Panel | |
---|---|
|
Terminologi
Med “Selskapet” menes i dette dokumentet EASY:SOLUTIONS AS og alle data forvaltet gjennom ens virke hos EASY:SOLUTIONS AS. Heretter kjent som Selskapet.
...
Alle terminologier kan oppgis i entall og flertallsform, til eksempel med -s ending.
Ansvar
Instruksen gjelder for, og skal undertegnes av alle it enhets-brukere i Selskapet; dvs. alle partnere, ansatte og innleide vikarer/konsulenter.
Formål
Hensikten med instruksen er å sikre at alle brukere er informert om, og arbeider etter, retningslinjer som sikrer Selskapet og våre kunders data på en tilfredsstillende måte. Videre skal instruksen være retningsgivende for bruk av datateknologi på en slik måte at uvedkommende ikke får tilgang til Selskapets data og systemer.
Sikkerhet er alltid avhengig av det svakeste leddet; pass på at det ikke blir deg eller din bruk av Selskapets IT Utstyr.
Andre Instrukser og Retningslinjer
Instruksen er direkte underlagt Selskapet IT-sikkerhetspolicy. Med underskriften bekreftes forståelse med dette og at alt arbeid skal følge dette dokuments retningslinjer. Dette dokumentet ligger i Selskapets informasjonsportal.
...
Dersom det oppdages motstridende retningslinjer mellom instruksene, skal dette meldes Helpdesk umiddelbart; eventuelt gjennom IT-koordinator. I et slikt tilfelle skal alt arbeid utføres ut fra den mest restriktive retningslinjen inntil annet er meddelt.
Instruks for bruk av Selskapets IT Utstyr
Selskapet har som hovedmål at alle typer informasjon skal være tilgjengelig ved behov, men beskyttes mot ikke-autoriserte innsyn, endringer, ødeleggelser, offentliggjørelse eller tap, enten ved uhell eller planlagte aktiviteter (tilsiktede og/eller utilsiktede handlinger). De beskyttende tiltak som skal brukes, tar utgangspunkt i sensitiviteten og verdien av den informasjon det dreier seg om ovenfor selskapet og våre kunder.
Bruk av Selskapets IT Utstyr
Selskapets IT Utstyr er et arbeidsverktøy for Selskapets ansatte, og er i utgangspunktet ikke ment benyttet til private formål. Særlig gjelder dette
kobling mot VPN tjenester ikke relatert til arbeid
installasjon av egne programmer
oppbevaring av data av privat karakter
Bruk av Selskapets IT Utstyr til å skrive private brev eller forsendelse av privat e-mail er akseptert privat bruk, så lenge dette er i tråd med Selskapets etiske retningslinjer.
Konfidensiell informasjon
Med konfidensiell informasjon menes all dokumentasjon i elektronisk og skriftlig form som enten er markert med konfidensiell, eller som faller inn under en av følgende kategorier:
Kundeinformasjon
Kundedata
Rutinebeskrivelser, instrukser o.l. fra Selskapet
Selskapets metodikker
PII
Lagring av Data og Konfidensiell Informasjon
All informasjon skal ligge lagret på Selskapets servere og / eller Selskapets informasjonsportal.
...
Unntak og tillatelse for lagring på Selskapets IT Utstyr gjelder kun der hvor dette utstyret er kryptert med minimum AES-256 full kryptering av hele enheten og oppdatert med siste versjon for eventuelt operativsystem. Er enheten din utstedt av Selskapet vil dette være ivaretatt.
Data fra Selskapets Fillagringstjeneste
Data fra Selskapets Fillagringstjeneste kan synkroniseres mot Selskapets IT Utstyr, forutsatt at utstyret er sikret som anvist ovenfor.
Ikke konfidensielle data fra Selskapets Fillagringstjeneste kan synkroniseres mot eget mobilt IT Utstyr, herunder nettbrett og smarttelefon, forutsatt at dette er oppdatert og kryptert som anvist ovenfor.
Foreløpig / Midlertidig lagring
Foreløpig lagring av informasjon på Selskapets IT Utstyr for bearbeidelse tillates når en ikke er tilkoblet Selskapets nettverk eller for å kunne arbeide effektivt ved ustabile nettverksforhold. Dette forutsetter at enheten er utstedt av Selskapet og under kontroll av Selskapets IT avdeling slik at krav til kryptering og oppgraderinger innfris.
Slik bruk av lokal lagring skal så snart som mulig avsluttes ved at data legges tilbake til nettets servere og slettes lokalt.
Lagring av informasjon på servere
På servere skal data lagres i Selskapets systemer etter retningslinjer i dette dokument eller andre retningslinjer gitt skriftlig av ledelsen.
...
Selv om eierskap til hjemmeområdene først går over i Selskapet eiendom etter at en ansatt har sluttet, er det ikke lovlig å lagre informasjon på dette området – eller andre områder - som strider mot norsk lov, eller Selskapets retningslinjer. Unntak: Dersom ledelsen har gitt skriftlig godkjennelse er dette tillatt.
Dersom administrator oppdager slike data har han/hun anledning til å innlede adekvate skritt. Et eksempel på dette kan være at administrator oppdager ‘morrofiler’ på hjemmeområdet, f.eks. ved et generelt søk etter slike. Administrator har da rett til å teste filen og både melde fra til brukerens overordnete, samt å slette filen. Alle administratorer i IT-avdelingen skal har undertegnet en taushetspliktserklæring, som skal hindre misbruk av denne rettigheten.
Bruk av flyttbare medier og nettlagringstjenester (backuptaper, disketter, CD-rom, JAZ, backup-stick, ekstern harddisk, cloud lagring, internettlagringsplass e.l.)
Lagring av firmaets konfidensielle eller dets kunders data på flyttbare medier - for eksempel USB enheter - skal kun lagres på krypterte lagringsmedier utstedt fra Selskapet. Enheten skal ikke merkes med informasjon av typen ‘avtale <kundenavn>’ eller ’kode’.
Unntak: Kunder som leverer et lagringsmedie for å få lagret sine data på dette er tillatt.
Generelle data som installasjonsfiler, OS ISOer o.l. er tillat lagret på ukrypterte media.
Ta kontakt med IT-ansvarlig for fremgangsmåte og lagringsmedier om du er usikker.
...
Data, spesielt konfidensiell data, skal fortrinnsvis deles via Selskapet Fillagringstjeneste.
Bruk av håndholdte pc’er og mobiltelefoner (Android, Palm, iPhone, Cassiopeia, e.l.)
Det skal utvises aktsomhet ved lagring av data på håndholdt pc og mobiltelefoner. Det er pr. dags dato dårlig/ ikke noe sikkerhet på flere slike type maskiner, og de er små og lette å bli frastjålet eller miste.
...
Man skal ikke forsøke å deaktivere eller omgå beskyttelsesfunksjoner påkrevd gjennom tilkobling til Selskapets IT løsninger.
Tilgjengelighet
Data lagret på Selskapets IT Utstyr skal ikke være tilgjengelig for andre. Det er ikke lov å gi andre tilgang til Selskapets IT Utstyr, verken ved å låne ut maskinen, gi andre informasjon om egen brukerident og passord, eller ved å gi tilgang over nettverket. All data som skal deles skal ligge på definerte områder på serverne, dette omfatter data fra Selskapet Fillagringstjeneste.
Unntak: Utlån av Selskapets IT Utstyr til arbeidskollega i Selskapet. Det er da særlig viktig å påse at det ikke ligger konfidensiell informasjon lagret på enheten du er ansvarlig for.
Passord
Du er som bruker selv ansvarlig for dine passord, og disse skal ikke gis til noen andre. Dersom andre personer får kjennskap til passordet, vil du kunne bli holdt ansvarlig for eventuelt misbruk og konsekvenser.
...
Dersom din maskin / enhet er kryptert er du selv ansvarlig for å huske passordet. Tap av passordet medfører tap av alle data på enheten da de er irreversibelt krypterte. Husk: Du er selv ansvarlig for at alle sensitive data er lagret på Selskapets servere.
Valg av passord
Som bruker er du ansvarlig for å benytte passord som det ikke er lett å avdekke, slik som navnet til hunden din, bilnummer, navn på barn e.l.). Velg passord som ikke er; et vanlig navn, det samme som brukeridenten din, eller ett enkelt ord som står i noen ordliste. (Det finnes program som gjetter passord ut fra ordlister og leksikon samt avarter av ordene.)
...
For å danne et passord som er lett å huske men vanskelig for andre å identifisere kan man velge en bok som alltid er tilgjengelig og velge et ord ved f.eks. på den 13.04. slå opp en tilfeldig side og velge 13 ord på linje 4 (eller først ord etter som er mer enn 8 bokstaver) og endre dette ved hjelp av spesialtegn/tall.
Oppringt oppkobling / Arbeid eksternt
Hjemme
Tilkobling fra internett hjemme ansees problemfritt.
LTE / 4G / 5G / HotSpot på telefon / Modem
Ansees problemfritt da man har egen direkte linje mot internett.
Offentlig tilgjengelig internett, Internet Cafe o.l.
Tilkobling til Selskapet fra delte internettkoblinger over HTTP eller HTTPS er ikke tillatt med mindre det er strengt nødvendig. Det skal gjøres tilstrekkelige tiltak for å verifisere at man ikke er utsatt for et man-in-the-middle attack (MitM).
Benytt fortrinnsvis hotspot på telefon eller lignende, er ikke dette mulig benytt IPSec VPN tilkobling for å være sikret mot MitM.
Skjermsparer, Sleep/Hvilemodus og enhet uten oppsyn
Alle ansatte i Selskapet skal aktivisere tidsbestemt passordbeskyttet skjermsparer på Selskapets IT Utstyr slik at ingen andre kan bruke maskinen din og dine tilganger når du ikke er til stede på plassen din.
...
Utstyr og enheter ikke ansett som mobile enheter, f.eks Laptop, ikke nettbrett og smarttelefon, skal ved forflytning til annen lokasjon utenfor arbeidsplassen enten skrus av eller settes i dvale. Det er ikke tillatt å flytte slike enheter mens de er i hvilemodus (søvn, sleep, sove) eller mens de er påskrudd da dette muliggjør å hente ut data fra enheten.
Regelverk for behandling av programvare
Kommersiell programvare
All programvare som er i bruk i Selskapet distribueres etter gitte retningslinjer for lisensiering. All programvare distribueres og oppdateres løpende av IT.
Det er ikke tillatt å legge over Selskapet programvare på kunders eller andres maskiner uten at det er inngått spesiell avtale om at det kun er Selskapet ansatte som disponerer slike maskiner i kundens lokaler.
Egne programmer
Det er ikke lov å installere/ kopiere egne programmer på Selskapets IT Utstyr.
Unntak
Unntak fra bestemmelsene i Egne programmer kan gjøres dersom dette er hensiktsmessig i jobb-sammenheng.
Forutsetning for unntak er at handlingen ikke vil senke sikkerheten i Selskapet.
Internett
Du har muligheten til å sende og motta e-mail, "browse" på Internett samt benytte “news-grupper” fra alle Selskapets IT Utstyr’er som har standard Selskapets IT Utstyr-mal oppsett.
Til å sende og motta elektronisk post benyttes gjerne Microsoft Outlook og for å lese “news” benyttes en nettleser. Begge disse programmene skal benyttes i en oppdatert versjon for å unngå sikkerhetshull.
Selskapets “Internett-vett regler”
Internett tilgangen skal innenfor din arbeidstid benyttes i Selskapet-relatert forretningssammenheng. Utenfor arbeidstid gjelder ikke denne regelen.
Det er ikke lov å benytte Selskapet Internett-ressurser i privat næringsøyemed ikke avklart med ledelsen i Selskapet.
...
Lisensbelagt programvare, spill og andre "underholdningsrelaterte" programmer skal ikke under noen omstendighet hentes ned fra Internett. Et eksempel på slik underholdningsrelatert programvare kan være “elektroniske julekort”.
Overvåkning av internettrafikk
Selskapets ansatte er innforstått med at Selskapet overvåker all trafikk inn og ut gjennom Selskapets IT Utstyr. Hensikten med dette er å kunne scanne for data ikke ment å forlate eller komme inn til Selskapets IT Utstyr.
...
Selskapets ansatte er imidlertid fullt ut inneforstått med at e-post skal kun brukes i firma øyemed og at dersom den ansatte ønsker å sende private e-mailer skal Selskapets e-mailsystem fortrinnsvis ikke benyttes til dette.
Selskapets ansatte er innforstått med at Internett e-mail må tolkes som en åpen kommunikasjonsform som kan leses av uvedkommende - tilsvarerende et postkort i normal postgang. Alle e-mail som ikke er til mottakere internt i Selskapet går over Internett og er totalt åpent lesbart.
...
For e-mail som lagres på server kreves det store mengder serverkapasitet. En god regel er derfor å slette e-mail som ikke er relevant, men ALT som ikke er lagret i andre systemer tilhørende Selskapet og er relevant for Selskapet skal lagres på felles løsning for slik informasjon og som et minimum beholdes i e-postsystemet. Private e-mail bør lagres på egnet medie i henhold til denne avtale eller videresendes til privat e-mail konto før sletting.
Fysisk sikring og oppbevaring
Det må utøves forsiktighet under oppbevaring og transport av Selskapets IT Utstyr. Det skal alltid være avslått ved flytting. Det må IKKE sendes som bagasje på f.eks. fly. Fysiske påvirkninger som slag, støt, trykk, temperatur, fuktighet, elektriske eller magnetiske felt og vannskader kan oppstå under transport. Selskapets IT Utstyr skal aldri ligge i solen.
...
eller annet fysisk sikring skal ikke ha denne funksjonen aktivert ved reise til utlandet. Bakgrunnen for dette er at flere land (USA, Australia m.fl.) kan kreve at du legger din finger på leseren slik at de får tilgang til din enhet og dermed kan kopiere ut alle data. De kan derimot IKKE kreve at du taster inn et passord eller PIN kode da dette er i ditt hode og ansett som noe de ikke kan kreve å få utlevert.
Virus og programvaresikkerhet
Selskapet har installert flere former for sikkerhet- og antivirusprogram som skanner alt for å sikre at uønskede programmer ikke kjøres eller tilllates inn på Selskapets IT Utstyr. Dette skanner e-mail, nettsteder, filer og enheter koblet til maskinen. Antivirusprogrammene vil få oppdatert signaturfiler regelmessig (beskrivelse av virus nødvendig for å gjenkjenne dem) . Dessuten vil dette programmet regelmessig skanne hele Selskapets IT Utstyr. Denne skanningen skal ikke avbrytes!
Ansatte som jobber utenfor Selskapets kontor er ansvarlig for å koble Selskapets IT Utstyr til nettverket enten via VPN eller med kabel på kontoret for oppdatering av sikkerhetsprogramvare minst en gang annenhver måned.
Brudd på datasikkerhet
Datasikkerheten er brutt ved alle hendelser som kan medføre at uvedkommende kan få/ kan ha fått/ har fått tilgang til konfidensiell informasjon eller tilgang til Selskapet nettverk. Dette omfatter alle former for virus- og / eller phishingangrep (hvor man har gitt fra seg sitt passord utilsiktet på en nettside). Uforutsette aksjoner på Selskapets IT Utstyr som kan skyldes virus faller inn under denne betegnelsen.
...
I løpet av 2 arbeidsdager skal du ha fått en tilbakemelding fra Helpdesk om hva som er foretatt med henvendelsen. Dersom dette ikke er tilfelle, bør du følge dette opp. Sikkerhet er kun så sterk som det svakeste leddet i kjeden - ikke la det være deg!
Avslutning av arbeidsforholdet
Før du fratrer Selskapet er du ansvarlig for at alle personlige data på maskinen og på ditt hjemmeområde på server blir slettet. Alle andre data på hjemmeområdet og jobbrelaterte e-mails må enten overføres til ‘offentlige’ områder på serveren, eller til den medarbeider som overtar dine oppgaver. Du er også selv ansvarlig for å stoppe e-mail til din e-mail-konto i Selskapet ved å informere aktive kontakter om nytt kontaktpunkt i Selskapet. Husk at det ikke er lovlig å opprette en automatisk videresending av e-mail.
...
Dine brukerkontoer, tilganger, lagringsmedier, data på Selskapets IT Utstyr og mailboksen vil bli slettet så snart arbeidsforholdet er avsluttet og du har bekreftet at alle data relevant for arbeid er lagret iht anvisninger gitt i dette dokument. Det er forbudt å kopiere og/eller på annen måte ta med seg dokumenter som i medhold av de regelverk som gjelder ditt ansettelsesforhold tilhører Selskapet og/eller ta med elektroniske kopier av slike dokumenter når du avslutter arbeidsforholdet. Dersom Selskapet kan sannsynliggjøre at slike dokumenter i strid med de avtaler som gjelder for ditt arbeidsforhold, er kopiert og/eller på annen måte er tatt med forut for og/eller i forbindelse med avslutningen av ditt arbeidsforhold, vedtar du ved din signatur på dette dokumentet å betale en konvensjonalbot på kr 40 000,- (eks mva) pr dokument (pr versjon) som er ulovlig kopiert samt tilbakelevere og slette enhver kopi av slike dokumenter.
Signering
Denne instruksen er utarbeidet i ett eksemplar. Eksemplaret leveres Selskapet, en kopi beholdes av den ansatte.
...