Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK)

Transkript

1 Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK) Side 1 av 7

2 Forord Hedmark fylkeskommune plikter etter personopplysningsloven 14 å ha et tilfredsstillende internkontrollsystem for informasjonssikkerheten i virksomheten. Denne IT-instruksen er en del av dette internkontrollsystemet. Denne IT-instruks skal være kjent for alle ansatte, og skal til enhver tid være oppdatert i forhold til gjeldende regler og forholdene i virksomheten. Sikkerhetsansvarlig har ansvaret for at ajourhold av instruksen blir gjennomført. Den enkelte leder har ansvar for å gjøre instruksen kjent for sine medarbeidere. Hamar, Hanne Varhaug Søberg fylkesdirektør Side 2 av 7

3 Innledning Som medarbeider hos Hedmark fylkeskommune (HFK) behandler du forskjellige former for data, det kan dreie seg om opplysninger av sensitiv og fortrolig art. Det er derfor påkrevd med gode og strenge sikkerhetsrutiner for å ivareta en høy grad av sikkerhet. Dette gjelder både ved lagring internt, tilgang til systemer og ekstern overføring av data. Hensiktsmessig personaladministrasjonen og administrasjon av IT-ressurser hos HFK nødvendiggjør også til en viss grad behandling av personopplysninger om den enkelte. Disse opplysningene skal håndteres i henhold til Datatilsynets retningslinjer/anbefalinger. Her er de bestemmelsene som dreier seg om bruk av Internett og e-post, passord/sikkerhet og stasjonært/bærbart utstyr, bruk av HFKs datasystemer og HFKs behandling av personopplysninger. Gyldighet Disse retningslinjene gjelder for alle ansatte og folkevalgte, alt innleid personell og andre som gis tilgang til HFKs IT-ressurser, i eller utenfor HFKs lokaler. Retningslinjene gjelder også bruk av HFKs IT-systemer gjennom oppkobling med privat ITutstyr eller utstyr som omfattes av HFKs "hjemme-pc" avtale. Generelt HFKs IT-ressurser er beregnet for utarbeidelse, behandling og lagring av virksomhetsrelatert informasjon. Utarbeidelse, behandling og lagring av privat informasjon skal begrenses. Privat bruk skal ikke belaste båndbredde, lagringsplass og prosessortid unødvendig. Bruk av HFKs IT-ressurser skal ikke være i strid med HFKs etiske retningslinjer. Bruken av ressursene skal heller ikke være i konkurranse med HFK eller på annen måte kunne skape negativt omdømme eller omtale for HFK. Innsamling og systematisering av data som ikke inngår som en del av brukerens naturlige arbeidsområde er ikke tillatt. Behandling og/eller lagring av HFKs informasjon og data på IT-ressurser som ikke eies eller på annen måte er kontrollert av HFK, skal ikke gjøres uten skriftlig godkjenning fra nærmeste leder eller oppdragsgiver hos HFK. Sikkerhetsprogramvare HFKs maskiner er utstyrt med en del sikkerhetsprogramvare som vil variere. Problemer med disse programmene og andre sikkerhetsløsninger må meldes til systemansvarlig/ikt. Det er ikke lov å endre, bytte ut, stoppe eller modifisere HFKs sikkerhetsløsninger, for eksempel sikkerhetsinnstillingene i nettlesere eller brannmurer. Opplæring Før du får tilgang til de aktuelle informasjonssystemene, skal du ha gjennomgått nødvendig opplæring. Du har selv ansvar for å melde fra om dine opplæringsbehov til nærmeste leder. Du er selv ansvarlig for å følge de regler som gjelder for bruk av de forskjellige informasjonssystemene og for behandling av beskyttelsesverdig informasjon i henhold til gjeldende regler. Instruks for bruk av Internett Side 3 av 7

4 Krav til aktsomhet: Ta utgangspunkt i at du aldri er anonym på nettet og at all kommunikasjon på nettet kan spores tilbake til maskinen du sitter på Så lenge du har tilgang i HFKs datanett defineres du å være pålogget i embets medfør Det at du er ansatt forplikter spesielt i forhold til god etikk. Den enkelte skal derfor ha et reflektert forhold til hvilke søk, og hvilke nedlastinger av materiale som foretas. Du må også være spesielt aktsom for hva som kommuniseres ut HFK har som policy å ikke overvåke den enkeltes bruk av Internett. Det forutsettes at bruken skjer i samsvar med de retningslinjer som er gitt. Vær imidlertid oppmerksom på at sikkerhetslogger kan inneholde informasjon om trafikk knyttet til enkeltpersoner. Ved mistanke om sikkerhetsbrudd vil sikkerhetslogger kunne inngå som grunnlag for å vurdere sikkerhetsbruddet. Ved innsyn i personopplysninger i logger, skal metoden for innsyn i e-post følges HFK tillater begrenset privat bruk av Internett, uten at dette på noen måte må komme i konflikt med grunnregelen i kulepunkt to, som forutsetter aktsom opptreden Det skal alltid foretas viruskontroll av nedlastede filer før disse tas i bruk på HFKs informasjonssystem Det skal ikke lastes ned programmer, eller lyd- og bildefiler (eks. shareware, MP3 filer og film) til egen maskin som ikke er å anse som jobbrelatert. Vedlegg som mottas i e- post er ikke omfattet av dette Det er ikke tillatt å bruke programmer for chat/instant messaging som ikke er godkjent av IKT. Det anses som brudd på arbeidskontrakt å: søke eller laste ned materiale fra nettsider du er kjent, eller burde være kjent med inneholder ulovlig materiale. I den grad dette skulle være nødvendig som ledd i saksbehandling, må nærmeste leder ha gitt sin tillatelse til dette, i samråd med sikkerhetsleder brudd på copyright (tekster, programmer, bilder), forsøk på hacking eller annen uautorisert tilgang til andre informasjonssystemer Instruks for bruk av e-post Hva skal gjøres: Den enkelte skal bruke elektronisk post med tilstrekkelig aktsomhet. Elektronisk post må, forutsatt at den ikke er kryptert, betraktes å være relativt lett tilgjengelig for uvedkommende. Følgende regler gjelder: Det skal ikke sendes sensitive personopplysninger med elektronisk post. E-post som inneholder sensitive opplysninger skal ikke distribueres videre, kommenteres eller besvares I den grad det er sendt e-post med sensitivt materiale til HFK, skal meldingen raskest mulig skrives ut og registreres som sak. Opprinnelig melding (og evt. kopier av denne) skal slettes Vedlegg til e-post skal ikke åpnes, med mindre forsendelsen kommer fra en avsender det er rimelig å forvente ønsker saklig kontakt med HFK Forhåndsvisning bør ikke benyttes, da dette kan medføre uønsket innsyn i e-post, samt kan gjøre virusangrep lettere Det er ikke tillatt å starte eller videresende kjedebrev Side 4 av 7

5 Den enkelte er ansvarlig for fortløpende å slette meldinger som ikke lenger er aktuelle. I tillegg skal det foretas periodisk gjennomgang og sletting minst hvert halvår E-post er først forsvarlig slettet når de er slettet fra e-postsystemets slettede elementer Som en ekstra sikkerhet mot innsyn i private opplysninger, oppfordres de ansatte til å merke e-post med privat innhold med privat, eventuelt opprette en mappe merket privat for denne typen e-post Ved planlagt fravær ut over tre dager skal fraværsassistenten benyttes. Instruks for behandling av e-postkasser og private filer ved avsluttet arbeidsforhold Hva skal gjøres: Før fratreden skal den ansatte rydde opp i sin e-postkasse og private filer på hjemmeområde og sørge for at opplysninger som fortsatt skal lagres overføres til rett person i fylkeskommunen. Vedkommende er selv ansvarlig for å sørge for at adresse til eventuell ny personlig e-postkasse blir gitt til kontakter i den grad det er nødvendig. Når den ansatte har fratrådt sin stilling skal dennes personlige e-postkasse og øvrige filer på dennes hjemmeområde slettes så snart nærmeste leder har gitt klarsignal. Ved dødsfall skal personlig e-postkasse og private filer slettes, med mindre det er sannsynlig at politiet vil ønske innsyn i opplysningene. Før sletting finner sted kan det foretas innsyn for å sortere ut virksomhetsrelatert e-post i tråd med rutine for dette. Instruks for innsyn i e-post Hva skal gjøres: Disse reglene skal sikre at virksomheten får tilgang på nødvendige opplysninger lagret i e- post uten at de ansattes personvern blir krenket. Reglene nedenfor skal alltid følges dersom det oppstår behov for innsyn i denne typen opplysninger. Definisjoner: "Personlig e-postkasse": e-postkasse knyttet til en enkelt ansatt "Virksomhetsrelatert e-post": e-post som er knyttet til gjennomføring av arbeidsoppgaver "Privat e-post": e-post med innhold av privat art, så som e-post til personlige kontakter, hilsener, e-post sendt til og fra fagforening, tillitsvalgte og helsetjeneste. Følgende regler gjelder: Innsyn i personlig e-postkasse skal som utgangspunkt ikke finne sted med mindre vedkommende selv ønsker det. Ved planlagt fravær over lengre tid, skal adressert e-post ikke åpnes av HFK. Det er e- postadresseinnehaverens ansvar å sørge for at e-post som betegnes som saksdokument for organet ikke blir liggende på ens e-postadresse uåpnet (f.eks ved bruk av fraværsassistent). Samtykke til å åpne personlig e-postkasse ved fravær skal foreligge før e-postkassen kan åpnes av nærmeste leder/arkivet i den hensikt å sortere ut virksomhetsrelatert e-post Dersom det er umulig å innhente samtykke kan nærmeste leder/arkivet åpne e- postkassen for å sortere ut virksomhetsrelatert e-post etter beslutning av e- postinnehaverens nærmeste leder eller stedfortreder, etter konsultasjon med Side 5 av 7

6 vedkommendes tillitsvalgte. Hvis vedkommende ikke er organisert kan verneombud defineres som vedkommendes tillitsvalgte. Dette vil kunne være aktuelt dersom innsyn er nødvendig for å ivareta virksomhetens oppgaver. Behovet for innsyn skal dokumenteres Det skal alltid være minst et vitne tilstede ved gjennomføringen av innsyn uten samtykke og fremgangsmåten, herunder hvilke e-poster som er åpnet, skal dokumenteres Innsyn i privat e-post skal ikke finne sted. Det skal heller ikke gjøres søk i opplysninger som er merket privat eller samlet i mappe som er merket privat. Ved mistanke om straffbare forhold knyttet til bruk av e-post/internett skal politiet kontaktes. For å sikre bevis kan e-postkassen speilkopieres. Behovet for speilkopiering skal dokumenteres. Innsyn i speilkopien skal følge rutinen over. Arkivverdige e-poster som du mottar direkte til deg, skal du videresende elektronisk til arkivet for journalføring eller arkivere direkte i Esak. Instruks for bruk av HFKs IT-utstyr hjemme og på tjenestereise Instruksen gjelder bruk av stasjonært HFKs IT-utstyr hjemme. Instruksen gjelder også bærbart IT-utstyr, herunder PC, USB-minnepenn, PDA og liknende levert av fylkeskommunen. Stasjonært og mobilt IT-utstyr skal kun benyttes av arbeidstakeren selv og til bruk i embeds medfør. Følgende er fastsatt: Det skal ikke behandles sensitive personopplysninger på HFKs IT-utstyr hjemme eller på HFKs mobile utstyr. Saksdokumenter skal ikke lagres på lokal disk på hjemmekontor. Det skal brukes brukernavn og passord for å få tilgang til hjemmekontoret Det skal ikke installeres programmer på datamaskinen uten at det er godkjent av systemansvarlig/ikt Det skal til enhver tid benyttes oppdatert antivirusprogram Det skal benyttes brannmur Passord og tilgang Ved all bruk av HFKs IT-ressurser skal det benyttes passord ved oppstart. Brukeridentitet og passord er strengt personlig og skal ikke oppgis til eller lånes til andre. Dette gjelder også når utenforstående søker å få tilgang til passord ved å angi konstruerte behov. Passord skal ikke skrives ned noe sted. Ved mistanke om at uvedkommende har fått kjennskap til passordet, skal du endre det med en gang. Alle passord skal bestå av en tilfeldig sammensetning av tall og bokstaver. Nytt passord må avvike vesentlig fra det gamle. Passordbeskyttet skjermsparer skal benyttes eller kontordør låses når arbeidsplassen forlates i kortere periode. Maskinen skal også være satt opp med automatisk skjermsparer med aktivering etter 15 minutters inaktivitet. Du skal alltid logge ut før du overlater maskinen til andre. Strømmen skal alltid slås av før du går for dagen. Side 6 av 7

7 Dokumentsikkerhet Dokumenter (og andre datafiler) skal som utgangspunkt ikke lagres på lokal harddisk, disketter, CD-rom eller tilsvarende. Dersom du midlertidig må lagre på lokal disk f.eks på bærbar PC, diskett eller minnepinne, skal filene senere overføres til server og deretter slettes fra lokalt lagringsmedie. Vær også oppmerksom på at sikkerhetskopi kun tas av datafiler som er lagret på server. Dersom du over tid oppbevarer større arbeider på bærbar PC, skal du passe på at det jevnlig overføres en sikkerhetskopi til server. Utskrifter skal fjernes fra skriveren så snart utskriftsjobben er ferdig. Den som behandler dokumentet er ansvarlig for at opplysninger av sensitiv art ikke ligger uten tilsyn og tilgjengelig for uvedkommende. Behov for tekniske eller organisatoriske tiltak for å oppnå nødvendig sikring av slike opplysninger skal meldes til nærmeste leder. Utstyr (hardware) som skal kasseres skal først gjennomgås av IKT. Det er ikke adgang for den enkelte til selv å forestå kassering av utstyr (hardware). HFK skal ha en klar policy for sletting av lagringsmedier på datamaskiner før de blir kassert, eller sørge for at de har en gjenvinningspartner som destruerer maskinen i henhold til gitte krav. Utlevering av hjemmeområde til politi eller påtalemyndighet Ved skriftlig henvendelse fra politi eller påtalemyndighet skal innholdet av en navngitt brukers hjemmeområde sikres ved kopi. Kopien skal oppbevares av sikkerhetsansvarlig ved HFK i inntil 14 kalenderdager. Har ikke politi eller påtalemyndighet i løpet av denne tiden skaffet til veie et samtykke fra brukeren eller en beslutning fra retten skal kopien destrueres. Skanning Det kan også foretas skanning av alle lagringsområder for å avdekke uautorisert eller ulisensiert programvare, underholdningsfiler som musikk og video, uønsket eksekverbar kode (programkode som kan inneholde for eksempel virus og skjult programvare) og annet innhold som ikke er i tråd med HFKs regler eller er jobbrelatert. For å ivareta informasjonssikkerheten kan HFK foreta sletting av slike filer uten varsel. Årlig revisjon, endringer m.v. Denne instruksen skal gjennomgås årlig av sikkerhetsansvarlig i samarbeid med Personal- og organisasjonsavdelingen. Endringer i instruksen vil bli varslet ved e-post/intranett til alle medarbeidere og er etter dette bindende for alle medarbeidere. Instruksen skal være tilgjengelig for alle medarbeidere på intranettet. Konsekvenser ved brudd Brudd på disse reglene kan medføre konsekvenser, og i alvorlige tilfeller oppsigelse eller avskjed. Grove brudd vil normalt bli politianmeldt og påtalt. Du skal gjøre deg kjent med og følge de til enhver tid gjeldende regler for HFKs IT-ressurser. Det vises også til HFKs arbeidsreglement. For innleid personell vil brudd på disse reglene kunne medføre at oppdraget faller bort. Grove brudd på reglene vil kunne medføre at forholdet politianmeldes. Side 7 av 7