IT-Guiden Finspångs kommuns IT-guide för personal Datum 2014-10-20 Versionsnummer 1.0
IT-Guiden Revision Datum Utförd av Kommentar 1.0 2014-10-20 Lotta Berglund Dokumentet reviderat 2.0 Åsa Rundgren Dokumentet fastställt Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se
Innehåll Inledning 1 Allmänt 2 Mål 3 Hur använder jag detta dokument 3 Klassning av information 4 Handling som är hemlig 5 Lagring 6 Information i våra stödsystem 6 Egna dokument och register 6 Var ska jag lagra elektronisk information? 7 Personlig hemkatalog 7 Organisationsenhet 7 Lokal hårddisk 7 Behörighet 7 Lösenord 8 Skapa ett säkert lösenord 8 Program och licenser 8 IT-säkerhet och kringutrustning 9 IT-arbetsplats 9 Bärbara- och hemdatorer 9 Mobiltelefoner, läsplattor, digitalkameror och liknande med lagring 10 Lokalt nätverk (kommunnätverket) 10 Internet och intranätet 11 E-post 11 Råd och regler för e-post 12 Bilagor i e-post 12 Incidenter 13 Incident 13 Allvarlig störning eller avbrott i kritisk IT-tjänst 13 Virus 14 Stöd och hjälp 15 När du slutar din anställning 15 Riktlinjerna för användandet av PC - nät i Finspångs kommun 15 I
Inledning Detta dokument är till för dig som arbetar i Finspångs kommun och har tagits fram av IT-funktionen. Syftet är att underlätta ditt arbete i kommunens datasystem. IT-guiden ger dig information om hur du använder din dator, vilka regler som gäller, vart du vänder dig vid problem och vad du som användare bör tänka på. Mer information om hur du går tillväga finns på Finspånätet (http://finspanatet.kommun.local/). 1
Allmänt Användningen av IT-system i vårt dagliga arbete ökar och införandet av fler strategiska IT-tillämpningar sker kontinuerligt. För att alla dessa system ska vara säkra, tillgängliga och fungera som det effektiva verktyg vi önskar, är det viktigt att användningen sker på ett kontrollerat sätt. En förutsättning för detta är att känna till de krav som ställs på dig som IT-användare inom organisationen. Se även kommunens IT-säkerhetspolicy för ytterligare information. Du ska veta: vilket ansvar du har vad du ska göra vid olika incidenter var du kan få stöd och hjälp de säkerhetsbestämmelser som gäller specifikt för varje system hur du får använda e-post och internet. I detta ansvar ingår att: följa gällande regler för IT-säkerhet delta i och stödja IT-säkerhetsarbetet noga ta del av och följa aktuella säkerhetsinstruktioner för användare rapportera olika former fel, brister och incidenter, t ex misstänkt virusangrepp enligt fastställda rutiner föreslå förändringar till verksamhetsansvarige påtala egna behov av utbildning 2
Mål Målet är att alla användare ska: ansvara för informationens riktighet och att den skyddas mot obehörig insyn vid såväl inmatning, uttag och bearbetning av information. rapportera fel och brister framföra behov av information och utbildning till systemförvaltare föreslå utvecklande förändringar av IT-systemen meddela systemförvaltare behovet av skydd för känslig information förstå rollfördelning inom organisationen förstå begränsningar och risker i användandet av e-post och internet. Hur använder jag detta dokument Se gärna detta dokument som ett uppslagsverk och en viktig källa till hur IT-systemen och informationen får användas. Saknar du någon information eller vill du veta mera så tveka inte att kontakta din närmaste chef. 3
Klassning av information I ditt dagliga arbete kommer du i kontakt med information som kommer levererad till dig i många olika former. Det kan till exempel vara talad, på papper, lagrad i datorer eller via e-post. För att du ska få den information som du behöver, vid rätt tidpunkt och med korrekt innehåll har organisationen satt upp som övergripande mål för informationssäkerhetsarbetet att vi ska: behandla information på ett tydligt, korrekt, säkert och relevant sätt kunna leverera och hämta information vid rätt tidpunkt uppnå och upprätthålla en god informationssäkerhet Med dessa mål som bakgrund utgår organisationen från synsättet att våra medarbetare ska ha tillgång endast till den information och de system de behöver för sitt arbete. En stor mängd handlingar (uppgifter) kan vara sekretesskyddade. Det är viktigt att du är förtrogen med karaktären på de handlingar/uppgifter som du hanterar. Organisationen har idag inget dokumenthanteringssystem som stödjer klassningen i schemat nedan, men du uppmanas ändå att ha klassningen i åtanke när du arbetar med dina dokument. Som stöd i ditt arbete med detta finns dokumentet Informationsklassning. 4
Kravnivå IT- G U I D E N Följande riktlinjer för klassning gäller: Säkerhetsaspekt Sekretess Riktighet Tillgänglighet Mycket hög Information som inte får röjas Information som, enligt lagkrav skall säkras mot förändring eller förstöring Information som ska vara åtkomlig inom högst en halv dag Hög Information som kan ge väsentliga negativa konsekvenser för egen eller annan organisation eller för enskild person om den röjs Information som kan ge väsentliga negativa konsekvenser för egen eller annan organisation eller för enskild person om den röjs Information som inte behöver vara åtkomlig inom en halv dag men inom en dag Basnivå Information som kan ge negativa konsekvenser för egen eller annan organisation eller enskild person om den röjs Information som kan ge negativa konsekvenser för egen eller annan organisation eller för enskild person om den röjs Information som inte behöver vara åtkomlig inom en dag men senast inom två dagar Handling som är hemlig Handlingar kan vara allmänna eller icke allmänna. Allmänna handlingar kan sedan vara offentliga eller hemliga. Alla allmänna handlingar måste registreras, arkiveras och diarieföras. Det gäller även handlingar som inkommer via telefax eller e-post m.m. Hur du ska hantera dina handlingar framgår av en särskild instruktion Huvudregeln är att allmänna handlingar är tillgängliga för envar som vill ta del av dem. En myndighet som vägrar lämna ut en allmän handling kan endast göra så med stöd av ett lagrum i Offentlighets- och sekretesslagen. I personuppgiftslagen, PUL, regleras rätten att behandla personuppgifter. Syftet med personuppgiftslagen är skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. 5
Lagring Information i våra stödsystem Som stöd i det dagliga arbetet har organisationen och dess verksamheter olika IT-baserade stödsystem bl.a. ekonomi- och lönesystem. I dessa system är informationen ofta redan klassad och inbyggda regelverk ger rättigheter eller sätter begränsningar för dig att hantera informationen. För vart och ett av stödsystemen ska det finnas en handbok eller en användarinstruktion, som beskriver vilken information systemet innehåller, vad du ska och får tillföra, ändra och eventuellt ta bort. Om reglerna följs har vi goda möjligheter att klara kraven på en god informationssäkerhet i systemen. Egna dokument och register Utöver att arbeta i våra stödsystem kommer du att upprätta egna register, handlingar och dokument, exempelvis med Word eller Excel. Stödsystemens inbyggda skydd används inte då. Detta kräver särskild uppmärksamhet. Det är viktigt att du tänker över säkerheten och hur du klassar, lagrar och hanterar informationen. Oavsett om du använder stödsystem eller har skapat egna dokument så har du ett personligt ansvar för säkerheten i din hantering av information i alla dess former. I detta ansvar ingår bl.a. att du själv måste känna till de regler som gäller när du hanterar information. När du hanterar information är du ansvarig för informationens riktighet och att informationen skyddas mot obehörig insyn. Tveka inte att samråda med din närmaste chef om du känner dig osäker i dessa sammanhang. När du skapar egen information är det viktigt att veta: vilken informationsklass informationen tillhör (se klassning ovan) var den ska lagras När information lagras elektroniskt finns större risk för obehörig förändring eller spridning, dessutom tillkommer risken för virusangrepp. På grund av detta ställer vi högre krav på denna typ av information. 6
Var ska jag lagra elektronisk information? Den information du lagrar på våra gemensamma utrymmen, som kan nås via kommunens nätverk säkerhetskopieras automatiskt. Personlig hemkatalog H: (Personlig hemkatalog) är din personliga enhet som du kan använda för lagring av personligt arbetsmaterial. Om du väljer H-enheten kommer dina medarbetare inte åt informationen. Organisationsenhet O: (Organisationsenhet) är en enhet för lagring av information som alla medarbetare i organisationen har tillgång till. Gruppenhet är en enhet för lagring av information som du och medarbetarna på din enhet har tillgång till. Lokal hårddisk Om du lagrar på din lokala hårddisk (C:) är du personligen ansvarig för att säkerhetskopiering sker. När du lagrar information på din lokala hårddisk (C:) riskerar du att förlora information som inte kan återskapas till rimliga kostnader, vid t ex en diskkrasch. Undvik lagring på C: för annat än tillfälliga filer. Behörighet Våra IT-system är utrustade med kontrollsystem för behörighet. Det säkerställer att endast behöriga användare kommer åt information. De behörigheter du blir tilldelad beror på dina arbetsuppgifter och avgörs av systemförvaltaren för de system som används inom den verksamhet där du jobbar. 7
Lösenord Första gången du loggar in på nätverket får du ett initialt lösenord av ITavdelningen. Detta lösenord kan du bara använda en gång för att komma in i nätverket. När du har loggat in, byt då det initiala lösenordet till ditt personliga lösenord. Även för övriga system som du fått behörighet till, måste du byta det initiala lösenordet mot ett eget. Lösenordet är strängt personligt och ska hanteras därefter. Tänk på att du själv kan bli misstänkt om någon använder ditt lösenord för olämpliga ändamål. Skapa ett säkert lösenord Ett säkert lösenord ska bestå av både stora (A-Z) och små (a-z) bokstäver liksom siffror (0-9). Det får inte innehålla ditt namn eller inloggningsnamn och det ska bestå av minst sju tecken. Det får inte heller vara identiskt med något av dina 24 senaste lösenord eller innefatta icke-alfanumeriska tecken, till exempel!, #, %. Program och licenser För all programvara, som inte är fria programvaror, på kommunens datorer och servrar ska det tecknas en licens. Upphovsrätten ska respekteras och är grunden för licensavtalen. Ingen programvara får kopieras eller föras utanför kommunens utrymme om inte annat har överenskommits med systemägaren. All privatkopiering är därför förbjuden. Mjukvara (program) som inte godkänts av IT-avdelningen får inte installeras eller användas på arbetsstationer eller nätverk som administreras av ITavdelningen. Det är inte heller tillåtet att kopiera eller använda kommunens program utanför dess verksamhet. 8
IT-säkerhet och kringutrustning IT-arbetsplats För att uppnå nödvändig IT-säkerhet finns regler och rekommendationer för användning av IT-systemen inom organisationen: Datorer, surfplattor och annan utrustning som ingår i din arbetsplats är arbetsredskap, och får inte lånas ut till till exempel familjemedlemmar, elever, eller andra personer som inte är anställda hos Finspångs kommun. All installation och konfiguration av hårdvara och arbetsstationer ska ske av IT-avdelningen. Vid tillfällen när du inte har uppsikt över datorarbetsplatsen ska du låsa den med kortkommandot: CTRL+ALT+DEL. Det gäller vid kortare frånvaro under dagen. Vid längre frånvaro ska arbetsstationen loggas ur eller helst stängas av. Om du använder en dator som är en av de arbetsstationer som används av flera medarbetare ska du alltid logga ut helt för att inte stänga ute dina arbetskamrater. Låser du datorn är det bara du som har låst den som kan logga in igen. Vid fel på IT-arbetsplats ska du anmäla detta till IT-avdelningen felanmälan. Din IT-arbetsplats är IT-avdelningen egendom och får inte bytas eller förändras utan IT-avdelningen medgivande. Inför service på din utrustning som innebär att din persondator lämnas bort eller kasseras måste känslig information i din hårddisk tas bort. Rådgör då med IT-avdelningen. Bärbara- och hemdatorer Om du har en egen bärbar- eller hemdator som du använder för hemarbete bör du tänka på att dessa kan utgöra en säkerhetsrisk. Tänk på att: inte kopiera känslig information till annat media som du sedan tar med hem. Risk finns att obehöriga då kan ta del av den. att du inte får lagra sekretessbelagd eller för verksamheten känslig information på den egna datorn. Lagringsmedia som du använder/skapar i hemdatormiljö på disketter, brända skivor, zip-disk, USB-minne eller andra media får inte användas i 9
kommunens nätverk förrän viruskontroll av lagringsmediet har skett. Kontrollen ska ske med IT-avdelningen godkända virusprogram. Mobiltelefoner, läsplattor, digitalkameror och liknande med lagring Övriga instruktioner i detta dokument gäller även vid användning av mobila enheter. Handdatorer, digitala kameror, mobiltelefoner mm kan lätt bli virusbärare då du kan mellanlagra information mellan olika datorer i dessa. Därför ska du inte ansluta denna typ av kringutrustning mot en dator som du inte med säkerhet vet har ett uppdaterat virusprogram. Om du använder mobiltelefon eller surfplatta i arbetet ska du skriva på Policy för smarta telefoner och surfplattor som du hittar på Finspånätet. Molntjänster, till exempel Dropbox eller ICloud får inte användas som lagring av dokument, då dessa inte uppfyller kraven på informationssäkerhet. Om du vill arbeta med ett dokument på en mobil enhet ska du skicka dokumentet med e-post till dig själv när du är färdig, tänk dock på att aldrig skicka sekretessbelagd information via e-post. Lokalt nätverk (kommunnätverket) Kommunnätverket är en mycket viktig gemensam resurs som ger oss alla möjlighet att till exempel lagra och dela information, dela på skrivare och kommunicera. Följande regler gäller för nätverket: Alla som i sitt arbete skriver ut sekretessmaterial ska använda säker utskrift om detta är möjligt, antingen via Uniflow eller en personlig brevlåda med kod. inloggning på nätverket ska ske med ditt personliga lösenord all inloggning eller försök till inloggning under annan, eller med annans identitet är absolut förbjuden. När du arbetar i organisationens nätverk loggas och registreras i allmänhet en del av dina aktiviteter. Loggningsfunktioner används för att spåra obehörig verksamhet och intrång. Det görs för att skydda informationen och för att undvika att oskyldiga misstänks om oegentligheter inträffar. 10
Information som sparas på gemensamma utrymmen i det lokala nätverket ska lagras på anvisad plats (se Lagring av elektronisk information) Det är förbjudet att skaffa sig tillgång till annan information än den som dina systemrättigheter ger dig. Enbart kommunens utrustning får anslutas mot organisationens nätverk. Om vi alla följer dessa regler så kan obehöriga inte komma åt informationen. Kom ihåg att du ansvarar för allt som registrerats med din användaridentitet. Internet och intranätet När du använder internet kan säkerheten i organisationens lokala nätverk påverkas i mycket hög grad beroende på ditt beteende. Organisationen förutsätter att den som laddar ned filer från internet har gott omdöme och endast hämtar in sådant som är relevant för arbetet och kommer från välrenommerade webbplatser. Ingen programvara får laddas ner. Utöver säkerhetsrisken kan en felaktig hantering innebära skadeståndskrav vid till exempel brott mot upphovsrätten. Det är inte tillåtet att via internet titta eller lyssna på material av pornografisk eller rasistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning, etc.) eller har anknytning till kriminell verksamhet. I specifika fall kan det dock vara motiverat för arbetet, till exempel vid utredningar, omvärldsanalyser med mera, att besöka sidor som normalt är förbjudna. När du surfar på internet representerar du vår kommun. Gör det med ett gott omdöme så att ditt agerande på nätet inte skadar oss. Agera i enlighet med våra värderingar så att det du förmedlar på nätet inte skadar oss. Du bör tänka på att du lämnar spår i en fil som loggar internettrafiken till och från kommunens verksamheter. Denna loggfil är offentlig handling och visar vilka webbplatser du har besökt. E-post E-post är ett hjälpmedel i arbetet men lagringskapaciteten för det är begränsad. Tänk därför på att regelbundet radera i mapparna Inkorgen, Skickat, Borttaget och Skräppost för att frigöra utrymme. E-postsystemet ska inte användas som ett arkivsystem, meddelanden, bifogade filer m.m. som du vill spara, sparar du på samma sätt som du lagrar annan information. 11
Råd och regler för e-post E-post ska besvaras skyndsamt, helst inom två arbetsdagar. Det är samma regler för diarieföring av e-post, som för vanliga brev. Om du under en längre period inte har möjlighet att kontrollera din e-post ska du sätta frånvarobesked med uppgift om vem som hanterar dina ärenden. Se instruktioner på Finspånätet för att ta reda på hur du gör. E-postsystemet är ett arbetsverktyg och bör inte användas för privat bruk. Ange alltid ämne för meddelandet för att klargöra för mottagaren vad denne kan förvänta sig för innehåll i e-brevet. Skriv inte känslig information i ämnesraden. Det är inte tillåtet med automatisk vidarekoppling till annan e- postadress. Skriv korta brev. Tänk på att mottagaren kanske får stora volymer e-post. Använd läskvittens endast för interna meddelanden när du har behov av detta. Du bör vara selektiv med att använda stora gruppadresser (massutskick) och med att skicka eller vidare-befordra meddelanden som innehåller stora filer. Skicka inte och vidarebefordra inte kedjebrev av någon sort. Stryk dig från e-postlistor om du inte vill ha fler brev via dem eller är frånvarande en längre tid. Om du får hotelsebrev eller liknande, kontakta din chef. Ta inte bort brevet. E-postsystemet får aldrig användas för att skicka sekretessbelagd information. Bilagor i e-post Som mottagare av en bilaga i e-post har du ett ansvar att signalera om det är något problem. Det kan finnas begränsningar vad avser bilagestorlekar och filtyper hos dina mottagare. 12
Incidenter Om du upptäcker fel och brister i de system du använder ska du rapportera dessa till IT-avdelningen, din närmaste chef eller systemförvaltaren. Alla fel och störningar är inte lika allvarliga, därför har delat in dem i olika kategorier: Incident Ett eller ett fåtal IT-system är drabbade under en begränsad period, upp till 8 timmar. Allvarlig störning eller avbrott i kritisk IT-tjänst Bortfallet får stor påverkan på kommunens förmåga att leverera tjänster inom kommunen eller ut till samhället, eller systemet som är drabbat är i grupp 1-2 i kontinuitetsplanen. Finspångs kommun bidrar till att öka IT-säkerheten i landet genom att löpande rapportera alla typer av IT-säkerhetsincidenter till PTS (Post och Telestyrelsen). Genom att rapportera händelser hjälper även du till att förebygga. Informera IT-avdelningen som sammanställer rapporterna. Om du misstänker att någon obehörig använt din användaridentitet och varit inne i IT-systemet ska du: notera när du senast var inne i IT-systemet notera när du upptäckte intrånget omedelbart anmäla till IT-avdelningen, systemförvaltaren eller din chef dokumentera alla iakttagelser i samband med upptäckten och försöka att fastställa om kvaliteten på din information har påverkats 13
Virus Datavirus kan beskrivas som ett program eller en programsekvens vars uppgift är tränga in i andra program för att utföra något otillbörligt. Datavirus är ofta ytterst smittsamma och smittkällan kan vara svår att identifiera. Gratisprogram, spelprogram och filer som laddas ner från internet eller medföljande filer till e-post är de vanligaste smittbärarna. Finspångs kommun har bra programvaror för viruskontroll och det görs kontinuerligt kontroll i nätverket. Även filer som du hämtar från internet kontrolleras av virusprogram i nätverket. Tecken på datavirus i systemet kan vara att: datorn utför operationer/arbete utan att du själv initierat det, t ex förändringar sker på skärmen (tecken flyttas, försvinner etc.) pip eller hälsningar på skärmen datorn uppträder på ett onormalt sätt, t ex arbetar mycket långsamt Om du misstänker att systemet innehåller virus ska du: dra ur nätverkskabeln. Stäng INTE av din dator genom att slå av strömmen omedelbart anmäla förhållandet till endera ITsäkerhetssamordnaren, IT-avdelningen eller till närmaste chef. OBS! Anmälan ska ske per telefon eller besök, EJ per e-post Om du får brev med virusvarning där man talar om att ett virus är på gång ska du inte skicka meddelande om detta till alla på organisationen utan kontakta IT-avdelningen som kan avgöra om det är en seriös varning eller kanske bara ett skämt eller ett virus i sig. Skicka inte heller någon varning externt innan du kontrollerat med IT-avdelningen. Om du misstänker stöld, sabotage eller liknande: kontakta din närmaste chef eller IT-avdelningen. 14
Stöd och hjälp På Finspånätet under rubriken IT-stöd hittar du tips och instruktioner om hur du använder din IT-arbetsplats. Där finns också kontaktuppgifter till ITfunktionen och IT-avdelningen. Under rubriken Användarhandledning får du mer hjälp. När du slutar din anställning När du slutar din anställning ansvarar du för att: rådgöra med din chef om vilket av ditt arbetsmaterial som ska sparas. Notera att allt arbetsmaterial du framställt är Finspångs kommuns egendom och får inte tas med utan chefs godkännande privat material rensas och tas bort De behörigheter du fått i våra IT-system avbeställs genom din chefs försorg. Riktlinjerna för användandet av PC - nät i Finspångs kommun När du börjar din anställning fick du skriva på att du accepterade riktlinjerna för användande av PC-nät i Finspångs kommun. Denna förbindelse ska finnas i din personalakt. Om du inte skrivit på en sådan förbindelse, kontakta din närmaste chef. 15
Riktlinjer för användandet av PC - nät i Finspångs kommun Kommunstyrelsen har den 29 maj 2000, 103, beslutat att anta riktlinjer för användandet av PC - nät i Finspångs kommun enligt följande: 1. Jag är skyldig att hålla lösenord hemligt och förvarar det inte i klartext vid min arbetsplats. 2. Jag lånar inte ut lösenord till någon annan person. 3. Jag lämnar inte min PC utan tillsyn om den är inloggad på nätet. 4. Jag rapporterar förekomsten av virus till IT-avdelningen. 5. Jag ansvarar själv för säkerhetskopiering från lokal hårddisk. 6. Jag är medveten om att utrustningens konfiguration inte får ändras utan medgivande av IT-avdelningen. 7. All ny installation av programvaror skall vara godkänd av IT-avdelningen och följa fastställd standard, giltig licens måste finnas. 8. Jag är medveten om att min användning av elektronisk post sker inom ramen för kommunens verksamhet och jag iakttar därför god sed enligt offentlighetsprincipen vad avser registrering, arkivering och diarieföring. 9. Felaktigheter och incidenter i IT - systemet rapporteras till systemansvariga. 10. Jag lämnar inte obehöriga information om systemet och säkerhetsrutiner. 11. Internet är ett arbetsverktyg som bara skall användas för mitt arbete inom Finspångs kommun. 12. Det är förbjudet att via Internet sprida information (text, bilder, ljud osv.) som till sitt innehåll kan vara kränkande och stötande för enskilda eller grupper av användare, t.ex. rasistiska och diskriminerande uttalande, hets mot folkgrupp, våld, pornografi, prostitution, kränkande av människors tro och livsåskådning. 13. Det är förbjudet att sprida programvaror som innehåller våld, terror, hets mot folkgrupp, rasism, pornografi, mobbing i form av bilder, texter, filer, e - post 14. Det är förbjudet att medvetet sprida filer med datavirus, sabotageprogram etc. 15. Det är förbjudet att dölja sin användaridentitet. 16. Det är förbjudet att förolämpa eller förnedra andra användare. Alla som använder kommunens PC - nät skall bekräfta sin kunskap om och följa dessa riktlinjer. 16