Skjer a? Brukerkontaktseminaret Informasjonssikkerhet Torsdag, Mulighetenes Oppland

Like dokumenter
Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

SIKKERHETSINSTRUKS - Informasjonssikkerhet

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Personvern og informasjonssikkerhet

GDPR - Personvern

Retningslinjer for behandling og arkivering av e-post

Brukerveiledning for «Lærers Administrative Oppgaver» - LAO.

Personopplysninger og opplæring i kriminalomsorgen

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

Nettvett i STFK. Retningslinjer og etiske regler. for bruk av datanett i STFK RETNINGSLINJE FOR INFORMASJONSSIKKERHET. Versjon 1.0.

Brukerinstruks Informasjonssikkerhet

BEHANDLING AV PERSONOPPLYSNINGER

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Regler og informasjon til foresatte om bruk av datautstyr for trinn

Databehandleravtale etter personopplysningsloven

Retningslinjer for ansattes bruk av IKT

STAVANGER KOMMUNE ARKIVAVDELING. Retningslinjer for bruk av e-post

IKT-reglement for Norges musikkhøgskole

Nye personvernregler

Brukerveiledning for «Lærers Administrative Oppgaver» - LAO.

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Endelig kontrollrapport

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Eksempel på datadisiplininstruks

Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK)

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

IKT-reglement for NMBU

3_5. le, BJUGN KOMMUNE ØRLAND KOMMUNE BEKREFTELSE

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

2.4 Bruk av datautstyr, databehandling

IT-reglement Aurskog-Høland kommune for ansatte og politikere

4.2 Sikkerhetsinstruks bruker

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

Sikker på nett. Hva skal man gjøre for å være sikker på nett med PC, nettbrett eller mobil. Carl-Edward Joys Seniornett Asker

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Databehandleravtale digitale arkiv og uttrekk for deponering

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Databehandleravtalen skal sikre at personopplysninger om de Registrerte ikke brukes urettmessig eller kommer uberettigede i hende.

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

1 av 5. Personalavdelingen

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Norsk Arkivråd Frokostmøte om e-postfangst kommentarer til rapport fra arbeidsgruppe i SAMDOK. 12. februar 2015 Jorunn Bødtker

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Plan for informasjonssikkerhet Bjugn kommune

Er din bedrift klar for ny personopplysningslov?

Policy for personvern

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Saksbehandler: Rigmor J. Leknes Tlf: Arkiv: 033 Arkivsaksnr.: 11/

Særavtale om lønns- og personalregistre

Helseforskningsrett med fokus på personvern

Instruks for utlevering av elektronisk lagret materiale til politi eller påtalemyndighet

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Instruks. Informasjonssikkerhet og personvern Instruks for bruk av kommunens IKT-løsninger. Gjelder for: Alle ansatte. Vedtatt av: Rådmannen

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Personvernerklæring for Clemco Norge AS

Internkontroll i mindre virksomheter - introduksjon

PERSONVERNERKLÆRING. Bodø kommune

Prosedyre for personvern

Endelig kontrollrapport

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark

Slik bruker du Skolemelding

Kartlegging av digital sikkerhetskultur Våre erfaringer

Sikkerhetsinstruks for ansatte ved NMH

Nokios 2013 Forsvarlig håndtering av elevdokumentasjon i grunnskole og videregående skole

I tillegg til disse gjelder også kommunale regler for bruk av IKT-utstyr.

Etikk- og personvernshensyn i brukerundersøkelser

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Arbeidsgivers personvernplikter

IKT reglement. Barnehage Grunnskole og SFO Ungdomsklubbene i Lebesby Voksenopplæringen Kulturskole Bibliotek. Lebesby kommune

Retningslinje for elektroniske saker gjeldende barn i barnehager

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Retningslinjer for bruk av Universitetets IT-ressurser

for ansatte i skolen i Levanger og Verdal

Personopplysningsloven særlig om behandling av studentopplysninger. Mari Hersoug Nedberg Høgskulen i Sogn og Fjordane, 6.

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Personvern eller vern av personopplysninger. Hvem vet hva om oss

VIRKE. 12. mars 2015

Retningslinjer for databehandleravtaler

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Merknader til personopplysningsforskriften kapittel 9:

Transkript:

Skjer a? Brukerkontaktseminaret 2017. Informasjonssikkerhet Torsdag, 20.4.

