Retningslinjer vedrørende brugeransvar

Transkript

1 Retningslinjer vedrørende brugeransvar Maj 2017 Trafikselskabet Movia Gammel Køge Landevej Valby Tlf moviatrafik.dk Movia Design/Mette Malling Fotos: Movia

2 Indhold Pas på vores Movia... 5 Movias målsætninger... 6 Hvem har ansvaret?... 8 Fortrolighed... 9 Movias omdømme Pas på dine passwords Håndtering af USB-nøgler, udskrevne dokumenter, og PC Fysisk adgangskontrol Rapportering af hændelser Her kan du læse mere

3 Pas på vores Movia Movia håndterer dagligt store mængder personoplysninger og fortrolig viden både digitalt, på papir og mundtligt. Vi skal i Movia passe godt på de informationer, vi enten selv indsamler og behandler, eller andre overlader til os. Det forventer det omkringliggende samfund, og det kræver lovgivningen. Derfor skal vi løbende sikre, at vores adfærd og omgang med Movias informationer er passende. Til gavn for Movias omdømme, vore kolleger og dig selv. Information er ikke altid noget, man får - information er også noget, man søger. Alle i Movia har pligt til: At kende og overholde informationssikkerhedspolitikken. At gøre opmærksom på misligholdelse af informationssikkerhedspolitikken. At holde sig ajour om informationssikkerheden i Movia. Ved tvivlstilfælde at kontakte ServiceDesk. God læselyst. 5

4 Movias målsætninger Movia vil gerne være en pålidelig, effektiv og troværdig organisation, der nyder tillid fra det omgivende samfund. Derfor har Movia opstillet følgende overordnede målsætninger, som altid skal afspejles i vores adfærd: Vi lever op til lovgivning og myndighedskrav inden for informationssikkerhed. Vi fremstår som en organisation med troværdig beskyttelse af vores informationer. Medarbejderen forstår eget ansvar og det er en naturlig del af det daglige arbejde at efterleve informationssikkerhedspolitikken. Vi vil have høj driftssikkerhed og styrede risici for nedbrud og tab af data. Ingen uvedkommende kan få adgang til informationer eller it-systemer. Forsøg på tilsidesættelse af sikkerhedsforanstaltninger bliver opdaget, og kan tilbageføres til den der har ansvar herfor. Sikkerhedskrav er operationelle og afbalancerede. 6

5 Hvem har ansvaret? Vi har alle sammen del i sikkerheden. Den enkelte medarbejders bidrag er grundlæggende: At beskytte Movias informationer. At følge sikkerhedsregler. At gennemføre uddannelsesaktiviteter om informationssikkerhed. Alle ledelseslag skal i både ord og handlinger være rollemodeller, og i praksis demonstrere opbakning til og motivere overholdelse af informationssikkerhedspolitikken. Ved manglende overholdelse af informationssikkerheden kan det resultere i disciplinære sanktioner samt evt. politianmeldelse. Fortrolighed At hjælpe andre med at overholde sikkerhedskrav. At være opmærksom på brud på sikkerheden og rapportere disse. Enhver medarbejder i Movia er forpligtet til at iagttage absolut fortrolighed omkring personoplysninger og øvrige sikkerhedsmæssige forhold, som eksempelvis kan påvirke Movias omdømme. Movias administrerende direktør har det overordnede ansvar for informationssikkerheden, og står på mål for Movias opfyldelse af målsætningerne overfor bestyrelsen. Ansvaret for at styre og kontrollere informationssikkerheden på tværs af organisationen er delegeret til chefen for it-området af den administrerende direktør. Det er kun chefen for it-området der kan dispensere fra informationssikkerhedspolitikken, og dette sker under ansvar overfor den administrerende direktør. Movias områdechefer er ansvarlige for at prioritere, implementere og efterleve den fastlagte informationssikkerhed inden for egen område. 8 Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person, som underopdeles i: Følsomme personoplysninger: Eksempelvis oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening eller oplysninger om væsentlige sociale problemer, helbred, seksuelle eller strafbare forhold. Fortrolige oplysninger: Personnummer. Almindelige personoplysninger: Oplysninger, der kan henføres til en person f.eks. navn, adresse, IP-nummer mv., men som ikke er følsomme eller fortrolige. 9

6 Personoplysninger må kun benyttes i overensstemmelse med det formål, hvortil oplysningerne er indhentet. Enhver anvendelse af personoplysninger til privat formål er strengt forbudt. Tavshedspligten ophører ikke ved fratrædelse. Movias omdømme Ved anvendelse af internettet på Movia-udstyr (telefon, pc og tablet) kan kommunikationen føres tilbage til Movia. Derfor er det vigtigt med god adfærd og at du er opmærksom på din søgeaktivitet, besøg på hjemmesider og chat-fora, elektronisk post og anden dialog på internettet. Det uacceptabelt, hvis Movias udstyr bliver benyttet til uetiske, tvivlsomme eller ligefrem ulovlige aktiviteter. Derfor skal du huske: At være opmærksom og disciplineret i omgang med personoplysninger. At være forsigtig i omgang med passwords (adgangskoder). Ikke at downloade, kopiere, anvende eller videresende ophavsretlig beskyttet materiale (f.eks. licenskrævende software, musik-, billedeog lydfiler), som hverken brugeren eller Movia har erhvervet rettighederne til. 11

7 At være opmærksom på, hvilke hjemmesider du besøger. Hjemmesider med indhold af pornografisk eller diskriminerende karakter er ikke tilladt. Inden du trykker på links mv. at tjekke grundigt, at du kender afsenderen, og at alt ser OK ud. Herudover sikrer Movias it-systemer, hvor det er muligt, at dine passwords: Er minimum 8 karakterer lange. Består af minimum 3 af følgende 4 karakterklasser: 1) små bogstaver, 2) store bogstaver, 3) tal og 4) specialtegn. Fornys efter 90 dage. Pas på dine passwords Passwords er selvsagt en vigtig del af sikker adgang til information. Ikke genbruges i 10 generationer. På mobiltelefoner, der synkroniserer mails, er der endvidere krav om skærmlås (pinkode med mindst 4 cifre) 12 Derfor skal du huske: At holde dine passwords strengt fortrolige, ikke udlevere dem til kolleger, ledere, Service-Desk e.l. Ikke at nedfælde dem på papir, på telefoner, it-systemer e.l. med mindre opbevaringen er godkendt af chefen for it-området. At vælge dine passwords, så de er nemme at huske, men ikke at gætte (undgå bruger-navn, fødselsdato, telefonnummer, navn på børn m.v.). Ikke at bruge samme password til private og arbejdsmæssige formål. At skifte password, hvis der er mistanke, om koden er kendt af andre. Håndtering af USB-nøgler, udskrevne dokumenter, og PC. Informationer skal altid gemmes centralt i Movit, på netværksdrev eller andre centrale systemer, hvor der tages sikkerhedskopi. Det er tilladt at gemme ikke fortrolige og ikke personfølsomme informationer på lokale pc og USB-nøgler, Dropbox m.v, hvis de også er gemt centralt i Movia. Dette kan fx. være relevant ved eksternt samarbejde. Generelt opfordres der til, at personoplysninger eller fortrolig information ikke kopieres ud på USB-nøgler eller udskrives på papir. Der er en stor risiko for, at disse lagringsmedier bliver tabt eller stjålet. 13

8 Ved udskrivning på papir skal du være opmærksom på sikker destruktion (makulering), når papiret skal bortskaffes. Er det alligevel nødvendigt, skal lagringsmediet være krypteret (USB-nøgler, CD er m.v.), under konstant opsyn eller forsvarligt låst inde. For ovennævnte gælder, at der kun må anvendes krypterede USB-nøgler fra Movia. Dette medfører eksempelvis, at ikke-krypterede personoplysninger uanset lagringsmedie kun må medtages som håndbagage på rejse. Brugte USB-nøgler o.l. skal håndteres af ServiceDesk, og du må ikke bortskaffe dem selv. Alle personoplysninger må sendes i klar tekst til interne -adresser. Til eksterne -adresser skal personoplysninger uagtet om de er almindelige eller følsomme krypteres med en af Movia autoriseret metode til sikker . Derfor skal du huske: Lås din skærm når du forlader din PC. Efterlad ikke materiale med personoplysninger på skriveborde efter arbejdstids ophør. Når du sender personoplysninger til eksterne -adresser er det ikke krypteret på forhånd. Det skal du sørge for. Har du brug for hjælp kontakt ServiceDesk. 15

9 Private filer må ikke gemmes i Movia udstyr og lagringsmedier (Movit, drev, USB mv.). Det er kun tilladt at gemme private filer i privat mappen på C-drevet på pc en. Denne mappe bliver ikke sikkerhedskopieret og Movia har intet ansvar for genetablering af filerne i denne mappe. Fysisk adgangskontrol Movia anvender et elektronisk adgangskontrolsystem til styring af adgang til Movias kontorer. Adgangskontrolsystemet benyttes til tildeling af adgangsrettigheder og til registrering og opbevaring af oplysning om passage af adgangskontrolsystem. Følgende gælder for alle zoner: Movia ansatte Alle ansatte skal bære synligt ID kort ved ophold i Movias lokationer. Ved glemt ID-kort skal medarbejderen henvende sig i receptionen og få udleveret et midlertidigt ID kort. Manglende synligt ID kort kan udløse en påtale til pågældende medarbejder. Faste eksterne gæster ID kort til faste eksterne gæster er tidsbegrænsede. vil få udleveret et midlertidigt ID kort. Manglende synligt ID kort kan medføre bortvisning/afvisning. Faste gæster med gyldigt ID kort kan bevæge sig uledsaget i Movias lokationer. Gæster Gæster skal bære synligt, tidsbegrænset, personligt ID kort under ophold i Movia. Værten (Movia ansat) skal give information om gæster til receptionen via Serviceportalen med mødetidspunkt, antal gæster, deres fulde navn og hvilket firma de kommer fra. Gæster med ID kort kan sendes direkte (uden afhentning) til mødelokalet; dog ikke ved første besøg i Movia. Uanmeldte gæster (hvor receptionen ikke har oplysninger om gæsten) skal afhentes i receptionen, og receptionen skal udstede et ID kort. Såfremt en gæst følges med en ansat gennem en anden indgang end receptionen, skal det sikres, at gæsten henvises til receptionen. Efter ophold i bygningen skal ID kortet tilbageleveres. 16 Alle faste gæster skal bære synligt ID kort ved ophold i Movias lokationer. Ved glemt ID-kort skal den faste gæst henvende sig i receptionen og ID kort skal også bæres af ikke Movia ansatte, herunder kursister, leverandører og håndværkere mv. 17

10 Rapportering af hændelser Her kan du læse mere Som kollega og medarbejder er du med til at forbedre sikkerheden ved hensigtsmæssig reaktion på: Fejltagelser som eksempelvis: Hændelige fejl, f.eks. tab/tyveri af bærbar PC, mobiltelefon, USB-nøgler m.v. Regler og vejledninger, der ikke bliver fulgt. Movias fulde strategi og politik for informationssikkerhed kan du finde på intranettet. Der beskriver i langt større detaljeringsgrad, hvilke foranstaltninger Movia igangsætter for at sikre vores informationer. Du er også meget velkommen til at kontakte ServiceDesk med spørgsmål eller kommentarer til Movias informationssikkerhed. Manglende uddannelse og træning. Usædvanlige hændelser såsom: Virus, spyware og lignende. Opkald eller mails fra personer, der forsøger at fravriste dig oplysninger om dig selv, Movia, dit brugernavn/password m.v. moviatrafik.dk/brugeransvar Unormalt langsomt system. Derfor skal du altid huske at: Uanset om du har set rigtigt eller du er i tvivl, kontakte Service- Desken, hvis du opdager eller har mistanke om brud på informationssikkerheden. Hellere én gang for meget end en for lidt