RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR

Transkript

1 RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR Disse retningslinjer inneholder bl.a.: Regler for bruk av datautstyr tilhørende arbeidsgiver Sikkerhetspolicy Lagring og oppbevaring av dokumenter på kontorets datautstyr Arbeidsgivers rett til innsyn i e-post og private dataområder Bruk av Internet Arbeidsgivers rett til overvåking av nett-trafikk Retningslinjene gjelder i tillegg til alminnelige kvalitetsrutiner for dokument- og e-postbehandling, samt alminnelige sikkerhetsinstrukser i Norsk Stål AS.

2 INNHOLD 1. BAKGRUNN OG HOVEDPRINSIPPER PRIVAT BRUK AV DATAUTSTYR RUTINER FOR PÅLOGGING OG BRUK AV PASSORD LAGRING AV ELEKTRONISKE DOKUMENTER PRIVATE FILER LAGRING ARBEIDSGIVERS TILGANG SPESIELT OM E-POST VILKÅR OG PROSEDYRER VED INNSYN I E-POSTKASSER OG LAGRINGSOMRÅDER VIRUSKONTROLL INSTALLASJON AV EGEN PROGRAMVARE M.M BRUK AV INTERNLOGGING AKTIVITETSLOGGING BRUK AV PRIVAT UTSTYR OPPKOBLING MOT ANDRE NETTVERK... 10

3 1. BAKGRUNN OG HOVEDPRINSIPPER Instruksen gjelder all bruk av arbeidsgivers datautstyr, nettverk og systemer/applikasjoner, inkludert oppkobling mot nettverk fra hjemmemaskiner, bærbare maskiner, evt. mobiltelefoner og PDA-utstyr. Datautstyr, nettverk m.v. er selskapets eiendom og skal primært benyttes for å utføre arbeidsoppgaver knyttet til selskapets virksomhet. Arbeidsgiver har anledning til å begrense og regulere enhver privat bruk av utstyret. (se pkt 2). Arbeidsgiver forbeholder seg retten til å overvåke all nettverkstrafikk over arbeidsgivers servere og datalinjer, både på kollektiv og individuell basis. All fillagring som skjer på arbeidsgivers servere eller servere som er stillet til disposisjon i henhold til ASP-avtale er gjenstand for kontinuerlige back-up rutiner og arbeidsgiver har i prinsippet adgang til å gjøre seg kjent med alt innhold lagret på servere og i back-up systemer. 2. PRIVAT BRUK AV DATAUTSTYR Alt datautstyr, inklusive nettverk, forutsettes brukt som arbeidsverktøy i det daglige arbeid. I begrenset utstrekning kan utstyret også brukes til private gjøremål og i et omfang som er forenlig med lojal utførelse av arbeidet. Dette gjelder skriving og lagring av personlige brev og dokumenter, bruk av e-post for private formål, søk på Internett og nedlasting av filer. Bruk av arbeidsgivers datautstyr for egen næringsvirksomhet kan bare skje med godkjennelse fra arbeidsgiver.

4 Ned lasting av større billedfiler, film- og musikkfiler, samt radio og telefoni over Internett og all annen bruk som medfører bruk av stor kapasitet både på båndbredde, fillagring og back-up systemer er bare tillatt i nødvendig sammenheng med utførelse av arbeid. Hjemmemaskiner kan brukes til private formål så lenge de benyttes uavhengig av arbeidsgivers servere og nettverk og på tilbørlig måte. Ved oppkobling mot Internett via arbeidsgivers servere, gjelder de samme begrensninger som i de to foregående avsnitt. 3. RUTINER FOR PÅLOGGING OG BRUK AV PASSORD All pålogging på selskapets systemer forutsetter bruk av tildelte individuelle brukernavn og personlige passord. Av sikkerhetshensyn skal passord holdes hemmelig for alle som ikke har autorisert tilgang til systemet. Utlevering av personlig passord til kolleger skal bare skje i den utstrekning det er nødvendig, for eksempel ved fravær fra kontoret eller ved spesielle driftstekniske forhold. Ved valg av personlige passord og skifte av disse i samsvar med selskapets rutiner, pålegges den enkelte å velge passord som ikke er lett identifiserbare for uvedkommende (eget navn, fødselsdata etc). Oppbevaring av nedskrevne passord skal skje på betryggende måte slik disse ikke er tilgjengelige for andre.

5 Dersom man får mistanke om at utenforstående er blitt kjent med passordet, skal dette endres av brukeren selv snarest, hvis ikke det er mulig ved henvendelse til driftsansvarlig. For applikasjoner som krever egne brukernavn/passord gjelder ovenstående regler i tillegg til de rutiner som er beskrevet i applikasjonen, eller pålagt av tjenesteleverandør. Ved avslutning av arbeidsdagen, eller dersom arbeidsplassen forlates for lengre tid, skal bruker logge ut av alle systemer og eventuelt også slå av maskinen. Ved arbeid fra hjemmekontor eller fra bærbare maskiner fra andre steder, gjelder de samme sikkerhetsregler. Det er ikke tillatt å la andre heller ikke familiemedlemmer få tilgang til selskapets servere. 4. LAGRING AV ELEKTRONISKE DOKUMENTER Elektroniske dokumenter som er relatert til arbeidet, skal i størst mulig utstrekning lagres på fellesområder i samsvar med selskapets rutiner slik at de er gjenfinnbare for alle saksbehandlere. (Unntatt er dokumenter som er konfidensielle og som lagres på områder med begrenset tilgang). Dokumenter som er saks- og kunderelatert og inneholder informasjon av betydning for arbeid med saken, skal også alltid lagres i papirutskrift i saksmappe. Slike dokumenter skal uansett lagringsmedium (papir, diskett, CD) oppbevares betryggende slik at kunderelaterte opplysninger behandles med tilstrekkelig sikkerhet og konfidensialitet.

6 5. PRIVATE FILER LAGRING ARBEIDSGIVERS TILGANG Arbeidsgiver kan anvise særskilte lagringsområder for private filer. Dersom slike områder ikke er anvist, bør arbeidstaker allikevel sørge for å skille ut private datafiler i egne mapper/områder som er tydelig merket privat. Arbeidsgiver har normalt ikke tilgang til private lagringsområder. Bare i situasjoner der det er berettiget grunn til å regne med at private lagringsområder er benyttet til arbeidsrelaterte dokumenter, eller det foreligger begrunnet mistanke om brudd på norsk lov, illojal opptreden i forhold til arbeidsgiver eller grove brudd på interne retningslinjer for bruk av datautstyret, vil arbeidsgiver kunne åpne private lagringsområder. Nærmere vilkår og regler for arbeidsgivers innsyn i private lagringsområder er tatt inn i pkt 7 nedenfor. Alle brukere er ansvarlig for å holde orden på sine tildelte filområder med hensyn til lagringsstruktur, rydding og eventuell fjerning av uaktuelle private filer. 6. SPESIELT OM E-POST Medarbeiderne har anledning til å benytte tildelt e- post adresse også for private formål i begrenset utstrekning. I egen interesse bør alle ved sending og mottak av privat e-post som ønskes lagret, snarest overføre disse til mapper som merkes privat.

7 Det er ikke tillatt å benytte arbeidsgivers e-post system til materiale som er ulovlig etter norsk lov, eller er støtende basert på alminnelige aksepterte normer. Kjedebrev tillates ikke distribuert via arbeidsgivers utstyr. E-post som er relatert til selskapets virksomhet og som inneholder informasjon av betydning, skal skrives ut og lagres i papirversjon i saksmappe. Videre skal slik e-post også lagres slik at informasjonen er tilgjengelig for andre medarbeidere. Arbeidsgiver har normalt ikke tilgang til eller rett til innsyn i den enkelte medarbeiders e-postboks, på andre vilkår enn de som følger av personopplysningsforskriftens 9-2. Disse vilkår er inntatt i pkt 7 nedenfor. Ved virusangrep eller andre nødvendige tekniske årsaker som ikke kan vente, kan arbeidsgiver eller den han bemyndiger gå inn i den enkelte medarbeiders e-postboks uten varsel eller godkjennelse. Arbeidstager skal i så fall underrettes om dette snarest. Alle ansatte pålegges å rydde i sine e-post-mapper slik at ikke e-post lagres unødig over lengre tid, av hensyn til systemets kapasitet. Ved rydding påhviler det den enkelte å sørge for at nødvendig utskrift og arkivering er gjennomført, kfr tredje avsnitt ovenfor. Arbeidsgiver kan gi nærmere instrukser om rutiner for slik opprydning. Konfidensiell og sensitiv informasjon bør normalt ikke sendes som e-post. Alle medarbeidere pålegges å bruke systemets fraværsmarkering ved fravær som strekker seg over mer enn en kontordag.

8 Intern distribusjon av større filer (bilder, video m.m) som ikke er nødvendig for å gi nødvendig informasjon til andre medarbeidere bør unngås. Slik distribusjon bør skje over Intranettet med pekere til internt lagringsområde. Likeledes bør post til alle bare benyttes når det anses nødvendig å gi rask og nødvendig informasjon - vedlegg bør unngås ved at man heller legger opp en peker til riktig filområde. Referater fra fellesmøter, prosjektmøter o.l. legges på relevant prosjektområde med opplysning om at det er tilgjengelig, enten pr e-post eller via Intranettet. Ved opphør av arbeidsforholdet, skal det gjøres avtale med den ansatte om avslutning av data- og e- postbruk. Arbeidstakers e-postkasse skal avsluttes og innhold som ikke er nødvendig for virksomhetens daglige drift, skal slettes innen rimelig tid. Tilsvarende gjelder eventuelle private lagringsområder på virksomhetens datautstyr. 7. VILKÅR OG PROSEDYRER VED INNSYN I E- POSTKASSER OG LAGRINGSOMRÅDER Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse a) når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, b) ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. Dersom arbeidsgiver ønsker å gjennomføre innsyn etter dette punkt, kan bruker midlertidig utestenges fra datasystemet og de aktuelle områder hvor innsyn vurderes foretatt, kopieres.

9 Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn. I varslet skal arbeidsgiver begrunne hvorfor vilkårene for innsyn ases å være oppfylt og orientere om arbeidstakers rettigheter. Arbeidstaker skal så langt som mulig gis anledning til å være tilstede under gjennomføring av innsynet, og har rett til å la seg bistå av tillitsvalgt eller annen representant. Er innsyn foretatt uten forutgående varsel, skal arbeidstaker gis skriftlig underretning om dette så snart innsynet er gjennomført. Underretningen, skal i tillegg til opplysningene nevnt i forrige avsnitt (vilkår og rettigheter), inneholde opplysninger om hvilken metode som ble benyttet, hvilke e-poster eller andre dokumenter som ble åpnet samt resultatet av innsynet. 8. VIRUSKONTROLL INSTALLASJON AV EGEN PROGRAMVARE M.M. Selskapets datanett er godt beskyttet mot virusangrep. For utstyr som står permanent koblet til kontornettverket (arbeidsstasjoner og terminaler) behøver den enkelte arbeidstager ikke ta særlige forholdsregler utover å melde fra til driftsansvarlig ved uregelmessigheter. Hjemmemaskiner og bærbare maskiner som også brukes utenfor kontoret skal være utstyrt med adekvat og regelmessig oppdatert virusbeskyttelse. Angrep av datavirus på slike maskiner skal meldes umiddelbart, og maskinen frakobles nettet.

10 Installasjon av egen anskaffet programvare er ikke tillatt på maskiner som brukes som permanente arbeidsstasjoner. På hjemmemaskiner kan den enkelte på eget ansvar legge inn slik programvare forutsatt at maskinen er beskyttet mot virus i henhold til instruks. På bærbare maskiner som benyttes dels som arbeidsstasjoner og dels som hjemmemaskiner bør man konsultere driftsansvarlig ved egen programinstallasjon, spesielt ved usikkerhet om opprinnelse. AntiVirus programmet må være oppdatert før installasjon av annen programvare. 9. BRUK AV INTERNLOGGING AKTIVITETSLOGGING Datasystemet er kontinuerlig underlagt aktivitetslogging som kan spores til den enkelte bruker og maskin. Hensikten med disse logger er systemadministrasjon og sikkerhetskontroll. Ingen personopplysninger eller overvåking på personlig basis vil bli foretatt med mindre det foreligger sterk mistanke om ulovlig aktivitet eller systematisk brudd på sikkerhet. 10. BRUK AV PRIVAT UTSTYR OPPKOBLING MOT ANDRE NETTVERK Det er ikke tillatt å bruke privat eller fremmed ITutstyr oppkoblet mot arbeidsgivers datasystemer eller nettverk uten tillatelse fra driftsansvarlig. Det er heller ikke tillatt å benytte arbeidsgivers utstyr for oppkobling mot andre nettverk uten slik tillatelse. ()