IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no
Innhold 1. Innledning... 3 2. Virkeområde... 3 3. Definisjoner... 3 4. Informasjonssikkerhet... 3 5. Akseptabel bruk av IT-ressurser... 4 6. Brukerens rettigheter... 4 7. Inngrep og sanksjoner... 4 8. Brukerkonto og passord... 4 9. Epost... 5 10. Lagring... 5 11. Innsyn og overvåking... 6 12. Avslutning av ansettelsesforhold... 6 Side 2 av 6
1. Innledning 1.1 Dette dokumentet regulerer ansvar, plikter og rettigheter for alle som benytter IT-ressurser tilknyttet kommunene Inderøy, Verran og Steinkjer. IKT-reglementet skal bidra til å hindre uønsket bruk av de IT-ressursene det omfatter og til å styrke informasjonssikkerheten i kommunene. Alle brukere med tilgang til IT-ressursene skal gjennom å signere en databrukeravtale bekrefte at de har lest og forstått innholdet i dette reglementet. 2. Virkeområde 2.1 IT-ressursene består av alle fysiske komponenter (nettverk bestående av kabling, nettverkselektronikk og datamaskiner), programvare, og andre IT-baserte ressurser anskaffet av, eller som disponeres av kommunene. IT-ressursene inkluderer også tilgang og bruk av internett og epost. 3. Definisjoner 3.1 Bruker: Personer som har tilgang til kommunenes IT-ressurser. 3.2 Brukerkonto: En brukers definerte tilgang til IT-ressurser som datamaskiner, nettverk, fagapplikasjoner m.m. 3.3 Brukernavn: En unik symbolsk betegnelse som identifiserer en bruker/brukerkonto med tilgang til en IT-ressurs. 3.4 Passord: En sekvens av tegn som sammen med tilhørende brukernavn gir en autorisert bruker tilgang til en IT-ressurs. 3.5 Driftsansvarlig: Personer som er ansvarlig for driften av maskinvare, programvare eller nettverk. 4. Informasjonssikkerhet 4.1 Informasjonssikkerhet er tiltak og mekanismer for å ivareta konfidensialitet, tilgjengelighet og integritet for informasjon og systemer som behandler disse. Alle brukere plikter å sette seg inn i lover, regelverk og retningslinjer som har som formål å ivareta informasjonssikkerheten i deres daglige virke. 4.2 Brukere av IT-ressursene skal bidra til å opprettholde sikkerhetsnivået, for eksempel ved å forhindre uautorisert tilgang til IT-ressurser, forhindre krenking av personlig informasjon og være oppmerksom på trusler som skadelig programvare. Alle har et ansvar for informasjonssikkerheten. 4.3 Ved mistanker om hendelser som truer informasjonssikkerheten skal brukeren rapportere dette til leder eller Inn-Trøndelag IKT. Side 3 av 6
5. Akseptabel bruk av IT-ressurser 5.1 Bruk av kommunenes IT-ressurser skal være forenelig med institusjonenes formål. Det er ikke tillatt å bruke IT-ressurser til et formål som strider mot etiske og moralske normer eller som er i konflikt med norsk lov. 5.2 Det er ikke tillatt å bruke IT-ressurser på en måte som opptar unødvendig stor kapasitet. Det skal ikke installeres eller brukes programvare eller maskinvare som har et destruktivt bruksområde eller som legger beslag på unødige ressurser. 5.3 Maskinvare som ikke er godkjent og avklart med Inn-Trøndelag IKT skal ikke installeres eller tas i bruk som en del av datanettet. Dette gjelder både datamaskiner, nettverkskomponenter og andre perifere enheter. 5.4 Handlinger for å omgå sikkerhetsinnstillinger og mekanismer rundt dette er under ingen omstendigheter tillatt. 5.5 Vis nett-vett: http://www.nettvett.no/ 6. Brukerens rettigheter 6.1 Kommunene skal sette klare retningslinjer for bruk av IT-ressurser. Inn-Trøndelag IKT har utarbeidet IKT-reglementet for bruk av IT-ressurser og disse skal gjøres tilgjengelige i oppdatert versjon for alle brukere til enhver tid. 6.2 Brukere har krav på at deres personvern ikke blir krenket på noe vis gjennom deres tilgang til IT-ressursene. Det skal ikke utleveres opplysninger om brukere eller data tilhørende brukere der dette ikke er nødvendig som følge av vedtatte reglement eller norsk lov. 7. Inngrep og sanksjoner 7.1 Brudd på IKT-reglementet kan føre til sanksjoner fastsatt av kommunen brukeren er ansatt i. Forhold som vurderes som brudd på norsk lov vil bli politianmeldt. 7.2 Inn-Trøndelag IKT kan ved mistanke om brudd på IKT-reglementet eller andre årsaker som truer systemets integritet og funksjonalitet, gjøre nødvendige grep for å gjenopprette normal drift. Dette kan innebære stenging av brukerkontoer, maskinkontoer eller andre tiltak som kan føre til stopp i brukerens tilganger. Slike inngrep skal varsles brukeren så snart det er praktisk mulig. 8. Brukerkonto og passord 8.1 En brukerkonto er strengt personlig og skal ikke brukes av andre enn den personen den er tilknyttet, dette gjelder også tiltrodde personer som kolleger og familiemedlemmer. Det er ikke tillatt å utgi seg for å være en annen bruker ved bruk av IT-ressurser. 8.2 Et passord skal holdes hemmelig og ikke oppbevares slik at andre kan lære det, for eksempel nedskrevet på en lapp. Ved mistanke om at passordet er kjent for andre skal det endres umiddelbart. Side 4 av 6
8.3 I tilfeller der det eksisterer systembrukere hvor flere personer har kjennskap til brukernavn og passord, plikter de som har denne tilgangen å påse at ingen uautoriserte personer får kjennskap til passordet. 8.4 Det er viktig at passord ikke gjenbrukes, for eksempel at brukeren har samme passord i kommunens systemer som i andre tjenester. 8.5 Ved glemt passord, mistanke om at passord er på avveie eller andre påloggingsproblemer, ta kontakt med Inn-Trøndelag IKT sin helpdesk: https://helpdesk.ikt-inntrondelag.no/ 8.6 Passordregime: - Passord skal endres hver 6.mnd - Passordet må oppfylle følgende krav til syntaks: o Være minst 8 tegn o Inneholde små bokstaver (a-z) o Inneholde store bokstaver (A-Z) o Inneholde tall (0-9) eller spesialtegn (. - _ +!? ( ) < > &.) - Passordet må være forskjellig fra de siste tre passordene dine. - Passordet bør ikke inneholde ord eller navn som kan knyttes til brukeren, for eksempel navn på familiemedlemmer, stedsnavn, titler, årstall etc. 9. Epost 9.1 Enhver som benytter eposttjenesten driftet av Inn-Trøndelag IKT skal utvise skjønn for fornuftig bruk. Dette inkluderer blant annet å begrense privat bruk av epostkontoen, samt å slette eposter som ikke lenger er aktuelle. Epostboksen er ikke et arkivsystem. 9.2 Epost anses ikke som et verktøy for sikker kommunikasjon med mindre den er kryptert. Sensitive personopplysninger skal derfor ikke forekomme i epost. Meldinger som inneholder sensitive opplysninger skal ikke sendes eller distribueres videre hvis den mottas 9.3 Ved mistanke om at epost inneholder skadelig programvare eller forsøk på svindel, skal eposten slettes umiddelbart. Linker eller vedlegg må ikke åpnes hvis avsenderen eller meldingen ikke kan tolkes som en seriøs henvendelse. 9.4 Det er ikke tillatt til å starte eller videresende kjedebrev. 9.5 Det må utvises varsomhet når epostadresser legges igjen på nettsider og registreringsskjema. Dette er for å forebygge at epostadressen blir inkludert i lister som brukes for spam. 9.6 Ved utsending av epost til mange mottakere som ikke er en distribusjonsliste, skal mottakere legges inn i feltet for blind-kopi. Dette er for å hindre uønsket spredning av epostadresser. 10. Lagring 10.1 Områder på filservere som er tilgjengelig for brukere skal kun brukes for tjenstlige formål. Dette gjelder også de private lagringsområdene (Q:). Det skal ikke forekomme private filer som bilder, applikasjoner eller multimediefiler (filmer, musikk, spill) på disse filområdene. Side 5 av 6
10.2 Lagring og sikkerhetskopiering er en begrenset ressurs, og filer som ikke lenger er aktuelle skal slettes. 10.3 Det er ikke tillatt å benytte private kontoer for skytjenester i tjenstlig formål eller synkronisering mellom kommunenes IT-ressurser og slike tjenester. Eksempler på disse er Dropbox, OneDrive og Jottacloud. 10.4 Informasjon som inneholder personopplysninger skal ikke lagres på eksterne lagringsmedier som eksterne harddisker eller minnepinner. 11. Innsyn og overvåking 11.1 Brukere kan selv gi ledere og andre ansatte innsyn i epost og filområder ved behov, for eksempel ved sykdom eller permisjon. 11.2 Beslutning om innsyn tas av leder ved vedkommende enhet eller IT-leder. 11.3 Det kan tas beslutning om innsyn i epostkasse eller filområde hvis det er behov for å ivareta daglig drift, kommunens ansvar eller omdømme. 11.4 Det kan tas beslutning om innsyn hvis det er mistanke om at epostkasse eller filområde inneholder materiale som er i strid med norsk lov eller ved brudd på bestemmelsene i IKTreglementet. 11.5 Brukeren skal varsles om innsynet på forhånd og få mulighet til å være tilstede hvis dette er praktisk og tidsmessig mulig og det ikke er fare for bevisødeleggelser. 11.6 Tiltak for innsyn skal dokumenteres i en rapport. 11.7 Inn-Trøndelag IKT benytter systemverktøy som overvåker IT-ressurser, og informasjon og logger fra disse brukes til driftsformål. 11.8 IKT-driftsansvarlige har taushetsplikt med hensyn til informasjon om brukeren og brukerens virksomhet som den IKT-driftsansvarlige får på denne måten. 12. Avslutning av ansettelsesforhold 12.1 Når et ansettelsesforhold avsluttes skal brukeren rydde i epostkasse og personlige filområder. Brukeren har selv ansvar for å ta vare på og videreformidle informasjon som skal bevares til rett person eller saksbehandlingssystem. 12.2 Epostkasse og personlig filområde vil bli bevart i 3 måneder etter endt ansettelsesforhold. Deretter vil informasjonen bli slettet. 12.3 Brukerkontoer til ansatte som slutter vil bli sperret når ansettelsesforholdet avsluttes. 12.4 Ved dødsfall vil epostkasse og personlig filområde bli slettet, med mindre det er sannsynlig at politiet vil ønske innsyn i opplysningene. Før sletting finner sted kan det foretas innsyn for å sortere ut virksomhetsrelatert e-post og filer i tråd med rutine for dette. Side 6 av 6