SIKKERHETSINSTRUKS - Informasjonssikkerhet

Transkript

1 SIKKERHETSINSTRUKS - Informasjonssikkerhet Sikkerhetsinstruksen er fastsatt av fylkesdirektøren , og erstatter «Reglement for bruk av fylkeskommunens IT-løsninger» fra Instruksen er en del av fylkeskommunens internkontroll på informasjonssikkerhetsområdet, og gjelder for alle som får tilgang til fylkeskommunens beskyttede informasjonssystemer. Med beskyttede informasjonssystemer menes informasjonssystemer beskyttet med brukernavn/passord og systemer som kun er tilgjengelig i fylkeskommunens nettverk. Dette gjelder fylkeskommunens ansatte, leverandørers ansatte eller andre som får slik tilgang. For elever gjelder egne retningslinjer. Instruksen gjelder ikke for eksterne brukere av fylkeskommunens tjenester som kun får tilgang til informasjon de selv har registrert. Brudd på sikkerhetsinstruksen vil bli vurdert i henhold til relevante lover/forskrifter og kan få følger for ansettelsesforholdet/oppdraget. 1. Grunnregler Fylkeskommunens IT-løsninger er beregnet for utarbeidelse, behandling og lagring av virksomhetsrelatert informasjon. HFK tillater begrenset privat bruk når dette ikke bryter med sikkerhetsinstruksen for øvrig eller kommer i konflikt med fylkeskommunens interesser. Det er ikke er tillatt å bruke fylkeskommunens IT-løsninger til aktiviteter som strider mot norsk lov, mot fylkeskommunens normer eller som kan oppfattes uetisk eller støtende. Bruken skal heller ikke være i konkurranse med HFK eller på annen måte kunne skape negativt omdømme eller omtale for HFK. Før du tar i bruk de aktuelle IT-løsningene skal du ha gjennomgått nødvendig opplæring. Du har selv ansvar for å melde fra om dine opplæringsbehov til nærmeste leder. Du er selv ansvarlig for å følge de rutiner som gjelder for bruk av den enkelte løsning. Innsamling og systematisering av data som ikke inngår som en del av brukerens naturlige arbeidsområde er ikke tillatt.

2 2. Aktsomhet Du må selv være oppmerksom på trusler fra internett, og bidra til at disse utgjør en lavest mulig risiko. Ta utgangspunkt i at du aldri er anonym på nettet og at all kommunikasjon på nettet kan spores. Så lenge du benytter fylkeskommunens IT-løsninger defineres du å være pålogget på vegne av fylkeskommunen. HFK har som policy at den enkeltes bruk av internett ikke skal overvåkes, men det forutsettes at bruken skjer i samsvar med de retningslinjer som er gitt. Vær imidlertid oppmerksom på at sikkerhetslogger kan inneholde informasjon om trafikk knyttet til enkeltpersoner. Ved mistanke om sikkerhetsbrudd vil sikkerhetslogger kunne inngå som grunnlag for å vurdere sikkerhetsbruddet. Ved innsyn i personopplysninger i logger, skal rutinene for innsyn følges. Å være ansatt i Hedmark fylkeskommune forplikter når det gjelder å utøve god etikk. Den enkelte må derfor ha et reflektert forhold til hvilke søk og hvilke nedlastinger av materiale som foretas, og for hva som kommuniseres ut på Internett. 3. Passord Passord er strengt personlig og skal aldri oppgis til eller lånes til andre, heller ikke internt i fylkeskommunen. Passord skal ikke skrives ned noe sted. Ved mistanke om at uvedkommende har fått kjennskap til passordet ditt, skal du endre det med en gang. Datamaskinen skal låses med passordbeskyttelse når arbeidsplassen forlates. Du skal alltid logge ut før du overlater maskinen til andre. Strømmen skal alltid slås av før du går for dagen. 4. IT-utstyr og programvare IT- utstyr som kobles til fylkeskommunens nettverk og IT-systemer skal være innkjøpt og konfigurert av Hedmark fylkeskommunes IT-personell. Privat ITutstyr skal kun tilkobles egne nettverk beregnet for dette. Det er ikke tillatt å installere, modifisere eller ta i bruk programvare, hardware eller operativsystem på fylkeskommunens datamaskiner som ikke er avklart med og godkjent av IT-personell. Fylkeskommunens IT-løsninger er beskyttet av sikkerhetsløsninger (f.eks. antivirusprogramvare). Ved mistanke om virusangrep eller lignende skal utstyret slås av, og IT-personell skal informeres om hendelsen umiddelbart. Problemer med disse programmene og andre sikkerhetsløsninger skal også meldes til ITpersonell.

3 Endring/omgåelse av sikkerhetsløsninger og installasjon eller bruk av programmer/applikasjoner med destruktivt bruksområde anses som grove brudd på sikkerhetsinstruksen. 5. E-post Bruk e-post med tilstrekkelig aktsomhet. E-postinnhold er relativt lett tilgjengelig for uvedkommende, og e-post skal derfor kun brukes til å sende åpen informasjon. Sensitive personopplysninger skal ikke sendes med e-post. Den fylkeskommunale e-postadressen skal brukes til jobbrelaterte oppgaver, og private kontoer til å kommunisere med venner og familie. Ikke bland private temaer i jobbrelaterte meldinger. Det er ikke tillatt å starte eller videresende kjedebrev eller e-post med støtende, undertrykkende eller diskriminerende innhold. E-postsystemet er ikke et arkivsystem. Arkivverdig e-post skal overføres til fylkeskommunens sak-/arkivsystem. Det er begrenset plass til lagring i e- postsystemet, og den enkelte er ansvarlig for fortløpende å slette meldinger som ikke lenger er aktuelle. I tillegg skal det foretas periodisk gjennomgang og sletting minst hvert halvår. E-post er først forsvarlig slettet når de er slettet fra e-postsystemets søppelkasse. Ved planlagt fravær over lengre tid blir e-post ikke åpnet av fylkeskommunen. Det er den enkeltes ansvar å sørge for at e-post ikke blir liggende uåpnet, for eksempel ved bruk av fraværsassistent. Tenk gjennom hva slags meldingstekst som legges inn i fraværsassistenten. 6. Dokumentsikkerhet Alle dokumenter som inneholder informasjon med normalt eller høyt beskyttelsesbehov 1 skal oppbevares, forsendes og destrueres på en slik måte at informasjonen ikke kommer uvedkommende i hende. Flyttbare lagringsmedier (minnepinner etc.) som inneholder informasjon med normalt eller høyt beskyttelsesbehov inneholder skal være kryptert. Dokumenter (og andre datafiler) skal som utgangspunkt ikke lagres lokalt på datamaskiner og mobile enheter. Dersom du midlertidig må lagre lokalt, skal filene snarest overføres til server og deretter slettes fra det lokale lagringsmediet. Sikkerhetskopi tas kun av datafiler som er lagret på server, og bruker er selv ansvarlig ved tap av data som er lagret lokalt på datamaskiner og mobile 1 Klassifisering av informasjonens beskyttelsesbehov er definert i «Overordnet styringsdokument for informasjonssikkerhet i Hedmark fylkeskommune»

4 enheter. Dette gjelder også data som går tapt i forbindelse med reparasjon, vedlikehold og service. Når kontor forlates skal datamaskin være låst og fysiske dokumenter som inneholder informasjon med normalt eller høyt beskyttelsesbehov være innelåst. Sensitive personopplysninger skal kun lagres i systemer som er beregnet for dette. Fylkeskommunens informasjon skal ikke behandles eller lagres på IT-ressurser som ikke eies eller på annen måte er kontrollert av HFK. Unntak kan gjøres gjennom godkjenning fra nærmeste leder eller oppdragsgiver i Hedmark fylkeskommune. Utskrifter skal fjernes fra skriveren så snart utskriftsjobben er ferdig. Den som behandler dokumentet er ansvarlig for at opplysninger av sensitiv art ikke ligger uten tilsyn og tilgjengelig for uvedkommende, jfr. taushetsplikten. Behov for tekniske eller organisatoriske tiltak for å oppnå nødvendig dokumentsikkerhet skal meldes til nærmeste leder. 7. Fratreden Før fratreden skal den ansatte sørge for at opplysninger som fortsatt skal lagres, overføres til rett instans i fylkeskommunen. Etter dette er utført sletter den ansatte all e-post og private filer på hjemmeområde. Vedkommende er selv ansvarlig for å sørge for at ny e-postadresse blir gitt til aktuelle kontakter. Når en ansatt har fratrådt sin stilling i fylkeskommunen vil e-postboks og hjemmeområde bli slettet innen 3 måneder. Ved dødsfall skal personlig e-postboks, hjemmeområde og datamaskin slettes innen 3 måneder. Før sletting finner sted kan det foretas innsyn for å sortere ut virksomhetsrelatert informasjon i tråd med retningslinjene for innsyn. Filer og mapper merket privat kan på forespørsel utleveres til pårørende. Annet innsyn eller utlevering av informasjon skal ikke foretas. 8. Innsyn for arbeidsgiver i e-postkasse mv. Innsyn i ansattes e-postkasse mv. skal skje i henhold til kapittel 9 i forskrift om behandling av personopplysninger (personopplysningsforskriften). 9. Gjennomsøking av lagringsområder Teknologiseksjonen kan foreta gjennomsøking av lagringsområder for å avdekke uautorisert eller ulisensiert programvare, ondsinnet kode (programkode som kan inneholde for eksempel virus og skjult programvare) eller annet innhold som ikke er i tråd med sikkerhetsinstruksen. For å ivareta informasjonssikkerheten kan slike filer slettes uten varsel.

5 10. Utlevering til politi eller påtalemyndighet Dersom fylkeskommunen mottar beslutning fra påtalemyndigheten eller retten om utlevering av nærmere identifisert informasjon, utstyr eller annen dokumentasjon skal slik utlevering umiddelbart foretas. Fylkesdirektøren skal varsles dersom slik beslutning mottas. 11. Avhending av utstyr Alt IT-utstyr og flyttbare lagringsmedier som avhendes skal først gjennomgås av IT-personell for å sikre forsvarlig sletting/destruksjon. Det er ikke adgang for den enkelte til selv å forestå kassering. 12. Rapportering og avvik Meld straks fra til nærmeste leder dersom du oppdager sikkerhetsbrudd eller hendelser som kan ha betydning for informasjonssikkerheten. Alvorlige hendelser av sikkerhetsmessig betydning skal rapporteres videre til informasjonssikkerhetsansvarlig.