Informationssäkerhetsanvisning

Relevanta dokument
Syfte...1 Omfattning...1 Beskrivning...1

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

ANVÄNDNINGSPOLICY FÖR ELEKTRONISK POST VID ÅBO AKADEMI

Informationssäkerhet. Jan Wennström Matti Huvila. Datacentralen vid Åbo Akademi

Anvisningar 62/40/ Innehåll Arkivverkets anvisningar om skydd av handlingar i undantagsförhållanden.

IT-policy Scenkonst Västernorrland AB

Namn Chef för social- och familjeservice Maria Andersson

INTEGRITET I COMMUNITY-TJÄNSTER PÅ DATANÄTET, VAD ÄR DET?

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

Informationssäkerhetsinstruktion användare

FÖRBUNDSINFO. Policy för användning av Svenska kyrkans gemensamma Internetanslutning och e-postsystem

Polisstyrelsen ANVISNING 1 (10) TILLGODOSEENDET AV DEN REGISTRERADES RÄTTIGHETER HOS POLISEN: RÄTT TILL INSYN, RÄTTELSE AV UPPGIFT OCH INFORMATION

Din manual MCAFEE TOTAL PROTECTION

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Säkerhetsåtgärder vid kameraövervakning

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Hämtning och öppning av en arbetstagares e-post

Instruktion för e-post E-postinstruktion Beslutad

Klientens ställning och rättigheter inom socialvården. Klientens ställning och rättigheter inom socialvården

Informationssäkerhet - Instruktion för förvaltning

DATASKYDDET VID DIREKTMARKNADSFÖRING

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Regler och avtal för lån av bärbar dator, tillgång till Umeå skoldatanät samt bibliotekets låneregler

SÖDERTÄLJE KOMMUN Utbildningskontoret

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

Riktlinjer vid användning av e-post i

Dataskyddet tryggar dina rättigheter

ANVÄNDNING AV E-POST INOM SOCIALVÅRDEN

Handledning i informationssäkerhet Version 2.0

Telefonipolicy. Innehållsförteckning

Kontrakt för lån av personlig dator på Ystad Gymnasium

VASA STAD DATASÄKERHETSPOLICY

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Säker hantering av information

Gallring av digitala handlingar


Reglerna för e-post i korthet

1 Allmänt Klassificering och hantering av e-postmeddelanden och -adresser Klassificeringar och användningsändamål...

Motverka missbruksproblem!

EasyParks Integritetspolicy

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

ANVÄNDARHANDBOK. Advance Online

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Vad är det frågan om En kort beskrivning av tjänsten. Den elektroniska jobbsökningen sker i följande steg:

Välkommen till Arlövs västra rektorsområde

Språkprogram för Nylands förbund

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Beställnings- och installationsguide av Dubbelskydd

FINLANDS FÖRFATTNINGSSAMLING

Handledning för upprättande och upprätthållande av en arkivbildningsplan

Införande av elektroniska körjournaler i kommunens bilar

AMERICAN EXPRESS. Webbplats för affärspartners regler och villkor

IT-Policy Vuxenutbildningen

Kom igång med Windows 8.1

Manual för studerande Version 2.2.0

AVTAL 1 (6) 2 Avtalstid Avtalet gäller från och med utdelning till och med den 1 juni 2016.

Stadsarkivets anvisningar 2011:1 Hantering av allmänna e-handlingar som ska bevaras i Uppsala kommun

Användning av sociala linköpings universitet

STUDERANDEREGISTER/gymnasiestuderande (skoladministrationssystemet Primus inkl. Wilma)

Riktlinje för mobil användning av IT - remissvar

Information om avtal och föreskrifter kring 1-1- dator

KT Cirkulär 3/2015 bilaga 1 1 (9) Hämäläinen Promemoria om de viktigaste ändringarna i jämställdhetslagen. De viktigaste ändringarna

nivå 1 1. Du kan bli beroende av sociala medier. Det betyder att du hela tiden vill använda dem och att du inte kan sluta använda dem.

FINLANDS FÖRFATTNINGSSAMLING

Information till patienten och patientens samtycke

Vaski-bibliotekens användarregler. från och med

Net id OEM Användarhandbok för Windows

Regler för användning av Riksbankens ITresurser

Mer information om snabbinstallation finns på baksidan.

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

ESET NOD32 ANTIVIRUS 8

Lättlästa instruktioner för ipad ios8

Lumbago - Förord. Välkommen till Journalprogrammet Lumbago.

RP 232/2008 rd. Lagen avses träda i kraft så snart som möjligt.

Guide för ansökan om.fi-domännamn

Hur förhåller sig yttrandefriheten till lojalitetsåtagandet i anställningen?

JO övervakar framför allt, att god förvaltning iakttas och att de grundläggande fri- och rättigheterna samt de mänskliga rättigheterna tillgodoses.

FINLANDS FÖRFATTNINGSSAMLING

Sekretessmeddelande Kelly Services AB Innehåll

IT-riktlinjer Nationell information

J Lundh. Kraven riktas mot linjechefer och datoranvändare. Linjechefer ansvarar för att reglerna är kända i organisationen.

Introduktion. Vinnande medarbetarskap

Lägenhetsinbrott. Hjälpande telefon Juridiska råd

ÅGIT PRESENTERAR FILR SMIDIG OCH SÄKER FILÅTKOMST OCH DELNING

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Webbtjänsten administreras och underhålls av Folksam Skadeförsäkring Ab och tjänsterna erbjuds av Folksam.

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

Reviderad Reviderad

E-post på ett säkrare sätt

Allmänna villkor. DPOrganizer Ett verktyg från Beyano AB

Föreskrift 2/ (14)

E-post för nybörjare

IT-verktyg på Igelboda skola & förskola - sep 2013

Manual ipad och Netpublicator

Lagen om dataskydd vid elektronisk kommunikation

Informationssäkerhetsanvisning

Transkript:

Informationssäkerhetsanvisning för personalen Ledningsgruppen för datasäkerheten inom statsförvaltningen 7/2008 VAHTI

Informationssäkerhetsanvisning för personalen Ledningsgruppen f ör datasäkerheten inom statsförvaltningen 7/2008 VAHTI

FINANSMINISTERIET PB 28 (Snellmansgatan 1 A) 00023 STATSRÅDET Telefon 09 16001 (växeln) Internet: www.finansministeriet.fi Layout: Pirkko Ala-Marttila/FM, informationen ISSN 1455-2566 ISBN 978-951-804-885-8 (nid) ISBN 978-951-804-886-5 (pdf) Edita Prima Ab Helsingfors 2008

Förord Finansministeriet (FM) ansvarar för styrningen och utvecklingen av informationssäkerheten inom statsförvaltningen. Ledningsgruppen för datasäkerheten inom statsförvaltningen (VAHTI) har under sin drygt tioåriga verksamhetsperiod befäst sin ställning som ett organ för samarbete inom samt styrning och utveckling av informationssäkerheten inom förvaltningen. Genom det program för informationssäkerhet inom statsförvaltningen som leds av finansministeriet och koordineras av ledningsgruppen för datasäkerheten inom statsförvaltningen VAHTI (publikation utgiven av VAHTI 1/2004) utvecklas informationssäkerheten i hög grad som en del av all verksamhet. De sex delområden av programmet som framgår av figuren nedan inbegriper sammanlagt 29 omfattande utvecklingsobjekt. En figur över utvecklingsprogrammet för informationssäkerheten inom statsförvaltningen och dess projektområden 2. Att allmänt stödja informationssäkerhetsarbetet inom statsförvaltningen 3. Att främja datasäker kommunikation och ärendehantering 4. Att stödja informationssäkerhetsansvariga 5. Att stödja utvecklare av tjänsterna 6. Att stödja användaren 1. Att skapa en kultur för informationssäkerheten

Under den tid utvecklingsprogrammet har pågått har ett betydande utvecklingsarbete skett inom alla projektområden och inom sammanlagt 26 utvecklingsobjekt. I realiseringen deltar alla förvaltningssektorer i stor utsträckning och i en del av projekten deltar kommuner och representanter för näringslivet samt andra sakkunniga. Antalet deltagare på statsförvaltningsnivå har varit över 300. Denna anvisning har utarbetats av en sektion för datasäkerhetsarbete för användarna som är underställd VAHTI. Anvisningen godkändes vid VAHTI:s sammanträde i mars 2006. Anvisningen ersätter den tidigare datasäkerhetsanvisningen för användare (VAHTI 5/2003).

Innehåll Förord...3 1 Inledning...7 1.1 Centrala anvisningar... 7 1.2 Vad avses med informationssäkerhet?... 8 1.3 Varför är informationssäkerhet viktigt?... 9 1.4 Lagstiftningen som grund för informationssäkerheten... 9 2 Ärendehantering och hantering av information... 11 2.1 Information som gäller arbetet...11 2.2 Intervjuer, förfrågningar, undersökningar och överlåtelse av information...13 2.3 Privat information och integritet...13 3 På arbetsplatsen... 15 3.1 Användning av dator...15 3.2 Användarrättigheter och lösenord...15 3.3 Internet och e-post...16 3.4 Säkerheten i lokaliteterna...18 4 Mobilt arbete, distansarbete och researbete... 21 4.1 Mobilt arbete och mobilutrustning...21 4.2 Distansarbete och distansanvändning...22 4.3 På hemdatorn...23 4.4 Researbete...23 5 Problemsituationer...25 5.1 Anmälningsplikt och förfarande vid problemsituationer...25 5.2 Om du misstänker att datasekretessen kränkts eller att din dator blivit smittad av sabotageprogram...25 5.3 Påföljder...26

6 Var får man ytterligare information?...27 Bilaga 1: Lagstiftning med nära anknytning till informationssäkerheten...29 Bilaga 2: Vahti-publikationer som är i kraft... 31

7 1 Inledning Informationssäkerhetsarbetet baserar sig på lagstiftning och normstyrning. Ansvaret för informationssäkerheten och det kunnande som är förknippat med den gäller alla, också dig. Denna informationssäkerhetsanvisning är avsedd för all personal inom den offentliga förvaltningen, personer som arbetar på uppdrag av förvaltningen (t.ex. tjänsteleverantörer) och personer som regelbundet använder dess datasystem eller lokaliteter (t.ex. studerande). Anvisningen kan tillämpas även i organisationer utanför den offentliga förvaltningen. I anvisningen behandlas de viktigaste grundläggande frågorna beträffande informationssäkerhet. Den ger råd om hur informationssäkerheten kan tillämpas i det egna arbetet och i andra praktiska situationer. Avsikten har varit att skriva texten så att den lämpar sig för så många organisationer som möjligt. I varje organisation kan man dock till följd av verksamhetens speciella natur tillåta undantag, tillägg och preciseringar till denna anvisning, vilka naturligtvis bör följas. Och när du får en god idé som förbättrar informationssäkerheten, ta initiativ i frågan. 1.1 Centrala anvisningar 1. 2. 3. 4. 5. Följ med meddelanden om informationssäkerhet, bekanta dig med anvisningar och delta i utbildning som erbjuds dig. Handla i enlighet med anvisningar du fått. Stöd för din egen del passerkontrollen och använd ditt personkort som är försett med fotografi (om du har fått ett sådant) i organisationens lokaliteter. Lämna inte någon gäst ensam eller utan övervakning i ditt arbetsrum eller i andra lokaliteter i organisationen. Låt inte någon utomstående använda din dator. Följ principen rent skrivbord. Förvara inte sekretessbelagt material på ditt skrivbord.

8 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Hantera information noggrant oberoende av medium, vare sig informationen förmedlas via en person, dator, papper, telefon eller fax. Överlåt inte personliga användarnamn och lösenord till någon annan person, inte ens till personalen inom dataadministrationen, eftersom de inte behöver dem. Låt inte någon annan person se din dataskärm eller ditt tangentbord då du hanterar känslig information eller då du matar in användarnamn och lösenord. Byt lösenord ofta och genast då du misstänker att någon annan har fått reda på dem. Använd information och arbetsredskap endast för skötseln av arbetsuppgifter. Installera inga program och gör inga ändringar i inställningarna om detta inte hör till dina arbetsuppgifter. Spara dina arbeten på nätservern vars information säkerhetskopieras regelbundet. Hämta dina utskrifter från nätskrivaren genast då de skrivits ut. Kom ihåg att du alltid uppträder som en representant för organisationen då du använder dess apparater, nät eller e-post. Använd alltid ändamålsenlig kryptering om du ska överföra sekretessbelagd information via internet. Om du överför material via en minnessticka eller annat lagringsmedium ska du alltid övervaka överföringen själv. Förhindra obehörigt tillträde till datasystemen genom att låsa din arbetsstation varje gång du lämnar ditt arbetsrum. Logga ut ur datasystemet då arbetsdagen är slut och stäng din arbetsstation enligt organisationens anvisningar. Meddela alltid den datasäkerhetsansvariga, dataadministrationen eller din egen chef om problem i anslutning till informationssäkerheten och om hot och brister i dataskyddet som du observerat. Deras uppgift är att vidta behövliga åtgärder. Be vid behov experterna inom din organisation om råd. 1.2 Vad avses med informationssäkerhet? Syftet med informationssäkerhetsarrangemangen är att informationen, datasystemen och tjänsterna får tillbörligt skydd så att de risker som är förknippade med informationens konfidentialitet, integritet och tillgänglighet är under kontroll. Informationssäkerhet är en del av kvaliteten på organisationens verksamhet.

9 I praktiken betyder detta att en del av informationen och datasystemen hålls tillgängliga endast för de personer som är berättigade att använda dem. Då ges utomstående ingen rätt att hantera, ändra eller avlägsna information. Också de som har rätt att hantera informationen får använda information och system bara i sina arbetsuppgifter. Informationen, systemen och tjänsterna bör vara tillförlitliga, korrekta och tidsenliga. De får inte avslöjas, förändras eller förstöras okontrollerat till följd av utomståendes verksamhet, skadliga program, system- eller programfel eller andra skador och händelser. Informationen, systemen och tjänsterna bör också fungera och vara tillgängliga då de behövs. Att ärenden i allt större utsträckning sköts elektroniskt har ökat kravet på att parterna kan identifieras på ett tillförlitligt sätt och att händelsernas existens och innehåll kan verifieras även i efterhand. 1.3 Varför är informationssäkerhet viktigt? Genom informationssäkerhetsåtgärder tryggas individens, samfundens och samhällets intressen. Informationssäkerheten är en grundläggande förutsättning för samhällets funktioner, tjänster, applikationer och datatekniska infrastruktur. Samhällets funktioner är idag i hög grad beroende av hantering och överföring av information. I en omvärld som består av nätverk är få organisationer längre ansvariga enbart för sin egen informationssäkerhet. Var och en som arbetar i en organisation är skyldig att trygga informationssäkerheten. De största problemen med informationssäkerheten har i allmänhet att göra med brådska, slarv, okunskap och andra kvalitativa faktorer när det gäller datasystemens tillämpning och användning. Informationssäkerheten är lika bra som dess svagaste länk inte alltså bara tekniken utan också vårt vardagliga sätt att fungera och vår attityd. Bristfällig informationssäkerhet utgör en risk för statens, medborgarnas, samfundens och kundernas intressen och förorsakar extra arbete och kostnader. Genom att utveckla informationssäkerheten förbättras funktionernas tillförlitlighet och kontinuitet. 1.4 Lagstiftningen som grund för informationssäkerheten Inom den offentliga förvaltningen hanteras rikligt med information, både offentlig och sekretessbelagd. Vår lagstiftning innehåller många förpliktelser när det gäller informationssäkerheten. Med andra ord utgår också lagstiftningen från att informationssäkerheten måste skötas på tillbörligt sätt. Informationssäkerheten bygger på lagen och förordningen om offentlighet i myndigheternas verksamhet och på många andra lagar. Skyddet av privatlivet och

10 offentlighetsprincipen är grundrättigheter om vilka det stadgas i grundlagen. Enligt lagen om offentlighet i myndigheternas verksamhet är information offentlig om den inte är sekretessbelagd enligt lagen eller andra bestämmelser. Man ska alltid se till att information behandlas enligt lagen. En myndighet bör i syfte att införa och genomföra en god informationshantering se till att dess handlingar och datasystem samt uppgifterna i dem är behörigen tillgängliga, användbara, skyddade och integrerade samt sörja även för andra omständigheter som påverkar kvaliteten på uppgifterna. (18 i lagen om offentlighet i myndigheternas verksamhet, God informationshantering) Den registeransvarige skall genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. (32 i personuppgiftslagen, Skydd av uppgifterna) En förteckning över bestämmelser med anknytning till informationssäkerheten finns som bilaga till denna anvisning.

11 2 Ärendehantering och hantering av information Ärendehantering innebär styrning av hanteringen av de ärenden och handlingar som ingår i organisationens verksamhetsprocesser under hela deras livscykel. Målet med ärendehanteringen är att effektivera beredningen och hanteringen av ärenden, beslutsfattande, publicering och arkivering samt hanteringen av information av handlingskaraktär. Information av handlingskaraktär är en del av organisationens kapital, varför kvalitetskraven bör tryggas, praxisen vid hanteringen planeras noggrant och dess skydd tryggas. Krav som hör samman med kvaliteten på informationen av handlingskaraktär är tryggandet av dess autenticitet, integritet, konfidentialitet och tillgänglighet. Med information avses information som lagras i olika format, behandlas eller överförs. Information kan t.ex. finnas i en enskild handling, i tal, e-post- eller textmeddelanden, databaser, i minnet på en dator eller mobiltelefon, på ljudeller bildband eller t.o.m. i en enskild människas minne. Informationens hela livscykel bör beaktas. Viktiga skeden av hanteringen ur informationssäkerhetens synvinkel är därför skapande, användning, ändring, lagring, överföring, distribution, kopiering, arkivering och förstöring av informationen. Vid hantering av information bör man notera att den information som hanteras ofta är av betydligt större värde än det tekniska medium som eventuellt hör samman med hanteringen av informationen. 2.1 Information som gäller arbetet Gör klart för dig hur information och handlingar klassificeras och bekanta dig med de regler och begränsningar som gäller användningen, överlåtelsen och hanteringen av dem (VAHTI 5/2006 Asianhallinnan tietoturvallisuutta koskeva ohje, VAHTI 2/2000 Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje, VAHTI 4/2002 Arkaluonteiset kansainväliset tietoaineistot).

12 Om du uppgör en sekretessbelagd handling, ansvarar du utgående från dina uppgifter också för dess klassificering och anteckningarna på den. En del av det sekretessbelagda materialet berörs av säkerhetsklassificering. Hantera information omsorgsfullt oberoende av det medium som används för hantering eller lagring. Kom ihåg att du kan använda och hantera sekretessbelagd och känslig information bara inom ramen för dina arbetsuppgifter. Att t.ex. använda information som finns i personregister utanför dess användningsändamål strider mot lag. Observera också att användningen av datasystemen övervakas. Då du hanterar sekretessbelagd information, se till att obehöriga inte kommer åt att se informationen i dina handlingar eller på din dataskärm. Se upp också då du matar in dina lösenord så att ingen kan avläsa dem på basis av dina fingerrörelser. Spara dina arbeten om möjligt på en server, för vars säkerhetskopiering dataadministrationen ansvarar. Undvik situationer där en handling eller annat material skulle finnas bara på en sådan utrustning eller sådant datamedium där säkerhetskopieringen är oregelbunden. Om informationen överförs med en minnessticka eller annat lagringsmedium bör du personligen övervaka överföringen. Var aktsam så att det inte finns annan, okrypterad information på ditt eget datamedium förutom den information som ska överföras. Se upp för dold information, s.k. rest- och metadata, i filer som gjorts med kontorsprogram (t.ex. textbehandling, presentationsgrafik, tabellräkning) särskilt om du skickar filer till mottagare utanför organisationen eller då du överför dem med hjälp av datamedier. Filen kan innehålla information som tidigare funnits där eller någon annan information som finns i systemet, även om detta inte syns på skärmen. Kontrollera en minnessticka, CD-/DVD-skiva eller annat datamedium som kommer utifrån med hjälp av antivirusprogram enligt organisationens anvisningar innan du använder mediet. Om du blir tvungen att sända material som är sekretessbelagt bör du sända det i krypterad form. Försäkra dig om att mottagaren är berättigad till informationen och att försändelsen har kommit fram. Fax kan bara i undantagsfall användas för sändande av sekretessbelagt material. Försäkra dig då om att mottagaren är på plats. Undvik onödiga utskrifter och kopior, eftersom extra kopior, mellanversioner och kasserade exemplar (vid sidan av kostnaderna och miljöpåverkningarna) ökar risken för att informationen kommer i fel händer och ökar behovet av säkerhetsåtgärder för förvaring och förstöring. Försäkra dig om vilken skrivare du använder och var skrivaren finns. Hämta dina utskrifter från en nätskrivare genast då utskriften är klar.

13 Använd dokumentförstörare av rätt säkerhetsklass eller uppsamlingskärl som hör samman med dokumentförstöringstjänster då du förstör sekretessbelagd information. 2.2 Intervjuer, förfrågningar, undersökningar och överlåtelse av information Hänvisa begärda intervjuer och förfrågningar till den som ansvarar för dem och handla i enlighet med organisationens informationspolitik. Var uppmärksam så att du inte ger ut information som är sekretessbelagd eller berörs av integritetsskyddet i samband med samtal och blanketter som verkar oförargliga. Hänvisa förfrågningar om överlåtelse av information samt undersökningar till den som ansvarar för materialet. Denna person har i uppgift att försäkra sig om grunderna för överlåtelsen och eventuell ersättning samt besluta om överlåtelse. Om materialet överlåts via datamedium i elektronisk form ska det datamedium som används ovillkorligen vara nytt och oanvänt. 2.3 Privat information och integritet Använd din privata e-postadress (som du själv skaffat, inte arbetsgivarens) för din privata kommunikation. Privata filer bör inte i onödan lagras i mobiltelefon, arbetsstation eller på server som tillhör arbetsgivaren. Alla har tystnadsplikt om andras meddelanden som genom arbetsuppgifterna kommit dem till del av misstag. Stoppa ryktesspridning. Notera att detaljerad logginformation om systemens användning sparas i datasystem och datanät, också e-posttrafiken och surfandet på internet. Informationen används för underhållsfunktioner, felsökning och övervakning av informationssäkerheten. Missbruk kan leda till ingripanden. För mer detaljerade uppgifter se organisationens egna anvisningar.

14

15 3 På arbetsplatsen 3.1 Användning av dator Användningen av dator omfattar både användningen av din egen arbetsstation och de tjänster som fås via nätet. Som användare ansvarar du för din egen dator. Var alltså noggrann. Bara dataadministrationen får ansluta datautrustning till nätet eller installera och uppdatera program i datorer. Logga alltid in på datorn med ditt eget användarnamn. Förhindra obehörig tillgång till datasystem genom att låsa din dator (på en Windows-arbetsstation med tangenterna Ctrl + Alt + Del och välj Lås datorn) varje gång du avlägsnar dig från ditt arbetsrum. Som extra säkerhet kan du också använda skärmsläckare med lösenord. Följ de anvisningar organisationen gett. Spara ditt arbete med jämna mellanrum. Lämna inte arbetet osparat om du avlägsnar dig från ditt arbetsrum. Spara all viktig information på en sådan nätserver som dataadministrationen säkerhetskopierar regelbundet. Om arbetsstationens hårddisk eller annat lagringsmedium såsom minnessticka eller CD-/DVD-skiva går sönder eller annars tas ur bruk får mediet inte läggas i papperskorgen. Förstör det enligt de anvisningar organisationen har gett eller låt dataadministrationen förstöra det. Logga ut både från programmen och din dator och stäng datorn då arbetsdagen är slut enligt de anvisningar din organisation har gett. 3.2 Användarrättigheter och lösenord För datasystem behövs användarrättigheter. Användarrätten är personlig och hör ihop med just din identitet och arbetsuppgift. Hantera användarnamnet och lösenordet på samma sätt som du hanterar ditt bankkort och din PINkod.

16 Överlåt inte ditt personliga användarnamn, lösenord, ditt smartkort eller dina PIN-koder till en annan person inte ens till dataadministrationen. Ställ dig kritisk till alla förfrågningar gällande dina lösenord eller användarnamn. Byt lösenorden tillräckligt ofta och genast om du misstänker att någon fått reda på dem. Skapa tillräckligt invecklade lösenord och undvik att välja alldagliga ord som lösenord. I ett bra lösenord kan det finnas små och stora bokstäver, siffror och t.o.m. specialtecken. I alla system kan man dock inte använda specialtecken. Ett bra lösenord är lätt att minnas, men svårt för en utomstående att gissa. Skriv inte upp lösenord åtminstone inte på en sådan plats där de lätt kan hittas. Använd inte de användarnamn och lösenord du fått av organisationen då du registrerar dig för tjänster på internet. Om man i någon situation eller i något system blir tvungen att använda gemensamma användarnamn bestämmer systemets eller informationens ägare om detta. Lösenordet till ett gemensamt användarnamn måste bytas alltid då någon användares rättighet upphör eller då man misstänker att någon obehörig har fått vetskap om det. Lösenordet bör bytas tillräckligt ofta också i övrigt. 3.3 Internet och e-post Internet och e-post är goda arbetsredskap för både informationssökning och kommunikation. Man måste dock komma ihåg att e-post och internet i sig själva inte är skyddade, utan informationen överförs i okrypterad form. E-post och internet kräver alltså att användaren är noggrann. Internet och e-post på arbetsplatsen är avsedda för användning inom ramen för arbetet. Använd din privata e-postadress för privat kommunikation. Använd bara sådana tjänster som du vet är seriösa. Det är inte tillåtet att förmedla sekretessbelagd information över internet utan tillbörlig stark kryptering. Sådana meddelanden och bilagor bör krypteras med produkter som dataadministrationen godkänner. Lär dig att använda krypteringsprodukterna rätt, så att informationen inte av misstag överförs okrypterad. Det kan vara helt förbjudet inom din organisation att ladda ner program via internet. Då installerar dataadministrationen alla de program som behövs. Om du laddar ner program enligt organisationens anvisningar och för dina

17 arbetsuppgifter, sträva alltid efter att försäkra dig om programmets och källans tillförlitlighet. Om du använder offentliga arbetsstationer eller tillfälligt använder en dator som någon annan innehar, kom ihåg att rensa webbläsarens cacheminne och kakor (cookies). Be vid behov dataadministrationen om hjälp. Kom ihåg att myndigheten är skyldig att behandla arbetsrelaterad e-post. Arbetsrelaterad e-post får hanteras bara via utrustning som administreras av den egna organisationen eller eventuellt av någon annan organisation inom den offentliga förvaltningen. Arbetsrelaterad e-post tas emot och dirigeras till den egna organisationens e-postsystem. Den får inte dirigeras eller skickas vidare någonstans utanför organisationens e-postsystem. Hänvisa de kunder som tar kontakt på elektronisk väg att skicka ärenden som ska behandlas och är under arbete till den e-postadress som organisationen fastställt. Kom ihåg att du ansvarar för arbetsrelaterad post som kommer till din personliga e-post enligt din tjänsteplikt. Användningen av annat än arbetsgivarens e-postsystem (t.ex. e-post som upprätthålls genom gratisprogram på internet eller din e-post hemma) är tillåten endast med organisationens tillstånd. Försäkra dig om att de skyldigheter som hänger samman med hanteringen av din e-post följs i enlighet med dina tjänsteuppgifter, också då du är frånvarande. Bilagor som kommer med e-post kan innehålla sabotageprogram (virus, maskar eller trojaner). Se upp med ovanlig e-post och framför allt bilagor. Öppna inte meddelanden som verkar suspekta utan följ anvisningarna. Vid behov kan du rapportera saken till dataadministrationen. Skräppost kan vara t.ex. reklam som kommit till e-postadressen utan att man beställt den. Det lönar sig inte att svara på skräppost utan man bör förstöra den genast. Om man svarar på meddelandet vet den som sänt skräpposten att din adress fungerar och fortsätter att skicka skräppost. Dessutom förmedlas din adress även till andra som skickar skräppost. Ge inte din e-postadress till arbetet till utomstående annat än vid kontakter som har med arbetet att göra. Var sunt misstänksam mot tillförlitligheten hos ett e-postmeddelande. Meddelandet kan komma från någon annan än den som syns i avsändarens adressfält. Akta dig för meddelanden där man ber dig mata in användarnamn och lösenord till tjänster som förefaller äkta (s.k. phishing, nätfiske). Förmedla inte kedjebrev.

18 Om du får e-post som är avsedd för någon annan, skicka den till den rätta mottagaren och meddela avsändaren den rätta e-postadressen. Om den rätta adressen inte är känd, meddela avsändaren om den felaktiga försändelsen. Kom ihåg att du har tystnadsplikt i fråga om det meddelande du fått. Sändlistan är en personförteckning, som kommer varje mottagare till kännedom. Den kan vara en personregisteruppgift eller en sekretessbelagd uppgift, om vars överlåtelse det finns skilda bestämmelser. Du kan använda dold kopia om du vill förhindra att namnen i sändlistan syns hos mottagarna. Försäkra dig om att det e-postmeddelande du skickar är riktat till rätt personer och rätt adresser också då du använder färdiga sändlistor. Undvik att skicka onödiga meddelanden. T.ex. julhälsningar belastar både e-postsystemet och mottagarens e-postlåda. Då arbetsförhållandet upphör avlägsnas e-postadressen och e-postlådan. Överför din tjänstepost till arbetsgivaren och avlägsna eventuella privata meddelanden. 3.4 Säkerheten i lokaliteterna Genom lokalitetssäkerheten säkerställs att information, handlingar och dataapparatur förvaras och hanteras på behörigt sätt i säkra lokaliteter. Lokalitetssäkerheten innefattar bl.a. passerkontroll, teknisk övervakning och bevakning, avvärjande av brand-, vatten-, el-, ventilations- och inbrottsskador samt säkerheten för kurirförsändelser och försändelser som innehåller datamaterial. Rikta datorns skärm med eftertanke vid kundbetjäning och överväg om avsikten är att kunden ser informationen. Följ de anvisningar som getts om passerkontroll. Använd ditt personkort som är försett med foto (om du fått ett sådant) i organisationens lokaliteter. Kontrollera då du kommer till ditt arbetsrum att inget otillbörligt har hänt under din frånvaro. Varje gäst bör ha en värd. Värden svarar för sina gästers vistelse i lokaliteterna. Sträva efter att använda mötesrum vid besök. Se till att det inte finns obehörigt material i mötesrummen. Kontrollera på motsvarande sätt att sekretessbelagt material eller anteckningar inte blir kvar på bord, tavlor, i papperskorgar eller någon annanstans efter möten.

19 Förvara information och apparatur i säkerhet, om möjligt i låst skåp och rum. Lämna inte en bärbar dator eller mobiltelefon obevakad. Förvara apparaturen i låst utrymme. Förvara också minnesstickor, CD-/DVDskivor, utskrifter etc. på tillbörligt sätt. Följ principen rent bord. På arbetsbordet får man inte förvara sekretessbelagd information. Lämna inte någon gäst ensam eller obevakad i ditt arbetsrum eller andra lokaliteter. Det kan vara förbjudet att fotografera i organisationens lokaliteter. Följ de anvisningar organisationen gett. Övervaka också dina gästers agerande och t.ex. användningen av kameratelefoner. Lås dörren till ditt arbetsrum då arbetsdagen är slut eller då du avlägsnar dig från arbetsrummet för en längre tid. Vägled gäster eller vilsegångna personer till rätt plats. Släpp inte in obehöriga i lokaliteterna t.ex. då du lämnar din arbetsplats. Lämna inte sådana dörrar öppna som är försedda med passerkontroll eller andra dörrar som är avsedda att hållas stängda.

20

21 4 Mobilt arbete, distansarbete och researbete 4.1 Mobilt arbete och mobilutrustning Många av de hjälpmedel som används för rörligt arbete kan till sina egenskaper och sitt innehåll motsvara arbetsstationerna på arbetsplatsen. Hjälpmedlen är inte längre enbart t.ex. telefoner. De hjälpmedel som används vid rörligt arbete och användningen av dem är förknippade med samma hot som för fastmonterade hjälpmedel, varför samma säkerhetsanvisningar kan tillämpas till en del. Då hjälpmedlen dessutom transporteras och används utom ramen för de säkerhetsåtgärder som lokaliteterna på arbetsplatsen erbjuder behöver särskild noggrannhet iakttas. Trygga säkerheten hos de bärbara datorer, mobiltelefoner, smarttelefoner och handdatorer du använder i arbetet. Förvara inte onödig information i dem. Bekanta dig med utrustningen och bruksanvisningarna för de program som finns i den samt dess säkerhetsegenskaper (bl.a. PIN-förfrågningar, Bluetooth-inställningar, laddning av applikationer). Se till att PIN-förfrågan är påkopplad i din mobiltelefon. Byt ut de PINkoder som tillverkaren eller tjänsteleverantören har gett. Du bör inte ladda ner och installera sådant på utrustningen som inte hör till arbetet. Kryptera informationen om möjligt. Säkerhetskopiera informationen och/eller synkronisera den vid behov med det övriga datasystemet enligt organisationens anvisningar.

22 4.2 Distansarbete och distansanvändning Med distansarbete avses arbete som utförs någon annanstans än i organisationens ordinarie lokaliteter. Ett typiskt distansarbete är kontorsarbete som utförs hemma. Distansarbete kan också utföras på annan ordinarie plats (t.ex. en distansarbetsplats som ordnats av organisationen) eller på resa (t.ex. på hotell eller i annan organisations lokaliteter), varvid användningsmiljön varierar och dess säkerhet inte kan påverkas i någon större utsträckning. Den distansarbetande personens egna åtgärder och förfaringssätt är av stor betydelse. Distansförbindelsen är en extern datatrafikförbindelse till organisationens interna nät. Distansanvändningen är användning av datatekniska tjänster med hjälp av distansförbindelse. I och med att trådlösa nätförbindelser blir vanliga måste distansarbetaren allt oftare självständigt kunna bedöma distansarbetsmiljöns säkerhet. Fäst alltid din uppmärksamhet vid att dina förfaringssätt är säkra. Särskilt viktigt är det då du arbetar utanför dina ordinarie kontorslokaler. Vid distansarbete bör du i tillämpliga delar följa samma säkerhetsprinciper som då du befinner dig i organisationens egentliga lokaliteter. Distansarbete är tillåtet bara om ett särskilt avtal har uppgjorts. Kontrollera organisationens anvisningar om distansanvändning. Kom ihåg att allt arbete som görs inom organisationen inte kan utföras som distansarbete på grund av informationssäkerheten. Identifiera sådana arbeten. Det kan vara förbjudet eller omöjligt att använda vissa system på distans. Som regel sköter arbetsgivaren anskaffning och installation av den utrustning, de program och dataförbindelser som krävs vid distansarbete. Se till att den apparatur, de program, dataförbindelser och pappersmaterial du använder är och förblir endast i din användning. Se till att de användarnamn, lösenord, eventuella smartkort och annan verifikationsutrustning du använder är bara i din användning och att bara du känner till dem. Använd överenskomna skyddsprogram och försäkra dig om att de är uppdaterade. Ha med dig bara den mängd datamaterial du behöver och försäkra dig om att det skyddats på tillbörligt sätt. I hanteringen av handlingar ska samma principer följas som normalt och de särskilda riskerna med distansarbete noteras. Distansarbetet bör begränsas till material som inte äventyrar informationssäkerheten om det kommer till någon utomståendes kännedom. Också vid distansarbete bör materialets klassificering och användningsreglerna för det följas samt begränsningarna för dess överlåtelse, användning och behandling iakttas.

23 Se till att ditt datamaterial säkerhetskopieras och att det förvaras och förstörs på ett säkert sätt. 4.3 På hemdatorn Om du har en egen dator och internetanslutning är det viktigt att sörja för informationssäkerheten. Be med jämna mellanrum en IT-expert kontrollera att din arbetsstation är säker. Skapa egna användarnamn för alla användare, med endast normala användarrättigheter. Använd administratörsidentiteten (t.ex. Systemövervakare, Administrator) bara för underhållsåtgärder. Installera bara officiella program som är uppdaterade. Kontrollera att operativsystemet och övriga systemprogram uppdateras automatiskt. Använd något känt antivirusprogram (innehåller bl.a. virusskydd, brandvägg, verktyg mot spionprogram, skräppostfilter) och kontrollera att det uppdateras automatiskt. Öppna inga suspekta e-postmeddelanden och e-postbilagor. Ta regelbundet säkerhetskopior och öva att ta dem i bruk. Då du kopplar upp dig på internet, för att t.ex. göra inköp, använd bara tillförlitliga tjänster och leverantörer. Ge inte ut mer personlig information än nödvändigt. Ge ingen information alls om arbetsgivaren. Stäng datorn och bryt uppkopplingen till internet då du inte använder den. 4.4 Researbete Undvik att diskutera konfidentiella arbetsärenden på offentliga platser och i kollektiva färdmedel. Om du arbetar i kollektiva färdmedel försäkra dig om att medpassagerarna inte kan se den information och de handlingar du hanterar. Akta dig också för att trådlösa förbindelser inte aktiveras oavsiktligt i din dator. Förvara information och utrustning i säkerhet. Lämna inte en bärbar dator eller en mobiltelefon utan bevakning. Förvara utrustningen på ett låst ställe. Kom också ihåg att förvara datamedier, pappersutskrifter etc. på

24 tillbörligt sätt. Bärbara datorer och mobiltelefoner får inte lämnas i bilen på synlig plats, och får inte förvaras i bilen över natten. Undvik att använda offentliga datorer (t.ex. Internet-caféer, bibliotek) för dina arbetsuppgifter. Du kan inte påverka vilken information om din användning som samlas upp och vad den används till. Vanligen har du inte ens möjlighet att radera denna information från datorn.

25 5 Problemsituationer 5.1 Anmälningsplikt och förfarande vid problemsituationer Om utrustning, passerkort, id eller motsvarande försvinner eller blir föremål för stöld ska du genast meddela detta till ifrågavarande ansvarsperson för att begränsa ditt eget ansvar. Meddela alltid om sabotageprogram (t.ex. virus, maskar eller trojaner) och andra problem i anslutning till informationssäkerheten till den informationssäkerhetsansvariga, dataadministrationen eller till din egen chef. Meddela också alltid om andra misstankar, skyddsbrister eller problem gällande säkerheten till säkerhetsansvariga eller din egen chef. 5.2 Om du misstänker att datasekretessen kränkts eller att din dator blivit smittad av sabotageprogram Gör inte något förhastat. Datorn behöver inte stängas, men lösgör nätkabeln. Skriv upp det som stod i det meddelande eller den varning du eventuellt fick. Skriv upp vad du gjorde och notera den förlorade arbetstiden för ett eventuellt krav på ersättning. Ta kontakt med dataadministrationen och/eller den informationssäkerhetsansvariga. Hjälp till med utredningen. Berätta vad du höll på med då datorn började bete sig på oväntat sätt. Följ de anvisningar du får.

26 5.3 Påföljder För brott mot lagar, bestämmelser och anvisningar kan användarrätten till datasystemen dras in. Förseelser ska alltid meddelas chefen. I allvarliga fall kan missbruk även leda till skadeståndskrav och brottsrättsliga påföljder. En påföljd kan också vara att man blir uppsagd eller att tjänsteförhållandet upplöses.

27 6 Var får man ytterligare information? Ytterligare information om informationssäkerhet får man bl.a. i följande källor: Den informationssäkerhetsansvariga, dataadministrationen, den säkerhetsansvariga, chefen Organisationens egna anvisningar Lagstiftningen. Statens författningsdata ( www.finlex.fi) Organisationer som ger anvisningar om och som reglerar informationssäkerheten, t.ex. Finansministeriets VAHTI-anvisningar ( www.vm.fi/vahti) Arkivverkets anvisningar ( www.narc.fi) Anvisningar från Dataombudsmannens byrå ( www.tietosuoja.fi) Anvisningar från Utvecklingscentralen för informationssamhälle rf (www.tieke.fi) Kommunikationsverkets anvisningar ( www.ficora.fi) Den offentliga förvaltningens och näringslivets gemensamma anvisningar (www.tietoturvaopas.fi)

28

29 Bilaga 1: Lagstiftning med nära anknytning till informationssäkerheten Vid sidan av de bestämmelser om sekretess som ingår i olika lagar är följande lagar de viktigaste: Finlands grundlag (731/1999) 2 kap. 10 : Skydd för privatlivet och hemligheten i fråga om förtroliga meddelanden Finlands grundlag (731/1999) 2 kap. 12 : Handlingar och upptagningar som innehas av myndigheterna Lag om offentlighet i myndigheternas verksamhet (621/1999) Förordningen om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999) Statstjänstemannalagen (750/1994) 17 : Författning om tjänsteförhållande till staten. Lagen om kommunala tjänsteinnehavare (304/2003) Arbetsavtalslagen (55/2001) Statsrådets principbeslut om informationssäkerheten inom statsförvaltningen (VM0024:00/02/99/1998) Arkivlagen (831/1994): Framställning, förvaring och användning av handlingar Lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004): Internationella handlingar av känslig natur Personuppgiftslagen (523/1999): Allmänna principer för behandling av personuppgifter Lagen om säkerhetsutredningar (177/2002): Personers bakgrund Lagen om integritetsskydd i arbetslivet (759/2004): Behandling av arbetstagares personuppgifter Lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003): Datasäkerheten vid uträttande av ärenden och informationsutbytet mellan myndigheterna Lagen om elektroniska signaturer (14/2003) Lag om dataskydd vid elektronisk kommunikation (516/2004): Konfidentialitet och integritetsskydd vid elektronisk kommunikation

30 Strafflagen (39/1889) 34 kap. 9a : Orsakande av fara för informationsbehandling Strafflagen (39/1889) 38 kap. 8 : Dataintrång Strafflagen (39/1889) 38 kap. 9 1 mom.: Brott mot bestämmelse om behandling av personuppgifter Personuppgiftslagen (523/1999) 48 : Personregisterbrott Skadeståndslagen (41/1974) Uppdaterade lagtexter finns bl.a. i Statens författningsdata på sidan www. finlex.fi

31 Bilaga 2: Vahti-publikationer som är i kraft Informationssäkerhetsanvisning för personalen, VAHTI 7/2008 Tietoturvallisuus on asenne! Selvitys julkishallinnon tietoturvakoulutustarpeista, VAHTI 6/2008 Valtion ympärivuorokautisen tietoturvavalvonnan hanke-esitys, VAHTI 5/2008 Valtionhallinnon tietoturva-arviointipoolin toimintaraportti, VAHTI 4/2008 Valtionhallinnon salauskäytäntöjen tietoturvaohje, VAHTI 3/2008 Tärkein tekijä on ihminen henkilöstöturvallisuus osana tietoturvallisuutta, VAHTI 2/2008 VAHTIn toimintakertomus vuodelta 2007, VAHTI 1/2008 Tietoturvallisuudella tuloksia valtionhallinnon tietoturvallisuuden yleisohje, VAHTI 3/2007 Äypuhelimien tietoturvallisuus hyvät käytännöt, VAHTI 2/2007 Osallistumisesta vaikuttamiseen - valtionhallinnon haasteet kansainvälisessä tietoturvatyössä, VAHTI 1/2007 Tunnistaminen julkishallinnon verkkopalveluissa, VAHTI 12/2006 Tietoturvakouluttajan opas, VAHTI 11/2006 Henkilöstön tietoturvaohje, VAHTI 10/2006 Käyttövaltuushallinnon periaatteet ja hyvät käytännöt, VAHTI 9/2006 Tietoturvallisuuden arviointi valtionhallinnossa, VAHTI 8/2006 Muutos ja tietoturvallisuus - alueellistamisesta ulkoistamiseen - hallittu prosessi, VAHTI 7/2006 Tietoturvatavoitteiden asettaminen ja mittaaminen, VAHTI 6/2006 Asianhallinnan tietoturvallisuutta koskeva ohje, VAHTI 5/2006 Electronic Mail-handling Instructions for State Government, VAHTI 2/2006 Tietoturvapoikkeamatilanteiden hallinta, VAHTI 3/2005 Valtionhallinnon sähköpostien käsittelyohje, VAHTI 2/2005 Information Security and management by Results, VAHTI 1/2005 Valtionhallinnon keskeisten tietojärjestelmien turvaaminen, VAHTI 5/2004 Datasäkerhet och resultatstyrning, VAHTI 4/2004 Haittaohjelmilta suojautumisen yleisohje, VAHTI 3/2004 Tietoturvallisuus ja tulosohjaus, VAHTI 2/2004 Valtionhallinnon tietoturvallisuuden kehitysohjelma 2004-2006, VAHTI 1/2004

32 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa, VAHTI 7/2003 Valtionhallinnon tietoturvakäsitteistö, VAHTI 4/2003 Tietoturvallisuuden hallintajärjestelmän arviointisuositus, VAHTI 3/2003 Turvallinen etäkäyttö turvattomista verkoista, VAHTI 2/2003 Valtion tietohallinnon Internet-tietoturvallisuusohje, VAHTI 1/2003 Arkaluonteiset kansainväliset tietoaineistot, VAHTI 4/2002 Valtionhallinnon etätyön tietoturvallisuusohje, VAHTI 3/2002 Tietoteknisten laitetilojen turvallisuussuositus, VAHTI 1/2002 Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslista, VAHTI 6/2001 Sähköisten palveluiden ja asioinnin tietoturvallisuuden yleisohje, VAHTI 4/2001 Valtionhallinnon lähiverkkojen tietoturvallisuussuositus, VAHTI 2/2001 Valtionhallinnon tietojärjestelmäkehityksen tietoturvallisuussuositus, VAHTI 3/2000 Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje, VAHTI 2/2000 Anvisningarna revideras och kompletteras och finns på VAHTI-ledningsgruppens webbsida (www.vm.fi/vahti) och kan också beställas hos förlaget Edita.

FINANSMINISTERIET Snellmansgatan 1 A PB 28, 00023 Statsrådet Telefon (09) 160 01 Telefax (09) 160 33123 www.finansministeriet.fi 7/2008 VAHTI November 2008 ISSN 1455-2566 ISBN 978-951-804-636-0 (nid) ISBN 978-951-804-637-9 (pdf)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss