Informasjonssikkerhet i Nordre Land kommune Informasjon ansatte i Nordre Land 2007
Informasjonssikkerhet i Nordre Land kommune Rådmannens forord Det er knapt en arbeidsplass i Nordre Land kommune som i dag ikke benytter elektronisk databehandling i en eller annen form. Dersom datasystemene bryter sammen av ulike årsaker, vil vi få problemer med å mestre de oppgaver vi er satt til å forvalte så godt som vi gjerne vil. Samtidig representerer misbruk av systemer eller informasjon en stadig økende risiko ikke minst fordi vi er knyttet opp mot åpne, eksterne nettverk som Internett etc. På denne bakgrunn har kommunen gjennomført en revisjon av vår sikkerhet siste året for å få satt fokus på hvor vi står, hvilke krav vi vil sette til oss selv for å bedre sikkerheten og hvilke sikkerhetsmessige forhold som bør utbedres. Vi har også besluttet at vi skal ha et sikkerhetsnivå i kommunen som minst skal være i samsvar med kravene i Personopplysningsloven og Helseregisterloven der dette er relevant. Summen av dette arbeidet har vi samlet i det vi har kalt Retningslinjer for informasjonssikkerheten i Nordre Land kommune ; dette omfattende regelverket vil være tilgjengelig på vårt intranett, men for enkelthets skyld har vi også utarbeidet denne sikkerhetsfolder for å gjøre enkelte, viktige sikkerhetsforhold lettere tilgjengelig for våre medarbeidere. Regelverket for informasjonssikkerhet vil være gjenstand for stadige oppdateringer og forbedringer. Og hvis du som ansatt mener det er beskrevet forhold her som bør forbedres, sier du fra til kommunens (foreløpige) sikkerhetsansvarlig, Geir Steinar Loeng eller via e-post geir.s.loeng@nordre-land.kommune.no. Det eneste vi ikke kan gå på akkord med her er de sikkerhetskrav som er fastlagt av andre myndigheter, for eksempel Datatilsynet. I kommunal forvaltning kan det være et dilemma å vurdere hvor grensen bør gå mellom nødvendige sikringstiltak og det å være tilgjengelig for publikum. Vi ønsker ikke å fremstå med stengte dører men vil heller ikke være i en situasjon hvor det er enkelt for uvedkommende å få adgang til våre kontorer, til sensitiv informasjon, og til utstyr og andre verdier som vi forvalter. Det viktigste bidrag hver enkelt av oss kan gi er trolig at vi i vår arbeidshverdag viser aktsomhet og forsiktighet og at vi har en bevisst holdning til vårt eget sikkerhetsansvar. Vi håper denne folderen og vårt øvrige sikkerhetsregelverk kan bidra i det viktige arbeidet med å etablere en god sikkerhetskultur i hele kommunen til beste for oss selv som arbeidstakere, for våre arbeidsplasser og for de personer vi forvalter informasjon om. Min forventning til dere er at dere setter dere inn i de deler av regelverket som har betydning for deres egen arbeidssituasjon og at dere aktivt følger opp og etterlever de sikkerhetstiltak som iverksettes i kommunen. Takk skal dere ha. Med vennlig hilsen Jarle Snekkestad rådmann
Sikkerhet er DITT ansvar 12 viktige sikkerhetsregler i Nordre Land kommune 1. du er selv ansvarlig for kvaliteten på eget arbeid 2. kun autorisert personell skal ha tilgang til kommunens datasystemer, dette gjelder også ved bruk av interne og eksterne nettverk (internett etc.), bærbart datautstyr og eventuelle hjemmearbeidsplasser 3. forsøk ikke å få tilgang til mer informasjon enn den du er autorisert for og som du trenger for å få utført arbeidet ditt; dette gjelder også ved bruk av internett 4. passordet er din personlige sikkerhetsnøkkel og skal holdes utilgjengelig for andre 5. logg deg ut og slå av PC-en når du forlater arbeidsplassen din; husk også at uvedkommende ikke skal se skjermbildet når du arbeider med fortrolig informasjon 6 la ikke fortrolige utskrifter, telefakser, etc ligge åpent tilgjengelig 7. kast ikke fortrolige dokumenter, CD-er, disketter etc. i papirkurven, men makuler dem i henhold til kommunens retningslinjer for dette (evt. konf. IKT-avd) 8. minnepinner, disketter, CD-er og filer du ikke kjenner innholdet av skal alltid kontrolleres for datavirus etc. før du tar dem i bruk og e-postvedlegg fra ukjente avsendere skal ikke åpnes 9. fildeling og piratkopiering av programvare er forbudt i henhold til Lov om opphavsrett 10. uvedkommende skal ikke uten nødvendig kontroll ha adgang til steder hvor datautstyr, telefakser etc. er plassert 11. snakk ikke om følsomme, virksomhetsrelaterte saker til uvedkommende, herunder opplysninger om klienter og beboere 12. vær årvåken i det daglige arbeid - og si fra til nærmeste leder om noe unormalt oppdages
N O R D R E L A N D K O M M U N E Generelle retningslinjer for bruk av internett Bruk intern ett til nyttige og jobbrelaterte formål Det skal vises respekt for andre personers livssyn, nasjonalitet og rase, og andre brukere skal ikke forulempes eller fornærmes Det skal ikke lastes ned, søkes tilgang til eller spres pornografisk, voldelig, rasistisk eller blasfemisk materiale Husk at du på internett er en synlig representant for kommunen og at du setter spor på de nettsider du besøker Dokumenter eller annen informasjon som inneholder personopplysninger og som omfattes av Personopplysningsloven, skal ikke sendes over nettet (dette inkluderer også e-post). Det samme gjelder informasjon du ikke er sikker på kan offentliggjøres Det skal ikke sløses med ressurser på nettet. Unødig surfing, sending av e-post (masseutsendinger), nettradio, web-tv, fildeling og annet skal unngås Ved mistanke om datavirus skal PC-en/terminalen IKKE brukes og IKT-avdelingen kontaktes umiddelbart Det er ikke lov å lagre eller kjøre/laste ned programvare som ikke er godkjent av IKT-avdelingen. Nedlasting av programvare uten gyldige lisenser er likeledes ikke tillatt Vær oppmerksom på at bilder, lyd og tekst kan være belagt med kopirestriksjoner. Å laste ned eller videresende slikt materiale er ikke tillatt uten at godkjennelse for dette er innhentet hos opphavsberettiget Dersom det oppdages ulovlig bruk av nettet skal dette varsles nærmeste overordnede
Sikkerhetsmål i Norde Land kommune Nordre Land kommune har som sikkerhetsmål rett informasjon til rette vedkommende til rett tid, dvs at informasjonen skal sikres tilfredsstillende konfidensialitet slik at sensitiv personinformasjon og annen viktig informasjon ikke blir kjent for uvedkommende tilgjengelighet slik at alle medarbeidere med tjenstlig behov kan utføre pålagte oppgaver, samtidig som brukerne av kommunens tjenester gis tilfredsstillende service og informasjon kvalitet/integritet slik at opplysningene ikke utilsiktet endres ved behandling Disse mål skal nås gjennom iverksettelse av nødvendige fysiske, systemtekniske og organisatoriske sikringstiltak for å beskytte informasjon og utstyr mot overlagt eller tilfeldig skade eller forringelse: fysisk sikring innebærer å sikre IT-systemenes omgivelser mot tyveri, brann etc. systemteknisk sikring innebærer å sikre teknologikomponentene (IT-utstyr, kommunikasjonslinjer og -utstyr, programvare osv.) og informasjonen (registre) ved hjelp av program- eller maskintekniske sikkerhetsmekanismer/-barrierer organisatorisk sikring fokuserer på det menneskelige element og det ansvar medarbeiderne har i sikkerhetssammenheng. Sikringstiltakene kan være knyttet til administrative rutiner som ansvarsog arbeidsdeling, opplæring/motivasjon, kontroll/ sanksjoner, osv. Informasjonssikkerhet i Nordre Land kommune er et lederansvar, og den enkelte medarbeider har et selvstendig ansvar for å følge vedtatte regler og vise aktsomhet i sitt daglige arbeid. Ledere og medarbeidere skal ha den nødvendige kompetanse slik at tilfredsstillende informasjonssikkerhet kan opprettholdes kommunen skal ha et bevisst forhold til den risiko som gjelder ved elektronisk be handling av personopplysninger og annen følsom informasjon, og informasjonssikkerheten skal kontinuerlig etterprøves og forbedres. Sikringstiltak skal baseres på etablerte og velprøvde løsninger som gir god margin i forhold til sikringsbehovet. kommunen er underlagt krav til informasjonssikkerhet i Personopplysningsloven og i Helseregisterloven m/forskrifter, og er i tillegg underlagt krav om profesjonsbestemt taushetsplikt og krav om taushetsplikt bl.a. etter Forvaltningsloven og Helseopplysningsloven. All behandling av personopplysninger skal være i samsvar med disse krav og lover. Ved behandling av sensitive personopplysninger skal krav til konfidensialitet ikke vike til fordel for krav til tilgjengelighet
Sikkerhetsansvar Rådmannen har det overordnede ansvar for informasjonssikkerheten i kommunen, mens den enkelte resultatsenhetsleder har et selvstendig tilsyns-, sikkerhets- og kontrollansvar for kommunens behandling av informasjon gjennomføring av sikringstiltak og oppfølging av arbeidet med informasjonssikkerhet er et lederansvar på alle nivå i kommunen Alle ansatte og innleide medarbeidere i kommunen skal overholde vedtatte instrukser og bestemmelser. F.eks. skal innleide konsulenter skrive under taushetserklæring før de påbegynner jobboppdrag. Et effektivt sikkerhetsarbeid i kommunen er avhengig av alle medarbeidernes lojale holdning og aktive engasjement. Alle medarbeidere skal derfor: forstå viktigheten av sikkerhet i forbindelse med eget arbeid praktisere og etterleve vedtatte sikkerhetsbestemmelser og -tiltak være ansvarlig for kvaliteten på det arbeid de utfører forstå konsekvensen ved eventuelle brudd på sikkerhetsbestemmelsene Alle ansatte har også et selvstendig etisk ansvar for egne handlinger, og skal ta avstand fra enhver uetisk bruk og forvaltningspraksis; eksempler på dette kan være: handlinger som krenker noens rettsvern handlinger som tilgodeser noen på en uberettiget måte Sikkerhet og orden på det enkelte kontor Den enkelte medarbeider i kommunen har selv ansvaret for sikkerheten på eget kontor/egen arbeidsplass. Dette innebærer at uvedkommende ikke skal kunne få tilgang til ikke-offentlig informasjon, herunder viktige/sensitive dokumenter som måtte ligge på kontorpult (uvedkommende kan i denne sammenheng også være andre medarbeidere som ikke skal ha tilgang til den informasjonen du arbeider med). Dette forutsetter igjen at passord etc. beskyttes (dette er den enkelte ansattes egen sikkerhetsnøkkel) at PC/terminal slås av etter endt arbeidsdag og at skjermbeskytter m/passord benyttes at viktige dokumenter, minnepinner, CD-er disketter, osv. ikke ligger åpent tilgjengelig at fortrolige dokumenter ikke kastes i papirkurv, men makuleres iht. kommunens retningslinjer at kontordør helst avlåses når kontoret ikke er bemannet; dette gjelder spesielt i avdelinger der det arbeides med sensitiv informasjon av ulike art og der uvedkommende vil kunne oppholde seg uten nødvendig kontroll at uvedkommende ikke har adgang til kontorlokaler når eget personell ikke er tilstede
Sikringstiltak mot datavirus Bærbare lagringsmedia (minnepinner, disketter, CD-er etc.) som benyttes i kommunen skal virussjekkes; dette omfatter også media som måtte sendes fra kommunen. Det foretas dataviruskontroll av alle brukernes PC-er/terminaler samt all nett-trafikk (inkl. Internett). Kommunens antivirus-program oppdateres automatisk ved oppstart/pålogging. Ved mistanke om datavirus skal PC-en/terminalen IKKE brukes og IKT-avdelingen kontaktes umiddelbart. Tilgangskontroll til IT-systemer og data Tilgangskontrollrutinene i kommunen skal sikre at informasjoner kun er tilgjengelig for autoriserte personer og at de ikke utilsiktet kan leses, endres eller slettes ved konvertering, behandling, lagring, utskrift eller distribusjon. Alle fagsystemer i Nordre Land kommune skal inneholde mekanismer for logisk tilgangskontroll, og skal omfatte brukeridentifikasjon, autentisering (passord) og autorisasjonskontroll. Adgangskontroll til kommunens lokaler Adgangskontroll innebærer nødvendig kontroll med at uvedkommende ikke kommer seg inn til datautstyr etc. og inn til kontor etc. der personsensitiv informasjon behandles og oppbevares. I forbindelse med adgangskontroll bør det også være god kontroll med varer og materiale som fraktes ut og inn. For øvrig gjelder følgende regler for adgangskontroll i kommunens lokaler: ikke-ansatt personell skal som hovedregel ikke oppholde seg uten tilsyn i lokaler som ikke er åpne for publikum, klienter/beboere og pårørende; dette omfatter også møtedeltakere, osv. og gjelder i kommunen generelt i kontorsoner der uvedkommende vil kunne oppholde seg, bør kontordører være avlåst når kontorene ikke er bemannet teknikere, håndverkere, elektrikere etc. som må inn på tekniske rom osv. skal som hovedregel alltid følges av autorisert personell fra kommunen. Tilsvarende gjelder dersom det er behov for at teknikere, håndverkere etc er tilstede i kommunens lokaler etter normal arbeidstid
Brannsikring Brannsikring i kommunens lokaler innebærer tiltak som skal forebygge brann og branntilløp redde liv og avverge skade på person dersom brann har oppstått redusere eventuelle skadevirkninger og veilede/hjelpe medarbeidere og annet personell som opp holder seg i kommunens lokaler sørge for opplæring av medarbeidere og klienter/beboere i brannforebyggende tiltak herunder jevnlige brannøvelser Ved brann/branntilløp skal evt. åpne vinduer og dører lukkes umiddelbart for å redusere lufttilførsel og dermed brannutviklingen. Mindre branner/branntilløp forsøkes slokket med håndslukkeapparat. Ved større brann- og røykutvikling skal lokalene forlates i henhold til den interne branninstruksen. Det anbefales å montere røyk-/varmevarslere i alle kommunale bygg med automatisk melding til 110- sentralen etter vanlig kontortid; dette vil kunne redusere de negative konsekvenser ved en eventuell brann spesielt etter kontortid i betydelig grad. Branninstrukser skal være oppslått i hvert bygg og i hver etasje, likeså oversikter over plassering av håndslukkeapparat, evt, vannslanger og nødutganger. Nødutganger skal til enhver tid være ryddet, og dørene bør ha smekklås. Det skal jevnlig foretas brannøvelser i alle kommunale bygg. HAR DU SPØRSMÅL ELLER KOMMENTARER TIL INNHOLDET I DENNE BROSJYREN KONTAKT MED UNDERTEGNEDE, IKT-AVDELINGEN ELLER NÆRMESTE OVERORDNEDE. Dokka, 04.05.2007 Geir Steinar Loeng forvaltningssjef / sikkerhetsansvarlig Tlf.: 61 11 60 30 / 915 41 424 e-post: geir.s.loeng@nordre-land.kommune.no Brosjyren finner du også på kommunens intranett: http://reodor:81/nordreland/frame.nsf