Informationssikkerhed regler og råd

Transkript

1 Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at vi alle bidrager til en sikker informationsanvendelse på RMC. Som offentlig institution er RMC forpligtet til at sikre, at personfølsomme og fortrolige oplysninger bliver opbevaret og behandlet på en måde, som sikrer at kun de medarbejdere, der i arbejdsmæssig sammenhæng har brug for at se oplysningerne, har adgang til dem. Folderen har særligt fokus på, hvad du som TAP skal, må og ikke må i forhold til håndtering af personfølsomme og fortrolige oplysninger. Henrik Sveidahl November

2 Daglig brug Al dataanvendelse på RMC logges. Det betyder, at RMC kan spore, hvem der har set eller arbejdet med bestemte data. Loggen anvendes ikke til at kontrollere medarbejdernes brug af internet eller , med mindre der er mistanke om kriminelle forhold, overtrædelse af sikkerhedsbestemmelserne eller i forbindelse med systemproblemer og fejlretning. Computer er her i folderen betegnelse for alle typer computere samt mobilt udstyr, som bl.a. bærbare computere, tablets og mobiltelefoner. Pauseskærm aktivere pauseskærmen ( + L), så den er låst med password / pinkode, når du forlader din computer selv for en kortere periode. deaktivere en pauseskærm med password / pinkode, som RMC har installeret. Password have et personligt password med minimum otte tegn, bestående at store og små bogstaver samt tal, udtænke et password, som er nemt at huske for dig, men ikke kan gættes af andre,. skifte password, hvis du har mistanke om, at det er blevet kendt af andre. anvende oplysninger til dit password som vedrører dig selv (f.eks. familiens navne, fødselsdatoer, bilnummer o.l.), bruge det samme password til systemer uden for RMC, f.eks. til din private mail eller på intranettet, skrive dit password ned videregive dit password til andre. 2

3 Brug af drev lagre dine arbejdsdokumenter og andre data på RMCs fælles servere, hvor der er backup og andre sikkerhedsforanstaltninger. Kritisk information (persondata og følsomme informationer) må kun gemmes i systemer, der er beregnet til det. Kritisk informati skal forstås som information, RMC ikke kan tåle at miste og/eller få ud i offentligheden, herunder f.eks. personfølsomme data. kun opbevare kritisk information på RMCs filservere, og ikke andre steder. som fast arbejdsgang lagre arbejdsdata på dit C-drev, USB-nøgler eller lignende, hvor de kan blive slette uforvarende eller måske komme til uvedkommendes kendskab. Lagring på dit C-drev, USBnøgler eller lignende skal være så kortvarig som muligt. Ved lagring af kritisk information på USBnøgler skal der anvendes krypteret USB-nøgler. Arbejdsdata er informationer, der anvendes i en arbejdsmæssig sammenhæng og er relevante for opgaveløsningen på RMC. Computere, netværk og programmer Virus kontakte Helpdesk ([email protected]), hvis du har mistanke om, at din computer har virus eller opfører sig mærkeligt, kontakte Helpdesk ([email protected]), hvis du har mistanke om, at antivirusprogrammet på din computer ikke virker korrekt. Trådløst net selv opsætte trådløst netværk på RMCs lokationer. Programmer spørge RMCs it-sikkerhedskoordinatoren, hvis du har brug for et program, som ikke findes på positivlisten. 3

4 kun anvende programmer, som er godkendt til brug på RMC. Din daglige leder og itsikkerhedskoordinatoren skal vurdere og godkende en evt. anvendelse af programmer, der ikke findes på positivlisten. fjerne de sikkerhedskontroller (antivirus, adgangskontrol o.l.), som er installeret på din computer. Bærbare computere og flytbare medier medbringe din computer, flytbare medier og andet mobilt udstyr som håndbagage, når du har udstyret med på rejse. efterlade bærbare computere og andre flytbare medier, medmindre de er forsvarligt sikret i et aflåst skab eller rum. Begrebet flytbare medier er her en fællesbetegnelse for bl.a. mobiltelefoner og USB-enheder, der kan lagre data, eksterne harddiske, DVD og CD-rom. benytte sikker og krypteret , når du sender fortrolige eller følsomme personoplysninger til modtagere uden for RMC, sikre dig at modtagere af fortrolige eller følsomme personoplysninger kan modtage dem sikkert og krypteret, behandle s fra ukendte afsendere og/eller med ukendt eller manglende emne med varsomhed. De kan indeholde virus. sende og modtage s med fortrolige og følsomme persondata internt på RMC via rmc.dkmailadresser, sende og modtage s med fortrolige og følsomme persondata via Outlooks funktion til kryptering af mail til/fra eksterne modtagere. benytte din private mailkonto til at sende og/eller modtage RMCs fortrolige og følsomme data, sætte en fast videresendelse af s op fra din rmc.dk-mailadresse til en privat mailkonto, 4

5 åbne vedhæftede filer/klikke på links i s fra ukendte eller mistænkelige afsendere, benytte din rmc.dk-mail til private formål, dog kan mailen i nødstilfælde og helt undtagelsesvist anvendes til private formål. Hvis du har brug for at sende krypterede og signerede s, kan du kontakte it-sikkerhedskoordinatoren. Husk at s og sikker s med fortrolige og følsomme persondata skal slettes fra postkassen inden 30 dage. Internet være varsom med at opgive adresser på internettet. De kan blive brugt til spam. anvende internettet med omtanke og uden at være til gene for eller virke stødende på dine kollegaer eller andre. bruge internettet til privat formål i begrænset omfang, såfremt det er nødvendigt at søgningen finder sted i arbejdstiden, kun downloade programmer og opdateringer fra internettet som fremgår af RMCs positivliste. Kontakt it-sikkerhedskoordinatoren, hvis du har brug for et program. downloade, opbevare eller surfe på sider, som indeholder ulovligt materiale, ulovligt downloade og distribuere materiale med copyright på. Sociale medier Du bør som RMC ansat agere på de sociale medier som du gør på jobbet, dvs med samme loyalitet overfor RMC, kollegaerne og ledelsen. Behandling af persondata være omhyggelig med at sikre, at uvedkommende ikke får adgang til personfølsomme eller fortrolige data. udveksle fortrolige oplysninger eller personoplysninger internt med dine kollegaer, hvis det er nødvendigt og lovligt i forhold til de arbejdsopgaver, du udfører. 5

6 tage sager eller dokumenter med hjem indeholdende fortrolige eller personfølsomme oplysninger, med mindre det er godkendt af din leder, og dokumenterne opbevares forsvarligt, opbevare eller behandle fortrolige eller personfølsomme data på din private computer, benytte services på internettet til at opbevare og arbejde med fortrolige og personfølsomme data, f.eks. OneDrive og Dropboks. Digital signatur beskytte din digitale medarbejdersignatur på samme måde som dit password, kontakte it-sikkerhedskoordinatoren, hvis du har mistanke om, at din signatur bliver misbrugt. bruge din NemId-medarbejdersignatur til private formål, bruge din private signatur/nemid i forbindelse med dit arbejde. Sikkerhedsnedbrud fortælle din leder eller it-sikkerhedskoordinatoren, hvis du opdager eller har mistanke om et sikkerhedsnedbrud, være klar over at brud på sikkerheden kan medføre disciplinære forholdsregler i overensstemmelse med RMCs retningslinjer, være klar over, at lovovertrædelser meldes til politiet. Reparation og bortskaffelse af udstyr aflevere computerudstyr samt flytbare medier, som skal repareres eller kasseres, til teknisk serviceleder, f.eks. mobiltelefoner og USB-enheder, der kan lagre data, eksterne harddiske, DVD og CD-rom. 6

7 tage kasserede computere og udstyr med hjem. Alle brugere af RMCs informationer skal følge RMCs informationssikkerhedspolitik og de tilhørende regler samt procedurer. En medarbejder må kun anvende informationer, som RMC har ansvaret for, i overensstemmelse med de arbejdsopgaver medarbejderen udfører. Informationerne skal beskyttes i overensstemmelse med deres følsomhed og væsentlighed. Læs mere på intranettet under: WIKI Informationssikkerhed Senest opdateret: 21. november 2016 HBR 7