Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Transkript

1 SØR-TRØNDELAG FYLKESKOMMUNE RETNINGSLINJE FOR INFORMASJONSSIKKERHET Nettvett i STFK Retningslinjer og etiske regler for bruk av datanett i STFK Erstatter: - Utarbeidet ved: IKT-tjenesten Vedtatt/godkjent av: Fylkesrådmannen Vedt./godkj. dato: UTKAST

2 Kjære medarbeider! Samfunnet legger opp til en stadig raskere omgang med informasjon. Informasjonssamfunnet er over oss med all sin kraft. I all travelheten og effektiviteten kan det være lett å glemme, eller skyve til side, de forpliktleser vi har i omgang med informasjon. I vår hverdag behandler vi for det meste informasjon som ikke bare tåler dagens lys, men som vi også er forpliktet til å gjøre tilgjengelig for allmennheten. Derfor er også offentlighetslovens hovedregel at Forvaltningens saksdokumenter er offentlige så langt det ikke er gjort unntak i lov eller i medhold av lov. Dette stiller store krav til oss når det gjelder å tilrettelegge for tilgang og innsyn i våre dokumenter. På den andre siden behandler vi svært mye informasjon som, om den ble kjent for uvedkommende, kan volde ubotelig skade. Dette kan for eksempel være informasjon som kan volde forretningsmessig skade. Men størst skade kan vi likevel volde om vi trår feil i behandling av følsom informasjon enkeltmennesker, det som Personopplysningsloven definerer som Sensitive personopplysninger. Slik behandling krever den største aktsomhet fra både merkantilt ansatte og fra dem som forvalter teknologiske løsninger for behandling av slik informasjon. STFK sin visjon for informasjonssikkerhet alle eksterne og interne brukere skal føle trygghet for at enkeltindividers og gruppers krav til rettsikkerhet og konfidensialitet blir ivaretatt på en forsvarlig måte Du er en av bærebjelkene! Du er pålagt taushetsplikt gjennom lov og fylkeskommunalt reglement. Denne plikten til å beskytte informasjon må vi være oss bevisst i all behandling av informasjon, det være seg papirbasert, muntlig, elektronisk eller på annen måte. En kjede er ikke sterkere enn sitt svakeste ledd. Informasjonssikkerheten er aldri bedre enn det hver og en av oss gjør den. Dine holdninger er viktig for oss alle. Brudd på kjøreregler kan medføre personlige konsekvenser. Som ansatt står du ansvarlig for dine egne handlinger. Reglene i denne retningslinjen skal være et redskap for at vi sammen skal kunne oppbevare og behandle informasjon på en forsvarlig måte. Bevissthet, kunnskap og gode holdninger Sikkerhet skapes gjennom holdninger! Det er min og din bevissthet, kunnskap og ikke minst våre handlinger som er avgjørende! Sammen skal vi sørge for å oppfylle visjonen og sørge for at våre brukere føler seg trygge på vi behandler informasjonen på en måte som ivaretar deres krav og forventninger. Milian Myraunet Fylkesrådmann Side 2 av 6

3 1 Generelle om informasjonssikkerhet Hvem har ansvaret? Den enkelte bruker har ansvar for selv å sette seg inn i og etterleve gjeldende retningslinjer Enhetsleder har ansvar for at ansatte får den nødvendige opplæring, og for at enheten har en lokal IS-ansvarlig (lokal ISA) Fylkesrådmannen har ansvar for den overordnede informasjonssikkerheten. Dette ivaretas til daglig av ISA STFK Retningslinjer og prosedyrer finner du på intranett! På intranett finner du siste versjon av retningslinjer og prosedyrer for informasjonssikkerhet Sikkerhetsbrudd skal meldes som avvik Brudd på sikkerhetsregler skal rapporteres til lokal ISA eller til ISA STFK. (Med sikkerhetsbrudd menes brudd på de retningslinjer som finnes på intranett under Informasjonssikkerhet.) Skjema finner du på intranett (søk på Avvik eller Avvikshåndtering). Avviksmeldinger blir behandlet konfidensielt. 2 Informasjonssikkerhet og bruk av IKT Etiske regler for bruk av datanett Hacking ( datasnoking ), nedlasting og spredning av pornografi, voldelig, rasistisk, blasfemisk materiale er ikke tillatt. Bilder, tekster, videoklipp eller dataprogrammer på nettet kan være belagt med kopirestriksjoner. Sjekk alltid om det finnes kopieringsrettigheter på materiale du videresender eller benytter i egne arbeider. Er du i tvil, spør der hvor du henter materialet. Det er forbudt å installere programvare på PC en som gjør at uvedkommende får adgang til STFK sitt nettverk. Meld fra til nærmeste overordnede dersom du kommer over klare brudd på de etiske reglene. Ikke til hva som helst Bruk datasystemene til fylkeskommunale arbeidsoppgaver. Brukernavn og Passord din personlige eiendom! Passordet er din personlige eiendom og ditt eget ansvar! Hvis andre snapper det opp skal du skifte passord umiddelbart Ikke skriv det på gule lapper gjemt på lure steder! Gi aldri bort passordet ditt! Hvis noen hevder at dette er nødvendig for å få gjort en jobb på din maskin så ring IKT brukerstøtte (eller IT-ansvarlig i din virksomhet) og få bekreftet at dette er klarert derfra. Bytt alltid passord etterpå hvis du har vært nødt til å gi det fra deg. Side 3 av 6

4 Vern deg mot innsyn og mot at uvedkommende får tilgang Ikke gå fra skjermen når programmer og data er tilgjengelig. Beskytt dataskjermen din mot innsyn fra vinduer og korridorer Har du mistanke om at ikke autoriserte personer har tilgang til STFKs IT-systemer så meld fra til nærmeste overordnede! Lås alltid PC en når du ikke har den under oppsikt. (På de fleste PC er: Trykk Ctrl+Alt+Del samtidig og klikk deretter på Lås arbeidsstasjon/lock workstation.) Anitivirus-program Alle maskiner i STFK skal være utstyrt med antivirusprogram. IKT-tjenesten sørger for sentral avtale. Informasjon finner du på det interne nettet på adresse Sletting av datamedia (disketter, CD er osv) Disketter og CD-er som inneholder opplysninger unntatt offentlighet og/eller personopplysninger, skal destrueres forsvarlig. (Se egen prosedyre på intranett.) Disketter og CD-er som skal destrueres, leveres til IKT-tjenesten. Hard-disker som byttes ut i maskiner som står i sikker skal leveres inn til IKTtjenesten sentralt for videre behandling. Sletting av datainformasjon Tenk deg godt om før du sletter informasjon i systemet. Det kan være viktige data - om ikke for deg - så for andre. Ting som flyter rundt Utskrifter som flyter kan røpe mangt og mye. Hent utskriftene dine, pass på at andre ikke får innsyn i informasjonen de inneholder. Makuler det du ikke trenger. Kontakt IT-ansvarlig eller IKT-tjenesten Hvis det er noe du lurer på, er det bedre å spørre IT-avdelingen eller systemansvarlig en gang for mye enn en for lite. Bruk av bærebare maskiner Det er som hovedregel ikke lov å oppbevare personopplysninger eller opplysninger unntatt offentlighet på bærbare maskiner! (Unntak er beskrevet i retningslinje for bruk av bærbare maskiner.) Bruk bare godkjent utstyr! Av sikkerhetsmessige årsaker skal alle maskinersom kobles til nettverket vårt være i henhold til vedtatt IKT-standard. Bruk av datalogger Av sikkerhetsmessige grunner blir nettrafikk lagret i sporingslogger. Det er ikke tillatt å aktivt bruke loggen på enkeltindividnivå. Utdypende informasjon Utdypende informasjon finner du på de påfølgende sider. Side 4 av 6

5 INNHOLDSFORTEGNELSE 1 GENERELLE OM INFORMASJONSSIKKERHET...3 HVEM HAR ANSVARET?...3 RETNINGSLINJER OG PROSEDYRER FINNER DU PÅ INTRANETT!...3 SIKKERHETSBRUDD SKAL MELDES SOM AVVIK INFORMASJONSSIKKERHET OG BRUK AV IKT...3 ETISKE REGLER FOR BRUK AV DATANETT...3 IKKE TIL HVA SOM HELST...3 BRUKERNAVN OG PASSORD DIN PERSONLIGE EIENDOM!...3 VERN DEG MOT INNSYN OG MOT AT UVEDKOMMENDE FÅR TILGANG...4 ANITIVIRUS-PROGRAM...4 SLETTING AV DATAMEDIA (DISKETTER, CD ER OSV)...4 SLETTING AV DATAINFORMASJON...4 TING SOM FLYTER RUNDT...4 KONTAKT IT-ANSVARLIG ELLER IKT-TJENESTEN...4 BRUK AV BÆREBARE MASKINER...4 BRUK BARE GODKJENT UTSTYR!...4 BRUK AV DATALOGGER...4 UTDYPENDE INFORMASJON GENERELLE BESTEMMELSER FOR DENNE RETNINGSLINJEN...6 HENSIKT...6 OMFANG...6 GYLDIGHETSOMRÅDE...6 GRUNNLAGSINFORMASJON...6 BESLEKTEDE RETNINGSLINJER OG PROSEDYRER...6 Versjonskontroll for dette dokumentet Versjon Dato Kommentar Utarbeidet av Godkjent av b Asle Brustad Milian Myraunet Side 5 av 6

6 3 Generelle bestemmelser for denne retningslinjen Hensikt Å gi ansatte i STFK klare retningslinjer for hva som er tillatt og hva arbeidsgiver anser som utilbørlig behandling av informasjon. Omfang Gjelder for all behandling av informasjon, dvs. både elektronisk, papirbasert, muntlig og på annen måte. Gyldighetsområde Gjelder alle ansatte og elever i Sør-Trøndelag fylkeskommune. Grunnlagsinformasjon Til grunn for denne retningslinjen ligger Håndbok i informasjonssikkerhet i STFK Beslektede retningslinjer og prosedyrer Interne 1-sides datavett-plakat (kortform av denne retningslinjen) Retningslinjer for bruk av bærbare PC er i STFK Prosedyre for sletting av elektroniske medier Retningslinjer fra Datatilsynet Jfr. Håndbok i informasjonssikkerhet i STFK Side 6 av 6