Retningslinjer for ansattes bruk av IKT

Transkript

1 2015 Retningslinjer for ansattes bruk av IKT

2 Distribueres til: Alle Sist lagret: Side: 1 av 11 Innholdsfortegnelse 1. GENERELT Formål Bruksområde Eierskap til dokumentet Tilgjengelighet til dokumentet Sikkerhetsansvar Operativt ansvar ARBEIDSRELATERT OG LOVLIG BRUK AV IKT-TJENESTER Arbeidsrelatert og lovlig bruk Brukeridentitet og passord Bærbart datautstyr Personlig bruk av datautstyr Bruk av felles datautstyr Privat data/elektronikk Lisenser og bruk Eierskap til data Ansvar LAGRING AV DATA OG BRUK AV E-POST Lagring og tilgang til data E-Post Innsyn i e-post og lagringsmedia INFORMASJONSBEHANDLING I OMGIVELSENE Generell sikkerhet Taushetsplikt Forsøk på uautorisert tilgang Regler for bruk av Internett Bruk av sosiale media ENDRING I ARBEIDSFORHOLD Avslutning av arbeidsforholdet og/eller av brukerstatus Overtakelse av utstyr ERKLÆRING... 10

3 Distribueres til: Alle Sist lagret: Side: 2 av Generelt 1.1. Formål Formålet med disse retningslinjene er å sikre at tilgjengelig IKT-relatert utstyr og programvare i EDS blir brukt som et effektivt og godt arbeidsredskap ved utførelsen av den enkeltes arbeidsoppgaver, til beste for EDS. I disse retningslinjene brukes benevnelsen EDS for Egill Danielsen Stiftelse og skolene som er knyttet til stiftelsen Bruksområde Disse retningslinjene gjelder for alle ansatte ved EDS og ved bruk av alle tjenester, datamaskiner, smarttelefoner og nettbrett i organisasjonen. De gjelder også for midlertidige ansatte, vikarer og leverandører av tjenester til EDS. Om det skulle oppstå situasjoner som ikke er dekket av retningslinjene, kan den ansatte henvende seg til rektor ved gjeldende skole eller til Sikkerhetsleder hos EDS for mer informasjon Eierskap til dokumentet Dette dokumentet eies, vedlikeholdes og videreutvikles av IKT-L i samarbeid med Sikkerhetsleder hos EDS. Spørsmål rundt dokumentet rettes til Sikkerhetsleder ved EDS. Dette dokumentet revideres når aktuelle endringer tilsier det, om minst én gang i året slik at ny versjon foreligger ved skoleårets begynnelse Tilgjengelighet til dokumentet Alle nyansatte og andre som får adgang til EDS IKT-tjenester skal motta disse retningslinjene sammen med ansettelsesbrev/arbeidskontrakt. Ved dokumentrevisjon skal retningslinjene distribueres til alle ansatte. Alle ansatte skal ha tilgang til retningslinjene på sin arbeidsplass, enten elektronisk eller i papirform. Om den ansatte mangler tilgang til dokumentet, vil IKT-ansvarlig på den ansattes arbeidssted gi tilgang. Den ansatte plikter å delta i opplæring i bruk av IKT -systemer og IKT-sikkerhet på den enkelte arbeidsplass i EDS Sikkerhetsansvar Det overordnede ansvaret for IKT-sikkerhet er tillagt Sikkerhetsleder i EDS som definert i dokumentet EDS sikkerhetsorganisasjon Operativt ansvar Administrasjonsleder ved EDS og rektor ved hver enkelt skole ivaretar ansvaret for at retningslinjene blir fulgt opp i det daglige.

4 Distribueres til: Alle Sist lagret: Side: 3 av 11 Det operative ansvar for IKT systemene, tjenester og sikkerhet levert til stiftelsen og skolene ivaretas av IKT-leder ved EDS. Det er utpekt IKT-ansvarlig ved det enkeltes arbeidssted som den enkelte ansatte forholder seg til i operative spørsmål

5 Distribueres til: Alle Sist lagret: Side: 4 av Arbeidsrelatert og lovlig bruk av IKT-tjenester 2.1. Arbeidsrelatert og lovlig bruk Den ansatte har plikt til å påse at IKT-tjenestene benyttes i samsvar med norsk lov og alminnelig sømmelighet. Det er herunder forbudt å benytte IKT-tjenester til å sende, innhente og/eller lagre ærekrenkende, pornografiske, privatlivskrenkende, rasistiske, diskriminerende eller ulovlige data, og/eller å medvirke til dette Brukeridentitet og passord Ansatte får tildelt brukernavn og passord, dette er den ansattes «nøkkel» som gir lovlig tilgang til systemer, tjenester og data. Passord og andre sikkerhetselementer skal holdes hemmelig for andre, dette gjelder også IKTavdelingen. Dersom en ansatt blir gjort kjent med at eget passord er eller kan ha blitt kjent av andre, plikter den ansatte å sørge for at passordet blir endret øyeblikkelig. Ansatte har tilgang til informasjon og data på basis av det man trenger å ha tilgang til for å få utført arbeidet. Det er ikke tillat å forsøke å få tilganger man ikke skal ha eller trenger. Det kan være skadelig for den ansatte, så vel som for EDS, dersom opplysninger av konfidensiell, personlig eller begrenset art faller i gale hender. Internett er en viktig kilde til informasjon, men det er også et sted hvor det er vanskelig å fjerne uønsket informasjon. Hvis sensitive personopplysninger faller i gale hender, kan det gjøre alvorlig skade på en persons integritet, helse og generelle omdømme, rettigheter og økonomiske situasjon Bærbart datautstyr Bærbar PC/Mac, Mobiltelefon og nettbrett er gode arbeidsverktøy men inneholder mye informasjon slik som SMS, e-post, dokumenter mv. og har også tilgang til nettverk og systemer. Det er derfor viktig at disse enhetene sikres godt. Slikt utstyr skal ha fungerende antivirus, og inneholder de e-post eller på noen måte sensitiv informasjon, skal dette være kryptert. Utstyret skal i tillegg ha mulighet for fjernlåsing/sletting. Bærbart utstyr skal ha aktivert skjermsparer sammen med manuell eller automatisk låsing og adgangskontroll i form av passord eller numerisk kode. Den ansatte må vise forsiktighet ved bruk av mobiltelefon, hvor denne brukes (fly, tog buss, båt mv.) og hvilken informasjon som blir omtalt. Om bærbart utstyr blir stjålet eller mistet, skal dette rapporteres til lokal IKT-ansvarlig med én gang og tilgangen til enheten stenges eller enheten slettes.

6 Distribueres til: Alle Sist lagret: Side: 5 av Personlig bruk av datautstyr Personlig bruk av datautstyr som tilhører EDS og er stillet til disposisjon for den ansatte er lovlig så lenge bruken samsvarer med dette dokumentet. Den ansatte har anledning til å installere egen programvare så lenge denne er gyldig lisensiert. IKT-Avdelingen har ikke ansvar for denne type programvare, og om utstyret blir levert inn for feilretting må den ansatte selv sørge for sikkerhetskopier av program og data Bruk av felles datautstyr Det er ikke anledning til å lagre data eller informasjon av privat eller personlig art på fastmontert utstyr brukt og driftet av EDS. Alle typer informasjon på fast og stasjonært utstyr skal lagres på nettverket Privat data/elektronikk Den ansatte har ikke anledning til å koble private datamaskiner eller lagringsenheter til maskiner eller EDSnettverk med mindre IKT-ansvarlig har gitt uttrykkelig tillatelse til dette. Ved slik tilkobling må utstyret ha samme sikkerhetsfunksjoner og avgrensninger som utstyr brukt av EDS. Ved slik tillatelse skal EDS sitt behov for innsyn i e- post og lagringsområder veie tungt Lisenser og bruk Det er Stiftelsen og skolenes uttalte politikk at alle programmer og applikasjoner på alle brukerflater brukt og driftet av EDS skal være gyldig lisensiert. All installasjon og bruk av programvare som ikke er gyldig lisensiert som den ansatte har installert, er den ansatte ansvarlig for og bærer alene alle konsekvenser av. EDS har rett til å fjerne, uten videre advarsel, programvare som bryter norsk lov eller programvare som det ikke er betalt lisens for. Kopiering av programvare som EDS har kjøpt skal ikke forekomme, med mindre lisensavtalen uttrykkelig gil tillatelse til dette Eierskap til data EDS eier rettighetene til alle data og filer på alle datamaskiner, datasystemer eller informasjonssystemer brukt og driftet av EDS. Dette gjelder også for alle data og filer sendt eller mottatt på EDS sine systemer, så sant dette ikke er i konflikt med gjeldende lover for opphavsrettigheter Ansvar Skader som oppstår ved bruk av utstyret dekkes vanligvis av maskinens eller skolens forsikring. Ved skade på utstyr etter uforsvarlig bruk eller oppbevaring slik at forsikringen ikke dekker skaden, kan den ansatte bli holdt erstatningsansvarlig.

