Retningslinier for ansattes anvendelse af IT-systemer på Syddansk Universitet(SDU). Formål. Formålet med nærværende regelsæt for IT-anvendelse ved SDU er at fastlægge regler for god ITadfærd og sikre en ensartet praksis ved alle universitetets enheder. SDU ønsker, at sikkerheden og driftsstabiliteten ved IT-systemer holdes på et så højt niveau som muligt og at SDU overfor omverdenen fremtræder som en ansvarlig bruger af IT-systemer. Gyldighedsområde. Regelsættet gælder for alle IT-systemer, der er ejet af SDU, uanset geografisk placering, herunder også for udstyr, der er hjemlånt. Endvidere gælder det for alle IT-systemer, uanset ejerforhold, når de er tilsluttet SDU's netværk. Tilslutningsformen (fast, dial-in/back, andre net m.v.) er uden betydning i den forbindelse. Generelle retningslinier for anvendelse af IT-systemer. Dele af universitetets organisation kan have supplerende regler, der ligeledes skal følges. Nærværende regelsæt har dog forrang ved divergerende retningslinier. Anvendelse af IT-systemer skal foregå med omtanke og til løsning af arbejdsopgaver for SDU. IT-systemer må ikke anvendes, så det kan skade SDU's omdømme. IT-systemerne må ikke anvendes til kommercielle formål herunder indeholde reklamer. Virksomheder (f.eks. boghandel, forlag, kantine), personale- og kunstforeninger, studenterorganisationer og andre tilsvarende med nær tilknytning til SDU kan dog, efter separat tilladelse i hvert enkelt tilfælde, anvende IT-systemerne. Tilladelsen gives af rektor. Privat anvendelse af IT-systemer. IT-systemer kan i begrænset omfang anvendes til private formål som f.eks informationssøgning og elektronisk post (e-mail). Den private brug må ikke påvirke arbejdsforpligtigelsen og skal fortrinsvis ske uden for almindelig arbejdstid. Anvendelse af (inter)nettet til privat chat og anden systematisk privat anvendelse er ikke tilladt. IT-systemer, som de ansatte har lånt med hjem, er ligeledes omfattet af nærværende regelsæt, når de er tilsluttet SDU's netværk. Elektronisk post (e-mail). E-mail og andre former for elektronisk kommunikation, der afvikles via SDU's IT-systemer skal betragtes og behandles på samme måde som skreven kommunikation, der tilhører SDU. Der gælder således samme krav til arkivering, journalisering m.v. som anden form for korrespondance. Reglerne for elektronisk og skriftlig kommunikation er fastsat i lovgivningen, f.eks. forvaltningsloven. side 1 af 5 sider
Al e-mail skal indeholde tydelig identificerbar afsender. E-mail, der er privat, skal tydeligt markeres med ordet: "privat" i emnefeltet. Sikkerhed. For at IT-sikkerheden kan opretholdes, er det væsentligt, at alle følger de givne retningslinier og er opmærksom på, at brud på sikkerheden et enkelt sted kan have følger for mange. IT-systemer, der ejes af SDU, skal være tilgængelige for institutionen. Det betyder at, systembrugernavne og tilhørende kodeord, krypteringsnøgler og nøgler til andre sikringsmekanismer, skal deponeres i pengeskabe eller på anden betryggende vis, således at administrator eller andre bemyndigede medarbejdere i givet fald kan få adgang til systemerne, ved den normale systemansvarliges fravær. De deponerede oplysninger skal ajourføres, når der sker ændringer. Materiale, der er omfattet af offentlighedsloven eller forvaltningsloven, må ikke opbevares/arkiveres på krypteret form. Kryptering og efterfølgende dekryptering, der sker (automatisk) mellem afsender og modtager for at sikre datatransporten er ikke omfattet af forbudet mod kryptering. Licensforhold. Den person, der installerer programmel, er personlig ansvarlig for, at licenskravene er opfyldt. Personlige hjemmesider må ikke have et indhold, der strider mod retningslinierne i nærværende regelsæt. Der henvises endvidere til regelsættet for SDU's Web-system (se de interne hjemmesider for information til ansatte under: "Vejledning til web-konstruktører ved SDU", "Retningslinier"). Ressourceforbrug. IT-systemer er en begrænset og kostbar ressource og skal behandles med samme omhu som andre ressourcer som f.eks. udstyr og inventar. Overvågning, logning m.v. Af driftstekniske, sikkerhedsmæssige og/eller afregningsmæssige årsager sker der en løbende automatisk registrering af alle aktiviteter på de fleste IT-systemer. Ved mistanke om misbrug har systemadministratorer og de ansvarlige for netværkssikkerheden ret til at overvåge aktiviteterne, herunder ind- og udgående e-mail, uden på forhånd at informere brugerne herom i det konkrete tilfælde. En sådan overvågning kan kun ske med rektors forudgående tilladelse. Brugere af e-mail gøres opmærksom på, at e-mail lagres under forsendelse fra afsender til modtager på forskellige servere. E-mailens kuvert (headeren), men ikke indholdet, registreres af transmissionssystemerne af hensyn til eftersporing af e-mail, fejlanalyse m.v. E-mail kan endvidere af sikkerhedsårsager blive sikkerhedskopieret både under vejs i forsendelsen og på den server, hvorfra brugeren henter sin e-mail. Systemadministratorer og netværksansvarlige har adgang til disse registre, servere og sikkerhedskopier. side 2 af 5 sider
Systemadministratorer og netværksansvarlige har tavshedspligt, så længe der ikke konstateres misbrug. Disciplinære foranstaltninger m.v. ved misbrug. Misbrug er at betragte som pligtforsømmelse, der medfører disciplinære foranstaltninger. Det samme gælder forsøg på misbrug. Disciplinære foranstaltninger iværksættes efter en samlet vurdering af misbrugets omfang og karakter. Der kan blive tale om anvendelse af sanktionerne: irettesættelse, advarsel, afskedigelse og ved særlig grov pligtforsømmelse bortvisning. Personalekontoret skal altid konsulteres inden der tages stilling til de disciplinære foranstaltninger. Der henvises i øvrigt til punkt 4.4. i de personalepolitiske retningslinier, der findes på personalekontorets hjemmeside. Der kan i visse tilfælde ligeledes blive tale om politianmeldelse. Afklaring af tvivlsspørgsmål. Rektor er øverst ansvarlige for alle forhold vedrørende universitetets IT-systemer og kan afgøre eventuelle tvivlstilfælde om deres anvendelse. Spørgsmål i relation til regelsættets bestemmelser og anvisninger stilles til den lokale ITsikkerhedsansvarlige eller til SDU's IT-sikkerhedsansvarlige organisation (p.t. IT-service). Til dette regelsæt hører 1 bilag med definitioner, ordforklaringer og eksempler på uønsket adfærd. Fremlagt og vedtaget på HSU-mødet den 6. juni 2002 Jens Oddershede Formand Bjarne Andersen Næstformand side 3 af 5 sider
Bilag til: Retningslinier for anvendelse af IT-systemer på Syddansk Universitet (SDU). Nærværende bilag indeholder: definitioner, ordforklaringer og eksempler på uønsket adfærd Definitioner / ordforklaringer: Begrebet "IT-systemer" dækker: arbejdsstationer, servere, datanetværk og andre former for udstyr, der indeholder Informations-Teknologi. Chat: Snak eller diskussion mellem to eller flere personer over et netværk. Kommunikationen sker via tastaturet på pc en Server: Computer eller program, som leverer data eller andre ressourcer til andre computere eller programmer. Junk-mail: Junk-mail kan oversættes til noget i retning af skraldespandspost. Det kan være på papir, på fax eller e-mail. Det er mest udbredt i e-mail, fordi det er let og billigt at sende til mange på én gang. Junk-mail er typisk uopfordrede og useriøse e-mails med tilbud om hvad som helst. Spam-mail: Misbrug af e-mail. At spamme betyder populært sagt, at man sender uønskede mails Hacking: Betegnelse for den aktivitet, der består i, at en person ("hackeren") forsøger at skaffe sig uberettiget adgang til et IT-system, som han ingen lovlig adgang har til. Der er tale om en strafbar handling, jf. strfl. 263, stk. 2, og hacking har i visse tilfælde været praktiseret som led i grovere forbrydelser (spionage mv.). Downloade: At downloade betyder at kopiere data (fx programmer) fra en computer på Internettet til ens egen pc Eksempler på uønsket adfærd: Det er blandt andet ikke tilladt at: forsøge at læse, slette eller kopiere andres e-mail forfalske e-mail-adresse afsende generende, obskøne eller truende meddelelser til andre brugere afsende junk-mail, kædebreve, spam-mail eller lignende former for meddelelser anskaffe eller bibeholde brugernavn (userid) under falske forudsætninger udlåne eller dele "userid/password" med andre. Sker det, er indehaveren personlig ansvarlig for alle handlinger, der udføres af låneren slette, gennemse, kopiere eller modificere andres data uden på forhånd opnået godkendelse forsøge på at snyde eller modificere ressourcetildelinger, privilegier m.v. bruge netværk og/eller dertil knyttede systemer til at opnå uautoriseret adgang til andre tilsluttede systemer forsøge at dekryptere system- eller brugerpasswords forsøge at kopiere normalt utilgængelige systemfiler forsøge at bryde sikkerhedssystemer (hacking) indlægge edb-virus eller andre former for programmer, der kan afbryde eller ødelægge driften af såvel interne som eksterne systemer påvirke fortroligheden af data oprette dial-in adgang til IT-systemer via telefonnettet eller tilsvarende systemer uden forudgående godkendelse fra SDU's IT-sikkerhedsansvarlige organisation kopiere tredieparts materiale uden tilladelse fra ejeren eller uden legal licens distribuere ulovlig programmel, film, musik m.v. side 4 af 5 sider
fortsætte med uhæmmet forbrug af systemressourcer, der generer andre legale brugere, efter at der er gjort opmærksom på forholdet forsøge at standse IT-systemer eller ødelægge deres funktioner foretage skanninger af netværk efter adresser, porte, services m.v. downloade og/eller videresende musik- og videofiler med mindre dette har en undervisnings- og/eller forskningsmæssig begrundelse. side 5 af 5 sider