Procedure om IT brug og IT sikkerhed

Transkript

1 Procedure om IT brug og IT sikkerhed Godkendt i MED-Hovedudvalget den 28. september

2 Procedure om IT brug og IT sikkerhed Denne procedure omhandler den overordnede tilgang til håndtering af IT- brug og IT- sikkerhed for ansatte i Vesthimmerlands kommune. Proceduren skal ses i sammenhæng med Vesthimmerlands Kommunes Personalepolitik, og relaterer sig til målsætningen om den attraktive arbejdsplads. Proceduren skal ses i sammenhæng med Vesthimmerlands Kommune vedtagne Informationssikkerhedspolitik. Informationssikkerhedspolitikken er udarbejdet for at sikre og beskytte de fælles IT-systemer, og ikke mindst de data systemerne indeholder. Der er desuden udarbejdet en IT-sikkerhedshåndbog Kravene til både offentlige, private virksomheder og borgers anvendelse af IT øges, og det er en balancegang at have en effektiv IT-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Det er af afgørende betydning, at borgere og virksomheder har tillid til, at den nødvendige sikkerhed bliver opretholdt og at Vesthimmerlands Kommune lever op til sikkerhedsmæssige krav i såvel lovgivningen, som de myndigheder, der er indgået aftale med. Som ansat med adgang til kommunens netværk og derved en lang række data, som kan være fortrolige, er kommunens IT-sikkerhed også dit ansvar. Du er, som bruger af kommunens PC er og mobile dataenheder, ansvarlig for at beskytte de data, der behandles på disse samt enhederne selv. Denne procedure tager udgangspunkt i gældende lovgivning, myndighedskrav og til almindeligt anerkendte principper for informationssikkerhed. De eksterne krav til informationssikkerhed kommer fra lovgivning (love, bekendtgørelser, cirkulærer, etc.), kontrakter, samarbejdsaftaler og lignende, eksempelvis Persondataloven* Sikkerhedsbekendtgørelsen Sikkerhedsvejledningen Datasikkerhed i borgerservicecentre IT-revision Anbefaling fra KL og Digitaliseringsstyrelsen *Persondataloven er hovedloven for, hvornår og hvordan personoplysninger kan behandles. Ejerskab Alle data, som befinder sig på kommunens IT-udstyr, er kommunens ejendom. Det betyder at alle dokumenter og mails, også dem du har lagt på dit personlige drev, tilhører kommunen. Dette gælder også, selv om udstyret kan tages med hjem eller benyttes i fritiden. Kommunen forbeholder sig ret til at skaffe sig adgang til data og hos medarbejdere. Dette vil kun ske i særlige tilfælde, og altid efter en konkret vurdering og tilladelse fra HR-Afdelingen. Tilladelsen gives kun hvis behovet for åbning skyldes drifts- eller sikkerhedshensyn. Dette være sig eksempelvis ved længerevarende sygdom, akut behov for adgang under ferie, udredninger mv. 2

3 Kommunen vil informere medarbejderen om åbningen inden dette sker, og igen efter gennemgangen af s og evt. vedhæftede dokumenter. Efter endt gennemgang vil adgangen til kontoen blive lukket. HR-Afdelingen er ansvarlig for registrering af antallet af åbninger. Kommunen vil ikke åbne private dokumenter eller mails, såfremt det tydeligt fremgår, at indholdet er privat. Ved tvivl vil dokumentet eller mailen blive åbnet for at få vished. Viser det sig, at der er tale om privat indhold, vil dokumentet eller mailen ikke blive læst. Fremgangsmåde ved åbning af anden medarbejders s eller dokumenter A: Medarbejder giver sin tilladelse til åbning: 1. Kontakt den fraværende medarbejder, og spørg, om denne vil acceptere, at mailkontoen åbnes og gennemgås. 2. Aftal om medarbejderen skal deltage under åbningen eller ej. 3. Aftal med medarbejderen, at du giver besked, når åbningen/gennemgangen er færdig. 4. Bekræft aftalen pr. mail/e-post (anvend skema fra intranettet). 5. Overvej om du vil have en personalekonsulent med under åbningen (for at sikre mod mistanke eller beskyldning om misbrug). 6. Send skemaet til IT-afdelingen (Aftalt åbning af ). 7. IT-afdelingen sender kopi af aftalen til HR-Afdelingen, der registrerer denne. 8. Efter endt gennemgang af mails skal IT-afdelingen have meddelelse herom, så de kan lukke for adgangen. 9. Kontakt medarbejderen med besked om gennemført åbning/gennemgang og bekræftelse på, at adgangen er lukket ned. B: Medarbejder giver ikke sin tilladelse/du kan ikke træffe medarbejderen: 1. Kontakt HR-Chefen for en afklaring af om behovet for adgang lever op til kravene efter lovgivningen. 2. Hvis det gives tilladelse til åbning, vil du modtage en bekræftende mail. 3. Kontakt medarbejderen med besked om, at du har indhentet tilladelse til åbning/gennemgang af mails. 4. Overvej om du vil have en personalekonsulent med under åbningen (for at sikre mod mistanke eller beskyldning om misbrug). 5. Kontakt IT-Chefen, der kan hjælpe dig med åbningen/anvise medarbejder. 6. IT-Afdelingen giver HR-Afdelingen besked om åbningen. HR-Afdelingen registrerer dette. 7. Efter endt gennemgang af mails skal IT-afdelingen have meddelelse herom, så de kan lukke for adgangen. 8. Orienter medarbejderen når åbning/gennemgang er gennemført. Ansattes ansvar og pligter Anskaffelser og installation af IT Anskaffelse af IT skal altid ske gennem IT-enheden. Du må som udgangspunkt aldrig installere programmer på kommunens arbejdsstationer eller hente programmer fra internettet, medmindre det er efter aftale med IT-enheden. Du må ikke forpligte kommunen ved at acceptere licensvilkår i software som ikke er accepteret af IT-enheden. Dine adgangskoder er strengt personlige og må ikke deles med andre. Midlertidige adgangskoder må overdrages mundtligt, herunder per telefon eller overdrages på mail. 3

4 Automatisk login eller systemer, hvor adgangskoder gemmes i genveje eller på funktionstaster, må ikke benyttes. Når pc-arbejdspladsen forlades i forbindelse med frokost, møder eller lignende, skal du aktivere skærmlås enten ved at logge af systemet (logge af pc), eller låse computeren med adgangskodebeskyttelse (ctrl+alt+del). Det er under ingen omstændigheder tilladt at deaktivere eller omgå kommunens beskyttelsesmekanismer, som eksempelvis anti-virus. Du er medansvarlig for at anti-virus virker. Fortrolige informationer og personfølsomme oplysninger Der skal udvises forsigtighed ved omtale af fortrolige informationer i offentlige rum. Fortrolige informationer må ikke efterlades uden opsyn i offentligt tilgængelige rum. Skriveborde skal ryddes for fortrolige dokumenter senest ved arbejdsdagens afslutning. Dokumenter med personhenførbare eller fortrolige oplysninger må ikke ligge med forsiden opad, når skrivebordet forlades. Ansatte skal, når de behandler fortrolige informationer, være passende opmærksomme på begrebet "social engineering" dvs. kunsten at aflure fortrolige informationer uden at blive opdaget. F.eks. kan denne form for bedrag udføres via , telefon og/eller messengerprogrammer. Personhenførbare og fortrolige oplysninger må kun udleveres til bemyndigede personer. Der må ikke behandles eller opbevares personhenførbare eller fortrolige informationer på udstyr, der ikke tilhører kommunen. Der må ikke opbevares personhenførbare eller fortrolige data på mobile enheder så som bærbare PC er, tablets, smartphones og USB nøgler/eksterne harddiske. Sendte og modtagne s skal håndteres på samme måde som traditionel post og fax. s med vigtig information skal arkiveres i ESDH-systemet. s som indeholder følsomme og fortrolige oplysninger, skal sendes som sikker post. s, der ikke er sendt som sikker post, men indeholder personhenførbare oplysninger, skal senest slettes efter 30 dage. Personhenførbare data på netværksdrev skal ligeledes slettes efter maksimum 30 dage. Det er ikke tilladt, at benytte privat udstyr til behandling af arbejdspladsens informationer, medmindre der er tale om fjernarbejdspladser, f.eks. adgang hjemmefra via Citrix. Papirmateriale med personoplysninger skal makuleres, når det ikke længere skal benyttes Brugerne skal sikre, at følsomme udskrifter indsamles så hurtigt som muligt. Internet Kun kommunens godkendte webbrowsere, Internet Explorer og Google Chrome, må anvendes. Du må ikke forsøge at omgå eller bryde browsernes sikkerhedsindstillinger. Du må generelt ikke hente programmer og filer fra internettet, medmindre det er arbejdsrelateret. Dokumenter kan downloades, såfremt det ikke er i strid med gældende 4

5 lovgivning. Det er ikke tilladt at anvende kommunens netværk til tung og vedvarende trafik, som eksempelvis radio- og tv-tjenester eller film, medmindre det er fagligt relevant. Det er ikke tilladt at dele eller lagre kommunens informationer i skyen ved brug af cloud serviceudbydere, som Dropbox, Google, mfl. Det er tilladt for ansatte at anvende internetadgangen til privat brug under forudsætning af, at det er foreneligt med varetagelse af jobbet. Uanset hvor man bevæger sig på internettet, vil man efterlade et visitkort, som viser, at man kommer fra Vesthimmerlands Kommune. Det er derfor ikke tilladt at besøge hjemmesider med anstødeligt (pornografisk, racistisk, voldeligt) eller ulovligt indhold. Det er tilladt at bruge messenger-programmer, som eksempelvis Microsoft-messenger på netværket, såfremt det er arbejdsrelateret. Dog må der ikke udveksles filer eller internetlinks. Du må gerne connecte med samarbejdspartnere og kunder på sociale netværk, forudsat at informationssikkerhedspolitikken overholdes. Det er ikke tilladt at installere netværksudstyr uden forudgående sikkerhedsgodkendelse fra IT-enheden. Ansatte skal udvise forsigtighed med deres brugeridentitet i forbindelse med videregivelse af eksempelvis mailadresser, samt i forbindelse med modtagelsen af uønskede s. Sociale netværk Brug af sociale netværk til privat formål skal lægges uden for almindelig arbejdstid. Brugere af sociale netværk skal være specielt opmærksomme på at: De sociale netværk, som du bruger, kan registrere og gemme oplysninger om dig og hvilke informationer du søger og bruger. Informationer som du har lagt ud på et socialt netværk, kan kun meget vanskeligt, måske aldrig, trækkes tilbage. Du vil med stor sandsynlighed opleve at nogen forsøger at franarre dig dine bruger-id er og/eller dine adgangskoder (phishing). Download af filer som du modtager via et socialt netværk er underlagt de samme regler som øvrige downloads. Betalingskort-oplysninger må aldrig deles på sociale netværk. Persondata må aldrig deles på sociale netværk. Personer på sociale netværk er ikke altid dem de udgiver sig for at være. Bortset fra offentlige informationer, må kommunens informationer aldrig deles på et socialt netværk. Vesthimmerlands kommunes informationer, f.eks. præsentationer, billeder og film, må ikke offentliggøres på sociale netværk, hvor der kan være tvivl om, hvorvidt kommunen bevarer sin ophavsret til informationerne. Privat brug af Vesthimmerlands kommunes system er oprettet med henblik på arbejdsrelateret brug. Der tillades dog begrænset brug af til privat brug, såfremt sikkerhedspolitikken 5

6 i øvrigt overholdes. Mobile enheder Netværk Brugere af kommunens bærbare pc er og andre mobile dataenheder er ansvarlige for at beskytte de data, der behandles på disse, samt enhederne selv. Du må ikke slå adgangskontrol på mobile enheder, som bærbar PC, mobiltelefon eller tablet, fra. Det er ikke tilladt at benytte privat udstyr til behandling af kommunens informationer medmindre der er tale om fjernarbejdspladser. Det er tilladt at forbinde mobilt udstyr til fremmede trådløse netværk. Mobile enheder må ikke efterlades uden opsyn i ulåste rum. Bærbart udstyr skal medbringes som håndbagage under rejser. Forsikringsdækningen ved opbevaring og anvendelse af udstyr uden for kommunens lokaliteter vurderes og afklares af Forsikringsenheden. IT-enheden skal godkende enhver form for indkommende netværksforbindelse fra internet til interne netværk. Trådløse netværksforbindelser må kun etableres i kommunens bygninger efter aftale med IT-enheden. Du må ikke koble privat pc-udstyr sammen med det interne administrative netværk. Ved mistanke om virus, hacking, programfejl eller brud på IT sikkerhedsforanstaltningerne skal du straks kontakte IT support på Ophavsrettigheder Du må ikke helt eller delvist kopiere, konvertere eller udtrække information fra bøger, rapporter, billed- og lydfiler eller tilsvarende ressourcer, medmindre dette specifikt tillades fra rettighedshaveren. Fysisk adgangskontrol Gæsters adgang - Værten har ansvaret for gæsters færden. Rapportering af programfejl Brugere, der observerer programfejl i fagsystemerne, f.eks. KMD Sag EDH, KMD Care, skal rapportere dette til en superbruger eller til den systemansvarlige. Øvrige programfejl skal rapporteres til IT-enheden. 6

7 Leders ansvar og pligter Forvaltningsledelsen skal støtte kommunens informationssikkerhed ved at udlægge klare retningslinjer, udvise synligt engagement samt sikre en præcis placering af ansvar. Ansvaret for koordination af sikkerhedstiltag i kommunen bæres af den daglige ledelse. Det er daglig leders ansvar at alle ansatte er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til kommunens systemer og data. er gjort bekendt med nødvendige retningslinjer, således at de kan leve op til kommunens informationssikkerhedspolitik. følger kommunens informationssikkerhedspolitik og retningslinjer. Registrering af brugere Daglig leder skal autorisere brugeradgang. Autorisationsblanketter til brugeradgang indsendes af nærmeste leder og opbevares som dokumentation i IT-enhedens Servicedesk-system i 5 år. Tavshedserklæring ved ansættelse Alle ansatte skal underskrive tavshedserklæring senest ved ansættelsestidspunktet. Tavshedserklæringen kan være en del af ansættelseskontrakten. Fratrædelse Når ansættelse eller midlertidige kontrakter ophæves, skal alle brugerprofiler og systemrettigheder for brugeren hurtigst muligt nedlægges. ID-kort og lignende skal afleveres, og it-udstyr skal inddrages inden sidste arbejdsdag. Den nærmeste leder har ansvaret for at it-udstyr o.lign. afleveres og at IT-enheden modtager en autorisationsblanket om den ansattes fratrædelse. Der skal forefindes en opdateret procedure for inddragelse af privilegier i forbindelse med fratrædelse. Omplacering Ved omplacering af ansatte skal alle rettigheder for pågældende bruger revurderes. Forsikring mod hændelser Forvaltningsledelsen skal vurdere, om forsikring kan medvirke til at minimere konsekvensen af tab. Især på områder, hvor sikringsforanstaltninger er vurderet som uhensigtsmæssige eller utilstrækkelige, skal dette overvejes. 7

8 Ansvar for sikring af kontorer, lokaler og udstyr Forvaltningsledelsen må uddelegere ansvaret for at sikre, at en passende fysisk sikring af kontorer, rum og udstyr bliver implementeret og vedligeholdt. Ophavsrettigheder Forvaltningsledelsen har det overordnede ansvar for, at kommunen fastholder en passende opmærksomhed på ikke at krænke tredjeparts ophavsrettigheder. Sanktioner Overtrædelse af Procedure om IT brug og IT sikkerhed behandles efter almindeligt gældende ansættelsesretlige regler. Daglig leder indkalder til en samtale med en præcisering af procedure om IT brug og IT sikkerhed. Der udarbejdes notat herom, som lægges på personsagen. I gentagelsestilfælde indkaldes til tjenstlig samtale, som munder ud i en skriftlig advarsel om, at yderligere gentagelse kan få ansættelsesmæssige konsekvenser. Ved gentagelsestilfælde herefter tages der skridt til arbejdsforholdets ophør. Implementering Proceduren implementeres via MED-Organisationen på alle organisatoriske niveauer. Det lokale MED-udvalg og daglig leder har ansvaret for, at samtlige ansatte på den lokale arbejdsplads har kendskab til proceduren. Ansvaret for håndtering af proceduren ligger hos daglig leder. 8

9 9

10 MED-Hovedudvalget Vesthimmerlands Kommune Himmerlandsgade Aars Telefon: