Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 3. Retningslinjer for IT-brugere

Transkript

1 Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken

2 IT-sikkerhedspolitik Side 2 Retningslinjer for IT-brugere Samtlige medarbejdere som anvender en IT-arbejdsplads i Dragør Kommune, skal kende disse retningslinjer. Retningslinjerne skal udleveres i forbindelse med ansættelse i kommunen, og de skal i ajourført form være tilgængelige på kommunens intranet. Retningslinjerne bliver ajourført af IT-chefen. Det er den enkelte IT-brugers ansvar at retningslinjerne følges, og at IT-anvendelsen generelt finder sted i overensstemmelse med sund fornuft. 1. Den enkeltes ansvar Som IT-bruger på Dragør Kommunes netværk, er du ansvarlig for det, der foregår på din pc. Det gælder fra du logger dig på, til du logger dig af igen. Hvis din pc overlades til en kollega, skal du først logge dig af, hvorefter kollegaen kan logge sig på. Du må ikke overlade din pc til en person som ikke er autoriseret til Dragør Kommunes netværk. Pc en skal altid lukkes ned og slukkes når man går hjem. Når Pc en forlades i løbet af dagen (Ved frokost, møder osv.) skal pc en beskyttes med pauseskærm med password. Man kan låse skærmen enten ved at holde Ctrl, Alt, Delete ned samtidigt og herefter taste Enter/Return eller du kan aktivere Windows pauseskærm ved at taste Windowstasten og derefter trykke L. Som IT-bruger skal du iagttage de samme forholdsregler og fornuftsmæssige overvejelser, som er gældende for de øvrige elementer i din arbejdsdag. 2. Passwordsikkerhed Når du som medarbejder i Dragør Kommune får adgang til kommunens fælles IT-systemer, får du samtidig adgang til en række ressourcer og oplysninger, som er fortrolige og strengt personlige. Derfor bliver alle IT-brugere udstyret med et hemmeligt og personligt password, som ikke må videregives til andre, heller ikke dine nærmeste kollegaer. Password må ikke udleveres til teknikere, og password må aldrig udleveres i forbindelse med henvendelser via e- post. Husk endvidere at ændre password ved den første logon på systemet. Når arbejdspladsen forlades, skal der enten logges af systemet eller anvendes en pauseskærm med password. Husk at pauseskærmen skal være aktiveret, når arbejdspladsen forlades. Pc en skal altid slukkes når man forlader den ved arbejdstids ophør. Pc en lukkes ved at klikke på Start i venstre hjørne af skærmen og derefter vælge Luk computeren. Herefter vælges Luk computeren igen og trykkes Ok. 3. Gode passwords

3 IT-sikkerhedspolitik Side 3 For at passwords skal have den ønskede effekt, er det nødvendigt at stille visse minimumskrav til opbygning og længde samt ændringsinterval. Et godt password er en kombination af bogstaver og tal, gerne med store og små bogstaver som er nem at huske, men til gengæld er svær at gætte for andre. Anvend derfor en kombination af tal og bogstaver. Anvend aldrig eget navn, egne eller den nærmeste families initialer, fødselsdag, nummerplade, hundenavn, årstal eller lignende, da det er oplagt for uvedkommende at prøve den slags kombinationer. Et password til Dragør Kommune skal indeholde mindst 8 tegn og til Kommunedata præcist 8 tegn indeholdende både tal og bogstaver. I dagligdagen skal du undgå at andre får kendskab til dit password, da det ved et eventuelt misbrug, kan være indehaveren der bliver gjort ansvarlig. Det skal i den forbindelse bemærkes, at forsøg på uautoriseret adgang til systemerne bliver registreret af systemerne. Selvom du har et godt password, skal det med jævne mellemrum skiftes ud. Password til netværket skal skiftes ud hver 120 dag og KMD systemer skal skiftes ud hver 90. dag. Gamle password kan ikke genanvendes. 4. Programanvendelse, herunder licenser Der må ikke anvendes andre programmer på kommunes IT-udstyr, end dem kommunen har licens til. Kommunen råder over en række generelle licensaftaler, som gælder for alle kommunens standard pc-arbejdspladser. Hvis enkelte medarbejdere har yderligere behov, skal installation af særlige programmer og applikationer aftales med IT-chefen. Alle programmer, der skal ligger på Kommunens pc ere, skal før installation godkendes af ITchefen. Derfor skal man, når man påtænker at anskaffe programmer, tale med IT-afdelingen om mulighederne for at få programmer på pc eller server. Kun IT-afdelingen må stå for installation af programmer, herunder også småprogrammer som kan hentes ned fra internettet. 5. Internet Dragør Kommune lægger stor vægt på sikkerheden omkring brugen af IT-systemer. Al forbindelse til internettet sker via en firewall og alle maskiner er udstyret med et antivirusprogram og et antispywareprogram. Når du bevæger dig ud på Internettet, er det vigtigt at opretholde en vis net-etikette, da du repræsenterer Dragør Kommune. Undlad derfor at deltage i tvivlsomme nyhedsgrupper og undlad at downloade store mængder data, hvis du ikke har et konkret arbejdsmæssigt behov. Adgang til Internettet er etableret med henblik på at understøtte og bidrage til en hensigtsmæssig og effektiv løsning af de daglige arbejdsopgaver. Medarbejdere, der benytter Internettet, er repræsentanter for Dragør Kommune og skal handle ansvarsfuldt derefter.

4 IT-sikkerhedspolitik Side 4 Det er tilladt at hente filer fra kendte samarbejdspartnere f.eks. Kommunedata (KMD), Kommunernes Landsforening (KL), staten, regionerne og andre kommuner. Downloadning af eksekverbare filer må kun ske efter aftale med IT-afdelingen. Der gøres opmærksom på, at overtrædelse af reglerne medfører risiko for erstatningsansvar og i grove tilfælde kan være opsigelsesgrund. Anvendelsen af Internettet logges på serveren. Det vil sige, at IT-afdelingen kan se, hvilke hjemmesider, der bliver besøgt. Se i øvrigt Bilag 5. Regler for brug af Internet i Dragør Kommune. 6. I Dragør Kommune er der adgang til . Der er normalt ingen særlige sikkerhedsmæssige problemer. Men der skal udvises ekstra forsigtighed i følgende situationer: Vedhæftede filer i s fra personer, du ikke kender. s, hvor der ikke står nogen afsender eller hvor mailen er videresendt mange gange. s sendt til og fra dig er principielt kommunens ejendom, men du må i begrænset omfang gerne sende og modtage private s og søge information på Internettet. Det må blot ikke gå ud over dit arbejde. Du skal være opmærksom på, at IT-afdelingen i tilfælde af driftsmæssige problemer kan have behov for at åbne din postkasse og læse post til og fra dig. Hvis du ikke ønsker, at andre i en sådan situation skal kunne læse din private post, så slet blot sådan post, når du har læst den. Se i øvrigt Bilag 4. Retningslinier for anvendelse af e-post. 7. Beskyttelse imod virus/spyware Virus og spyware er programmer, som kan skade din pc. De alvorligste kan slette eller videresende oplysningerne på harddisken, mens andre er mere eller mindre humoristiske indslag. Virus kan overføres via, usb-nøgler, CD-ROM, Internet og e-post. For at undgå virus og spyware, råder Dragør Kommune over et program, som kan finde og fjerne virus fra din pc-arbejdsplads. For at kunne følge med den konstante udvikling i vira, bliver programmet løbende opdateret, så man konstant kan finde og fjerne de nyeste vira og spyware. Det er vigtigt, at den generelle anvendelse af eksterne datamedier som CD-ROM, Internet og lignende, foregår under hensyntagen til sund fornuft og almindelig god it-skik. Hvis du mener, at din maskine har fået virus eller er inficeret med spyware skal IT-chefen orienteres omgående. Herefter bør du overveje, hvordan virusset eller spywaren er kommet ind i

5 IT-sikkerhedspolitik Side 5 systemet, for på den måde at undgå fremtidige forekomster. IT-afdelingen får automatisk tilsendt en mail, når en maskine er inficeret med virus eller spyware. Det er IKKE flovt at have fået virus på sin maskine, men du har pligt til omgående at orientere IT-chefen herom! Se bilag 6. Retningslinier for bekæmpelse af virus i Dragør Kommune 8. Dokumentdeling og drev-anvendelse Dragør Kommune råder over en række centrale servere. Serverne fungerer som centralt placerede pc ere, som en række brugere samtidig kan trække på, og dele data fra. Udover at rumme alle fælles programmer, indeholder serverne også en række fællesdrev, som er områder på serverens harddisk, hvor filer kan gemmes. Som IT-bruger har du adgang til en del af disse drev, og skal gemme dine dokumenter og andre filer her. Nedenstående liste over fælles drev som alle brugere har som standard. G-drevet: I-drevet: U-drevet: P-drevet: V-drevet: Er et fælles drev du deler med din afdeling. Som udgangspunkt skal alle filer vedrørende arbejde gemmes her. Er et fælles drev hvor din afdelings skabeloner ligger. Du kan ikke gemme filer her. Er et fælles drev hvor der ligger informationer, personalehåndbog, referater m.m. (U:\INFO) Der er også mapper, der kan bruges til at udveksle filer med andre områder i kommunen. Er dit private drev, hvor det kun er dig, der kan se og gemme filer. Er et fælles drev hvorpå alle centralt installerede programmer ligger. Du kan ikke gemme filer her.

6 IT-sikkerhedspolitik Side 6 Alle øvrige drev må ikke benyttes, med mindre det sker efter aftale med IT-afdelingen. Disse drev indeholder systemrelevante oplysninger. 9. Sikkerhedskopiering I den daglige anvendelse af din pc forventer du at have en mængde data til din rådighed. Sådan er det også i klart de fleste tilfælde, men det kan gå galt! Konsekvensen af ikke at have en sikkerhedskopi i den situation kan være, at det er umuligt at genetablere tabte data. En mulig genetablering kan endvidere være forbundet med uforholdsmæssigt stort tidsforbrug. Når du gemmer dine data på centrale servere, vil der altid blive taget centrale sikkerhedskopier, og du behøver derfor ikke at være bekymret for dine data. Du kan dog ikke påregne at en beskadiget fil, som er oprettet samme dag som den er beskadiget, kan genskabes, da backupfunktionen udføres om natten. Husk derfor altid at gemme dine dokumenter, regneark og andre filer, på serveren, og IKKE på din egen pc, da der ikke tages sikkerhedskopi af den. En god skik er at navngive og gemme et dokument ligeså snart du har oprettet det. Herved mindsker du risikoen for at miste data, hvis computeren går ned, inden du har fået dokumentet gemt. Hvis du har programmer, der ikke kan gemmes på serverdrevne, kan IT-afdelingen være behjælpelig med udarbejdelse af backuprutine, ellers er du selv ansvarlig for backup af dine data.

