Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)



Relevanta dokument
Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Personal (3:0:0)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

IT-säkerhetsinstruktion

Informationssäkerhetsinstruktion: Användare

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Informationssäkerhetsanvisning

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy IT (0:0:0)

IT-regler Användare BAS BAS-säkerhet Gislaveds kommun

Handledning i informationssäkerhet Version 2.0

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

IT-Policy Vuxenutbildningen

Bilaga 1 - Handledning i informationssäkerhet

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

- användare. Inledning. Ditt ansvar som användare. Åtkomst till information. Författningssamling

ANVÄNDARHANDBOK. Advance Online

Informationssäkerhet - Informationssäkerhetspolicy

Säkerhetsinstruktion för användare av UmUs it-resurser

Informationssäkerhetsinstruktion. medarbetare

Informationssäkerhetspolicy IT (0:0:0)

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du hanterar

ANVÄNDARHANDBOK Advance Online

Informationssäkerhet Riktlinjer för användare

Informationssäkerhetspolicy för Katrineholms kommun

Sammanfattning av riktlinjer

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Informationssäkerhet

Regler för användning av Oskarshamns kommuns IT-system

Vägledande råd och bestämmelser för Användare av ITsystem inom Timrå kommun

Antagen av kommunstyrelsen Gäller fr o m Digital kommunikation - instruktion för användare

IT-Säkerhetsinstruktion: Användare

Informationssäkerhetsinstruktion för användare i Borlänge kommunkoncern

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Informationssäkerhetsinstruktion användare

Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: Fastställd av: Johan Fritz Fastställd:

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

IT-Säkerhets -instruktion: - Användare. Arvidsjaurs kommun

Informationssäkerhets instruktioner för användare i Borlänge Kommun instruktion

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Säkerhetspolicy för Degerfors kommun (1 bilaga)

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

IT-säkerhetsinstruktion för användare

Regler för användning av Riksbankens ITresurser

IT-riktlinje för elever

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

IT-Guiden Finspångs kommuns IT-guide för personal

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

IT policy för elever vid

IT-riktlinjer Nationell information

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Dnr

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy. Linköpings kommun

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖR ANVÄNDARE AV IT-SYSTEM INOM TIMRÅ KOMMUN

Lösenordsregelverk för Karolinska Institutet

Ditt nya smarta etjänstekort!

IT-Säkerhetsinstruktion: Förvaltning

IT-säkerhetsinstruktion Användare Version 1.0

IT-policy. Förvaltningen Björn Sandahl, förvaltningschef

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

InformationsSäkerhets- Instruktion Användare

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Lathund för BankID säkerhetsprogram

IT-säkerhetsinstruktion Förvaltning

SÅ HÄR GÖR VI I NACKA

Portalinloggning SITHS HCC och Lösenordsbyte manual

Dnr 2007/83 PS 004. Riktlinjer för elevernas IT användning i proaros skolverksamhet

Riktlinjer. Telefoni. Antagen av kommundirektören

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

Bilaga 3 Säkerhet Dnr: /

Riktlinjer IT-säkerhet för användare

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetspolicy

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

1(6) Informationssäkerhetspolicy. Styrdokument

Distansåtkomst via webaccess

Student. DisCo, Mitt konto, Min sida, Studentportal, Office e-post. IT-avdelningen

Syfte...1 Omfattning...1 Beskrivning...1

Riktlinje för mobil användning av IT - remissvar

Åtkomst till Landstingets nät via Internet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Transkript:

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197 99, Org nr: 222000 2584

Innehåll Instruktionens roll i informationssäkerhetsarbetet inom IT... 3 1. Användarens ansvar... 4 2. Åtkomst till information... 4 2.1 Behörighet... 4 2.2 Identifiering och autentisering... 4 2.2.1 Datorinloggning... 4 2.2.2 Inloggning till förvaltningsspecifika system... 4 2.2.3 Distansarbete... 4 2.2.4 Datorinloggning med hjälp av kort... 4 2.2.5 Spårbarhet... 5 2.3 Val av lösenord och PIN-koder... 5 2.4 Byte av lösenord och PIN-kod... 5 3. Arbetsplatsen... 5 3.1 Utrustning... 5 3.2 Programvaror... 5 3.3 Service på utrustning... 5 3.4 Uttjänt utrustning... 6 3.5 När man lämnar datorarbetsplatsen... 6 4. Klassning och hantering av information... 6 4.1 Klassning av information... 6 4.2 Lagring... 6 5. Internet... 6 6. Incidenter, virus mm... 7 6.1 Allmänt... 7 6.2 Virus... 7 7. Avslutning av uppdrag... 7 8. Gällande regler och föreskrifter... 8 Sid 2 (8)

Instruktionens roll i informationssäkerhetsarbetet inom IT Styrande dokument för informationssäkerhetsarbetet är övergripande informationssäkerhetspolicy IT med tillhörande dokument - Organisation för samordning av informationssäkerhet IT samt informationssäkerhetsinstruktionerna Förvaltning IT (Infosäk F), Kontinuitet och Drift IT (Infosäk KD) och Användare IT (Infosäk A), fördelad på grupperna Personal, Elever och Övriga. Informationssäkerhetspolicyn redovisar ledningens viljeinriktning och mål för informationssäkerhetsarbetet och syftar till att klarlägga: organisation och roller för informationssäkerhetsarbetet krav på riktlinjer för områden av särskild betydelse Informationssäkerhetsinstruktion Förvaltning (Infosäk F) redovisar: det ansvar som ingår i de olika rollerna de riktlinjer som gäller för områden av särskild betydelse regler för systemutveckling, systemunderhåll, incidenthantering Informationssäkerhetsinstruktion Kontinuitet och drift (Infosäk KD) redovisar: organisation och ansvar för drift av informationssystemen regler för säkerhetskopiering, lagring, driftadministration och kontinuitetsplanering Informationssäkerhetsinstruktion Användare (Infosäk A-P, A-E, A-Ö) syftar till att klarlägga: hur personal, elever och övriga användare ska verka för att upprätthålla en god säkerhet Som övriga användare räknas alla som utför uppdrag beställda och kontrollerade av systemförvaltare i samråd med Kommunalförbundet ITSAM. Sid 3 (8)

1. Användarens ansvar Information är en viktig tillgång för organisationen. För att skydda denna krävs ett säkerhetsmedvetande hos alla användare. Som användare har man del i ansvaret för säkerheten i informationshanteringen. För stöd och hjälp när det gäller användningen av enskilda program kontaktar man ansvarig systemadministratör. Har man problem med dator, nätverksåtkomst, programåtkomst eller telefoni kontaktas ansvarig systemadministratör eller Kommunalförbundet ITSAMs servicedesk. 2. Åtkomst till information 2.1 Behörighet Verksamhetens informationssystem är utrustade med behörighetskontrollsystem för att säkerställa att endast behöriga användare kommer åt information. Vilka behörigheter man blir tilldelad avgörs av närmaste inom Kommunalförbundet ITSAM utsedd ansvarig systemadministratör och beror på vilka tjänster man ska utföra. 2.2 Identifiering och autentisering Varje användare som ska ha åtkomst till IT-resurs, interna datanät och Internet måste ansöka erhålla ett användarid i form av användarnamn eller certifikat med tillhörande lösenord eller PIN-kod. 2.2.1 Datorinloggning För internt arbete gäller identifiering och autentisering med användarnamn och lösenord. Innan man loggar in första gången erhålls ett lösenord av Kommunalförbundet ITSAM utsedd ansvarig systemadministratör för åtkomst till tjänster och resurser. 2.2.2 Inloggning till förvaltningsspecifika system Lösenord till specifika informationssystem erhålls av Kommunalförbundet ITSAM utsedd ansvarig systemadministratör. 2.2.3 Distansarbete Användare som arbetar på distans identifierar sig med användarnamn samt autentiserar sig med lösenord och med erhållen kod till egen, personlig enhet (2-faktors autentisering) alternativt med hjälp av eid. Åtkomst till interna system på distans görs via angiven av Kommunalförbundet ITSAM administrerad portal. Kravnivåer på identifiering och autentisering för distansarbete regleras av Kommunalförbundet IT- SAMs policy för åtkomstkontroll. 2.2.4 Datorinloggning med hjälp av kort Vid de arbetsplatser där smartkort används, identifierar och autentiserar man sig via ett smart kort istället för användarnamn och lösenord. Övriga användare ska erhålla i de fall det krävs, tillfälligt utgivet smart kort tillsammans med övriga inloggningsuppgifter. Användare som använder smart kort sätter in dessa i datorns kortläsare samt matar in den tilldelade personliga PIN-kod erhållits tillsammans med smartkortet. När kortet dras ut ska datorn låsas automatiskt. Förlust av smart kort ska omedelbart anmälas till driftorganisationens servicedesk för spärr och återkallande av tillhörande certifikat. Begäran om nytt kort görs via av Kommunalförbundet ITSAM utsedd ansvarig systemadministratör. Sid 4 (8)

2.2.5 Spårbarhet Som användare lämnar man spår efter sig när man är inloggad och arbetar i systemen. De loggningsfunktioner som finns i systemen används för spåra obehörig åtkomst. Detta för att skydda informationen och för att undvika att man som användare blir oskyldigt misstänkt om oegentligheter skulle inträffa. Efter tre misslyckade försök att logga in spärras kontot. Om det händer måste kontakt tas med Kommunalförbundet ITSAMs servicedesk eller ansvarig systemadministratör för att få ett nytt lösenord. Har man glömt sitt lösenord eller förlorat möjligheten att få åtkomst till interna resurser via portal, ska ansvarig systemadministratör eller Kommunalförbundet ITSAMs servicedesk meddelas. 2.3 Val av lösenord och PIN-koder För lösenord gäller att de: ska vara minst åtta tecken långa ska bestå av en blandning av versaler, gemener och andra tecken inte kan och ska återanvändas Beroende på typ av smart kort är längden på PIN-koden 4 tecken eller fler. Observera att PIN-koden endast består av siffror 2.4 Byte av lösenord och PIN-kod Byte av lösenord och PIN-kod ska: ske var 90:e dag för det interna nätverket för enskilda system ske efter ett visst tidsintervall som bestäms av respektive systemägare ske omedelbart om man misstänker att lösenordet eller PIN-koden blivit röjt 3. Arbetsplatsen 3.1 Utrustning För den utrustning man förfogar över, ex. server, stationär eller bärbar PC med tillhörande utrustning, och liknande gäller att: fysiska ingrepp endast får göras av driftorganisationen eller av leverantörens utsända servicetekniker. fel på utrustningen omgående ska anmälas till systemadministratör. alla installationer och konfigurationer enbart får utföras enligt gällande serviceplan och i samråd med ansvarig systemadministratör. 3.2 Programvaror Programvaror får installeras i samråd med ansvarig systemadministratör eller av annan godkänd person med delegation. Egna program utanför ramen i uppdraget får inte installeras i verksamhetens utrustning. Det är inte tillåtet att kopiera eller installera organisationens programvara utanför den ordinarie verksamheten. Om behov finns av ytterligare program- eller hårdvara ska begäran om detta göras till ansvarig systemadministratör. 3.3 Service på utrustning Inför service på erhållen utrustning från uppdragsgivaren vilket innebär bortlämnande av densamma till extern part ska känslig information avlägsnas om sådan finns. Sid 5 (8)

3.4 Uttjänt utrustning Kassering av utrustning görs av från driftorganisationen utsedd personal. 3.5 När man lämnar datorarbetsplatsen Vid tillfällen då man inte har uppsikt över datorarbetsplatsen ska man alltid låsa arbetsstationen med CTRL+ALT+DEL och Enter. I förekommande fall räcker det med att avlägsna smartkort ur kortläsaren för att uppnå samma resultat. I de fall man arbetar på distans, ska utloggning alternativt låsning av arbetsstation göras samt nedkoppling av eventuella vpn-förbindelser via portal göras. 4. Klassning och hantering av information 4.1 Klassning av information Informationssystem inom organisationerna klassas utifrån den information som hanteras i systemet. Klassning görs utifrån aspekterna Sekretess: Att informationen skyddas från obehörig insyn eller nyttjande Riktighet: Att informationen inte ändras på obehörigt sätt Tillgänglighet: Att informationen finns tillgänglig för rätt person vid rätt tillfälle Spårbarhet: Att händelser går att härleda till användare och/eller system Tas information ut ur systemet och lagras på andra media eller används i ett annat sammanhang måste den klassas där den används och hanteras därefter. Även information i arbetsmaterial ska klassas. Allmänt gäller att verksamhetsrelaterad information samt tillgängliggjord information genom verksamhetssystem inte får föras vidare till tredje part efter uppdragsslut eller då anställning upphör eller användas utanför ramen för sina ordinarie arbetsuppgifter. 4.2 Lagring Den information som lagras på anvisade utrymmen säkerhetskopieras dagligen. Man kan välja att lagra filer i egna-, organisations- eller andra gemensamma utrymmen/resurser. Hemmakatalogen är en enhet som kan användas för lagring av personligt arbetsmaterial. I förekommande fall kan även andra enhetsbeteckningar finnas. Organisationskataloger är enheter för lagring av information som berör personal inom den egna organisationen. Organisationskataloger delas av alla som har rättigheter till dessa. Om man lagrar information på lokala enheter är man personligen ansvarig för säkerhetskopiering. Lagrar man information på lokala enheter riskerar man att förlora information som inte kan återskapas till rimliga kostnader vid t ex en diskkrasch eller om datorn har skickats tillbaka till tillverkaren efter leasingperiods utgång eller vid service. Driftorganisationen tar inget ansvar för lokalt lagrad information. 5. Internet Använder man Internet kan säkerheten i organisationens system och datanät äventyras beroende på beteende. Sid 6 (8)

Det är inte tillåtet att via Internet titta eller lyssna på material av pornografisk eller rasistisk karaktär. Förbudet gäller även material som är diskriminerande (religion, kön, sexuell läggning mm) eller som har anknytning till olaglig/kriminell verksamhet. Tänk på att när man surfar på Internet, deltar i diskussioner eller gör inlägg via digitala sociala nätverk fortfarande representerar sin uppdragsgivare och dennes värderingar. Detta gäller även utanför arbetstid där man bör klargöra att man inte uttalar sig som representant från uppdragsgivaren vid inlägg i kontroversiella ämnen även om de saknar anknytning till uppdraget. Vid användning av Internet på angiven arbetsplats eller inom andra lokaler hos sin uppdragsgivare lämnar man alltid spår efter sig i form av uppdragsgivarens IP-adress. 6. Incidenter, virus mm 6.1 Allmänt Om misstanke finns att någon använt ens användaridentitet eller att man varit utsatt för annan liknande incident ska man: notera när man senast var inloggad (datum och tidpunkt). notera när incidenten upptäcktes (datum och tidpunkt). omedelbart anmäla förhållandet till ansvarig systemadministratör. dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på information påverkats. Om man upptäcker fel och brister i de system som används ska detta rapporteras till ansvarig systemadministratör. 6.2 Virus Inom organisationen ska samtliga uppkopplade enheter ha programvaror för viruskontroll både i klienterna och i nätverket men man kan ändå drabbas av effekter av det som kallas för skadlig kod. Om misstanke finns att dator innehåller virus ska man: Om arbete sker internt dra ur nätverkskabeln och/eller avaktivera det trådlösa nätverkskortet, men låta datorn vara igång. omedelbart anmäla förhållandet till ansvarig systemadministratör. Observera: Anmälan ska göras per telefon eller besök, inte via epost. Läs-/surfplattor, smarta telefoner, digitalkameror, USB-minnen mm kan lätt bli virusbärare eftersom man där kan mellanlagra information mellan olika datorer. Var noga med att den dator man ansluter sådan kringutrustning till har ett uppdaterat virusskydd enligt gällande krav. 7. Avslutning av uppdrag När man avslutar sitt uppdrag ansvarar man för att: i samråd med ansvarig systemadministratör rådgöra om vilket av sitt arbetsmaterial som är uppdragsrelaterat och som ska sparas. material av privat natur tas bort. behörigheter man erhållit för åtkomst till informationssystem avbeställs via ansvarig systemadministratör. Sid 7 (8)

8. Gällande regler och föreskrifter Informationssäkerhetsinstruktionen Användare A-Ö (användarpolicyn) med tillhörande kvittens ska skrivas under av uppdragshållare. Underskriven kvittens ska lämnas till närmaste ansvarig systemadministratör. Uppdragshållare ska vid underskrift ha tillgång till ett eget exemplar av denna informationssäkerhetsinstruktion. Observera att den kan komma att uppdateras och att det alltid är den senaste uppdaterade versionen som gäller. Sid 8 (8)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss