UNIVERSITY COLLEGE LILLEBÆLT. IT-Politik. Retningslinier for brug af ITfaciliteter

Transkript

1 UNIVERSITY COLLEGE LILLEBÆLT IT-Politik Retningslinier for brug af ITfaciliteter hos UCL Godkendt november 2015

2 Indhold 1) Indledning...3 2) Formål med IT-politikken...3 3) Gyldighedsområde...3 4) Gode råd om sikker IT-anvendelse for alle...3 5) Uacceptabel brug af IT-faciliteter...4 6) Hvis der er mistanke om uacceptabel brug af IT-faciliteter...4 7) Generelle regler...5 Administration af brugerkonti medarbejdere... 5 Administration af brugerkonti studerende/kursister ) Retningslinjer for medarbejderes brug af og kalender..6 og kalender... 6 Kodeks for indhold i s ) Adgang til brugernes personlige mailkonti, data og dokumenter...6 Håndtering af brugerdata og brugerrettigheder ) Tilgængelighed, sikring, kryptering mm ) Privat brug noget tilladt, andet ikke ) Brug af udstyr, herunder installation af programmer ) Retningslinjer for medarbejderes brug af onlinemøder ) Lovgivning...8

3 1. Indledning UCL står for kvalitet og åbenhed. Det gælder også IT-tilbud og -systemer til medarbejdere og studerende. Velfungerende og driftssikre IT-faciliteter medvirker til at udvikle UCL s uddannelser og aktiviteter. IT-afdelingen følger udviklingen, sørger for driftssikkerhed og stiller mange forskellige IT-værktøjer til rådighed. Lovgivningen kræver, at vi har en IT-politik for at sikre, at alle kender reglerne for anvendelse af UCL s IT-faciliteter. 2. Formål med IT-politikken IT-politikken bidrager til sikker IT-drift. Udgangspunktet er tillid til, at it-brugerne både medarbejdere og studerende: Sætter sig ind i IT-politikken, som præsenteres her. Udviser ansvarlighed i brugen af vores IT-faciliteter. 3. Gyldighedsområde IT-politikken omfatter brugen af alle UCL s IT-faciliteter: Alle netværksbaserede IT-faciliteter og IT-systemer Personligt IT-udstyr (personligt IT-udstyr udleveret af UCL samt privat IT-udstyr, der kobles på UCL s IT-faciliteter). 4. Gode råd om sikker IT-anvendelse for alle Det er vigtigt, at alle følger de givne retningslinjer og er opmærksom på, at brud på sikkerheden et enkelt sted kan have følger for mange. Du kan se UCL s tegnefilm om informationssikkerhed på mit.ucl.dk. Brug sikre adgangskoder og giv dem ALDRIG til andre. Ved fejlretning/reparation af IT-udstyr kan det være nødvendigt at give adgangskoden til en ITmedarbejder. Du skal herefter ændre din adgangskode, så det kun er dig, der kender den. Lås din PC hvis/når du forlader den. Pas på spam, phishing-mails og mistænkelige filer. Gem dine data på UCL s sikre servere. Brugernes personlige dokumenter gemt lokalt på PC en er IKKE omfattet af IT-afdelingens sikkerhedskopiering. Sørg derfor for, at dine personlige, arbejdsrelaterede dokumenter også gemmes på UCL s sikre servere, hvor IT-afdelingen sørger for daglig sikkerhedskopiering/backup. Brug UCL s sikker mail til afsendelse af persondata og fortrolige informationer. Brug UCL s sikre IT-systemer og drev til lagring af persondata og fortrolige informationer. Respektér andres ophavsret, når du genbruger indhold fra internettet. Indhent tilladelse før publicering af billeder og video, hvor andre optræder. Husk at indrapportere evt. sikkerhedshændelser. Brug af internet fra UCL s netværk bør ske med omtanke da virus eller anden skadelig software kan få store negative konsekvenser for hele netværket.

4 5. Uacceptabel brug af IT-faciliteter Ved uacceptabel brug af UCL s IT-faciliteter forstår vi brug, der: Er direkte ulovlig Kompromitterer IT-sikkerheden Skaber IT-driftsforstyrrelser ved brud på politikker/retningslinjer/regler. Eksempler Nedenfor gives en række eksempler på aktiviteter, der ikke er tilladt, når du bruger UCL s internet adgang. Det er uacceptabelt at anvende internetadgangen til private kommercielle formål. Download fra internettet er kun acceptabelt, hvis det har et arbejdsmæssigt formål. Hold dig fortrinsvis til internetsider fra kendte firmaer eller organisationer, og søg ikke efter useriøse sider. Der kan ikke gives en fast definition på hvad useriøse sider er, men pejlemærker er: - Brug sund fornuft - Undgå sider med porno, spil, chat, hacker, musik, video, fildeling og lignende. Søgning på den type af useriøse sider kan være ulovlig og det er ofte på den type sider, der gemmer sig virus, spyware og ødelæggende programmer. Vær opmærksom på, at al færden på internettet efterlader elektroniske spor. Bruger du UCL s udstyr/netværk, kan de elektroniske spor henføres til UCL (og efterfølgende til brugeren). Når du færdes på internettet fra UCL s netværk bør du derfor aldrig besøge sider eller foretage handlinger, der på nogen måde kan virke kompromitterende for UCL. Nogle brugere (f.eks. IT-medarbejdere) har adgang til alle data og IT-systemer. Men for brugere, der ikke er autoriseret hertil, er det uacceptabelt at: Forsøge at få adgang til personlige og/eller personfølsomme informationer. Anvende en anden brugers adgangskode(r). Søge informationer om password eller data, som tilhører andre brugere. Udføre aktiviteter, som ikke overholder gældende love, herunder uautoriseret kopiering af ophavsretsligt materiale, brug af licensbeskyttet software uden licens eller formidling af uautoriserede kopier af licensbeskyttet software til andre. Forsøge at omgå UCL s informationssikkerhedspolitik. Opfange eller undersøge data uden de fornødne rettigheder eller autorisation. Udføre aktiviteter som kompromitterer UCL s IT-sikkerhedsregler og retningslinjer eller andre lokale politikker, herunder forsøg på at omgå IT-sikkerhedsbestemmelser eller ressourcebegrænsninger ved at tilsløre eller forfalske sin identitet. 6. Hvis der er mistanke om uacceptabel brug af IT-faciliteter I tilfælde hvor det konstateres, at UCL s IT-politik overtrædes eller hvor der er begrundet mistanke om overtrædelse, skal IT-chefen kontaktes. IT-chefen har ansvaret for sagens videre forløb. Det vil i mange tilfælde være tilstrækkeligt at afklare en hændelse ved en opklarende samtale med de implicerede parter. Det kan dreje sig om misforståelser, tekniske fejl eller brugerfejl og dermed overtrædelser, hvor brugeren ganske uforsætligt har overtrådt reglerne.

5 Sådan en sag er hurtigt afsluttet, men for at sikre den bedst mulige håndtering, vil den mistænktes nærmeste leder i alle tilfælde blive orienteret / inddraget. Hvis der er tale om forsætlige overtrædelser UCL s IT-politik (og altså ikke simple fejltagelser), vil den mistænkte, dennes nærmeste leder/uddannelseschef og direktionen blive inddraget i undersøgelsen sammen med IT-chefen. En del af brugeraktiviteterne logges, m.h.p. at efterspore evt. brud på it-politikken. Ulovlig brug af UCL s IT-faciliteter (herunder internet), kan medføre påtale, skriftlig advarsel og have disciplinære konsekvenser som fx bortvisning/afskedigelse i henhold til gældende regler. Ledelsen/rektor kan politianmelde brud på IT-politikken hvis det skønnes nødvendigt. Overtrædelser af UCL s IT-politik af ekstern part - herunder misbrug af IT-faciliteter - vil om nødvendigt blive anmeldt til CERT (Computer Emergency Response Team). Ledelsen behandler eventuelle sanktioner i forbindelse med overtrædelsen af UCL s IT-politik efter gældende regler i UCL, herunder de personaleretslige regler. Tavshedspligt: Alle medarbejdere involveret i opklarende virksomhed eller overvågning er pålagt tavshedspligt vedrørende de oplysninger af fortrolig karakter, de måtte få kendskab til. 7. Generelle regler Ved at anvende UCL s IT-faciliteter accepterer alle brugere at opfylde gældende love, herunder nærværende retningslinjer og regler. Alle brugere er ansvarlige for enhver brug af deres personlige adgange og konti og har pligt til at håndtere passwords mv. forsvarligt, således at de ikke utilsigtet kommer andre i hænde. Brugerne må ikke beskadige, fjerne eller ændre mærkater (fx PC-navn, modelnummer, serienummer, stregkoder) på UCL s IT-udstyr. 7.1 Administration af brugerkonti medarbejdere Medarbejdere oprettes som brugere på UCL s IT-systemer på basis af brugerdata som oprettes af UCL s personaleenhed. Medarbejderen informeres af nærmeste leder om brugernavn, mailadresse og hvordan brugeren selv kan (og skal) ændre sit password. Ved fratrædelse deaktiveres medarbejderens brugerkonto på første dag efter ansættelsesforholdets ophør. 30 dage senere slettes medarbejderens brugerkonto. Brugeres adgang til IT-faciliteterne styres via tildeling af brugerrettigheder, primært på grundlag af informationer fra medarbejdernes ledere. En brugers adgang til IT-faciliteter lukkes, hvis brugeren ikke længere er ansat eller har længerevarende orlov eller andre begrundede forhold, hvor ledelsen vurderer, at adgangen bør lukkes. 7.2 Administration af brugerkonti studerende/kursister Studerende oprettes som brugere på UCL s IT-systemer af UCL s Studieadministration, der informerer den studerende om brugernavn, mailadresse og hvordan brugeren selv kan (og skal) ændre sit password. 30 dage efter studieafslutning deaktiveres den studerendes brugerkonto. Yderligere 30 dage senere slettes den studerendes brugerkonto.

6 8. Retningslinjer for medarbejderes brug af e- mail og kalender Retningslinjer for behandling af indgående e-post fremgår af UCL s journalvejledning og kalender s, kalenderaftaler og aftaler om onlinemøder har status som al anden skriftlig kommunikation i UCL. Ingen ønsker at bliver overlæsset med mails. Send som udgangspunkt en til én modtager. Hvis der er flere modtagere, så tænk grundigt over hvem og hvor mange du sender en mail til brug især postlister og Cc-feltet med STOR omtanke! Du skal holde din kalender åben for læsning for kolleger, så de kan se hvornår du inden for dine normale arbejdstider er tilgængelig for fx telefonisk kontakt og planlægning af møder. Åbne kalendere er desuden en forudsætning for at vores telefonomstilling kan yde den bedst mulige service, bl.a. ved indkommende opkald og viderestilling. Du kan give en kollega adgangsrettigheder til at tilgå din postkasse/kalender i tilfælde af længerevarende fravær. Pågældende medarbejder/kollega er underlagt fortrolighed og tavshedspligt over for din mail og kalender. Svar ALDRIG! på spam-mails og phishing-mails. 8.2 Kodeks for indhold i s Skriv altid et emne i emnerubrikken, og skriv høfligt, kort, præcist, enkelt og overskueligt. Husk at anvende en signatur der tydeligt angiver dine kontaktinformationer for modtageren. Husk at s skal kunne tåle at blive læst af andre (fx fordi nogle medarbejdere har brug for at give en sekretær eller en anden kollega adgang til sin mailboks.) Husk at dine s i tilfælde af mistanke om (evt. andres) IT-misbrug kan blive åbnet af ledelsen ved undersøgelser af mistanken, efter at du er blevet informeret herom. 9. Adgang til brugernes personlige mailkonti, data og dokumenter Hvis der er driftsmæssige problemer, kan det blive nødvendigt at IT-medarbejdere - uden forudgående varsel - åbner en medarbejders mailkonto for at udbedre problemet. Mailkontoens ejer vil hurtigst muligt blive orienteret herom og få anvisning på korrekt anvendelse af systemet. Ved driftsarbejde kan IT-medarbejdere have behov for at tilgå data og filer i forbindelse med vedligeholdelse eller undersøgelse. IT-medarbejdere er pålagt fortrolighed og tavshedspligt i forbindelse med tilgang til mailkonti, de netop omtalte personlige data og filer. Overvågning og logning Overvågning og logning af vores IT-systemer sker alene af hensyn til drift, fejlretning, sikkerhed, genetablering og dokumentation. Det kan fx være i forbindelse med undersøgelse af IT-faciliteters

7 logfiler for fejl og/eller driftsforstyrrelser, netværksovervågning, undersøgelse af e-post, der ikke er blevet leveret til en postkasse, håndtering af virus- og spamfiltre, brug af internet, afklaring af ressourcebegrænsninger o. lign. Adgang til logning og overvågning er begrænset til personale, hvis opgave det er at sikre IT-driften. IT-medarbejdere (og evt. eksterne IT-konsulenter) skal respektere fortrolighed og tavshedspligt i forbindelse med tilgang til brugernes mailkonti, personlige og evt. private data og filer, og skal behandle disse i overensstemmelse med bestemmelserne i persondataloven. 9.1 Håndtering af brugerdata og brugerrettigheder IT-afdelingen henter de basale brugerdata i UCL s IT-system SIS. Brugernavne/bruger-ID og mail-adresser dannes automatisk ud fra disse stamdata. 10. Tilgængelighed, sikring, kryptering mm IT-systemer, der ejes af UCL, skal være tilgængelige for institutionen. Det betyder at, systembrugernavne og tilhørende kodeord, krypteringsnøgler og nøgler til andre sikringsmekanismer, skal deponeres i pengeskabe eller på anden betryggende vis, således at administrator eller andre bemyndigede medarbejdere i givet fald kan få adgang til systemerne, ved den normale systemansvarliges fravær. De deponerede oplysninger skal ajourføres, når der sker ændringer. Materiale, der er omfattet af offentlighedsloven eller forvaltningsloven, må ikke opbevares/arkiveres på krypteret form. Kryptering og efterfølgende dekryptering, der sker (automatisk) mellem afsender og modtager for at sikre datatransporten, er ikke omfattet af forbuddet mod kryptering. 11. Privat brug noget tilladt, andet ikke IT-faciliteter i UCL understøtter institutionens drift. IT-udstyr hjemlånt af medarbejdere/studerende er omfattet af nærværende IT-politik. Det er tilladt i begrænset omfang at anvende IT-faciliteterne til privat brug, forudsat at den private brug ikke belaster eller kompromitterer IT-sikkerheden og IT-driften. Det er ikke tilladt at bruge UCL s IT-faciliteter til private kommercielle formål (fx annoncer og lign.), bortset fra platforme, som er specifikt beregnet til det (fx lokale og globale digitale opslagstavler ). På alle andre platforme betragtes denne form for informationer som spam! Brug af fildelingssystemer på pc ere koblet på UCL s netværk er ikke tilladt! 12. Brug af udstyr, herunder installation af programmer UCL s Pc ere (og printere), er konfigureret til vores netværk, og vedligeholdes automatisk via netværket, herunder sikkerhedsopdateringer af Windows, Office-pakken og anden software. Af hensyn til en effektiv og sikker drift er det alene IT-afdelingen, der må ændre disse indstillinger, ligesom det udelukkende er IT-afdelingen, der må servicere og reparere UCL s udstyr.

8 Brugerne må gerne installere andre programmer til egen arbejdsmæssig brug, men det påhviler brugeren at sikre at licensregler og tredje parts rettigheder overholdes. 13. Retningslinjer for medarbejderes brug af onlinemøder Når der planlægges et internt UCL-møde, skal det som den første mulighed vurderes om mødet kan afholdes online via pc, sekundært om det kan afholdes som videokonference. Begrundelsen for onlinemøder som alternativ til fysiske møder, er, i de tilfælde hvor der er større afstand mellem mødedeltagerne, at UCL sparer ressourcer til transport, dvs. løn/timer og kørselsgodtgørelse. Naturligvis egner alle typer møder sig ikke til afvikling online, men muligheden skal vurderes i alle tilfælde. 14. Lovgivning Lovgivning der relaterer sig til IT-politikken: Persondataloven Forvaltningsloven Offentlighedsloven Lov om ophavsret