7 IT-sikkerhedspolitik Side Udskrivning Som IT-bruger udskriver du ofte dokumenter, notater og lignende - enten dine egne eller andres. Disse dokumenter kan være fortrolige, hvorfor de skal behandles med rette omhu. Du er ansvarlig for at omgås fortrolige udskrifter, så de ikke kommer i de forkerte hænder. Du skal derfor altid, straks efter udskrivning har fundet sted, afhente dokumenter som er udskrevet på centrale printere. Hvis man skal udskrive store mængder print bedes disse, så vidt muligt, udskrevet på kopimaskinerne. 11.Oprettelse af registre Såfremt du opretter registre med personhenførbare oplysninger, skal kommunen opfylde visse formalia i relation til Datalovgivningen. Det samme gælder, hvis personoplysninger anvendes til et andet formål, end de oprindeligt er indsamlet til. Er du i tvivl om reglerne herfor, kan du blot rette henvendelse til Borgmestersekretariat, IT og Udvikling. 12.Udvikling af systemer Hvis du selv udvikler større systemer i regneark, databaseprogrammer, programmerer makroer eller på anden måde udvikler systemer, skal du være opmærksom på, at der kræves dokumentation og aftestning for programmernes opbygning og virkemåde. Er du i tvivl herom, så kontakt IT-chefen eller din IT-vejleder/superbruger. 13.Bortskaffelse af datamedier Hvis du i forbindelse med dit arbejde anvender cd-rom er eller usb-nøgler, skal du være opmærksom på at de data som du formidler, kan være fortrolige. Personhenførbare oplysninger må ikke lægges på ovenstående medier, da der ikke er nogen form for adgangskontrol på disse medier. Nogle typer af usb-nøgler har dog adgangsbeskyttelse. Mails med personhenførbare data må heller ikke videresendes til private mailadresser. Kasserede datamedier må ikke blot smides i papirkurven. De skal fysisk destrueres ved overklipning eller lignende.

8 IT-sikkerhedspolitik Side 8 14.Bærbare pc ere, mobile enheder & hjemmearbejdspladser Ved anvendelse af bærbare pc ere, mobile enheder og hjemmearbejdspladser, gælder principielt de samme retningslinjer som for Dragør Kommunes øvrige IT-arbejdspladser: Den enkelte bruger skal således sikre, at der opretholdes en sikkerhed som er på højde med den sikkerhed, som gælder stationære pc ere koblet på nettet. Hvis du anvender en bærbar pc eller mobil enhed, skal du altid opbevare den forsvarligt. Du skal tillige være opmærksom på hvilke data, du har på den. Opbevar kun de data, som er nødvendige. Brugere af bærbare pc ere og mobile enheder skal overføre dokumenter, regneark og andre filer, til servernes fællesdrev, så ofte det er muligt. Anvendelsen af bærbare pc ere, mobile enheder og hjemmearbejdspladser er strengt personlig. Det er således kun den autoriserede medarbejder eller politiker, som må anvende udstyret. Bærbare pc ere, mobile enheder samt hjemmearbejdspladser har opstartspassword, så uvedkommende ikke kan læse dine data. Hvis man mister sin mobile enhed skal IT-afdelingen kontaktes omgående så de nødvendige forholdsregler kan sættes i værk. Der henvises til bilag 14. Datasikkerhed i forbindelse med hjemmearbejdspladser og kommunalbestyrelsen. 15.Brugerstøtte og superbrugere Brugeren kan søge støtte hos de i forvaltningen udpegede superbrugere. Superbrugerne mødes jævnligt for at udveksle erfaringer og arbejder sammen i et team således at generel viden bliver fordelt til alle. Derudover er superbrugerne specialiseret indenfor hver deres område f.eks. tekstbehandling, regneark, mail, databaser og speciel programmer. Du kan se en oversigt over superbrugerne og deres specialer på kommunens intranet. 16.Oprydning Der må ikke forekomme store mængder af billeder på netværksdrevene, da disse har en begrænset kapacitet. Hvis man har store mængder af billeder kan man henvende sig til ITafdelingen som kan brænde billederne på en cd. 17.Hvis du er i tvivl? Kontakt IT-afdelingen hvis du er i tvivl.

9 IT-sikkerhedspolitik Side 9 For at sikre at Dragør Kommunes IT-installation er forbundet med optimal sikkerhed er det vigtigt, at alle IT-brugere altid holder sig ajour om nye tiltag og forhold, der har betydning for IT-anvendelsen og dermed IT-sikkerheden.