it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0
Indhold Forord................................................... 3 Resumé................................................. 4 Generelt................................................. 4 Skal, kan, må ikke........................................... 5 Daglig brug............................................... 6 Password................................................ 6 Pauseskærm.............................................. 6 Brug af lagringsmedier....................................... 6 Virus................................................... 7 Computere, netværk og programmer............................... 8 Programmer.............................................. 8 Trådløse net.............................................. 8 Bærbare computere, mobiltelefoner m.m............................ 8 E-mail.................................................. 8 Internet og herunder Web 2.0................................... 9 Behandling af persondata...................................... 9 Digital signatur............................................ 10 Reparation og bortskaffelse af udstyr.............................. 10 Sikkerhedsbrud............................................ 10 Lovgrundlaget............................................. 10
Forord Som medarbejder i Region Syddanmark finder du i denne folder: Instrukser for brug af it. Vi er til for borgerne, og bruger it for at sikre effektivitet og kvalitet. Vi skal sammen sikre informationssikkerheden ved at beskytte personfølsomme oplysninger og ved at beskytte driften. Det er derfor vigtigt, at vi undgår uautoriseret adgang til systemerne. tage udgangspunkt i vores værdigrundlag, som forventer ordentlighed i det vi siger og gør. Vi vægter samtidig vækst i faglighed med rum til fornyelse og begejstring. Region Syddanmarks Strategier for it skal sikre, at it-udvikling og -anvendelse skaber størst mulig værdi for forretningsvaretagelsen og samtidig sikre, at it-ressourcer udnyttes optimalt. Det er dit ansvar, at retningslinjerne følges. Brug din sunde fornuft. Venlig hilsen Nils Lau Frederiksen it-direktør 3
Resumé og generelt Resumé Med udgangspunkt i det personalemæssige værdigrundlag skal instrukserne for brug af it ses som en rettesnor for, hvad du skal, hvad du kan og hvad du ikke må. Generelt er der følgende rettesnor: Skal Kan 4 - udføre jobrelaterede opgaver - overholde sikkerhedsforskrifter - udføre jobrelaterede opgaver som sikrer faglig vækst Må ikke - foretage ulovlige handlinger - foretage handlinger der kan ødelægge produktionsapparatet Generelt Region Syddanmark gør følgende: Alle medarbejderes aktiviteter på itsystemer og Internettet logges. Der tages sikkerhedskopi af alle medarbejderes mail og dokumenter på fællesserveren. Ved fravær eller sygdom kan nærmeste leder åbne en medarbejders post. Forinden orienteres medarbejderen om dette. Er det ikke muligt orienteres pågældendes tillidsrepræsentant. Der skal tages særlige forholdsregler, når det drejer sig om medarbejdere, der varetager specielle hverv, f.eks. tillidsrepræsentanter. Du må bruge udstyret privat til at sende og modtage mails, til at gå på Internettet og til dokumentbehandling. Det er dit eget ansvar at markere private mapper og foldere. Ved fratrædelse skal du fjerne alle private mapper og foldere. Som medarbejder er det dit eget ansvar at tage hensyn til reglerne om multimediebeskatning. Kun Region Syddanmark relateret software må installeres på udstyret. Hvis du ønsker at benytte anden software, skal du aftale dette i hvert enkelt tilfælde med nærmeste leder. Data, dokumenter og programmer må ikke kopieres eller videregives til personer, der ikke har legitim adgang til disse. Ethvert personligt kodeord er fortroligt og må ikke videregives. udvise største agtpågivenhed ved brug af Internettet og ved modtagelse af mails fra ukendte afsendere for at undgå virus.
Skal, kan, må ikke Efterfølgende er eksempler på, hvordan du som medarbejder skal forholde dig til instrukserne for it. Er du i tvivl, så spørg din nærmeste leder. 5
Daglig brug Password anvende et personligt password med mindst 8 tegn, bestående af store og små bogstaver og tal. Password udløber efter 3 måneder. udtænke et password, som er nemt at huske for dig, men ikke kan gættes af andre. skifte dit password, hvis det bliver kendt af andre (f.eks. supportmedarbejdere, der har hjulpet dig). anvende oplysninger, som vedrører dig selv, til dit password (f.eks. familiens navne, fødselsdatoer, bilnummer o.l.). bruge dine passwords til systemer uden for Regionen, f.eks. til din private post eller på Internettet. skrive dit password ned. videregive dit password til andre. Pauseskærm aktivere pauseskærmen, når du forlader din arbejdsplads, selv for en kortere periode, hvis ikke andet er aftalt med din ledelse. deaktivere en pauseskærm med password. Brug af lagringsmedier lagre dine arbejdsdokumenter og andre data på regionens fælles servere, hvor der er backup og andre sikkerhedsforanstaltninger. Persondata må kun gemmes i systemer, der er beregnet til det. Du kan opbevare persondata i tekstbehandlingssystem eller e-mail-system i op til 30 dage uden særlige sikkerhedsforanstaltninger, hvis det indgår som led i behandlingen af en sag. lagre arbejdsdata permanent på dit C-drev, USBnøgler elller lign., hvor de kan blive slettet uforvarende eller måske komme til uvedkommendes kendskab. 6
Virus kontakte din supportfunktion, hvis din computer eller mobiltelefon har virus eller opfører sig mærkeligt. kontakte din supportfunktion, hvis du har mistanke om, at antivirusprogrammet ikke virker korrekt. virusscanne disketter, cd-rom eller USBnøgler, inden du åbner filerne. Du kan evt. kontakte supportfunktionen, hvis du har brug for hjælp. 7
Computere, netværk og programmer Programmer sikre, at licensforholdene er i orden for de programmer, der ikke er leveret af Region Syddanmark. Du kan anvende programmer, som er godkendt til brug i Region Syddanmark. Kontakt supportfunktionen, hvis du har brug for et program. Din daglige leder skal godkende, at du bruger programmet. fjerne de sikkerhedskontroller (antivirus, adgangskontrol og lign.), som er installeret på computeren. Trådløse net Du kan anvende din bærbare computer på trådløse net uden for Regionen, opkobling til Regionsnetværket sker via VPN og med RSA nøgle. selv opsætte trådløse netværk på Regionens lokationer. 8 Bærbare computere, mobiltelefoner mm. medbringe din computer/mobiltelefon/ PDA og andet udstyr som håndbagage, når du har udstyret med på rejse. efterlade bærbare computere/mobiltelefoner/pda, medmindre de er forsvarligt sikret med adgangskode. E-mail benytte sikker e-mail, hvis du sender fortrolige eller følsomme personoplysninger til modtagere uden for Region Syddanmark. behandle e-mails fra ukendte afsendere og/eller med ukendt eller manglende emne med varsomhed. De kan indeholde virus. Du kan sende fortrolige og personfølsomme e-mails internt i Region Syddanmark, men husk, at de skal slettes fra postkassen inden 30 dage. Sikker e-mail er krypteret og signeret e-mail, som sendes med et virksomhedscertifikat. Hvis du har brug for at anvende sikker e-mail, kan du kontakte supportfunktionen.
Internet og herunder Web 2.0 være varsom med at opgive din e-mailadresse på Internettet. Den kan blive brugt til spam. anvende Internettet med omtanke og uden at være til gene for eller virke stødende på dine kolleger eller andre. Du kan bruge Internettet i privat øjemed med måde. kun downloade programmer og opdateringer fra Internettet, som er godkendt. Kontakt supportfunktionen, hvis du har brug for et program. downloade, opbevare eller surfe på sider, som indeholder ulovligt materiale. Behandling af persondata være omhyggelig med at sikre, at uvedkommende ikke får adgang til personfølsomme eller fortrolige data. Du kan udveksle fortrolige oplysninger eller personoplysninger internt med dine kolleger, hvis det er nødvendigt og lovligt i forhold til de arbejdsopgaver, du udfører. skaffe dig oplysninger om personer, hvis du ikke skal bruge det i dit arbejde. opbevare eller behandle fortrolige eller personfølsomme data på din private computer eller eksterne lagringsmedier. ulovligt downloade eller distribuere materiale med copyright på. Al dataanvendelse i Region Syddanmark logges. Det betyder, at man kan spore, hvem der har set eller arbejdet med bestemte data. Loggen anvendes ikke til at kontrollere medarbejdernes brug af internet og e-mail, med mindre der er mistanke om kriminelle forhold, overtrædelse af sikkerhedsbestemmelserne eller i forbindelse med systemproblemer og fejlretning. 9
Digital signatur beskytte din digitale medarbejdersignatur på samme måde som passwords. kontakte din supportfunktion, hvis du har mistanke om, at din signatur bliver misbrugt. bruge din medarbejdersignatur til private formål. bruge din private signatur i forbindelse med dit arbejde. Reparation og bortskaffelse af udstyr aflevere computerudstyr, som skal repareres eller kasseres. Dette kan ske til din supportfunktion. tage kasseret udstyr med hjem. Sikkerhedsbrud fortælle din sikkerhedsansvarlige leder, hvis du opdager eller har mistanke om et sikkerhedsbrud. være klar over, at brud på sikkerheden kan have konsekvenser for ansættelsesforholdet. være klar over, at lovovertrædelser meldes til politiet. Lovgrundlaget Sundhedsloven Autorisationsloven Lov om elektroniske signaturer Persondataloven Sikkerhedsbekendtgørelsen Ligningsloven I øvrigt henvises til Datatilsynets hjemmeside, til Retsinformations hjemmeside, samt til Skats vejledning til multimediebeskatning pjece til borgere og virksomheder. 10
Region Syddanmark Damhaven 12. 7100 Vejle Tlf. 7663 1000 regionsyddanmark.dk 10321 - Region Syddanmark - 01.2010