Lover, forskrifter og føringer GDPR Trusler -forebygge trusler Våre Retningslinjer Sikkerheten for Innbyggere og for ansatte. Rettigheter og plikter Standarder. Bruk av teknologien, forståelse - digitale ferdigheter

Informasjonssikkerhet er: - samlebetegnelse for krav til påliteligheten og sikkerheten som knyttes til informasjon. Begrepet omfatter tre delområder: konfidensialitet, -sensitiv eller gradert informasjon bare skal være tilgjengelig for autoriserte personer og prosesser informasjonskvalitet og -integritet, -informasjonen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter tilgjengelighet, -oppfyllelse av krav til service, slik at alle berettigede krav om tilgang til informasjonen dekkes ved behov Datasikkerhet er informasjonssikkerhet for informasjon som er lagret digitalt.

Agenda: Forankring, organisering og bakgrunn 1. Lover og retningslinjer 2. Trusler 3. Vår sikkerhet 4. Bruk av teknologien Retningslinjene Den enkelte medarbeiders kunnskap, adferd og holdninger til informasjonssikkerhet vil være en del av virksomhetens sikkerhetskultur.

Organisering av informasjonssikkerhet er i henhold til personopplysningsloven. Ansvar 1. Fylkesrådmannen har det øverste ansvaret for informasjonssikkerheten i fylkeskommunen. 2. For å operasjonalisere fylkesrådmannens ansvar ivaretas utøvelsen av henholdsvis sikkerhetsledelse og driftsledelse på følgende måte: Koordinerende sikkerhetsansvarlig = Controllerfunksjonen i fylkesrådmannens rådgivergruppe Operativ sikkerhetsansvarlig drift av felles infrastruktur og løsninger IKT = Fagenhet IKT 3. Informasjonssikkerhet i Oppland fylkeskommune er et lederansvar som følger det ordinære linjeansvaret 4. Den enkelte medarbeider har et selvstendig ansvar for å følge gitte regler og vise aktsomhet i sitt daglige arbeid med fylkeskommunale IKT-programmer og IKT-utstyr 5. Det lages et opplegg for å innarbeide sikkerhetsarbeidet i organisasjonen og i det ordinære rapporteringssystemet i fylkeskommunen.

1. Lover og retningslinjer.

Sikkerhetstiltak Organisatorisk sikring Ledelse Risiko Kontroll Fysisk sikring Låser Vakt Systemteknisk sikring

Systemteknisk sikring av: Konfidensialitet Tilgangskontroll, autorisasjon, kryptering, sletting Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Tilgjengelighet Alternativ behandling, duplisering, backup Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Integritet Viruskontroll, innbruddskontroll Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig.

2. Trusler. Hovedtrusler Virus Tap av data Reputation Ifølge Norsk senter for informasjonssikring (NorSIS) viser erfaring at menneskelige feil er årsaken til minst 80% av sikkerhetsbruddene. Feilen skyldes ofte lav IKT-kompetanse eller mangelfull forståelse av systemene

Virus utvikling..fra: Vilkårlig 'ugagn' for å skape irritasjon og tjenestenekt...til: Målrettede angrep for å presse penger.

Utfordring Vi blir angrepet av stort antall virus hver dag. De fleste slike hendelser håndteres av våre antivirussystemer og er ikke merkbare for brukerne. Fra tid til annen blir vi rammet av helt nye virus ("Zero Day") som systemene våre ikke oppdager. Første angrep av "Ransomware" hadde vi i august 2014. Omfattende skade og mye arbeid. Oppslag i media. I 2015 hadde vi ett angrep (i juli) som ble stoppet før det gjorde stor skade. To angrep i 2016 med relativt stor skade (+ mye ekstra-arbeid). Hittil i 2017: Ingen angrep (bank i bordet )

Vi har også stadig tilfeller av ulike former for forfalskning, f.eks. ved falske e-postmeldinger eller innbrudd på andres (fortrinnsvis læreres) brukerkonti. Noen klipp: "Elev har vært inne og sett på prøver". "Har vært i Fronter og sett på tre prøver". "Har sendt e-post til sine foresatte fra kontaktlærers e-post, med en fingert karakterutskrift". (Ble oppdager fordi eleven hadde tatt litt for hardt i og foreldrene kunne ikke tro at det var sant). "Elev har vært jevnlig inne og lest lærers e-post". "En elev har opprettet en hotmail-adresse i kontaktlærerens navn og spurt gymlæreren om å få tilsendt gymprøven". "I forbindelse med heldagsprøve i dag har vi oppdaget at det er satt opp et falskt nett i gymsalen". "Hei! Jeg lurte på om dere kunne utsette samfunnsfag prøven til mandag, eller torsdag neste uke. Vi har tenkt å ha en avskjedstime for Dimitri på slutten av dagen, siden han flytter imorgen.> Vennlig hilsen Bente." (Forfalsket melding fra en lærer til en annen).

3. Standarder. Bruk av teknologien, -forståelse - digitale ferdigheter Retningslinjene skal også være med på å ivareta forventningen/kravet vårt til standardisering av utstyr og løsninger og bruk av felles-løsninger og om hvordan vi skal forholde oss til teknologien. Våre digitale ferdigheter. Retningslinjene hensyn tar også miljøaspektet og kostnadseffektivisering, for hele organisasjonen.

4. Sikkerheten for innbyggere og for ansatte. Rettigheter og plikter Retningslinjene skal regulere og i varta forholdet mellom deg som medarbeider og OFK (eiendomsrett), innsyn i e-post mv., - din sikkerhet både som medarbeider og innbygger.

1. Bruker-ID og passord Som ansatt i Oppland fylkeskommune (OFK) er du ansvarlig for all databruk basert på din bruker-id, og du skal ta nødvendige forhåndsregler for at den ikke misbrukes. Du er selv ansvarlig for at uvedkommende ikke får tilgang til systemer og data via dine klientmaskiner (PC, pad, mobil). Når du ikke sitter ved arbeidsplassen, skal PC-en være låst. (Ctrl+Alt+Delete Lås denne datamaskinen). Ditt passord er personlig og skal holdes hemmelig for andre. Ved mistanke om at andre har fått kjennskap passordet ditt, skal du umiddelbart endre det. (Ctrl+Alt+Delete Endre et passord). OFKs bruker-id og passord skal ikke brukes som identifikasjon mot eksterne systemer.

2. Privat bruk og eiendomsrett OFK eier alle virksomhetsrelaterte dokumenter og e-post-meldinger som er lagret i OFKs datasystemer og enheter som er eid av Oppland fylkeskommune. OFKs datautstyr og programmer, herunder e-post, skal primært benyttes til jobbformål. Privat bruk skal begrenses og alltid skje i tråd med OFKs retningslinjer. Bruk i egen næringsvirksomhet er ikke tillatt. Det er kun tillatt å laste ned, lagre eller distribuere opphavsbeskyttet materiell (bilder, musikk, video, osv.) som er jobbrelatert og som OFK eller den ansatte har avtalefestet rett til å bruke og/eller gyldig lisens til. Dersom du mottar materiell i brudd med dette skal du umiddelbart fjerne det fra din PC (inklusive å tømme den elektroniske søppelkassen). Privat e-post eller private ytringer på internett skal ikke inneholde tekst som kan knytte innholdet til OFK, eller medvirke til at private meninger tillegges OFK. All privat e-post skal lagres i en mappe som heter "Privat".

3. Innsyn OFK følger bestemmelsene i personopplysningsforskriftens kap. 9 om innsyn i arbeidstakeres e-post mv. Reglene gjelder tilsvarende for arbeidsgivers adgang til gjennomsøkning av og innsyn i arbeidstakers personlige område i virksomhetens datanettverk, samt opplysninger som arbeidstaker har slettet, men som finnes lagret på sikkerhetskopier eller lignende som arbeidsgiver har tilgang til. Arbeidsgiver har rett til innsyn i følgende situasjoner: Når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten. Ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. OFK har til enhver tid innsyn i opplysninger som er lagret på fellesområder eller e-post som er felles for hele virksomheten.

4. Virus og spam Vær ytterst varsom med å åpne ukjente vedlegg eller å trykke på lenker du ikke er trygg på. Har du mistanke om at PC-en din er rammet av virus skal du: Slå av PC-en umiddelbart. Så raskt som mulig ta kontakt med IKT-Servicedesk eller systemansvarlig. For å unngå SPAM (uønsket e-post) skal du være ytterst forsiktig med hvor du utleverer din e-postadresse. Hvis du mottar SPAM skal du ikke besvare eller benytte svarmeldinger som f.eks. "Avbestill", "Meld meg av", "Usubscribe", el. Dette bekrefter overfor avsender at e-postadressen er i aktiv bruk, og vil gjøre den enda mer utsatt for SPAM.

5. Konfidensialitet Den generelle taushetsplikt gjelder fullt ut også ved kommunikasjon via e-post, chat, sms, osv. E-post skal ikke benyttes til å distribuere dokumenter som er unntatt offentlighet eller inneholder personnummer eller sensitive personopplysninger. Kun bemyndigede personer har anledning til å føre formelle forhandlinger via e-post, som for eksempel i forbindelse med anbudsprosesser. All slik e-postkorrespondanse skal journalføres av den enkelte saksbehandler eller av arkivet. Kun OFKs e-postadresser kan benyttes for å kommunisere jobbrelatert informasjon. Det skal ikke sendes eller besvares jobbrelaterte e-post fra en ikke-ofk e-postadresse (f.eks. fra en privat e-postadresse). Du skal som hovedregel ikke åpne andres e-post. Mottar du en melding som ikke er til deg, skal du returnere den til avsender og påføre at du mottok den ved en feil. Deretter skal du slette meldingen du mottok permanent ved å benytte SHIFT+DELETE.

6. E-post Automatisk videresending av e-post til eksterne adresser, inklusive private e- postadresser, er ikke tillatt. Automatisk videresending av e-post fra en ikke-ofk e-postkonto (f.eks. privat e- postkonto) til ens egen eller andres OFK e-postadresse er ikke tillatt. E-post bør ikke brukes til "kringkasting" eller "annonsering" til store mottaker-grupper. For slike meldinger kan ansattportalen benyttes. E-post bør ikke brukes som et dokumentarkiv. Istedenfor vedlegg bør det benyttes lenker eller andre henvisninger til aktuell informasjon. Dersom du ikke selv bruker saksbehandlingssystemet, skal all inngående e-post som er arkivverdig umiddelbart videresendes arkivet (postmottak@oppland.org) enten elektronisk eller på papir. Angi hvilken sak det gjelder.

7. Lagring, utskrift og arkivering Jobbrelaterte dokumenter og filer skal fortrinnsvis lagres på tjenestestedets fellesområde (F:), aldri lokalt på PC-en (C:), og bare unntaksvis på ditt eget hjemmeområde (H:). Dokumenter og filer med sensitive personopplysninger (rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger) skal lagres i sikker sone, ingen andre steder. Fullt personnummer koblet til navngitt person skal behandles som sensitiv personopplysning. Utskrift av dokumenter med sensitive personopplysninger skal kun foretas på skrivere som kontrolleres av "follow me"-løsning, dvs. at det kreves at bruker autentiserer seg på skriveren før utskriften starter. Dokumenter som er gjenstand for saksbehandling eller som har verdi som dokumentasjon skal arkiveres i sak/arkivsystemet P360. Dette gjelder også e-post. OFKs datasystemer skal ikke benyttes for å lagre private data.

8. Støtende og diskriminerende informasjon Det er ikke tillatt å skrive, abonnere på, lagre eller distribuere e-post med støtende, injurierende, rasistisk eller obskønt innhold eller materiell. Dette inkluderer innhold og materiell knyttet til rase, kjønn, seksuell orientering, pornografi, religiøs eller politisk tro, nasjonalt opphav eller fysiske og psykiske hemninger. Dersom du mottar ovennevnte informasjon, skal du umiddelbart fjerne den aktuelle informasjonen fra din PC (inklusive å tømme den elektroniske søppelkassen). Du skal ikke varsle avsender om forholdet da dette vil kunne føre til uønsket risikoeksponering og videre distribusjon av uønsket eller ulovlig informasjon.

Retningslinjene finner du her:

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding