IT-instruktioner version 05-03-16



Relevanta dokument
IT-säkerhetsinstruktion Förvaltning

IT-Säkerhetsinstruktion: Förvaltning

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

IT-säkerhetsinstruktion

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Informationssäkerhetsinstruktion: Användare

Säkerhetsinstruktion för användare av UmUs it-resurser

Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du hanterar

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Informationssäkerhetsanvisning

Regler för användning av Oskarshamns kommuns IT-system

IT-säkerhetsinstruktion för användare

Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: Fastställd av: Johan Fritz Fastställd:

Sammanfattning av riktlinjer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

Syfte...1 Omfattning...1 Beskrivning...1

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Handledning i informationssäkerhet Version 2.0

IT-riktlinjer Nationell information

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

IT-säkerhetsinstruktion Användare Version 1.0

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Vägledande råd och bestämmelser för Användare av ITsystem inom Timrå kommun

Informationssäkerhetspolicy

IT-Policy Vuxenutbildningen

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-regler Användare BAS BAS-säkerhet Gislaveds kommun

IT-Säkerhets -instruktion: - Användare. Arvidsjaurs kommun

IT-säkerhetspolicy. Fastställd av KF

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

Bilaga 1 - Handledning i informationssäkerhet

IT-Guiden Finspångs kommuns IT-guide för personal

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun

Informationssäkerhetsinstruktion Användare: Personal (3:0:0)

- användare. Inledning. Ditt ansvar som användare. Åtkomst till information. Författningssamling

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Rekryteringsmyndighetens interna bestämmelser

Dnr 2007/83 PS 004. Riktlinjer för elevernas IT användning i proaros skolverksamhet

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Informationssäkerhetspolicy

IT-Säkerhetsinstruktioner: Förvaltning

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖR ANVÄNDARE AV IT-SYSTEM INOM TIMRÅ KOMMUN

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

Informationssäkerhet

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

Informationssäkerhet - Informationssäkerhetspolicy

RIKTLINJER FÖR IT-SÄKERHET

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion. medarbetare

IT-Säkerhetsinstruktion: Användare

Ny i nätverket kontoansökan och information till tillfälliga användare

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Regler för användning av Riksbankens ITresurser

SÄKERHETSINSTRUKTION PRIMULA systemet

ANVÄNDARVILLKOR ILLUSIONEN

Riktlinjer IT-säkerhet för användare

Informationssäkerhetsanvisningar Förvaltning

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

som finns i skolan. Det hjälp. använder datorn. behandlad.

Regler och instruktioner för verksamheten

InformationsSäkerhets- Instruktion Användare

IT-Säkerhetsinstruktion:

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regler för användning av skoldatanätet i Vaxholms stad.

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Regler för datoranvändning på Åva Gymnasium

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

Informationssäkerhetspolicy för Nässjö kommun

Postadress Besöksadress Telefon Telefax E-post Norrköpings kommun Rådhuset

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhet Riktlinjer för användare

Bilaga 3 Säkerhet Dnr: /

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Antagen av kommunstyrelsen Gäller fr o m Digital kommunikation - instruktion för användare

Policy för Internet- och e-postanvändning i N.N. församling/samfällighet/stift

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Policy för användande av IT

ANVÄNDARHANDBOK. Advance Online

Riktlinjer användning IT- och telefonistöd

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

Informationssäkerhet, ledningssystemet i kortform

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

IT-riktlinje för elever

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Lösenordsregelverk för Karolinska Institutet

Transkript:

IT-SÄKERHETSINSTRUKTION FÖR ANVÄNDARE... 2 INSTRUKTIONENS ROLL I IT-SÄKERHETSARBETET... 2 MÅL... 2 INLOGGNING... 3 När blir Ditt användarkonto tillgängligt?... 3 Initialt lösenord...3 Lösenordet är strängt personligt...3 Glömt lösenord...3 Program och licenser...4 Distansarbete, bärbara datorer och hemdatorer...4 INTERNET... 5 E-POST... 5 HOT MOT VÅR INFORMATION - INCIDENTER... 5 Vad skall rapporteras?...5 Vem skall rapportera incidenter?...5 Vem skall Du rapportera till?...6 Datavirus... 6 Epostspam... 6 TEKNISK SUPPORT... 6 Om Du behöver lämna in Din dator på reparation...6 NÄR DU SLUTAR DIN ANSTÄLLNING... 7 Vem ansvarar för det som finns lagrat på Ditt konto?...7 När avslutas användarkontot?...7 Vad händer med Ditt epost-konto när Du slutar Din anställning?...7 IT-SÄKERHETSINSTRUKTION FÖR FÖRVALTNING:... 8 ÅTKOMST TILL IT-RESURSER... 8 Behörighet... 8 Behörighetsadministration...8 Behörighetskontroll...8 Loggning... 8 Spårbarhet... 9 Införande och förvaltning av IT-system... 9 Avveckling av IT-system... 10 DRIFTGODKÄNNANDE... 10 GRANSKNING... 10 IT-SÄKERHETSINSTRUKTION FÖR DRIFT:... 11 DATAKOMMUNIKATION... 11 Televäxeln... 11 Externa anslutningar... 11 Brandväggar... 11 DRIFTSÄKERHET... 11 AVBROTTS- OCH KATASTROFPLANER... 12 Avbrottsplaner... 12 Katastrofplaner... 12 SÄKERHETSKOPIERING OCH LAGRING... 13 Regler för rättning av data bör minst omfatta:... 13 Kontroll av IT-utrustning... 13 Rutiner för backup av kommunens servrar... 13 05-03-16 09:59:11 Sida 1 (13)

IT-SÄKERHETSINSTRUKTION FÖR ANVÄNDARE Instruktionens roll i IT-säkerhetsarbetet Användningen av datorer i vårt dagliga arbete ökar. För att alla dessa IT-system som vi arbetar med skall vara säkra, tillgängliga och fungera som de effektiva verktyg vi önskar, är det viktigt att användningen sker på ett kontrollerat sätt. En förutsättning för detta är att känna till de krav som ställs på Dig som IT-användare inom organisationen. Som användare har Du alltså en del av ansvaret för säkerheten i vår informationshantering. Du måste veta: Mål vilket ansvar Du har vad Du ska göra vid olika incidenter var Du kan få stöd och hjälp de allmänna säkerhetsbestämmelserna reglerna för Din användning av hårdvara (datorer och kringutrustning) och mjukvara (program) hur Du får nyttja e-post och Internet Målet är att alla användare skall: ansvara för informationens riktighet och att den skyddas mot obehörig insyn vid såväl inmatning, uttag och bearbetning av information. till s Helpdesk rapportera fel och brister som uppstår i driften liksom olika former av incidenter, t.ex. misstänkt virusangrepp. förstå IT-systemets struktur och rollfördelning inom organisationen. förstå begränsningar och risker i användandet av e-post och Internet. till systemägare framföra behov av information och utbildning. till systemägare föreslå utvecklande förändringar av IT-systemen. Säkerhetsinstruktionen för användarna är generell för hela kommunorganisationen och täcker in alla system. Den redovisar de regler som gäller om hur information, kommunikationsnät, datasystem och arbetsplatser skall hanteras för att felaktigheter och störningar skall undvikas. 05-03-16 09:59:11 Sida 2 (13)

Inloggning Våra IT-system är utrustade med behörighetskontrollsystem på olika nivåer för att säkerställa att det endast är behöriga användare som får åtkomst till informationen. För att få behörighet krävs att: 1. Du godkänts i den grundläggande IT-säkerhetsutbildningen och fått nödvändig information om de datasystem Du kommer att använda. 2. Du tagit del av IT-instruktion för användare. 3. Du undertecknat Användarförsäkran där Du erkänner att Du har förstått och accepterat innehållet i ITinstruktion för användare. Sedan Du lämnat en underskriven försäkran ansvarar Du för att följa de regler som kopplas till behörigheten. 4. Chefen lämnar en ifylld och undertecknad blankett Anmälan om användarkonto till med uppgift om den behörighet och åtkomst till program, system, kataloger mm som Du skall tilldelas. 5. Du godkänner att personuppgifter om Dig t.ex. namn, befattning, telefonnummer, e-postadress, foton och liknande arbetsplatsrelaterade personuppgifter registreras i kommunens databaser eller kan publiceras på kommunens webbplats eller intranät. När blir Ditt användarkonto tillgängligt? 5 arbetsdagar efter det mottagit Anmälan om användarkonto och Användarförsäkran. Systemadministratören lägger in Din behörighet i ev. förvaltningsspecifika system. sänder uppgifterna om användaridentitet och ett lösenord till Dig via Din chef. Initialt lösenord Första gången loggar Du in med ett initialt lösenord i kommunens nät som Du får av. Du byter omedelbart lösenordet till Ditt personliga lösenord enligt nedanstående modell. Systemadministratören för förvaltningsspecifika system tilldelar dig lösenord för respektive system i samband med inlägg av behörighet till systemen. Lösenordet är strängt personligt och skall hanteras därefter. Du skall därför: skydda lösenordet väl. Avslöja inte Ditt lösenord för andra eller låna ut Din behörighet lösenordet skall bytas med vissa tidsintervaller eller omedelbart om Du misstänker att någon fått kännedom om det All inloggning eller försök till inloggning under annan, eller med annans identitet är absolut förbjuden När Du arbetar i organisationens nätverk loggas och registreras i allmänhet Dina aktiviteter. Information som sparas på gemensamma utrymmen i det lokala nätverket, skall lagras på anvisad plats Det är absolut förbjudet att ansluta sin datorutrustning externt via egen icke godkänd uppkoppling t e x modem Det är förbjudet att skaffa sig utökade systemrättigheter än det som tilldelats. Om vi alla följer dessa regler så kan obehöriga inte komma åt informationen. Kom ihåg att Du ansvarar för allt som registrerats med Din användaridentitet. Lösenordet skall bestå av minst 6 tecken För att eliminera vissa problem med lösenord rekommenderar vi att Du endast använder tecknen a-z, A-Z och 0-9. Tänk på att små bokstäver (gemena) och stora bokstäver (versaler) skall ses som skilda tecken. Lösenordet skall konstrueras så att det inte lätt kan kopplas till dig som person. Enkla repetitiva mönster såsom t ex ABC123, skall undvikas, liksom andra lättforcerade lösenord, t.ex. Ditt eget eller familjemedlems namn eller enkla tangentbordskombinationer av typen QWERTY. Tidigare använda lösenord kan inte återanvändas. När Du byter lösenord kontrollerar systemet att Du inte använder något av de 12 senaste lösenorden. Glömt lösenord Om Du glömmer Ditt lösenord och försöker logga in till systemet med ett felaktigt lösenord kommer systemet efter tre felaktiga försök att låsa Ditt konto. Om detta inträffar vänder Du dig till och/eller behörighetsansvarig för systemet. Du kommer då att få ett nytt lösenord. Du lämnar spår efter dig när Du är inloggad och arbetar i systemen. Loggningsfunktioner används för att spåra obehörig verksamhet och intrång. Detta görs för att skydda informationen samt för att undvika att oskyldiga misstänks om oegentligheter inträffar. 05-03-16 09:59:11 Sida 3 (13)

Om Du lämnar arbetsplatsen Vid tillfällen när Du inte har uppsikt över arbetsstationen kan Du tillfälligt låsa arbetsstationen med kortkommandot: CTRL+ALT+DEL eller Windowstangenten+L. Vid längre frånvaro skall arbetsstationen loggas ur. Om Du glömmer detta finns risk att information är tillgänglig för obehöriga. Kom ihåg att Du ansvarar för allt som registrerats med Din användaridentitet. Utskrifter av dokument på en gemensam skrivare skall hämtas så snart Du kan. Tänk på att kvarglömda dokument kan komma i orätta händer. Kringutrustning skrivare, kameror m.m. Vid fel på arbetsstation med tillhörande hårdvara skall Du omgående anmäla detta till Din systemadministratör eller IT-stöd. Din arbetsstation med tillhörande hårdvara är verksamhetens egendom och får ej bytas, förändras eller medtagas utan ITenhetens medgivande. All installation och konfiguration av hårdvara och arbetsstationer ska ske av så att kommunens standard följs. Om service på Din utrustning som innebär att Din persondator lämnas bort eller kasseras måste känslig information i Din hårddisk tas bort. Rådgör då med Din systemadministratör eller IT-stöd. Olika typer av minneskort eller mobila hårddiskar för handdatorer och digitala kameror mm kan lätt bli smittade med virus. Därför skall Du inte ansluta denna typ av kringutrustning mot en dator som Du inte med säkerhet vet har ett uppdaterat virusprogram. All kringutrustning skall vara godkänd och installerad av IT-stöd. Vårt lokala nätverk (LAN) och hantering av information Nätverket är en mycket viktig gemensam resurs som ger oss alla möjlighet att lagra information, dela på skrivare och program, upprätta kommunikation m m. Följande regler gäller för nätverket: Verksamhetskritisk information skall lagras på gemensamma diskutrymmen på nätverket. Vi rekommenderar att lokal lagring av viktig information generellt inte bör förekomma. Sker lagring av annan information på lokala arbetsstationer ansvarar Du själv för att denna blir säkerhetskopierad vilket innebär att: Du själv skall ta säkerhetskopior på olika typer av minneskort eller mobila hårddiskar eller disketter. Du skall tänka på att andra kan ha otillbörligt intresse av att komma över informationen Program och licenser All programvara på kommunens datorer och servrar skall vara licensbunden. Upphovsrätten skall alltid respekteras och är grunden för licensavtalen. Ingen programvara får därför kopieras eller föras utanför kommunens utrymme om ej annat överenskommits med systemägare/systemansvarig. All privatkopiering är således förbjuden. Vid behov av program/licenser skall verksamhetsansvarig chef kontakta för inköp, samordning och registrering. gör inga installationer om ovanstående regler överträds. Mjukvara (program) som inte godkänts av får ej installeras eller användas på arbetsstationer eller nätverk som administreras av. Det är inte heller tillåtet att kopiera eller använda kommunens program utanför dess verksamhet. Om Du är i behov av ytterligare programvaror eller hårdvara t ex handdator, digitala kameror mm skall Du anmäla det till Din chef. Distansarbete, bärbara datorer och hemdatorer Det är allt vanligare förekommande att anställda arbetar utanför organisationens lokaler, i hemmet eller på annan plats. Hantering av bärbara datorer och annan mobil utrustning och dess uppkoppling mot det interna nätverket måste regleras. Speciell försiktighet måste iakttas när det gäller distansarbete från hemmet samt vid användning av mobil utrustning som bärbara datorer och handdatorer o.d. på plats geografiskt skild från organisationens arbetslokaler. Verksamhetsansvarig chef beslutar om ett IT-systems information ska få hanteras på distans med stationär eller mobil utrustning. Distansarbete ska vara reglerat i avtal mellan förvaltningen och den anställde. För annan extern anslutning och mobil datoranvändning ska särskilda riktlinjer finnas. Avtalet och säkerhetsinstruktionen ska minst reglera stöldrisk och om utrustningen endast får användas för arbetsgivarens arbete om lagring och säkerhetskopiering av verksamhetskritisk information ska ske i egen dator eller hos arbetsgivaren. Lagringsmedia som Du använder/skapar i hemdatormiljö får inte användas i organisationens nätverk förrän viruskontroll av lagringsmediet har skett. hur eventuella hjälpinsatser utifrån (remote) och antiviruskontroll m.m. skall ske om kryptering krävs vid överföring och autenticering vid uppkoppling mot arbetsgivarens nätverk Endast den utrustning tillhandahållit får anslutas mot kommunens nätverk. Användning av trådlös anslutning kräver särskilda säkerhetsåtgärder och särskilt tillstånd. 05-03-16 09:59:11 Sida 4 (13)

Internet Kommunens nätverk är anslutet till Internet via en s.k. brandvägg som reglerar in- och utgående trafik. Loggning sker av trafiken i brandväggen. Internetanvändandet är ett område där säkerheten påverkas i mycket hög grad av användarnas beteende. Vid användande av Internet gäller följande Allmänt gäller att vid nedladdning från Internet krävs att Du har gott omdöme och endast hämtar in sådant som är relevant för arbetet och kommer från välrenommerade webbsidor. copyright-skyddade program t.ex. filmer, musik och spelprogram får inte laddas ned i kommunens system gratisprogram får inte laddas in i kommunens system utan att de godkänts av Det är inte tillåtet att via Internet titta/lyssna på material av pornografisk, rasistisk, nazistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning, nationalitet etc.) eller har anknytning till kriminell verksamhet. När Du surfar på Internet representerar Du kommunen. Gör det med ett gott omdöme så att Ditt agerande på nätet inte skadar oss. Du lämnar spår efter dig p.g.a. att all Internettrafik loggas. Denna loggfil är en allmän handling och visar vilka webbplatser Du har besökt. E-post E-post är ett rationellt arbetsverktyg men minneskapaciteten för det är begränsad. Tänk därför på att regelbundet rensa Din brevlåda innan den blir full. Om den blir full kan Du inte ta emot mer e-post. E-postsystemet skall inte användas som ett arkivsystem. Meddelanden och bifogade filer m.m. som Du vill spara, sparar Du på samma sätt som Du lagrar annan information. Observera att e-post som bedöms såsom en inkommen offentlig handling i ett ärende skall hanteras som sådan. Kontakta Din chef, som får besluta om hur handlingen vidare skall hanteras ang. diarieföring mm. Skriv inte någon känslig information i ämnesraden. Om Du under en längre period inte har möjlighet att kontrollera Din e-post skall Du sätta frånvarobesked med uppgift om vem som hanterar Dina ärenden. E-post med bilagor utgör ett stort hot när det gäller spridning av virus. Om Du misstänker att det kommit in virus via e- postsystemet skall omedelbart meddela s Helpdesk tel. 83 107. För att undvika problem med virusspridning och onödig belastning av systemresurser skall Du följa de råd om inställningar och hantering av e-posten som Du får av. Du skall inte öppna e-post som kan innehålla verksamhetskritisk information i någon annans dator. Det är inte tillåtet att sända massbrev till alla som är anslutna till kommunens adressbok utan särskilt tillstånd från systemägare och Var selektiv med att skicka eller vidarebefordra meddelanden som innehåller stora filer. Öppna endast bifogade filer från avsändare Du litar på. Använd inte heller Din vanliga användaridentitet och Ditt lösenord på externa system t.ex. hotmail eller andra publika e-postservrar, forum och konferenser Om Du får hotelsebrev eller liknande, kontakta Din chef. Ta inte bort brevet. Hot mot vår information - Incidenter Att dra lärdom av erfarenheter från incidenter av olika slag är ett viktigt moment när det gäller att spåra brister och svagheter i IT-verksamheten för att sedan rätta till dessa. Vad skall rapporteras? Om Du konstaterat eller misstänker: Dataintrång (t.ex. portscanning, brandväggsintrång, intrång i behörighetskontrollsystem, flooding) Datavirus m.m. (t.ex. virus, trojan, logisk bomb, sniffer) Händelse som medför driftavbrott eller fysisk skada (t.ex. stöld, brand, vatten, blixtnedslag, värme, sabotage) Brott mot lagstiftning och internt regelverk Vem skall rapportera incidenter? Alla medarbetare i organisationen och extern personal som utför uppdrag för organisationens räkning skall rapportera vid misstanke om inträffade säkerhetsincidenter och upptäckta säkerhetsbrister. 05-03-16 09:59:11 Sida 5 (13)

Vem skall Du rapportera till? Till IT-säkerhetssamordnaren via s Helpdesk. Åtgärder vidtas för att eliminera skadeverkningarna av incidenten. Därefter sammanställer IT-säkerhetssamordnaren en rapport om incidenten och informerar regelbundet kommunledningen om denna. IT-säkerhetssamordnaren skall sammanställa och analysera de incidenter som inträffar och föreslå åtgärder för att lära av incidenter för att förebygga eventuella framtida skador. Om Du misstänker att någon obehörig använt Din användaridentitet och varit inne i ITsystemet notera tidpunkten då Du senast själv var användare i systemet notera tidpunkten då Du upptäckte intrånget anmäl omedelbart till s Helpdesk dokumentera alla iakttagelser i samband med upptäckten samt försök att fastställa om kvaliteten på informationen har påverkats Datavirus Om Du drabbats av eller misstänker att systemet innehåller virus skall Du omedelbart: anmäla detta till s Helpdesk telefon 83 107. Om Du har tillgång till en annan dator kan Du felanmäla via helpdesk@atvidaberg.se avbryta allt arbete i datorn/systemet på det ställe där Du gjorde upptäckten och se till att ingen annan använder datorn/systemet skriva ner alla iakttagelser som Du misstänker kan ha samband med händelsen Epostspam har centralt installerat ett spam-filter som ständigt förbättras. Detta rensar bort merparten av de spamfiler som kommunen (liksom de flesta epostanvändare) drabbas av. Det är viktigt att användarna själva snabbt rensar bort de spam som trängt förbi det gemensamma filtret så att epostservern inte tyngs ned av spam. Vidare bör användaren medverka till att minska spam genom att endast använda kommunens epostklient (Groupwise). Om Du vet att värdefull post som sänts till dig inte kommit fram kan det bero på att epost-meddelandet har fastnat i filtret. Kontakta då Helpdesk. Teknisk support Om Du får fel på Din dator... Vem skall Du kontakta om Du är övertygad om att det är ett tekniskt fel på utrustningen? Svar: Helpdesk Felanmälningar skall inte ska göras till enskild tekniker utan till den centrala helpdeskfunktionen. Du skall så noggrant som möjligt beskriva Ditt problem. Ange Ditt namn, Din epost-adress, vilken dator som krånglar, var den finns, när felet uppstod, vilket fel Du tror att den har, vad Du gör i väntan på att felet avhjälps m.m. I den centrala helpdeskfunktionen avgörs vem som skall åtgärda problemet och när detta skall ske. Att särskilt observera är att tar ansvar för "tekniska problem". Handhavandeproblem kring kontorsinformationssystemen (Word, Excel, PowerPoint m. Fl.) ansvar inte för. Varje användare förväntas genomgå de fortbildningar/kurser som behövs för att klara av "användarproblemen" i sin yrkesroll. I övrigt är det varje enskild förvaltnings eget ansvar att tillhandahålla support genom sina systemadministratörer av de programvaror och administrativa system som endast används för förvaltningens eget behov (t.ex. IST-systemet inom skolan, Sofia-systemet inom socialförvaltningen osv.). Om Du behöver lämna in Din dator på reparation måste Du se till att känslig information har avlägsnats från hårddisken. Om den gått sönder måste Du rådgöra med ITenheten innan den sänds på service eller kasseras. Normalt sker denna dialog med när Du anmält ärendet till Helpdesk. 05-03-16 09:59:11 Sida 6 (13)

När Du slutar Din anställning ansvarar Du för att: rådgöra med Din chef om vilket av Ditt arbetsmaterial som skall sparas. Notera att allt arbetsmaterial Du framställt anses vara organisationens egendom och får inte tas med utan Din chefs godkännande. privat material rensas och tas bort. Vem ansvarar för det som finns lagrat på Ditt konto? 1. Du själv. 2. Du och Din chef ansvarar gemensamt för att värdefull information sparas någon annanstans innan anställningen upphör. 3. Ingen information sparas av. När avslutas användarkontot? Ansvarig chef skall avsluta den anställdes behörigheter i nätverket och i verksamhetssystemen genom anmälan till ITenheten (och systemansvarig). Om inget annat anges avslutas kontot 30 dagar efter anmälan om anställningens upphörande. (6 månader efter sista skoldag för studerande). Vad händer med Ditt epost-konto när Du slutar Din anställning? Innan Du slutar bör Du informera Din chef om vilken epost som bör överföras till annan befattningshavare. Din chef ansvarar för att överföringen görs. Din chef skall anmäla till att kontot för e-post skall avslutas och när det skall ske. Epost-brevlådan raderas och därmed all gammal post som ligger där. Ingen epost kan därefter sändas till adressen. 05-03-16 09:59:11 Sida 7 (13)

IT-säkerhetsinstruktion för förvaltning: IT-säkerhetshetsarbetet skall bidra till att ett IT-system kan användas på avsett sätt och med avsedd funktionalitet. Åtkomst till IT-resurser Behörighet Med behörighet avses en användares rättighet att på ett reglerat sätt utnyttja ett IT-system och dess resurser. För att uppnå detta krävs samverkande tekniska och administrativa åtgärder. Endast behöriga, med de rättigheter som beslutats, skall finnas registrerade som användare i IT-systemen. Varje användare skall ha en unik användaridentitet, enligt kommunens namn- och lösenordsstandard. Behörigheten består av två delar. Allmän behörighet i nätet som hanteras av. Behörighet i IT-systemet, vilken hanteras av systemansvarig och specificeras i tillägg till ITsystemsäkerhetsplan. Behörighetsadministration Beställning av åtkomst till IT-systemen skall ske på blankett som finns tillgänglig på kommunens webbsida. Verksamhetsansvarig chef fyller i och skickar blanketten till. Blanketten skall sparas hos beställaren och. Samma blankett skall användas när konsulter eller andra skall utföra arbete i kommunens IT-system. Aktuell medarbetare får därefter tillgång till IT-resurserna. Det skall finnas utsedd personal i reserv och eventuella reservrutiner för hantering av behörighet. Systemadministratörer/-tekniker skall alltid ha individuella användaridentiteter. Behörighetsregister skall endast vara åtkomligt för utsedd administratör. Antalet konton med privilegierade rättigheter och omfattningen av dessa rättigheter skall minimeras. Behörighetskontroll Leverantörslösenord och behörigheter skall förvaras inlåsta. Vid allt arbete i kommunens servrar och nät skall autenticering ske. skall tillhandahålla tillfälliga behörigheter till externa medarbetare. Med behörighetskontroll avses administrativa och tekniska åtgärder för kontroll av användares identitet, för styrning av användares behörighet samt för uppföljning av användning. Sådan kontroll sker vanligen i ett behörighetskontrollsystem som möjliggör verifiering av identiteten, reglering av åtkomsträttigheter samt registrering av användarens aktiviteter i ITsystemet (loggning). skall säkerställa att alla rekommendationer på basnivå avseende behörighetskontroll kan tillgodoses. Loggning Det skall finnas en säkerhetslogg som registrerar användaridentitet, uppgift om inloggning och utloggning samt datum och tidpunkt för detta. Systemägaren skall fastställa vilka händelser utöver ovanstående som skall registreras i IT-systemets säkerhetslogg. Central systemägare skall säkerställa att IT-systemet är konstruerat så att uppgift om användaridentitet samt datum och tidpunkter för in- och utloggningar kan registreras i en säkerhetslogg. För säkerhetsloggar skall systemägaren besluta: o hur ofta de skall analyseras. o vem som ansvarar för analyser av dem. o hur länge de skall sparas o hur de skall förvaras. För transaktionsloggar skall systemägaren besluta: o hur ofta de skall analyseras. o vem som ansvarar för analyser av dem o hur länge de skall sparas o hur de skall förvaras. Syftet med loggning är att i efterhand kunna reda ut vilka transaktioner som gjorts, hur, när och av vem. Systemägaren skall fastställa vilka händelser utöver den grundläggande säkerhetsloggningen som skall registreras i ITsystemets säkerhetslogg. Sådan uppgifter kan t.ex. vara felaktiga inloggningsförsök, behörighetstilldelning och förändring av behörighet. 05-03-16 09:59:11 Sida 8 (13)

