Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia
Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på dine passwords 12 Håndtering af USB-nøgler, udskrevne dokumenter, pc og gæster 13 Rapportering af hændelser 16 Her kan du læse mere 18 3
Pas på vores Movia Movia håndterer dagligt store mængder personoplysninger og fortrolig viden både digitalt, på papir og mundtligt. Vi skal i Movia passe godt på de informationer, som vi enten selv indsamler og behandler, eller som andre overlader til os. Det forventer det omkringliggende samfund, og det kræver lovgivningen. Derfor skal vi løbende sikre, at vores adfærd og omgang med Movias informationer er passende. Til gavn for Movias omdømme, vores kolleger og dig selv. Information er ikke altid noget, man får information er også noget, man søger Alle i Movia har pligt til: At kende og overholde informationssikkerhedspolitikken. At gøre opmærksom på misligholdelse af informationssikkerhedspolitikken. At holde sig ajour om informationssikkerheden i Movia. Ved tvivlstilfælde at kontakte ServiceDesken. God læselyst. 5
Movias målsætninger Movia vil gerne være en pålidelig, effektiv og troværdig organisation, der nyder tillid fra det omgivende samfund. Derfor har Movia opstillet følgende overordnede målsætninger, som altid skal afspejles i vores adfærd: Vi lever op til lovgivning og myndighedskrav inden for informationssikkerhed. Vi fremstår som en organisation med troværdig beskyttelse af vores informationer. Medarbejderen forstår eget ansvar, og det er en naturlig del af det daglige arbejde at efterleve informationssikkerhedspolitikken. Vi vil have høj driftssikkerhed og styrede risici for nedbrud og tab af data. Ingen uvedkommende kan få adgang til informationer eller it-systemer. Forsøg på tilsidesættelse af sikkerhedsforanstaltninger bliver opdaget og kan tilbageføres til den, der har ansvar herfor. Sikkerhedskrav er operationelle og afbalancerede. 6
Hvem har ansvaret? Vi har alle sammen del i sikkerheden. Den enkelte medarbejders bidrag er grundlæggende: At beskytte Movias informationer. At følge sikkerhedsregler. At hjælpe andre med at overholde sikkerhedskrav. At være opmærksom på brud på sikkerheden og rapportere disse. Movias administrerende direktør har det overordnede ansvar for informationssikkerheden og står på mål for Movias opfyldelse af målsætningerne overfor bestyrelsen. Ansvaret for at styre og kontrollere informationssikkerheden på tværs af organisationen er delegeret til chefen for it-området af den administrerende direktør. Det er kun chefen for it-området, der kan dispensere fra informationssikkerhedspolitikken, og dette under ansvar overfor den administrerende direktør. Movias områdechefer er ansvarlige for at prioritere, implementere og efterleve den fastlagte informationssikkerhed inden for deres område. Alle ledelseslag skal i både ord og handlinger være rollemodeller, og i praksis demonstrere opbakning til og motivere overholdelse af informationssikkerhedspolitikken. 8
Ved manglende overholdelse af informationssikkerheden kan det resultere i disciplinære sanktioner samt evt. politianmeldelse. Fortrolighed Enhver medarbejder i Movia er forpligtet til at iagttage absolut fortrolighed omkring personoplysninger og øvrige sikkerhedsmæssige forhold, som eksempelvis kan påvirke Movias omdømme. Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person, som underopdeles i: Følsomme personoplysninger: Eksempelvis oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening eller oplysninger om væsentlige sociale problemer, helbred eller seksuelle forhold eller strafbare forhold. Fortrolige oplysninger: Personnummer. Almindelige personoplysninger: Oplysninger, der kan henføres til en person f.eks. navn, adresse, IP-nummer mv., men som ikke er følsomme eller fortrolige. Personoplysninger må kun benyttes i overensstemmelse med det formål, hvortil oplysningerne er indhentet. Enhver anvendelse af personoplysninger til privat formål er strengt forbudt. Tavshedspligten ophører ikke ved fratrædelse. 9
Movias omdømme Ved anvendelse af internettet på Movia-udstyr (telefon, pc og tablet) kan kommunikationen føres tilbage til Movia. Derfor er det vigtigt med god adfærd, og at du er opmærksom på din søgeaktivitet, besøg på hjemmesider og chatfora, elektronisk post og anden dialog på internettet. Derfor er det uacceptabelt, hvis Movias udstyr bliver benyttet til uetiske, tvivlsomme eller ligefrem ulovlige aktiviteter. Derfor skal du huske: At være opmærksom og disciplineret i omgang med personhenførbare oplysninger. At være forsigtig i omgang med passwords (adgangskoder). Ikke at downloade, kopiere, anvende eller videresende ophavsretlig beskyttet materiale (f.eks. licenskrævende software, musik-, billedeog lydfiler), som hverken brugeren eller Movia har erhvervet rettighederne til. At være opmærksom på, hvilke hjemmesider du besøger. Hjemmesider med indhold af pornografisk eller diskriminerende karakter er ikke tilladt. 11
Pas på dine passwords Passwords er selvsagt en vigtig del af sikker adgang til information. Derfor skal du huske: At holde dine passwords strengt fortrolige, og ikke udlevere dem til Kollegaer, ledere ServiceDesk, partnere, familie e.l. Ikke at nedfælde dem på papir, på telefoner, i it-systemer e.l. med mindre opbevaringen er godkendt af chefen for it-området. At vælge dine passwords, så de er nemme at huske, men ikke at gætte (undgå bruger-navn, fødselsdato, telefonnummer, navn på børn m.v.). Ikke at bruge samme password til private og arbejdsmæssige formål. At skifte password, hvis der er mistanke om, at koden er kendt af andre. Herudover sikrer Movias it-systemer, hvor det er muligt, at dine passwords: Er minimum 8 karakterer lange. Består af minimum 3 af følgende 4 karakterklasser: 1) små bogstaver, 2) store bogstaver, 3) tal og 4) specialtegn. Fornys efter 90 dage. Ikke genbruges i 10 skift (generationer). 12
På mobiltelefoner, der synkroniserer mails, er der endvidere krav om skærmlås (pinkode med mindst 4 cifre). Håndtering af USB-nøgler, udskrevne dokumenter, pc og gæster Informationer skal altid gemmes centralt i Movit, på netværksdrev eller andre centrale systemer, hvor der tages sikkerhedskopi. Det er tilladt at gemme ikke fortrolige og ikke personfølsomme informationer på lokale pc og USB-nøgler, Dropbox m.v., hvis de også er gemt centralt i Movia. Dette kan fx være relevant ved eksternt samarbejde. Generelt opfordres der til, at personoplysninger eller fortrolig information ikke kopieres ud på USB-nøgler eller udskrives på papir. Der er en stor risiko for, at disse lagringsmedier bliver tabt eller stjålet. Ved udskrivning på papir skal du være opmærksom på sikker destruktion (makulering), når papiret skal bortskaffes. Er det alligevel nødvendigt, skal lagringsmediet være krypteret (USBnøgler, CD er m.v.), under konstant opsyn eller forsvarligt låst inde. For ovennævnte gælder, at der kun må anvendes krypterede USB-nøgler fra Movia. Dette medfører eksempelvis, at ikke-krypterede personoplysninger uanset lagringsmedie kun må medtages som håndbagage på rejse. 13
Brugte USB-nøgler o.l. skal håndteres af ServiceDesk, og du må ikke bortskaffe dem selv. Alle personoplysninger må sendes i ikke krypteret form til interne e-mailadresser. Til eksterne e-mail-adresser skal personoplysninger, uagtet om de er almindelige eller følsomme, krypteres med en af Movia autoriseret metode til sikker e-mail. Derfor skal du huske: Lås din skærm når du forlader din pc. Når du sender personoplysninger til eksterne e-mail-adresser, er det ikke krypteret på forhånd. Det skal du sørge for. Har du brug for hjælp kontakt ServiceDesk. Private filer må ikke gemmes i Movia udstyr og lagringsmedier (Movit, drev, USB mv.). Det er kun tilladt at gemme private filer i privat mappen på C-drevet på pc en. Denne mappe bliver ikke sikkerhedskopieret, og Movia har intet ansvar for genetablering af filerne i denne mappe. Gæstepolitik (gælder for gæster, kursister, leverandører, håndværkere m.fl.) Gæster modtager i receptionen et gæsteskilt, der skal bæres synligt under ophold i Movia. Gæsterne indskrives i en gæstebog med navn og firma. Gæster skal afhentes i receptionen af en repræsentant fra det område, hvor de skal hen. 15
Såfremt en gæst følges med en ansat gennem en anden indgang end receptionen, skal det sikres, at gæsten modtager et gæstekort i receptionen. Rapportering af hændelser Som kollega og medarbejder er du med til at forbedre sikkerheden ved hensigtsmæssig reaktion på: Fejltagelser som eksempelvis: Hændelige fejl, f.eks. tab/tyveri af bærbar pc, mobiltelefon, USBnøgler m.v. Regler og vejledninger, der ikke bliver fulgt. Manglende uddannelse og træning. Usædvanlige hændelser såsom: Virus, spyware og lignende. Opkald eller mails fra personer der forsøger at fravriste dig oplysninger om dig selv, Movia, dit brugernavn/password m.v. Unormalt langsomt system. 16
Derfor skal du altid huske, at: Uanset om du er i tvivl, så kontakt ServiceDesken, hvis du opdager eller har mistanke om brud på informationssikkerheden. Hellere én gang for meget end én gang for lidt. Her kan du læse mere Informationssikkerhedspolitikken kan du finde på intranettet. De beskriver i langt større detaljeringsgrad, hvilke foranstaltninger Movia har iværksat for at sikre vores informationer. Du er også meget velkommen til at kontakte ServiceDesk med spørgsmål eller kommentarer til Movias informationssikkerhed. www.moviatrafik.dk/brugeransvar 18
Trafikselskabet Movia Gammel Køge Landevej 3 2500 Valby Tlf. 36 13 14 15 www.moviatrafik.dk Movia Design/Mette Malling 04.15. Fotos: Movia