IT-Sikkerhed i Billund Kommune

Transkript

1 IT-Sikkerhed i Billund Kommune Adfærdsregler Billund Kommune Version 1.0 Januar 2011 Side 1 af 9

2 Adfærdsregler Som kommune behandler vi mange oplysninger om borgere og virksomheder, som ofte er fortrolige og derfor kræver særlig beskyttelse. Samtidig er it-systemerne meget vigtige for, at vi kan varetage de opgaver, vi har som kommune. Brugen af Billund Kommunes Kommunenet er reguleret af Persondataloven og Billund Kommunes sikkerhedsregler. Både loven og reglerne er lavet for at beskytte borgerne, kommunen, de ansatte og byrådet. Som medarbejder og bruger af Kommunenettet har du et medansvar for at overholde både Persondataloven og Billund Kommunes sikkerhedsregler og at gøre dit bedste for at håndtere information og it-systemer på den rigtige måde. Overtrædelse af sikkerhedsreglerne og uforsigtighed kan i værste fald have alvorlige konsekvenser for kommunen, men også for dig personligt. Betragt derfor sikkerheden som noget grundlæggende, du altid skal være bevidst om, når du bruger it eller håndterer information. IT-Sikkerhed Adfærdsregler Side 2 af 9

3 Generel brug af software Installation af programmer på pc-arbejdsstationen Lagring af data Fagsystemer og fortrolige oplysninger It-brugere må ikke selv installere udstyr eller programmer. Anskaffelser og installation af nyt it-udstyr og software skal ske via it-afdelingen. Software til beskyttelse mod skadevoldende programmer og kode skal opdateres via automatiserede rutiner, og så ofte det teknisk er muligt. Styresystemer og andet software på pc-arbejdspladser bliver holdt opdateret via fastlagte arbejdsrutiner mod kendte fejl og sårbarheder, som kan udgøre en sikkerhedsrisiko. Der må kun anvendes software på pc-arbejdspladser, som kommunen har gyldig brugslicens til. Kommunens it-systemer må ikke anvendes til opbevaring eller distribution af ophavsretligt beskyttet materiale, som kommunen ikke har rettigheder til at anvende eller distribuere. Undlad selv at downloade eller installere programmer på din pc. Kontakt din superbruger eller it-afdelingen, hvis du har brug for et program. Din pc er et arbejdsredskab, og den bør derfor kun indeholde de programmer, som er nødvendige for, at du kan udføre dine arbejdsopgaver. Hvis du installerer programmer, som ikke er godkendt til at blive brugt i kommunens it-miljø, kan din pc blive ustabil. Der er også risiko for, at programmerne omgår kommunens sikkerhedssystemer og medfører sikkerhedsbrud. It-afdelingen sørger for, at godkendte programmer løbende opdateres. Som it-bruger har du en række muligheder for at gemme data i kommunens it-systemer. Som udgangspunkt skal data altid lagres i de fagsystemer, som er relevante i den konkrete sammenhæng. For at sikre mod tab af data og andres adgang til følsomme og fortrolige data, skal du, hvor det er muligt, gemme dine dokumenter, regneark m.v. i Billund Kommunes ESDH system. Hvis der ikke benyttes ESDH, skal dokumenter med personfølsomme oplysninger slettes inden 30 dage. Samme gælder for e-post i Outlook. Side 3 af 9

4 Der stilles dog krav om, at data, der markeres som private, er personlige og ikke på nogen måde strider mod ophavsret eller anden lovgivning. Ej heller må der gemmes programmer, der kan betragtes som hackerværktøjer. Flytbare lagringsmedier, USB-nøgler og cd-medier og lign., må ikke anvendes til opbevaring af fortrolige informationer. Det er vigtigt for Billund Kommune, at vi beskytter data. Tilsvarende er det også vigtigt, at vi sikrer data gennem rationelle backupprocedurer. Billund Kommunerelaterede data i form af dokumenter og lignende skal derfor placeres i kommunes ESDH system eller på din afdelings drev. Disse drev er beskyttet med adgangskode, og sikret med backup. Personlige netværksdrev Det personlige netværksdrev er et område på en server, hvor du som medarbejder i Billund Kommune har fået stillet et område til rådighed til personligt brug, og som kun kan tilgås af dig. Det pågældende område er identificeret med dit brugernavn og vil allerede være oprettet, når du første gang logger på din pc. På dette drev kan du lagre dine fortroligt/personligt klassificerede dokumenter. Principielt anses dette drev for at indeholde private dokumenter. Private dokumenter, der påtænkes lagret her, bør placeres i en mappe, benævnt privat. Ved privat forstås e-post og filer, der ikke er relateret til dit arbejde i og for Billund Kommune. Det er tilladt at lagre private data, så længe disse er tydeligt markeret med privat, enten i filnavnet eller i en navngiven folder på personligt drev. Side 4 af 9

5 Logning Brug af e-post Ejerskab til e-post Brug af e-post Adressering af e-post Logning af e-posttrafik Medarbejdernes anvendelse af brugerkonti og autorisationer til kommunens it-systemer logges. Logoplysningerne opbevares i minimum seks måneder. It-systemer, som anvendes til behandling og lagring af følsomme personoplysninger, er indrettet med logningsfaciliteter, som lever op til sikkerhedsbekendtgørelsens logningskrav. Logoplysninger om anvendelse af personoplysninger opbevares i seks måneder. Kun autoriserede medarbejdere kan foretage kontrol. Kontrol kan kun ske med fuld fortrolighed og kun med øverste sikkerhedsansvarliges samtykke. Du oplyses generelt omkring kommunens logning. Al e-post betragtes som udgangspunkt som Billund Kommunes ejendom, og Billund Kommune forbeholder sig ret til at skaffe sig adgang til e-post, hvis det er nødvendigt af forretningsmæssige årsager. Billund Kommunes e-post system er et arbejdsredskab, og medarbejdere hos Billund Kommune tildeles en personlig e-post adresse til arbejdsmæssigt brug. Det er dog tilladt at benytte e-postsystemet til privat brug i begrænset/rimeligt omfang. I tvivlstilfælde afgør afdelingsleder, hvad der skal forstås ved begrænset/rimeligt omfang. Ind- og udgående e-post der indgår i sagsbehandling, skal journaliseres. Fortrolig information, herunder fortrolige personoplysninger, som fremsendes via e-post, skal beskyttes med kryptering vha. digital signatur. Billund Kommune respekterer privat e-post på samme måde som privat, fysisk post, hvis den private e-post i emnelinjen mærkes privat. Privat e-post, der gemmes, bør opbevares i mappe mærket privat. Det er ikke tilladt at kommunikere i et anstødeligt sprog eller at skrive nedsættende om enkeltpersoner eller virksomheder. E-post må ikke benyttes til spam, det vil sige uopfordret udsendelse af reklamer mv., eller til at sende kædebreve og lignende. Ved afsendelse af e-post skal der kontrolleres for korrekt angivelse af modtager i de tre adressefelter ("Til", "cc" og "bcc"), således at e-post kun sendes til relevante modtagere. Brugen af e-postsystemet logges. Side 5 af 9

6 Sagsbehandling af e-post Fællespostkasser Videresendelse af e-post Ved ferie og sygdom skal afdelingsledere sikre, at indkommen e-post behandles. Det kan ske ved brug af stedfortræderfunktionen i Outlook eller ved at sikre tilbagesvar om, hvortil henvendelse skal ske. Medarbejdere der er tildelt rollen som stedfortræder, skal respektere korrespondance mærket med "privat" og udelukkende håndtere de arbejdsrelaterede henvendelser. Fællespostkasser kan oprettes i det omfang, hvor afdelingsledere skønner det arbejdsmæssigt relevant. Sikre fællespostkasser med krypteringsfunktion kan oprettes, hvis afdelingsledere ønsker en sådan løsning. Som afdelingsleder skal du sikre, at dekrypterede e-post i fællespostkassen behandles i overensstemmelse med deres klassifikation. Postsystemet må ikke automatisk videresende e-post til adresser, der ligger uden Brug af Internet Arbejdsrelateret brug Privat brug Al din færden på internettet skal kunne rummes inden for dansk lovgivning. I kommunens firewall føres dagligt log over al færden på internettet. Udstyr, der befinder sig i Billund Kommune, må kun konfigureres til at benytte den adgang til Internettet, der findes via Billund Kommunes netværk. Billund Kommune kan lukke for adgang til web-sider, hvortil der ikke ønskes adgang fra Billund Kommunes udstyr. Hvor der er begrundet brug for adgang til spærret web-side, kan nærmeste leder søge dispensation hos it-afdelingen. Din pc kan blive inficeret med virus, spyware, adware eller lignende, hvis du fra internettet henter filer eller programmer, du ikke kender indholdet af. I værste fald kan dette sprede sig til andre pc er og centrale systemer på kommunens netværk. Alle filer, der hentes fra Internettet, skal scannes for virus umiddelbart efter nedhentning, og inden de åbnes. Medarbejdere må benytte Internettet til private formål i begrænset/rimeligt omfang på en sådan måde, at det ikke generer det daglige arbejde. I tvivlstilfælde afgør afdelingsleder, hvad der skal forstås ved begrænset/rimeligt omfang. Filer, der i privat regi downloades, skal umiddelbart efter nedhentning og virusscanning gemmes i en folder benævnt "privat". Debatsider og lignende Det er ikke tilladt at skrive indlæg over Internettet, hvor du refererer til Billund Kommunes navn, eller hvor Side 6 af 9

7 indholdet kan opfattes som Billund Kommunes uden forudgående godkendelse af nærmeste afdelingsleder. Alle ikke godkendte indlæg regnes som værende personlige og derved ens eget ansvar. Sociale netværk Internet-etik Logning Sociale netværk må bruges som privat bruger. Det skal anvendes som privatperson og kun i fritiden, med mindre andet er aftalt! Sociale netværk skal anvendes med omtanke og det er ikke tilladt at downloade materiale fra disse. Der skal anvendes privat e-post adresse. Det er ikke tilladt at anvende sin Billund Kommune e-post adresse. Der må ikke offentliggøres ting der er belastende. Det gælder også materiale fra kommunens egne sociale netværk, julefrokoster m.v.. Det er ikke tilladt at kommunikere i et anstødeligt sprog eller at skrive nedsættende om enkeltpersoner eller virksomheder Vær opmærksom på, at data oploadet til Facebook, ejes af Facebook! Færden på Internettet efterlader elektroniske spor, der kan føres tilbage til pc en. Det er ikke tilladt at besøge hjemmesider, hvor du er bevidst om, at disse kan skade Billund Kommunes omdømme, eller hvor der er øget risiko for at blive udsat for virus eller anden malware. Dette kunne for eksempel være porno-, racistiske eller hackerrelaterede sider. Det er ikke tilladt at kommunikere i et anstødeligt sprog, herunder at tale/skrive nedsættende eller negativt om enkeltpersoner eller kommunen. Færdsel på Internettet logges af tekniske og sikkerhedsmæssige hensyn. Ved mistanke om misbrug af Billund Kommunes udstyr vil Billund Kommune forbeholde sig ret til at overvåge og gennemgå den enkelte medarbejders aktiviteter. Brug af messengerprogrammer Brug af Messenger Du må anvende den Windows Messenger, som er præinstalleret på din pc. Andre versioner eller andre chat-programmer (f.eks. Skype) må ikke anvendes, da disse kan indeholde funktioner med en sikkerhedsmæssig risiko. Når du bruger Windows Messenger til privat chat, skal du bruge en privat e-post-adresse til din brugerkonto. Hvis du udelukkende bruger Messenger til arbejdsrelateret chat, må du gerne bruge din Billund Kommune e-post-adresse til din brugerkonto - men IKKE Side 7 af 9

8 din Billund kommune-adgangskode. Vær opmærksom på, at chat med Messenger ikke er krypteret, du må derfor ikke oplyse passwords eller andre fortrolige oplysninger med Messenger, da uvedkommende vil kunne få fat på dem. Klik IKKE på mistænkelige links selvom de ser ud til at komme fra dine kontaktpersoner. Regler for indhold Adressering og kontaktpersoner Det er ikke tilladt at kommunikere i et anstødeligt sprog, herunder at tale/skrive nedsættende eller negativt om enkeltpersoner eller virksomheder. Det er brugerens ansvar, at indhold, der offentliggøres i Microsoft Messenger, ikke kan bruges eller misbruges af andre mod Billund Kommune eller Billund Kommunes borgere. Brugeren skal være opmærksom på, at indhold ikke krypteres og efterlades på de anvendte maskiner. Microsoft Messenger bør kun anvendes til kontakt med personer, du kender. Brug af trådløse netværk Trådløs opkobling af pc Beskyttelse af pcarbejdsstationer Brug af login Hjemmearbejdspladser Du må gerne koble dig op på kommunens trådløse netværk. Det gælder også gæster, som kan koble sig op via Kommunens trådløse gæstenetværk. Det er ikke tilladt selv at opsætte accesspoint. Som bruger af it-systemerne i Billund Kommune får du tildelt et personligt brugerlogin med tilhørende adgangskode. Adgangskoden til dit brugerlogin beskytter mod, at dine rettigheder til systemerne bliver misbrugt. Adgangskoden er strengt personlig, og du må ikke udlevere den til andre. Ellers risikerer du, at uvedkommende får adgang til it-systemer og information i dit navn. Hvis du har glemt din adgangskode, skal du kontakte itafdelingen. It-afdelingen tildeler dig en ny kode. Du bliver herefter kontaktet personligt. Første gang, du bruger den nye kode, skal du ændre den. Hvis du har adgang til at benytte en hjemmearbejdsplads eller en bærbar pc, skal du være opmærksom på at tage samme forholdsregler her, som ved arbejde på din pc på kontoret. Din opkobling til kommunens netværk må kun anvendes sammen med det udstyr, du har fået stillet til rådighed Side 8 af 9

9 Mobilt udstyr og datakommunikation af kommunen, fordi det ikke er underlagt den centrale sikkerhedsstyring, som gælder for kommunens udstyr. Fortrolig information herunder fortrolige personoplysninger, må ikke lagres på bærbare pc'er, mobiltelefoner, PDA'er og andet mobil it-udstyr. Ved særlige behov er det tilladt at lagre fortrolig information på mobilt it-udstyr, såfremt informationerne beskyttes med en sikkerhedsløsning, som er godkendt af it-chefen. Flytbare lagringsmedier, USB-nøgler, cd-medier og lign., må ikke anvendes til opbevaring af fortrolige informationer. Side 9 af 9