Spårbarhet Med spårbarhet menas möjligheten att via registreringar identifiera och följa förloppet för olika händelser. Varje uppgift i register o.dyl. skall kunna följas och kontrolleras med avseende på hur den är uppbyggd av grunddata eller andra uppgifter. För varje rutin skall man i efterhand kunna följa och kontrollera en händelses kronologiska och systematiska förlopp med avseende på: vilka behandlingsregler som tillämpats hur grunddata och uppgifter bearbetats eller sammanställts vilka transaktioner en uppgift, period eller bearbetning omfattar. För att kunna genomföra spårningen i ett IT-system behövs kunskap om systemets bearbetningar och den kronologiska ordningen för dem. Hjälpmedlen för detta är en eller flera bevakningsfunktioner i form av loggning. Med utgångspunkt från en strategi för loggning och rätt inställningar i systemen kan dessa hjälpmedel säkerställa vems identitet som använts och när den använts. För att uppgifterna skall bli tillräckligt verifierade kan det ibland behöva kompletteras med tjänstgöringslistor, in- och utpasseringsuppgifter, attestuppgifter m.m. Varje IT-system skall åtminstone ha möjlighet till full spårbarhet när det gäller information som bedömts ha ett högt skyddsvärde. Införande och förvaltning av IT-system IT-system som tas i bruk skall uppfylla de säkerhetskrav som verksamheten ställer. Rutiner för inköp och installation av program är särskilt viktiga i nätmiljöer. Risken för att t.ex. datavirus överförs till andra miljöer i det lokala nätet är överhängande om en arbetsplats har blivit smittad. För att klara införandet av ett IT-system skall verksamhetsansvarig chef i samråd med utforma en projektplan för införandet. Denna plan skall omfatta följande (i tillämpliga delar): Verksamhetens beskrivning av behov och mål med anskaffningen En inledande risk- och sårbarhetsbedömning Risk- och sårbarhetsbedömningen är ett viktigt underlag för den kravspecifikation som skall upprättas och syftar bl. a. till att klarlägga de säkerhetskrav som verksamhetens ställer i form av: krav på säkerhet avseende sekretess, riktighet och tillgänglighet rättsliga, -verksamhets-, och hotrelaterade krav kommunikationsberoende (internt och externt) reservrutiner mm. Kravspecifikation Kraven från risk- och sårbarhetsbedömningen utökas med bl a: integrationskrav med andra system krav vid införande krav på test och acceptans ytterligare krav som skall gälla fram till den tidpunkt då den tilltänkte systemägaren övertar ansvaret och att systemet övergår till normal systemförvaltning mm i den kravspecifikation som skall utgöra grunden för upphandlingen tidsplan resurser (personella och ekonomiska) när och hur uppföljning, utvärdering och avrapportering skall ske när och hur medarbetarna skall informeras och utbildas Upphandling en upphandling görs med beaktande av lagen om offentlig upphandling tillämpliga ramavtal skall användas om möjligt skall standardprodukter användas Inför Drift och förvaltning Ansvarig för nyanskaffningsprojekt förbereder överlämnandet från test och utveckling till drift och förvaltning tillsammans med den tilltänkte systemägaren. Beslut om tidpunkt från vilken systemet övergår från projekt till förvaltning fattas av systemägaren. I och med detta övergår ansvaret till systemägaren som då också övertar all dokumentation. Om systemet bedöms som samhällsviktigt skall dessutom en IT-systemsäkerhetsplan upprättas. 05-03-16 09:59:11 Sida 9 (13)

Avveckling av IT-system Regler skall finnas för hur datamedia med sekretessbelagd information skall avvecklas (IT-säkerhetsinstruktion, Förvaltning) Systemägaren skall besluta hur lagringsmedia med IT-systemets information skall avvecklas Om IT-system som hanterar sekretessbelagd information avvecklas och utrustning med lagringsutrymme använts för drift av system, måste sådana lagringsutrymmen fysiskt förstöras eller överskrivas på ett säkert sätt i stället för att vanlig radering används, IT-system som inte längre behövs för verksamheten skall avvecklas snarast. Systemägare skall efter samråd med ITenheten besluta om och när ett IT-system skall avvecklas. Vid avveckling skall särskilt uppmärksammas: Rättsliga regler såsom Arkivlagen, PUL Vad skall tas ut ur systemet före avveckling (på papper eller media) Innehåller systemet ärenden vilka behöver avslutas i diariet Behöver återläsning av innehåll kunna ske längre fram Behöver uppgifter flyttas över till annat IT-system Destruktion av media som innehållit information Regler för destruktion av media som innehållit sekretessbelagd information Driftgodkännande Driftgodkännande är det beslut som formellt fastställer att ett IT-system på ett tillfredsställande sätt lever upp till ställda säkerhetskrav. Systemägaren beslutar om driftgodkännande. Beslutet skall dokumenteras. I samband med att en systemsäkerhetsplan upprättas granskas om IT-systemet uppfyller basnivå de tilläggskrav som ställs utifrån rättsliga, verksamhetsspecifika och hotrelaterade krav Systemägaren beslutar om driftgodkännande. Beslutet baseras på en granskning och säkerhetsutvärdering som bygger på jämförelse mellan verksamheternas krav och vidtagna säkerhetsåtgärder. Driftgodkännandeprocessen relateras till aktuell systemsäkerhetsplan och skall omfatta; avgränsningar granskning av säkerhetsåtgärder i IT-systemet utvärdering av granskningen i förhållande till systemsäkerhetsplanens krav redovisning av beslutsunderlag samt beslut Beslutsunderlaget skall innehålla en sammanfattning av förslag till beslut som kan vara att: driftgodkänna IT-systemet driftgodkänna IT-systemet efter beslut om när kompletterande säkerhetsåtgärder skall vara genomförda inte driftgodkänna IT-systemet. Granskning IT-säkerhetssamordnaren verkställer granskning. Målet med granskningen är att klarlägga i vilken utsträckning kraven i IT-säkerhetspolicyn uppfyllts. Systemägaren har ansvaret för att allt nödvändigt underlag finns tillgängligt för granskning. Genomförd granskning skall dokumenteras. 05-03-16 09:59:11 Sida 10 (13)

IT-säkerhetsinstruktion för drift: Avser den löpande hanteringen av driften, instruktioner för hur avbrott av olika längd ska hanteras, eventuella prioriteringar vid exceptionella händelser, hantering och förvaring av datamedia o.dyl. s tekniska infrastruktur skall vara dokumenterad i en särskild IT-systemsäkerhetsplan. Kommunens allmänna regler för IT-drift är samlade i detta dokument. Datakommunikation Televäxeln Redovisas i en egen IT-systemsäkerhetsplan. Externa anslutningar Målet är att all datakommunikation till och från kommunen går via en brandvägg. I den mån andra lösningar även fortsättningsvis används ska dessa vara förtecknade och väldokumenterade. Kommunen är i sin verksamhet beroende av datakommunikation med andra organisationer och centrala myndigheter samt med Internet. Denna kommunikation sker i huvudsak via det gemensamma nätverket. Följande riktlinjer gäller: Kontroller ska ske av vem som får komma ut och vem som får släppas in En kontrollista på vilka nätverksadresser och IP-portar som är tillåtna ska användas för att filtrera bort onödig trafik Användningen av tjänster i det kommunala nätet skall fastställas och dokumenteras vad gäller kommunikationsriktning, vilka protokoll som ska stödjas samt vilka applikationer som använder protokollen Anslutning till publika nät får endast upprättas efter godkännande av För närvarande finns följande tjänster: E-post (SMTP) Access till resurser på Internet (HTTP, HTTPS) Filöverföring (FTP) Tidssynkronisering RAS individuell fjärraccess Internetmail (åtkomst av personlig brevlåda från generell Internetuppkoppling) VPN (krypterad uppkoppling via Internet) Brandväggar För att försvåra för obehöriga att göra intrång i ett IT-system via externa anslutningar ska det finnas en brandväggsfunktion. ansvarar för att all kommunal IT-drift skyddas bakom för ändamålet lämpliga brandväggar. I IT-systemsäkerhetsplanen för brandvägg skall redovisas: Vad som ska loggas i brandväggen Vem som ansvarar för uppföljning av loggar Hur ofta uppföljning ska ske Hur länge loggarna ska sparas Det ska finnas en aktuell förteckning över samtliga externa anslutningar. Om fjärrdiagnostik erfordras ska sådan ske enligt fastställda/överenskomna rutiner. Driftsäkerhet Övergripande regelverk: Åtvidabergs IT-säkerhetspolicy, IT-grundsäkerhet och Instruktioner för användare, förvaltning och drift. Fullständig dokumentation skall finnas för kommunens olika IT-system. Denna skall omfatta förutom de generella IT-säkerhetsdokumenten en IT-systemsäkerhetsplan och tillägg till instruktioner för användare, förvaltning och drift. Bemanningsplanen skall fastställa vilka personer och vilken kompetens som behövs för drift av IT-systemet. 05-03-16 09:59:11 Sida 11 (13)

Tillträdet till viktiga dator- och kommunikationsutrustningar som ingår i ett IT-system, ska vara begränsat. IT-ansvarig skall besluta om vilka som skall ha tillträde till datorrum. För att kunna följa upp detta skall besök vara registrerade. Tillträdet ska regleras med en kombination av tekniska och administrativa åtgärder. Beslut om vem som får ha tillträde för att kunna utföra sina arbetsuppgifter fattas av systemägaren. Datavirusangrepp: Systemägaren ska göra en bedömning av risken för ett sådant och vidta nödvändiga åtgärder. Rätten att installera program eller import av externa filer ska regleras i särskild rutin. Kommunal information på Internet. Regler för information på Internet regleras i IT-systemsäkerhetsplan för kommunala Webbsidor. Skalskyddet skall säkerställa en avbrottsfri drift. Avbrotts- och katastrofplaner Tillgängligheten i ett IT-system ska läggas på den nivå som bestäms av verksamhetens behov. Tillgängligheten kan dock aldrig vara 100-procentig. Planerade och oplanerade avbrott inträffar. Om avbrott inträffar skall det finnas dokumenterade rutiner. Planeringen omfattar avbrottsplan och katastrofplan. Men det finns inga vattentäta skott mellan avbrottsplan och katastrofplan. Det som från början såg ut att vara ett mindre avbrott kanske visar sig bli mer omfattande. Därför är det viktigt att ha en handlingsberedskap och kunna agera situationsanpassat. Kontinuitetsplanering är den planeringsprocess som syftar till att säkerställa fortsatt verksamhet vid alla typer av störningar och avbrott i den ordinarie IT-driften. Förvaltningarnas IT-systemsäkerhetsplaner ska beskriva det enskilda IT-systemets krav på avbrotts- och katastrofplanering. Avbrottsplaner Hanterar planerade och mindre betydelsefulla oplanerade avbrott i verksamheten. En avbrottsplan utgör de åtgärder som ska säkerställa fortsatt verksamhet vid störning och möjliggöra återstart av IT-driften inom angiven tid. Systemägaren fastställer längsta tid som IT-systemet får vara obrukbart innan verksamheten äventyras. Avbrottsplaneringen utgår från att återstart ska kunna genomföras innan denna tidsgräns är nådd. Vid framtagande av systemsäkerhetsplanen bestäms kraven på systemets tillgänglighet. Avbrottsplanen består av alternativa rutiner för verksamheten och rutiner för återstart Alternativa rutiner för verksamheten Här utgör grunden en prioritering av kritiska delverksamheter. Sedan utformas rutinbeskrivningar för dessa verksamheter. Rutiner för återstart Här beskrivs vilka åtgärder som skall vidtas för att återstarta datasystemet inom angiven tid. Dessa finns inom områdena: Dokumentation Bemanning, Utbildning och övning Larm, Brand, Elförsörjning, Virusskydd Analys av störningen/avbrottet Rekonstruktion Katastrofplaner Hanterar icke planerade avbrott i driften av IT-systemet. Katastrofplanen är avsedd att användas i sådana situationer som av verksamhetsledningen definierats som så allvarliga att konsekvenserna av dem är katastrofala. Vad som är att betrakta som en katastrof för en enskild verksamhet kan naturligtvis variera. Det kan avse ett stort antal händelser och behöver nödvändigtvis inte primärt avse IT-driften. I det följande kommer beskrivningen av en katastrofplan vara helt inriktad på händelser som avser IT-driften. Här begränsas beskrivningen till förberedelser för alternativ drift, vilket kan avse drift såväl inom som utanför den egna organisationen. Katastrofplanen omfattar reservrutiner och alternativt driftställe Reservrutiner Fastställande av servicenivå Utformning av reservrutiner Utbildning, övning och underhåll 05-03-16 09:59:11 Sida 12 (13)

Beslut och ansvar Alternativt driftställe Organisation Aktivering av katastrofplan Reservdrift Återgång till normal drift Att etablera IT-driften på ett alternativt driftställe är ett omfattande företag, i synnerhet som det sannolikt sker under stor tidspress. För att lyckas med detta krävs förberedelser i form av: Backup/säkerhetsarkivering Dokumentation, Utbildning och övning Revidering och underhåll av katastrofplanen Säkerhetskopiering och lagring Grunden för all IT-verksamhet är att alltid veta att det finns en fungerande backup på all data. Systemägarnas krav på säkerhetskopiering och lagring för de egna systemen skall framgå av de systemsäkerhetsplaner som respektive systemägare upprättar. Kraven i dessa planer skall vara koordinerade i systemsäkerhetsplan för ITinfrastrukturen. Regler för rättning av data bör minst omfatta: Det skall finnas dokumenterade regler för rättning av data Informationsägaren är ansvarig för datakvaliteten Kontroll av IT-utrustning Kontroll av servrar, switchar och övrig utrustning i serverrummet skall genomföras och dokumenteras enligt utfärdade rutiner i IT-systemsäkerhetsplanerna. Rutiner för backup av kommunens servrar Alla kommunala servrar är med i backuptagning. I IT-systemsäkerhetsplanen för Backup skall det finnas tydliga och renodlade: Ansvarsområden och roller. Rutiner för dokumentation av genomförd backup Rutiner för backup dagligen, veckovis och månadsvis Rutiner för förvaring av backupmedia (Media skall förvaras på geografiskt åtskilda platser godkända för arkivering.) Rutiner som fastställer hur många generationer av backupen som skall finnas. Rutiner för återföring av förlorad information Rutiner för slumpmässig kontroll Datamedia med sekretessbelagd information som skall avvecklas överlämnas till som hanterar avvecklingen. 05-03-16 09:59:11 Sida 13 (13)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss