Denne instruksen erstatter tidligere ”Databrukeravtale” – ref http://www.svk.no/getfile.php/160353.652/Databrukerkontrakt++SVK+v+01.pdf
2.12 Sikkerhetsinstruks bruker
Denne instruksen erstatter tidligere ”Databrukeravtale” – ref xxxx://xxx.xxx.xx/xxxxxxx.xxx/000000.000/XxxxxxxxxxxxxxxxxxxxXXXxxx00.xxx
Instruksen bør gjennomgås med tillitsvalgte før den tas i bruk.
1 Innledning
Denne instruksen beskriver retningslinjer for bruk av IT i Sør-Varanger kommune. Instruksen gjelder for alle ansatte, konsulenter og vikarer og skal være lest og signert, og så leveres til overordnet leder, som besørger at den blir oppbevart i personalmappen eller annet sentralt tilgjengelig og sikret sted.
Håndtering av dokumenter og informasjon er behandlet i en egen instruks, ref. [1].
IKT skal brukes til å dokumentere, dele og utveksle informasjon for å fremme effektiv informasjonsbehandling og sikre god service både eksternt og internt.
Sør-Varanger kommune skal oppfylle alle grunnkrav til behandling av personopplysninger, jf. personopplysningsloven. Alle behandlingsansvarlige og medarbeidere skal ha et bevisst forhold til risiko - særlig når personopplysninger behandles elektronisk.
Ved elektronisk behandling av personopplysninger skal opplysningene sikres slik at
□ opplysningene ikke blir kjent for uvedkommende – dvs. ivareta konfidensialitet
□ alle medarbeidere med tjenstlig behov kan utføre pålagte oppgaver og brukerne av virksomhetens tjenester gis tilfredsstillende informasjon - dvs. ivareta tilgjengelighet
□ opplysningene ikke endres utilsiktet ved behandlingen – dvs. ivareta dataenes
integritet
Ved behandling av sensitive personopplysninger skal krav til konfidensialitet ikke vike til fordel for krav til tilgjengelighet.
2 Bruk av Sør-Varanger kommunes informasjonssystem
• Sør-Varanger kommunes informasjonssystemer er beregnet for jobbrelaterte formål. Privat bruk, f.eks. e-post og private filer tillates i meget begrenset omfang, så lenge det ikke kommer i konflikt med jobbrelaterte oppgaver.
• Sør-Varanger kommune har i utgangspunktet ikke anledning til innsyn i privat e- post eller filer. Unntak gjelder ved begrunnet mistanke om straffbare forhold, ved sikkerhetsmessige behov eller der ansatte er ikke-planlagt utilgjengelig over lengre tid, og virksomheten har behov for virksomhetsrelatert informasjon.
Det er etablert en egen rutine for slikt innsyn.
• All virksomhets- og prosjektrelatert informasjon skal lagres på virksomhetens eller prosjektets lagringsområder på filservere. Hjemmekatalogen skal primært brukes for informasjon som den enkelte ønsker å ta vare på og som kan benyttes på tvers av prosjekter eller funksjoner som vedkommende utfører.
Der det er tilrettelagt med egne applikasjoner og systemer for håndtering av spesifikke saks- og informasjonsforhold, skal disse benyttes.
• Dokumenter og lagringsmedia skal ikke ligge oppbevares tilgjengelig for uvedkommende.
Utskrifter skal fjernes fra skriveren så snart utskriftsjobben er ferdig. Dokumenter skal ikke bli liggende igjen etter kopiering.
• Dokumenter med personopplysninger, som skal kasseres – skal destrueres på forsvarlig vis i henhold til Sør-Varanger kommunes rutiner for makulering.
• Alle lagringsmedia skal merkes iht. retningslinjer i ref. [1].
• Virksomhetsleder og prosjektleder er ansvarlig for at tilgang til informasjon følger prinsippet om tilgang i henhold til tjenstlig behov, og gir beskjed til IT-avdelingen om avskjerming av tilgangsrettigheter ved opprettelse av nye områder, der slikt avgrensing ikke kan utføres av vedkommende selv.
• Det er forbudt for medarbeidere å søke etter personopplysninger som vedkommende ikke har bruk for i sitt tjenstlige virke.
2.1 Opplæring
• Før du får tilgang til de aktuelle informasjonssystemene, skal du ha gjennomgått nødvendig opplæring, og ha tilstrekkelig kunnskap og ferdigheter om informasjonssikkerhet. Nærmeste overordnede/virksomhetsleder er ansvarlig for tilrettelegging av slik opplæring.
2.2 Brukernavn, passord og skjermsparer
• Du får tildelt brukernavn og førstegangs passord av nærmeste overordnede, som koordinerer administrasjonen av dette med IT-avdelingen.
• Passord er strengt personlig og skal ikke oppgis til eller lånes ut til andre. Dette er et personlig ansvar.
• Velg et passord som er lett å huske men det skal ikke inneholde navn på familie- medlemmer, fødselsnummer eller andre opplysninger som lett lar seg knytte til brukeren.
• Passordet skal bestå av en kombinasjon av store og små bokstaver og tall/tegn og være på minst 8 tegn. Siste 5 passord skal ikke gjenbrukes.
• Dersom du har mistanke om at passordet har blitt kjent av uvedkommende, skal passordet byttes umiddelbart og hendelsen rapporteres til sikkerhetsansvarlig snarest mulig som et avvik.
• Passordbeskyttet skjermsparer skal benyttes eller kontordør låses når arbeidsplassen forlates i kortere perioder. Maskinen skal også være satt opp med automatisk skjermsparer med aktivering etter 15 minutters inaktivitet.
• Du skal alltid logge ut før du overlater maskinen til andre.
2.3 Oppdatering av antivirusprogram og operativsystem
• Antivirusprogram oppdateres automatisk ved innlogging og deretter hver halve time.
• Operativsystemet oppdateres automatisk for sikkerhetskritiske oppdateringer ved innlogging og en gang om natten.
• Oppdateringer som ikke er kritiske, må godtas av den enkelte bruker.
2.4 Internett
• Alle ansatte har tilgang til å benytte Internett samt sende og motta e-post fra sin lokale arbeidsstasjon/PC, såfremt dette benytttes til tjenstlige formål.
• Det er ikke tillatt å laste ned utuktig materiale, opphavsrettslig beskyttet materiale (f.eks. musikk, filmer og programvare) eller annet som er i strid med lovverket.
• Tjenester for ekstern fildeling og lynmeldinger tillates ikke på grunn av sikkerhetsrisiko knyttet til disse tjenestene.
• Det er ikke tillat å kople brukerutstyr til både interne og eksterne nett uen av dette er avklart og koordinert med IT-avdelingen.
Datatransport mellom ulike nett skal gjøres av IT-avdelingen.
• Nedlasting av filer fra internett er ikke tillatt uten etter nærmere avtale med IT- avdelingen, og godkjennelse av overordnet virksomhetsleder.
• Nedlasting og installasjon av programvare fra internett er ikke tillatt uten at dette utføres på sikker måte av IT-avdelingen.
• Ressurskrevende tjenester, eksempelvis radiolytting og TV/video streaming, skal begrenses for å ikke påvirke negativt jobbrelatert trafikk i nettet.
• Sør-Varanger kommune har anledning til å logge informasjon om Internett og e- post trafikk for å sikre alminnelig drift samt for sporing ved eventuelle sikkerhetsbrudd.
• Det er ikke tillatt å forsøke å forbigå sikkerhetsmekanismer beskrevet i denne sikkerhetsinstruks, for eksempel ved å skjule ikke-tillatte tjenester gjennom andre tjenester.
• Etablering av kundeforhold og abonnement til informasjonsbaser på internett skal forhåndsgodskjennes og koordineres av virksomhetens IT-driftsansvarlig eller IT- avdelingen.
2.5 E-post
• All e-post (innkommende og utgående) skal gå gjennom Sør-Varanger kommunes e-post løsning. Det er derfor ikke tillatt å hente e-post gjennom eksterne POP tjenester eller eksterne web-baserte e-postsystemer.
• Dersom e-post må benyttes for overføring av beskyttelsesverdig informasjon, skal informasjonen sendes som kryptert vedlegg til e-post med godkjent krypteringsprogram. Regler for informasjonshåndtering er beskrevet i ref. [1].
• Xxxxxxx er selv ansvarlig for å vurdere hva som er arkivverdig, og som skal behandles etter rutiner for slike meldinger og dokumenter.
2.6 Bærbar PC, PDA og annet portabelt utstyr
• Kontor PC, bærbar PC, PDA og annet portabelt utstyr er i utgangspunktet konfigurert av IT-avdelingen. Dette oppsettet skal ikke endres av bruker.
• Beskyttelsesverdig informasjon skal ikke lagres på bærbar PC, PDA eller annet portabelt utstyr med mindre det er installert godkjente sikkerhetsløsninger..
• Bærbar PC (Jobb-PC) som benyttes som klient i Sør-Varanger kommunes nett, kan benyttes i forbindelse med jobb på reiser og hjemme. Jobb-PC skal ikke benyttes til annet enn jobbrelaterte oppgaver, og kan følgelig ikke benyttes av uvedkommende.
• La aldri bærbar PC, PDA eller annet bærbart utstyr ligge synlig uten tilsyn.
2.7 Hjemmekontor
• Hjemmekontor kan bare etableres etter skriftlig avtale med Sør-Varanger kommune.
• Kun utstyr og program eiet/disponert av Sør-Varanger kommune, og som er konfigurert til slik bruk samt inngår i konfigurasjonskontrollen, kan benyttes på hjemmekontor.
• Utstyr som blir benyttet for behandling av sensitive personopplysninger på hjemmekontor, skal ikke på noe tidspunkt direkte eller indirekte tilkobles eksterne datanett.
2.8 Sikkerhetskopiering
• For å sikre at det blir tatt sikkerhetskopier, skal all jobbrelatert informasjon lagres på, eventuelt kopieres til, servere i Sør-Varanger kommunes nett.
• For Jobb-PC som benyttes i forbindelse med reiser og hjemmearbeid, må oppdatering mot servere i Sør-Varanger kommunes nett gjøres regelmessig, spesielt dersom andre er avhengig av informasjonen.
• Ved behov for gjenoppretting av sikkerhetskopiert informasjon, kontakt IT- avdelingen.
2.9 Installasjon av programvare og maskinvare
• Det skal ikke benyttes programvare som avviker fra lisensavtaler til produsenter.
• All lisensiert programvare på maskinen skal godkjennes av IT-avdelingen. Dette gjelder både kontor PC, bærbar PC og PDA.
• Dersom du har behov for ytterligere lisensiert programvare, ta kontakt med IT- avdelingen.
• All maskinvare og lagringsmedia/harddisk skal være registrert hos IT-avdelingen, og merket. Dersom dette mangler skal IT-avdelingen varsles.
2.10 Modem-/bredbåndstilknytninger
• Ekstern tilkopling mot Sør-Varanger kommunes nett tillates kun etter godkjenning fra IT-avdelingen.
2.11 Hjemme-PC
• Konfidensielle tjenestlige opplysninger, som f eks personopplysninger, leverandøropplysninger eller intern informasjon fra Sør-Varanger kommune, tillates ikke lagret på privat/hjemme-PC.
2.12 Reparasjon, service og vedlikehold
• Alle feil eller mistanker om feil i informasjonssystemet (både maskinvare og programvare) skal rapporteres til IT-avdelingen snarest mulig.
• Det er kun IT-avdelingen som kan iverksette arbeid som utføres av eksternt personell på informasjonssystemer og utstyr.
2.13 Håndtering av informasjon og medier
2.13.1 Håndtering
• Dokumenter (papir, foiler etc.) og lagringsmedia, som CD, DVD og disketter, minnepinner etc., skal behandles iht. retningslinjene i ref. [1].
2.13.2 Kassering av medier
• Disker, utstyr som inneholder harddisker og annet lagringsmateriale (f.eks. minnebrikker, backuptape etc.), skal leveres til IT-avdelingen for forsvarlig destruksjon.
• Lagringsmedia som CD, DVD, minnepinner og disketter, etc.:
• Personopplysninger; skal leveres til IT-avdelingen for destruksjon.
• Øvrig klippes/brekkes i biter og kastes i avfall.
3 Fysisk adgang
3.1 Adgangskort
• Nøkkel/adgangskort/brukeridentifikasjon oppnås og tilrettelegges av nærmeste virksomhetsleder etter egne rutiner.
• Dersom du mister nøkkel/nøkkelkort, meld umiddelbart fra til din overordnede leder , virksomhetsleder eller sikkerhetsansvarlig.
• Ansatte som slutter eller går ut i permisjon, skal levere nøkkel/nøkkelkort tilbake til nærmeste leder eller virksomhetsleder.
3.2 Besøkende
Den som mottar besøkende, er ansvarlig for at
• besøkende blir registrert i resepsjonen.
• hentes i resepsjonen og følges tilbake av den som mottar besøket.
• ikke oppholder seg i Sør-Varanger kommunes lokaler uten følge av en av de ansatte, med unntakt av definerte åpne publikumsområder.
Besøk utenom ordinær arbeidstid skal begrenses.
4 Kontakt med media
Det er kun Rådmann, sikkerhetsansvarlig, IT-sjef eller nærmeste virksomhetsleder eller den som er subdelegert dette ansvaret, som har myndighet til å uttale seg til presse eller andre media i forbindelse med saker som gjelder IT-sikkerhet, sikkerhetsbrudd eller større hendelser.
5 Nødhjelp
Brann: Nødnummer 110
Ved feil ring <> brannvesen telefon <>.
Politi: Nødnummer 112
Ambulanse: Nødnummer 113 Vann:
Meld fra til virksomhetsleder. Stengekran for vann er på rom <>.
6 Personellsikkerhet
6.1 Sikkerhetsinstruks og taushetserklæring
6.2 Konsekvenser ved brudd på retningslinjene
Konsekvenser for ansatte som har forårsaket brudd på sikkerhetsreglene, vil bli vurdert i hvert enkelt tilfelle og kan ved alvorlige brudd føre til oppsigelse/avskjed, se Sør-Varanger kommunes personalreglement.
7 Rapportering og avvik
7.1 Rapportering av sikkerhetsbrudd/hendelser
Meld straks fra til sikkerhetsansvarlig dersom du oppdager sikkerhetsbrudd eller hendelser som kan ha betydning for sikkerheten.
Dersom det oppdages virus/orm/trojaner på brukerutstyr eller lagringsmedia, skal IT- avdelingen varsles og evt lagringsmedia leveres IT-avdelingen umiddelbart.
7.2 Avvikshåndtering
Avvik på denne instruks skal håndteres i henhold til avviksrutine og skal varsles til sikkerhetsansvarlig umiddelbart.
Dersom brukere har prosjektspesifikke behov som avviker fra denne instruks, skal det sendes en anmodning til sikkerhetsansvarlig via virksomhetsleder.
8 Referanser
[1] Rutine for informasjonshåndtering Sikkerhetsinstruksen er lest og akseptert:
Sted og dato:
Navn (blokkbokstaver) _ Signatur: