. Allt spam kan inte tas bort eftersom vi riskerar att radera e-post som är relevant och som kan vara allmän handling. Misstänkt spam som är direktadresserad till någon användare skickas automatiskt till respektive användares skräppostkorg. Alla användare måste regelbundet kontrollera om det kan ha hamnat relevant information i skräpposten eller annars rensa. Telefoni Mälarenergis mobiler är i första hand avsedda för samtal i tjänsten. Medarbetaren betalar själv för privata samtal genom att använda ett prefix *7. Samtliga abonnemang har tillgång till datatrafik som kan användas i tjänsten samt för privat ändamål i rimlig omfattning. Privat användning av SMS och MMS får ske i rimlig omfattning. Abonnemanget få inte användas för privata betaltjänster. Arbetsgivarens kontroll All Internettrafik och e-post via nätverket loggas och Mälarenergi har som arbetsgivare rätt att gå igenom dessa loggar och ta del av innehåll i e-post för att kunna kontrollera att regler i lagstiftning eller organisationens riktlinjer följs. Detsamma gäller filer och annat material som finns lagrat i datorer och servers. Loggningen omfattar uppgifter om användarnamn och de flesta åtgärder som varje enskild användare gör och har gjort och kan alltså spåras i efterhand. Slumpvisa kontroller kommer att genomföras. Kontroll av enskilda användare kan inledas på förekommen anledning. Arbetsgivaren kontrollerar normalt inte innehållet i de anställdas e-postmeddelanden för att så långt möjligt respektera de anställdas integritet. Arbetsgivaren kan dock i enskilda fall komma att kontrollera e-postmeddelanden om det är nödvändigt t.ex. för att uppfylla företagets skyldigheter om allmänna handlingars offentlighet vid fara för informationssäkerhet och vid virusangrepp utreda och förhindra brott.

4 Beslut om kontroll fattas av närmaste chef tillsammans med IT-chef. Åtgärder vid överträdelse av reglerna Om kontroll av loggar tyder på att riktlinjerna har överträtts kommer detta att utredas av arbetsgivaren för att bedöma om arbetsrättsliga eller andra åtgärder ska vidtas mot medarbetaren. Om arbetsgivaren finner att någon anställd kan misstänkas för brottslig handling kommer detta att anmälas till polis för utredning. 3.3 Styrande lagar och regler Bestämmelserna i denna riktlinje är utformade mot bakgrund av följande rättsliga förutsättningar. IT-säkerhet Bedömning av nödvändiga och lämpliga IT-säkerhetsåtgärder görs med utgångspunkt i följande regelverk: Standard för IT-säkerhet, ISO/IEC 17799, Krisberedskapsmyndighetens Basnivå för IT-säkerhet (BITS), Överstyrelsen för civilberedskaps Föreskrifter och Anvisningar till beredskapslagens 22, FA22 samt Datainspektionens Allmänna råd om Säkerhet för personuppgifter. Arbetsgivarens kontroll Arbetsgivare har med stöd av den s.k. arbetsledningsrätten rätt att bestämma vilka regler som ska gälla på arbetsplatsen. Arbetsgivaren får också kontrollera att reglerna följs, t.ex. genom att använda sig av inbyggda kontrollfunktioner i IT-systemen. Arbetsgivarens kontrollmöjligheter är inte oinskränkt. Reglerna får inte stå i strid med lag, god sed inom arbetsrätten eller annars vara otillbörliga. Personuppgiftslagen, PuL, (1998:204) innehåller bestämmelser som ska skydda enskildas integritet och lagen gäller även för arbetsgivares kontroll av anställda. Reglerna medger att arbetsgivaren kan använda information i IT-systemen för att kontrollera att anställda följer riktlinjerna.

5 Bilaga 1 Tips och råd för IT-användare Lösenord Vid din första inloggning som ny användare ska du byta ditt startlösenord till något endast du känner till. Avslöja inte ditt lösenord för andra och skydda det väl. Byt omedelbart lösenordet om du misstänker att någon annan känner till det. Byt lösenordet enligt reglerna och återanvänd inte tidigare lösenord. Använd inte samma lösenord externt. Använd inte samma lösenord i testmiljöer. Undvik virus Gratisprogram, spel och filer som laddas ned från Internet och e-postbilagor är de vanligaste bärarna av virus och spionprogram. Nedladdning av filer från Internet som ingår i ordinarie arbetsuppgifter får endast hämtas in från välrenommerade webbplatser. E-post Skicka aldrig svarsmail till avsändaren av skräppost, s.k. spam. Det ger information om att din e-postadress är aktiv och då kommer din e-postadress att bli ännu mer utsatt. Var också försiktig med i vilka sammanhang som du lämnar ifrån dig din e-postadress. Tänk på att du uppträder i tjänsten då du kommunicerar via e-post eller på Internet. Varje användare ansvarar för att den egna inkorgen och skickat-mappen rensas med jämna mellanrum. Detsamma gäller annat lagrat material. Bifoga inte onödiga kopior i e-posten, skicka hellre en länk om dokumentet redan finns på en gruppwebbplats, på file-servern eller i Portalen. Om du skickar nyhetsbrev, gruppförsändelse eller liknande via e-post, skriv då alla mottagare i adressfältet hemlig kopia till och sätt ditt eget namn som mottagare i det vanliga fältet för mottagare. IT en del av arbetsmiljön Varje medarbetare har ett ansvar för att bidra till en god arbetsmiljö. Medarbetarens chef har det yttersta ansvaret. Valet av teknisk utrustning samt sättet att placera och hantera utrustningen påverkar kroppen och kräver genomtänkta lösningar. De största riskerna är värk i axlar, nacke och armar. Vårt sätt att använda informationstekniken påverkar vår psykosociala arbetsmiljö. Stress och brist på mänskliga direktkontakter är de största riskerna. Tänk igenom och ta ställning till vad som krävs av dig för att undvika stress och bevara god hälsa på din arbetsplats.

6 Bilaga 2 Instruktion för dig som är chef Allmänna regler Varje chef ansvarar för att alla som ges behörighet till IT-systemen får information om innehållet i dessa riktlinjer. Alla användare ska få instruktioner och utbildning som krävs för att kunna följa riktlinjen innan tillträde ges till nätverk och system. Varje chef är inom sitt ansvarsområde skyldig att uppmärksamma och påtala eventuellt missbruk av arbetsredskapen. Lagring Om det finns behov av extra lagringsutrymme för någon användare kan respektive chef tillsammans med IT avtala särskilt om detta. Åtgärder vid överträdelse av reglerna Om kontroll av loggar tyder på att riktlinjerna har överträtts ska detta utredas av arbetsgivaren för att bedöma om arbetsrättsliga eller andra åtgärder ska vidtas mot någon anställd. Om det vid en närmare kontroll av loggen visar sig att överträdelse av riktlinjerna inte har skett vidtas ingen åtgärd och varken någon utredning eller kommentar registreras i personalakten för den anställde. Om misstanken att riktlinjerna har överträtts kvarstår efter en närmare kontroll av loggar ska arbetsgivaren tillsammans med IT aktivera en undersökning av en enskild anställds användning av IT-utrustningen och därefter presentera utredningen för den berörde medarbetaren. Om denne kan presentera en godtagbar förklaring till det inträffade kan detta antecknas och ärendet avslutas. Om inte, kommer arbetsgivaren att överväga om överträdelsen ska leda till arbetsrättslig åtgärd såsom skriftlig varning, uppsägning eller avsked. Om arbetsrättslig åtgärd ska vidtas måste detta även dokumenteras i förhandlingsprotokoll. Om arbetsgivaren finner att någon anställd kan misstänkas för brottslig handling ska detta anmälas till polis för utredning. Polisanmälan, loggfiler och annat utredningsmaterial ska dokumenteras i utredningsakten. Om barnpornografiska bilder upptäcks ska dessa överlämnas till polisen i enlighet med rekommendationer från polismyndigheten. Meddelarfrihet och efterforskningsförbud Offentliganställda har en grundlagsskyddad rätt att fritt meddela sig till massmedia. För arbetsgivare inom den offentliga sektorn råder ett förbud att efterforska vem som är uppgiftslämnare till massmedia eller att kritisera en anställd som har utnyttjat sin meddelarfrihet. Kontrollmöjligheter som finns i ITsystemen får inte användas på ett sådant sätt att meddelarfriheten kränks. Distansarbete Speciell försiktighet måste iakttas när det gäller distansarbete från hemmet samt vid användning av mobil utrustning som laptops, handdatorer, mobiltelefoner och liknande, på annan plats utanför organisationens arbetslokaler. Endast Mälarenergis datorer och mobiltelefoner får användas vid uppkoppling mot Mälarenergis nätverk via VPNförbindelse.