7 Distribueres til: Alle Sist lagret: Side: 6 av Lagring av data og bruk av e-post 3.1. Lagring og tilgang til data Den ansatte skal lagre elektronisk informasjon på en enhetlig måte i tråd med etablerte katalog- og mappestrukturer og databaser, slik at arbeidsgiver sikres tilgang til dokumentene og slik at de ikke feilaktig går tapt. Når sensitiv eller konfidensiell informasjon behandles eller lagres elektronisk, skal den ansatte i samråd med IKT-ansvarlig påse at det treffes særskilte forholdsregler for sikker håndtering, oppbevaring og utskrift. For å sikre at informasjon og data ikke går tapt, må den ansatte lagre dokumenter og data som er viktige for driften av stiftelsen eller skolen på nettverket. lagre personlige dokumenter og data på hjemmeområdet. sørge for at arbeidsområder på disker og me-postail er ryddige. ikke lagre viktig og sensitiv informasjon lokalt (på c:/, inkludert mappen «Dokumenter» og skrivebordet). ansatte med bærbare maskiner sørger for at data tilhørende EDS blir kopiert til nettverket. ikke lagre private data på maskiner og nettverk tilhørende EDS. påse at data som blir lagret på eksterne disker eller minnepinner er krypterte. Om sensitive eller konfidensielle data skal sendes ut av stiftelsen eller skolene skal disse dataene være kryptert med hensiktsmessige krypteringsverktøy for å hindre uautorisert tilgang. Kontakt den lokale IKT-ansvarlige for hjelp med dette E-Post Alle ansatte i EDS har tilgang til personlig e-post for arbeidsrelatert kommunikasjon. Denne skal ikke benyttes til privat bruk. Den ansatte er ansvarlig for at personlig e-post adresse ikke blir brukt til annonsering, debatt mv. Det må også vises forsiktighet m.h.t. hvordan skolens eller stiftelsens navn kan kobles til meldinger sendt fra e-post systemet. at e-post blir sendt til korrekt mottaker at personopplysninger som definert i personopplysningloven ikke blir sendt med e-post, med mindre opplysningene er sikret med kryptering. å være årvåken ved åpning av vedlegg i e-post, disse kan bli lagret på maskinen slik at utenforstående kan få tilgang til dem. å ikke åpne e-poster eller vedlegg fra personer eller selskaper du normalt ikke har kontakt med, slike meldinger kan inneholde virus eller annen skadelig kode. At private e-postkontoer ikke brukes til å sende eller motta informasjon tilhørende EDS eller skolen.

8 Distribueres til: Alle Sist lagret: Side: 7 av Innsyn i e-post og lagringsmedia All bruk av EDS sine IKT-tjenester blir eller kan bli loggført. Innsyn i ansattes e-post og andre lagringsområder kan skje dersom vilkårene i personopplysningsforskriftens 9.2 er oppfylt: Det er nødvendig for å ivareta den daglige driften. Når det er nødvendig for å ivareta andre berettigede interesser ved virksomheten. Ved begrunnet mistanke om at bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet. Ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen kan gi grunnlag for oppsigelse eller avskjed. Om innsyn blir nødvendig gjelder rutinen Innsyn i e-post og lagringsmedia. 4. Informasjonsbehandling i omgivelsene 4.1. Generell sikkerhet I dagens informasjonsbaserte samfunn er det en god regel å være bevisst på hvor du legger igjen dokumentasjon og informasjon. være bevisst på hva og til hvem du meddeler informasjon. være bevisst ved muntlig omtale av personopplysninger og forretningsmessige forhold. makulere konfidensielle dokumenter. rydde arbeidsplassen din jevnlig for å holde oversikt over hva du har tilgjengelig av dokumenter og informasjon. Alle ansatte har ansvar i å rapportere forhold som representerer brudd på instruksen og sikkerheten. Slike brudd rapporteres øyeblikkelig til sikkerhetsleder og personalleder Taushetsplikt Den ansatte har gjennom signering av Taushetserklæring taushetsplikt vedrørende fortrolige, bedriftsrelaterte og personlige forhold som vedkommende får kjennskap til gjennom bruk av IKT-tjenestene. Den ansatte har taushetsplikt vedrørende informasjon som kan ha betydning for IKT-sikkerheten.

9 Distribueres til: Alle Sist lagret: Side: 8 av Forsøk på uautorisert tilgang Den ansatte må vise forsiktighet i utlevering av opplysninger, slik som personopplysninger, adgangsopplysninger, dørkoder, passord mv. eller andre opplysninger som gjør at tilgang til lokaler eller systemer kan finne sted. Om slike forespørsler finner sted, må den ansatte forvisse seg om at personen som spør har rettmessig tilgang til disse opplysningene. Om urettmessige forespørsler finner sted, skal lokal IKT-ansvarlig kontaktes øyeblikkelig Regler for bruk av Internett Internett er en uuttømmelig kilde til informasjon, både faglig og underholdende. Det er også den største kilden til virus, skadelig programvare og misinformasjon. Det er derfor sunt med en stor porsjon skepsis til informasjonen som finnes der, og det kan være lurt å verifisere informasjon hos ande kilder. Bruk av Internett skal primært være virksomhetsrelatert. Det er ikke tillatt å besøke sider som strider mot norsk lov og alminnelig sømmelighet, til å sende, innhente og/eller lagre ærekrenkende, pornografiske, privatlivskrenkende, rasistiske, diskriminerende eller ulovlige data, og/eller å medvirke til dette. Nedlasting og bruk av programmer, informasjon og data hvor EDS eller den ansatte selv ikke har eiendomsrett eller disposisjonsrett skal ikke gjøres uten tillatelse. Nedlasting av programoppdateringer, filer og data som stiftelsen eller skolen har eiendoms- og/eller disposisjonsrett til og som er nødvendig for programmenes bruk i virksomheten omfattes ikke av dette. Nedlasting og distribusjon av programfiler/"underholdningsfiler" som ikke er virksomhetsrelatert skal unngås. EDS vil til enhver tid kunne regulere tilgang til Internett. Tilkobling til EDS-nettverket via Internett skal kun gjøres ved bruk av spesifikk hjemmekontorløsning (VPN-forbindelse) levert av EDS-IKT. Aldri gi brukernavn, passord eller andre detaljer om påloggingsinformasjon til noen på Internett. Avslå alltid tilbud om gratis antivirus eller sikkerhetssjekk av maskinen din. EDS sørger for at maskinen din alltid er oppdatert med det som er nødvendig av sikkerhetsprogrammer Bruk av sosiale media Sosiale media er etter hvert en viktig del av kommunikasjonen i samfunnet og inkluderer både web-baserte og mobilbaserte teknologier som brukes til interaktiv kommunikasjon og dialog. Denne dialogen kan være mellom selskaper, grupper eller personer og kan være programmer som Facebook, Twitter, YouTube, LinkedIn eller andre sosiale grupper. Den ansatte kan bruke Stiftelsens og/eller skolens navn i sine egne profiler men det er ikke tillatt å undertegne eller på annen måte bruke Stiftelsens eller skolens navn i meldinger på sosiale fora uten at dette er avklart med ledelsen, eller at dette er en del av arbeidet.

10 Distribueres til: Alle Sist lagret: Side: 9 av 11 Det er viktig med en restriktiv holdning fra den ansatte i å delta i diskusjoner og andre meningsytringer som kan knyttes til Egill Danielsen Stiftelse og skolene da slik informasjon og ytringer er svært vanskelig å fjerne i etterkant. 5. Endring i arbeidsforhold 5.1. Avslutning av arbeidsforholdet og/eller av brukerstatus Ved avslutning av arbeidsforholdet plikter den ansatte å sørge for at arbeidsrelaterte data sikres for EDS. Den ansatte skal ta initiativ til dette overfor den lokale IKT-ansvarlige. Dersom bruker motsetter seg dette, vil arbeidsgiver sikre dataene. På bærbart utstyr den ansatte har disponert, skal alle private data slettes ved innlevering. Dersom den ansatte ikke har gjort det selv, vil skolens IKT-ansatte gjøre dette uten å vurdere innholdet Overtakelse av utstyr Ansatte som disponerer bærbart utstyr (datamaskiner og smarttelefoner) som er mer enn tre år gammelt, kan søke om å få overta utstyret ved avslutning av arbeidsforholdet. I så fall skal arbeidsrelaterte data sikres som etter pkt. a. Den enkelte skole bestemmer om en eventuell overtagelse skjer mot betaling eller vederlagsfritt. NB! Dette punktet gjelder ikke når utstyret er leaset.

11 Distribueres til: Alle Sist lagret: Side: 10 av Erklæring Jeg har gjort meg kjent med og forstått innholdet i disse retningslinjene og påtar meg å overholde disse i all bruk av EDS IKT-utstyr. Jeg vil holde meg orientert om endringer i disse retningslinjene og i tillegg det til enhver tid regelverk for bruk av EDS IKT-utstyr. Jeg forplikter meg herved til ikke å bruke, åpenbare, utlevere eller på annen måte gjøre tilgjengelig for uvedkommende informasjon om data og personopplysninger, eller bedrifts- eller forretningsmessig kunnskap som jeg har fått kjennskap til i mitt arbeid ved EDS. Jeg er klar over at alle data som samles inn, samt behandlede utgaver av samme data er rettighetsbelagt og all distribusjon skal godkjennes av rettighetshaver. Jeg er kjent med at jeg kan bli stilt til ansvar for brudd på regler gitt i disse retningslinjene og at slike brudd kan få konsekvenser for mitt ansettelsesforhold slik som advarsel, oppsigelse eller avskjed. Jeg vil vise aktsomhet i omtale av andre forhold som jeg blir kjent med eller erfarer under mitt arbeid Navn (blokkskrift) Dato Underskrift