Informationssäkerhetsanvisning



Relevanta dokument
IT-säkerhetsinstruktion

Gemensamma anvisningar för informationsklassning. Motala kommun

Informationssäkerhetsinstruktion: Användare

Riktlinjer för informationsklassning

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

IT-Policy Vuxenutbildningen

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

IT-regler Användare BAS BAS-säkerhet Gislaveds kommun

Informationssäkerhetsinstruktion Användare: Personal (3:0:0)

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Regler för användning av Oskarshamns kommuns IT-system

Handledning i informationssäkerhet Version 2.0

Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du hanterar

Vägledande råd och bestämmelser för Användare av ITsystem inom Timrå kommun

Informationssäkerhetsinstruktion. medarbetare

Informationssäkerhet Riktlinjer för användare

Informationssäkerhetsanvisningar Förvaltning

- användare. Inledning. Ditt ansvar som användare. Åtkomst till information. Författningssamling

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

Säkerhetsinstruktion för användare av UmUs it-resurser

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

Informationssäkerhet

IT-Guiden Finspångs kommuns IT-guide för personal

Dnr

Sammanfattning av riktlinjer

Regler för användning av Riksbankens ITresurser

IT-säkerhetsinstruktion Användare Version 1.0

ANVÄNDARHANDBOK. Advance Online

IT-säkerhetsinstruktion för användare

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

IT-riktlinje för elever

Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: Fastställd av: Johan Fritz Fastställd:

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

IT-Säkerhets -instruktion: - Användare. Arvidsjaurs kommun

Ny i nätverket kontoansökan och information till tillfälliga användare

IT-Säkerhetsinstruktion: Användare

Bilaga 1 - Handledning i informationssäkerhet

IT-riktlinjer Nationell information

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

ANVÄNDARHANDBOK Advance Online

Rekryteringsmyndighetens interna bestämmelser

Informationssäkerhet, ledningssystemet i kortform

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Riktlinjer. Telefoni. Antagen av kommundirektören

Riktlinjer för informationssäkerhet

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

Riktlinjer IT-säkerhet för användare

Postadress Besöksadress Telefon Telefax E-post Norrköpings kommun Rådhuset

Antagen av kommunstyrelsen Gäller fr o m Digital kommunikation - instruktion för användare

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖR ANVÄNDARE AV IT-SYSTEM INOM TIMRÅ KOMMUN

Informationssäkerhetsinstruktion användare

Informationssäkerhetspolicy för Katrineholms kommun

InformationsSäkerhets- Instruktion Användare

IT policy för elever vid

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Syfte...1 Omfattning...1 Beskrivning...1

IT-säkerhetsinstruktion Förvaltning

Regler för lagring av Högskolan Dalarnas digitala information

Lösenordsregelverk för Karolinska Institutet

IT-säkerhetsinstruktioner för användare i Mölndals stad

Västerviks kommuns E-portal

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

IT-policy. Förvaltningen Björn Sandahl, förvaltningschef

IT-policy Scenkonst Västernorrland AB

Rutin vid kryptering av e post i Outlook

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Bilaga 3 Säkerhet Dnr: /

som finns i skolan. Det hjälp. använder datorn. behandlad.

Säkerhetspolicy för Degerfors kommun (1 bilaga)

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

Informationssäkerhets instruktioner för användare i Borlänge Kommun instruktion

Informationssäkerhet - Informationssäkerhetspolicy

IT riktlinjer vid användandet av Elektronisk post

Policy för telefoni, mobilteknisk utrustning samt e-postanvändning

Informationssäkerhetspolicy

Dnr 2007/83 PS 004. Riktlinjer för elevernas IT användning i proaros skolverksamhet

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

Informations- säkerhet

Säkerhetsinstruktioner för användare av kommunens nätverk

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

Informationssäkerhet, Linköpings kommun

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

SÅ HÄR GÖR VI I NACKA

Tyresö kommuns riktlinjer för hantering av e-post

Viktigt! Läs igenom hela anvisningen innan du påbörjar inloggningen för första gången.

Säker hantering av mobila enheter och portabla lagringsmedia

Transkript:

HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den 12 december 2012 tillsvidare. Ansvarig funktion för dokumentet: Högskolekansliet Styrande dokument för informationssäkerhetsarbetet vid Högskolan i Borås: Säkerhetspolicy Beslutad av styrelsen för Högskolan i Borås Regler för informationssäkerhet Beslutad av enhetschef för Gemensamma förvaltningen Informationssäkerhetsanvisning Förvaltning Beslutad av enhetschef för Gemensamma förvaltningen Informationssäkerhetsanvisning Kontinuitet och Drift Beslutad av enhetschef för Gemensamma förvaltningen Informationssäkerhetsanvisning Användare Beslutad av enhetschef för Gemensamma förvaltningen

2 (9) Innehåll 1. Anvisningens roll i informationssäkerhetsarbetet... 3 2. Användarens ansvar... 3 3. Åtkomst till information... 3 3.1 Behörighet... 3 3.2 Inloggning... 3 3.3 Val av lösenord... 3 3.4 Byte av lösenord... 4 4. Din arbetsplats... 4 4.1 Utrustning... 4 4.2 Programvaror... 4 4.3 Avveckling av utrustning... 4 4.4 När du lämnar arbetsplatsen... 4 4.5 Lagring... 4 5. Klassning och hantering av information... 5 5.1 Allmänt... 5 5.2 Sekretess... 5 5.2.1 Informationsklass 1... 5 5.2.2 Informationsklass 2... 6 5.2.3 Informationsklass 3... 6 5.2.4 Informationsklass 4... 6 5.3 Riktighet... 7 5.3.1 Informationsklass 1... 7 5.3.2 Informationsklass 2... 7 5.3.3 Informationsklass 3... 7 5.4 Tillgänglighet... 7 6. Internet... 7 7. E-post... 8 8. Incidenter, virus m.m.... 8 8.1 Allmänt... 8 8.2 Virus... 9 9. Avslutning av anställning... 9

3 (9) 1. Anvisningens roll i informationssäkerhetsarbetet Säkerhetspolicyn redovisar högskolans viljeinriktning och mål för det övergripande säkerhetsarbetet, vari informationssäkerheten är en del. Regler för informationssäkerhet redovisar roller och övergripande struktur för informationssäkerheten. Informationssäkerhetsanvisning Användare redovisar hur en användare ska verka för att upprätthålla en god informationssäkerhet. Här framgår också högskolans regler för informationsklassning. 2. Användarens ansvar Information är en viktig tillgång för högskolan. För att skydda denna krävs ett säkerhetsmedvetande hos alla medarbetare. Som användare har du därmed en del i ansvaret för säkerheten i informationshanteringen. För stöd och hjälp när det gäller användningen av enskilda program avseende säkerhet ska du kontakta aktuell systemägare. Användaren bedömer själv när stöd och hjälp behöver inhämtas, men vid osäkerhet bör som huvudregel alltid kontakt tas med systemägaren. 3. Åtkomst till information 3.1 Behörighet Högskolans informationssystem är utrustade med behörighetskontrollsystem för att säkerställa att endast behöriga användare kommer åt information. De behörigheter du blir tilldelad beror på dina arbetsuppgifter och avgörs i vissa fall av systemägare och i vissa fall av närmaste chef. 3.2 Inloggning Innan du loggar in första gången får du ett lösenord för åtkomst till högskolans IT-miljö. Lösenordet ska bytas till ett personligt lösenord efter första inloggningen. Samma förfarande gäller för enskilda informationssystem som kräver lösenord för åtkomst. Lösenord är strängt personliga och ska hanteras därefter. När du är inloggad och arbetar i systemen loggas dina aktiviteter. Detta görs för att vid behov kunna spåra obehörig åtkomst och skydda information samt undvika att oegentligheter inträffar. Efter ett antal misslyckade försök att logga in spärras ditt konto. Ta då kontakt med ITavdelningen. 3.3 Val av lösenord För lösenord gäller att det ska: Vara minst åtta tecken långt Inte innehålla tecknen å, ä eller ö Inte vara egennamn eller enkla ord Bestå av en blandning av stora och små bokstäver, siffror och specialtecken

4 (9) Inte återanvändas Inte vara samma i olika system 3.4 Byte av lösenord Lösenord ska bytas: Efter visst tidsintervall som bestäms av respektive systemägare Omedelbart om du misstänker att någon annan känner till det 4. Din arbetsplats 4.1 Utrustning För den tekniska utrustning som du förfogar över dator, smartphone etc. gäller: Fysiska ingrepp får endast utföras av IT-avdelningen Fel ska omedelbart anmälas till IT-avdelningen All installation och konfiguration får endast utföras av IT-avdelningen eller efter överenskommelse med IT-avdelning, exempel Administratörsavtal. 4.2 Programvaror Programvaror ska godkännas och installeras av IT-avdelningen eller av IT-avdelningen anvisad/godkänd person. Egna program får inte installeras i högskolans datorer utan tillstånd från IT-avdelningen. Det är inte tillåtet att kopiera eller använda högskolans program utanför högskolans verksamhet, undantaget programvaror där hemanvändning reglerats i avtal med leverantör. 4.3 Avveckling av utrustning Avveckling av utrustning ska alltid göras av eller i samråd med IT-avdelningen. 4.4 När du lämnar arbetsplatsen När du tillfälligt lämnar utrustningen utan uppsikt ska du låsa den så att den inte kan nyttjas av obehörig. När du lämnar utrustningen för längre perioder bör du logga ut och stänga av. 4.5 Lagring Om du lagrar lokalt på din utrustning är du själv ansvarig för att säkerhetskopiera, i annat fall riskerar du att förlora informationen. Om du använder datorer eller annan IT-utrustning utanför högskolan ska du tänka på att den kan utgöra en säkerhetsrisk, du får därför inte lagra sekretessbelagd eller för verksamheten känslig information på den.

5 (9) 5. Klassning och hantering av information 5.1 Allmänt Informationssystem inom högskolan klassas utifrån den information som hanteras i respektive system. Klassning av ett informationssystem dokumenteras i det aktuella systemets förvaltningsplan, vilken systemägaren ansvarar för. Klassning görs från aspekterna sekretess (konfidentialitet), riktighet och tillgänglighet. Med detta menas: Sekretess Riktighet: Tillgänglighet: Att informationen skyddas från obehörig insyn Att informationen inte ändras på ett obehörigt sätt Att informationen finns tillgänglig för rätt person vid rätt tillfälle Tas information ut ur ett system och lagras på andra media eller används i annat sammanhang måste den klassas där den används och hanteras därefter. När du ska hantera och spara information i IT-system ska du kontinuerligt klassa den utifrån ovan angivna aspekter. Det resultat du kommer fram till styr därefter din hantering av informationen. Kravet på tillgänglighet beaktas huvudsakligen av systemägaren i samband med att förvaltningsplan för det enskilda systemet upprättas. Enskilda användare av systemet ska främst beakta kraven på riktighet och sekretess vad gäller det enskilda dokument denne upprättar. 5.2 Sekretess Är informationen skyddsvärd för högskolan, medarbetare eller tredje part? Kan informationen beläggas med sekretess (i enlighet med Offentlighetsoch sekretesslagen) Är informationen knuten till information (t.ex. forskning, patientuppgifter) med särskilda sekretesskrav? Informationsklass 1 Informationsklass 2 Informationsklass 3 Informationsklass 4 5.2.1 Informationsklass 1 Informationen får lagras på lokal hårddisk. Informationen få även lagras på flyttbart medium utan restriktioner. Informationen får överföras elektroniskt utan kryptering. Informationen får faxas samt sändas med post, såväl internt som externt.

6 (9) 5.2.2 Informationsklass 2 Informationen ska i första hand lagras på personlig hemkatalog och inte på arbetsstationens lokala hårddisk. Informationen får lagras på flyttbart medium utan restriktioner. Informationen får överföras elektroniskt utan kryptering. Informationen får faxas under förutsättning av mottagarkontroll genomförs. Informationen får sändas via intern post under förutsättning att förslutet kuvert används i internpostkuvertet. Informationen få sändas externt via post. 5.2.3 Informationsklass 3 Informationen ska lagras på personlig hemkatalog. Informationen får i undantagsfall lagras på lokal hårddisk under förutsättning att hela lagringsmediet är krypterat samt att IT-systemet inte delar ut resurser. Informationen får lagras på flyttbart medium under förutsättning att det är krypterat samt att det hålls inlåst när det inte är under behörig uppsikt. Dessa medium får inte förflyttas utanför högskolans lokaler såvida det inte skickas till annan behörig mottagare. All elektronisk överföring av informationen ska vara krypterad. Informationen får inte faxas och om det ska skickas med extern post ska postbefordran med REK och mottagningsbevis alternativt bud användas. Vid intern post ska förslutet kuvert i internpostkuvert användas. Vid byte av hårddisk och/eller radering av informationen ska IT-avdelningen alltid kontaktas. 5.2.4 Informationsklass 4 Informationen ska lagras på en fristående server i isolerat nät och inte på lokal hårddisk. Servern ska vara placerad, separat inlåst, i ett godkänt serverrum. I det fall detta inte är möjligt ska informationen förvaras på en krypterad hårddisk samt förvaras inlåst i säkerhetsskåp när den inte är under behörig uppsikt. Bärbar dator låses in på motsvarande vis och särskilda rutiner för säkerhetskopiering upprättas. Informationen får förvaras på annat flyttbart medium under förutsättning att hela lagringsmediet är krypterat samt att det förvaras inlåst i säkerhetsskåp när det inte är under behörig uppsikt. Dessa medium får inte förflyttas utanför högskolans lokaler såvida det inte skickas till annan behörig mottagare. All elektronisk överföring av informationen ska vara krypterad. Informationen får inte faxas och om det ska skickas med extern post ska postbefordran med REK och mottagningsbevis alternativt bud användas. Informationen får inte sändas via intern post. Vid byte av hårddisk och/eller radering av informationen ska IT-avdelningen alltid kontaktas.

7 (9) 5.3 Riktighet Informationen ska vid informationsklassning även bedömas utifrån kravet på riktighet. Kravet på riktighet klassificeras mot nedanstående informationsklasser. Kan oriktig information medföra skada? Kan oriktig information medföra allvarlig skada? Oriktig information kan medföra allvarlig skada Informationsklass 1 Informationsklass 2 Informationsklass 3 5.3.1 Informationsklass 1 Inga krav ställs på verifiering av riktigheten i informationen eller skydd mot förvanskning av informationen. 5.3.2 Informationsklass 2 Informationen ska vara spårbar och riktigheten ska kunna verifieras t.ex. genom signering eller logg. 5.3.3 Informationsklass 3 Varje inmatning eller förändring av informationen ska vara spårbar och riktigheten ska kunna verifieras t.ex. genom signering eller logg. Informationen ska förses med ett högt skydd mot oavsiktlig eller avsiktlig förändring och får endast hanteras i ett skyddat nät med ett anpassat behörighetskontrollsystem. 5.4 Tillgänglighet Kravet på tillgänglighet ska uttryckas i tidstermer och i vilken utsträckning avbrott kan accepteras utifrån följande frågeställningar: Hur länge ska informationen finnas tillgänglig? Hur många timmar per dygn ska informationen vara tillgänglig? Vad är längsta acceptabla avbrott? Vilket antal avbrott per tidsenhet kan accepteras? Varifrån ska informationen vara tillgänglig? 6. Internet När du använder Internet kan säkerheten i högskolans lokala nätverk påverkas i mycket hög grad beroende på ditt beteende. Högskolan förutsätter att den som surfar på internet endast besöker välrenommerade webbplatser. Tänk på att när du surfar på internet representerar du högskolan och lämnar spår efter dig i form av högskolans IP-adress.

8 (9) Det är inte tillåtet att via internet titta eller lyssna på material av pornografiskt eller rasistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning etc.) eller har anknytning till kriminell verksamhet. I det fall det är motiverat för arbetet, t.ex. omvärldsanalyser, forskning m.m. att besöka sidor som normalt är förbjudna ska beslut om detta tas av närmaste chef. Du som användare ansvarar själv för att tillse att beslut om detta fattas innan du besöker dessa sidor. 7. E-post Följande gäller avseende användning av e-post: Sekretessbelagd information får endast skickas i e-postsystemet under förutsättning att det krypteras E-postsystemet är ett arbetsverktyg och privat användning bör endast ske i begränsad omfattning (e-postmeddelanden av privat karaktär inkomna i högskolans e-postsystem är att betrakta som allmän handling och kan komma att lämnas ut om någon begär det) Samma regler för diarieföring gäller för e-post som för vanliga brev Om du misstänker att det kommit in virus via e-postsystemet ska du agera såsom beskrivs i avsnittet Incidenter, virus m.m. Det är inte tillåtet med automatisk vidarekoppling till annan e-postadress Ange alltid ämne i ämnesraden för meddelandet att klargöra för mottagaren vad denne kan förvänta sig för innehåll i e-posten Skriv inte någon känslig information i ämnesraden Kontrollera vilka som är medlemmar i sändlistor innan du använder dem annars finns risk för att känslig information når fel mottagare) Om du får hotelsebrev ska du spara brevet och omedelbart kontakta din chef Lämna aldrig ut kontouppgifter via e-post Öppna ej okända bilagor, tänk på virusrisken 8. Incidenter, virus m.m. 8.1 Allmänt Högskolan rapporterar IT-incidenter till Sunet Cert. Om du misstänker att du har drabbats av en IT-säkerhetsincident som t.ex. intrång på ditt konto, din dator eller motsvarande ska du: Notera när du senast var inne i IT-systemet Notera när du upptäckte incidenten Omedelbart anmäla förhållandet till IRT-funktionen (Incident Response Team) vid ITavdelningen www.hb.se/irt Dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om informationen har påverkats

9 (9) Om du upptäcker andra fel och brister i de system du använder ska du rapportera dessa till ITavdelningen. 8.2 Virus Högskolan har programvaror för viruskontroll både i klienterna och i nätverket men kan ändå drabbas av effekter av s.k. skadlig kod. Om du misstänker att din dator innehåller virus ska du: Dra ur nätverkskabeln, men låta datorn stå på Omedelbart kontakta IT-avdelningen (OBS! anmälan måste ske per telefon eller besök, inte per e-post) Om du får e-postmeddelanden med virusvarning kontakta omedelbart IT-avdelningen. Var noga med att den kringutrustning du ansluter till din dator inte är smittat av virus och, i de fall det är möjligt, har ett uppdaterat antivirusprogram. 9. Avslutning av anställning När du slutar din anställning ansvarar du för att: Rådgöra med din chef om vilket arbetsmaterial som ska sparas. Notera att det arbetsmaterial du framställt kan vara allmän handling och ska då bevaras hos högskolan Privat material (ej tjänsterelaterat) tas bort Informera din chef om vilka informationssystem du har behörighet till, denne ansvarar sedan för att behörigheterna tas bort

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss