Terminologi
Med “Selskapet” menes i dette dokumentet EASY:SOLUTIONS AS og alle data forvaltet gjennom ens virke hos EASY:SOLUTIONS AS. Heretter kjent som Selskapet.
Med “Selskapets IT Utstyr” menes den eller de (bærbare eller stasjonære) enheter (pc, mobil, nettbrett) du har fått tildelt som arbeidsredskap av Selskapet. Heretter kjent som Selskapets IT Utstyr.
Med “server” menes en maskin i nettverket benyttet til f.eks. lagring av informasjon. Typisk eksempel på et serverlagringsområde er stasjonen med bokstav F:. Heretter kjent som Server.
Med “Selskapets Fillagringstjeneste” menes system for lagring av filer mot server, synkronisering på egen enhet og deling av filer. Heretter kjent som Selskapets Fillagringstjeneste.
Per 2020 er Selskapets Fillagringstjeneste easy:filecloud (FileCloud). Dette er tjeneste tilsvarende i funksjonalitet som Dropbox, Box o.l.
Med “Selskapets informasjonsportal” menes system for oppbevaring av informasjon og data. Typisk eksempel på dette er programmer eller portaler for opphenting av dokumenter og tekst. Heretter kjent som “Selskapets Informasjonsportal”.
Per 2020 er dette i systemet Confluence og Monday.
Med “Selskapets system for passordhåndtering” menes system for forvaltning og sikker oppbevaring av brukernavn, passord, 2FA/MFA koder o.l. Heretter kjent som Selskapets System for Passordhåndtering.
Per 2020 er dette i systemet redacted.
Med “Personlig identifiserbar informasjon” menes kombinasjon av en eller flere detaljer slik som Navn, Telefon, E-Post, Adresse. Heretter kjent som PII.
Alle terminologier kan oppgis i entall og flertallsform, til eksempel med -s ending.
Ansvar
Instruksen gjelder for, og skal undertegnes av alle it enhets-brukere i Selskapet; dvs. alle partnere, ansatte og innleide vikarer/konsulenter.
Formål
Hensikten med instruksen er å sikre at alle brukere er informert om, og arbeider etter, retningslinjer som sikrer Selskapet og våre kunders data på en tilfredsstillende måte. Videre skal instruksen være retningsgivende for bruk av datateknologi på en slik måte at uvedkommende ikke får tilgang til Selskapets data og systemer.
Sikkerhet er alltid avhengig av det svakeste leddet; pass på at det ikke blir deg eller din bruk av Selskapets IT Utstyr.
Andre Instrukser og Retningslinjer
Instruksen er direkte underlagt Selskapet IT-sikkerhetspolicy. Med underskriften bekreftes forståelse med dette og at alt arbeid skal følge dette dokuments retningslinjer. Dette dokumentet ligger i Selskapets informasjonsportal.
Taushetserklæringer som er undertegnet både i forbindelse med ansettelse og ved senere anledninger beholder full gyldighet.
Dersom det oppdages motstridende retningslinjer mellom instruksene, skal dette meldes Helpdesk umiddelbart; eventuelt gjennom IT-koordinator. I et slikt tilfelle skal alt arbeid utføres ut fra den mest restriktive retningslinjen inntil annet er meddelt.
Instruks for bruk av Selskapets IT Utstyr
Selskapet har som hovedmål at alle typer informasjon skal være tilgjengelig ved behov, men beskyttes mot ikke-autoriserte innsyn, endringer, ødeleggelser, offentliggjørelse eller tap, enten ved uhell eller planlagte aktiviteter (tilsiktede og/eller utilsiktede handlinger). De beskyttende tiltak som skal brukes, tar utgangspunkt i sensitiviteten og verdien av den informasjon det dreier seg om ovenfor selskapet og våre kunder.
Bruk av Selskapets IT Utstyr
Selskapets IT Utstyr er et arbeidsverktøy for Selskapets ansatte, og er i utgangspunktet ikke ment benyttet til private formål. Særlig gjelder dette
kobling mot VPN tjenester ikke relatert til arbeid
installasjon av egne programmer
oppbevaring av data av privat karakter
Bruk av Selskapets IT Utstyr til å skrive private brev eller forsendelse av privat e-mail er akseptert privat bruk, så lenge dette er i tråd med Selskapets etiske retningslinjer.
Konfidensiell informasjon
Med konfidensiell informasjon menes all dokumentasjon i elektronisk og skriftlig form som enten er markert med konfidensiell, eller som faller inn under en av følgende kategorier:
Kundeinformasjon
Kundedata
Rutinebeskrivelser, instrukser o.l. fra Selskapet
Selskapets metodikker
PII
Lagring av Data og Konfidensiell Informasjon
All informasjon skal ligge lagret på Selskapets servere og / eller Selskapets informasjonsportal.
Sensitiv informasjon som nettverksdetaljer, infrastrukturskisser o.l. må kun lagres direkte på Selskapets servere.
Passord og brukernavn kan lagres i Selskapets system for passordhåndtering der hvor dette finnes. Finnes ikke dette skal informasjonen kun lagres direkte på Selskapets servere.
Det er som hovedregel ikke lov å lagre konfidensiell informasjon på Selskapets IT Utstyr eller på andre lagringsmedier som disketter, CD-R, minnepinner, skytjenester osv. Unntakene for dette er definert i flere av underpunktene nedenfor.
Hensikten med denne begrensningen er å sikre seg mot at et eventuelt tyveri av maskinen også medfører at konfidensiell informasjon kommer på avveie. Selskapet kan bli påført et betydelig (goodwill) tap dersom sensitiv informasjon om eller tilhørende våre kunder skulle bli offentliggjort. Selskapet har i enkelte av avtalene med sine Kunder at data ikke skal komme på avveie.
Unntak og tillatelse for lagring på Selskapets IT Utstyr gjelder kun der hvor dette utstyret er kryptert med minimum AES-256 full kryptering av hele enheten og oppdatert med siste versjon for eventuelt operativsystem. Er enheten din utstedt av Selskapet vil dette være ivaretatt.
Data fra Selskapets Fillagringstjeneste
Data fra Selskapets Fillagringstjeneste kan synkroniseres mot Selskapets IT Utstyr, forutsatt at utstyret er sikret som anvist ovenfor.
Ikke konfidensielle data fra Selskapets Fillagringstjeneste kan synkroniseres mot eget mobilt IT Utstyr, herunder nettbrett og smarttelefon, forutsatt at dette er oppdatert og kryptert som anvist ovenfor.
Foreløpig / Midlertidig lagring
Foreløpig lagring av informasjon på Selskapets IT Utstyr for bearbeidelse tillates når en ikke er tilkoblet Selskapets nettverk eller for å kunne arbeide effektivt ved ustabile nettverksforhold. Dette forutsetter at enheten er utstedt av Selskapet og under kontroll av Selskapets IT avdeling slik at krav til kryptering og oppgraderinger innfris.
Slik bruk av lokal lagring skal så snart som mulig avsluttes ved at data legges tilbake til nettets servere og slettes lokalt.
Lagring av informasjon på servere
På servere skal data lagres i Selskapets systemer etter retningslinjer i dette dokument eller andre retningslinjer gitt skriftlig av ledelsen.
Kunderelatert data lagres atskilt fra metodikker og andre data som alle skal ha tilgang til.
Alle brukerne har fått tildelt et hjemmeområde på Server (f.eks Hjem-området) eller på Selskapets Fillagringstjeneste. Dette området er det kun brukeren i tillegg til IT-administrator som har tilgang til.
Den enkelte bruker er selv ansvarlig for data på sitt hjemmeområde, og særlig for å påse at kun nødvendige data blir lagret der.
Hjemmeområdene blir det tatt backup av i motsetning til data lagret på pc’ens harddisk (f.eks C:). Det er derfor viktig at all informasjon blir lagt på serveren.
Det kan ved spesielle behov bli tatt backup av alle data på lokal maskin.
Selv om eierskap til hjemmeområdene først går over i Selskapet eiendom etter at en ansatt har sluttet, er det ikke lovlig å lagre informasjon på dette området – eller andre områder - som strider mot norsk lov, eller Selskapets retningslinjer. Unntak: Dersom ledelsen har gitt skriftlig godkjennelse er dette tillatt.
Dersom administrator oppdager slike data har han/hun anledning til å innlede adekvate skritt. Et eksempel på dette kan være at administrator oppdager ‘morrofiler’ på hjemmeområdet, f.eks. ved et generelt søk etter slike. Administrator har da rett til å teste filen og både melde fra til brukerens overordnete, samt å slette filen. Alle administratorer i IT-avdelingen skal har undertegnet en taushetspliktserklæring, som skal hindre misbruk av denne rettigheten.
Bruk av flyttbare medier og nettlagringstjenester (backuptaper, disketter, CD-rom, JAZ, backup-stick, ekstern harddisk, cloud lagring, internettlagringsplass e.l.)
Lagring av firmaets konfidensielle eller dets kunders data på flyttbare medier - for eksempel USB enheter - skal kun lagres på krypterte lagringsmedier utstedt fra Selskapet. Enheten skal ikke merkes med informasjon av typen ‘avtale <kundenavn>’ eller ’kode’.
Unntak: Kunder som leverer et lagringsmedie for å få lagret sine data på dette er tillatt.
Generelle data som installasjonsfiler, OS ISOer o.l. er tillat lagret på ukrypterte media.
Ta kontakt med IT-ansvarlig for fremgangsmåte og lagringsmedier om du er usikker.
Ingen ansatt har anledning til å ta privat back-up av noen datafiler som ikke er av privat art og/eller har vært lagret på noen Selskapets IT Utstyr og/eller server med mindre IT-ansvarlig samtykker skriftlig på forhånd.
All lagring av konfidensiell informasjon på flyttbare medier må betraktes som backup av data. Backupmedier skal aldri kjennetegnes (etikett på mediet) med informasjon som tilkjennegir innholdet dersom det er konfidensiell informasjon på mediet.
Flyttbare medier som inneholder/har inneholdt konfidensielle data skal behandles konfidensielt. Vær oppmerksom på at en enkel sletting av disse dataene ikke gjør dem utilgjengelige. Flyttbare medier som har vært brukt til backup av data skal enten kastes i godkjentebeholdere for destruksjon av medier, eller leveres IT-avdelingen for destruksjon.
Dersom det er nødvendig å sende mediet til noen for destruksjon, skal en sikker forsendelsesmåte (verdipost el.) velges.
Overføring av data til nettlagringstjenester er ikke tillatt med mindre arbeidet gjør dette nødvendig. F.eks hvor kundekommunikasjon foregår i AdminControl, Dropbox e.l. tjenester. Fortrinnsvis skal usikre tjenester som Dropbox, Box, OneDrive, Google Drive unngås da dataene på ingen måte er private eller forblir tilgjengelig kun for de parter du opprinnelig skulle dele data med.
Data, spesielt konfidensiell data, skal fortrinnsvis deles via Selskapet Fillagringstjeneste.
Bruk av håndholdte pc’er og mobiltelefoner (Android, Palm, iPhone, Cassiopeia, e.l.)
Det skal utvises aktsomhet ved lagring av data på håndholdt pc og mobiltelefoner. Det er pr. dags dato dårlig/ ikke noe sikkerhet på flere slike type maskiner, og de er små og lette å bli frastjålet eller miste.
Har du en egen enhet, til eksempel nettbrett eller smarttelefon må du selv besørge og aktivere full kryptering samt oppdatering. Det er ikke tillatt å laste ned konfidensiell informasjon på egne enheter med unntak av informasjon formidlet deg via e-post. Apple iPhone og iPad er som standard fra fabrikk ferdig kryptert. Har du annen produsent må du selv følge opp og verifisere kryptering.
Flere typer håndholdte enheter har pr. dags dato et minnekort installert som enkelt kan fjernes. Det må ikke lagres sensitive data på disse minnekortene da de utgjør en høy sikkerhetsrisiko.
Hvis det ikke er mulig å kryptere eller lagre som anvist må enheten godkjennes av IT og / eller Daglig Leder.
Den ansatte vil få tilgang til e-mail, kontakter og kalenderfunksjon på sin mobile enhet. Nevnte data på den mobile enhet ansees som selskapets eiendom. Den ansatte skal utvise forsiktighet og aktsomhet i forbindelse med behandlingen av slik mobil enhet og dens innhold. Det må aldri tas ut data annet enn av privat karakter fra disse enheter.
Man skal ikke forsøke å deaktivere eller omgå beskyttelsesfunksjoner påkrevd gjennom tilkobling til Selskapets IT løsninger.
Tilgjengelighet
Data lagret på Selskapets IT Utstyr skal ikke være tilgjengelig for andre. Det er ikke lov å gi andre tilgang til Selskapets IT Utstyr, verken ved å låne ut maskinen, gi andre informasjon om egen brukerident og passord, eller ved å gi tilgang over nettverket. All data som skal deles skal ligge på definerte områder på serverne, dette omfatter data fra Selskapet Fillagringstjeneste.
Unntak: Utlån av Selskapets IT Utstyr til arbeidskollega i Selskapet. Det er da særlig viktig å påse at det ikke ligger konfidensiell informasjon lagret på enheten du er ansvarlig for.
Passord
Du er som bruker selv ansvarlig for dine passord, og disse skal ikke gis til noen andre. Dersom andre personer får kjennskap til passordet, vil du kunne bli holdt ansvarlig for eventuelt misbruk og konsekvenser.
Passordet skal memoreres, det er ikke tillatt å oppbevare passord skriftlig i klartekst på kontoret eller i nærhet av enheten som er beskyttet med passord.
Du vil automatisk bli tvunget til passordskifte for tilgang på server etter selskapets gjeldende policy. Nettverket husker også et antall av dine siste passord slik at det ikke er mulig å veksle mellom kun to passord. Minste lengde på passord er 14 tegn. Passordene skal inneholde minst ett tall og minst 1 stor bokstav i kombinasjon med små bokstaver. For andre systemer er du som bruker selv ansvarlig for bytte av passord.
Det er ikke lov å benytte noen opsjoner for automatisk pålogging til noen av Selskapet systemer/applikasjoner uten at dette kommer fra IT.
Det er ikke tillatt å bruke samme eller lignende passord du benytter til systemer tilhørende eller i forbindelse med Selskapet på andre tjenester, enheter, systemer. F.eks kan du ikke ha samme eller lignende passord for å logge på din maskin som du har på din private e-postkonto.
Du må aldri benytte samme kombinasjonen av din epostadresse og passord på flere tjenester. Får noen tak i passordet til den ene tjenesten vil de ha adgang til den andre. Unngå alltid dette !
Dersom du vet eller tror at noen kan ha fått kjennskap til ditt passord, skal du umiddelbart endre dette og i tillegg melde fra til Helpdesk og / eller IT-ansvarlig.
Dersom det er risiko for at noen kan ha benyttet din tilgang til å hente data vedkommende ikke skal ha tilgang til, skal du i tillegg til å melde fra til Helpdesk og / eller IT-ansvarlig også kontakte bedriftens IT ansvarlige - dette er som regel daglig leder.
Dersom din maskin / enhet er kryptert er du selv ansvarlig for å huske passordet. Tap av passordet medfører tap av alle data på enheten da de er irreversibelt krypterte. Husk: Du er selv ansvarlig for at alle sensitive data er lagret på Selskapets servere.
Valg av passord
Som bruker er du ansvarlig for å benytte passord som det ikke er lett å avdekke, slik som navnet til hunden din, bilnummer, navn på barn e.l.). Velg passord som ikke er; et vanlig navn, det samme som brukeridenten din, eller ett enkelt ord som står i noen ordliste. (Det finnes program som gjetter passord ut fra ordlister og leksikon samt avarter av ordene.)
Passord kan dannes av: Store og små bokstaver (a til z), tall og følgende spesialtegn: > < § ! ” % & ( ) = ? + $ * - _ : ;. Ikke benytt ÆØÅ, mellomrom eller andre spesialtegn i passord ettersom dette kan føre til problemer med andre sammenkoblede systemer.
Det er mange måter å lage gode passord på som også er lett å huske. Desto lengre et passord er, desto sikrere er det. F.eks: Sistesifferimitttlfnummerer3. Dette er langt sikrere enn passord av typen: AtrVf%55.
Du kan for eksempel velge deg ut to eller flere spesialtegn som så kan benyttes for å gjøre ellers “logiske passord” ulogiske. Er du glad i biler kan passordene dine f. eks. bli: j4guar#erenfinbil, fo%rderikkeenlikefinbil!, Op%elKadettErIngenRakett osv, eventuelt med andre skrivefeil. NB: Forslag til passord som er nevnt her skal ikke brukes!
For å danne et passord som er lett å huske men vanskelig for andre å identifisere kan man velge en bok som alltid er tilgjengelig og velge et ord ved f.eks. på den 13.04. slå opp en tilfeldig side og velge 13 ord på linje 4 (eller først ord etter som er mer enn 8 bokstaver) og endre dette ved hjelp av spesialtegn/tall.
Oppringt oppkobling / Arbeid eksternt
Hjemme
Tilkobling fra internett hjemme ansees problemfritt.
LTE / 4G / 5G / HotSpot på telefon / Modem
Ansees problemfritt da man har egen direkte linje mot internett.
Offentlig tilgjengelig internett, Internet Cafe o.l.
Tilkobling til Selskapet fra delte internettkoblinger over HTTP eller HTTPS er ikke tillatt med mindre det er strengt nødvendig. Det skal gjøres tilstrekkelige tiltak for å verifisere at man ikke er utsatt for et man-in-the-middle attack (MitM).
Benytt fortrinnsvis hotspot på telefon eller lignende, er ikke dette mulig benytt IPSec VPN tilkobling for å være sikret mot MitM.
Skjermsparer, Sleep/Hvilemodus og enhet uten oppsyn
Alle ansatte i Selskapet skal aktivisere tidsbestemt passordbeskyttet skjermsparer på Selskapets IT Utstyr slik at ingen andre kan bruke maskinen din og dine tilganger når du ikke er til stede på plassen din.
Enheter uten oppsyn tilhørende Selskapet eller tilkoblet Selskapets IT løsninger skal aldri forlates i ulåst tilstand. Man skal alltid låse sin enhet. På PC gjøres dette enkelt ved å holde inne windowstasten+L.
Utstyr og enheter ikke ansett som mobile enheter, f.eks Laptop, ikke nettbrett og smarttelefon, skal ved forflytning til annen lokasjon utenfor arbeidsplassen enten skrus av eller settes i dvale. Det er ikke tillatt å flytte slike enheter mens de er i hvilemodus (søvn, sleep, sove) eller mens de er påskrudd da dette muliggjør å hente ut data fra enheten.
Regelverk for behandling av programvare
Kommersiell programvare
All programvare som er i bruk i Selskapet distribueres etter gitte retningslinjer for lisensiering. All programvare distribueres og oppdateres løpende av IT.
Det er ikke tillatt å legge over Selskapet programvare på kunders eller andres maskiner uten at det er inngått spesiell avtale om at det kun er Selskapet ansatte som disponerer slike maskiner i kundens lokaler.
Egne programmer
Det er ikke lov å installere/ kopiere egne programmer på Selskapets IT Utstyr.
Unntak
Unntak fra bestemmelsene i Egne programmer kan gjøres dersom dette er hensiktsmessig i jobb-sammenheng.
Forutsetning for unntak er at handlingen ikke vil senke sikkerheten i Selskapet.
Internett
Du har muligheten til å sende og motta e-mail, "browse" på Internett samt benytte “news-grupper” fra alle Selskapets IT Utstyr’er som har standard Selskapets IT Utstyr-mal oppsett.
Til å sende og motta elektronisk post benyttes gjerne Microsoft Outlook og for å lese “news” benyttes en nettleser. Begge disse programmene skal benyttes i en oppdatert versjon for å unngå sikkerhetshull.
Selskapets “Internett-vett regler”
Internett tilgangen skal innenfor din arbeidstid benyttes i Selskapet-relatert forretningssammenheng. Utenfor arbeidstid gjelder ikke denne regelen.
Det er ikke lov å benytte Selskapet Internett-ressurser i privat næringsøyemed ikke avklart med ledelsen i Selskapet.
All trafikk på Internettet vil av mottaker kunne spores tilbake til avsender, blant annet har e-mail avsender ...@selskapetsAdresse.no. Dette er viktig å huske på slik at det du foretar deg på Internettet ikke kan skade Selskapets renommé. Skal du sende e-post som ikke skal kunne spores, ta kontakt med IT for veiledning. (Bruk f.eks tjenester som ProtonMail, fotrinnsvis gjennom «Tor»)
Selskapets ansatte har ikke lov til å benytte Internett på noen som helst måte som kan tolkes som lovstridig. F.eks, ikke begrenset til: Nedlasting av piratvare, deling av ulovlig informasjon m.m.
Programvare (freeware & shareware) og tvilsom informasjon skal kun lastes ned fra Internett når hensikten er å benytte dette i Selskapet relatert arbeidssammenheng og IT-ansvarlig har gitt tillatelse eller tilsvarende beskjed om dette.
Et fiktivt "lovlig" eksempel på dette er nedlastning av programvare fra Microsoft som de ansatte måtte ha behov for i forbindelse med eventuelle prosjekter de gjennomfører.
Lisensbelagt programvare, spill og andre "underholdningsrelaterte" programmer skal ikke under noen omstendighet hentes ned fra Internett. Et eksempel på slik underholdningsrelatert programvare kan være “elektroniske julekort”.
Overvåkning av internettrafikk
Selskapets ansatte er innforstått med at Selskapet overvåker all trafikk inn og ut gjennom Selskapets IT Utstyr. Hensikten med dette er å kunne scanne for data ikke ment å forlate eller komme inn til Selskapets IT Utstyr.
Selskapet vil følge de til enhver tid gjeldende lover og regler fra datatilsynet med hensyn til slik overvåkning, slik at p.t. vil Selskapet ikke lese innholdet i e-mail, men forbeholder seg retten til å sperre ute visse Internettsteder eller stanse inn- utgående data av tvilsom karakter. Ved behov kan du bli varslet om en slik sperring.
Selskapets ansatte er imidlertid fullt ut inneforstått med at e-post skal kun brukes i firma øyemed og at dersom den ansatte ønsker å sende private e-mailer skal Selskapets e-mailsystem fortrinnsvis ikke benyttes til dette.
Selskapets ansatte er innforstått med at Internett e-mail må tolkes som en åpen kommunikasjonsform som kan leses av uvedkommende - tilsvarerende et postkort i normal postgang. Alle e-mail som ikke er til mottakere internt i Selskapet går over Internett og er totalt åpent lesbart.
Selskapets ansatte skal som en følge av dette ikke sende konfidensiell informasjon over e-mail, uavhengig av om den som har krav på beskyttelse samtykker til at slik informasjon sendes pr e-post. Er det usikkert om informasjonen er å klassifisere som konfidensiell, skal den ansatte forespørre sin overordnede.
Innhold i e-mail mellom Selskapet og kunde skal alltid vurderes ut fra konfidensialitet i innholdet. Dersom det avtales med kunden at dokumenter etc. kan sendes på e-mail, skal dette gjøres skriftlig, og avtalen skal oppbevares hos Selskapet. Det er til tross for slik avtale ikke lov å sende enkelte typer dokumenter per e-post, som f.eks pass og fødselsnummer.
Konfidensielt materiale skal deles over en sikker kobling med mindre dette ikke er mulig, f.eks gjennom Selskapet fildelingstjeneste.
Det er ikke tillatt å benytte automatisk videresending av e-mail til interne eller eksterne adresser for e-mail som ankommer din e-mail-adresse i Selskapet med mindre dette er skriftlig godkjent.
For e-mail som lagres på server kreves det store mengder serverkapasitet. En god regel er derfor å slette e-mail som ikke er relevant, men ALT som ikke er lagret i andre systemer tilhørende Selskapet og er relevant for Selskapet skal lagres på felles løsning for slik informasjon og som et minimum beholdes i e-postsystemet. Private e-mail bør lagres på egnet medie i henhold til denne avtale eller videresendes til privat e-mail konto før sletting.
Fysisk sikring og oppbevaring
Det må utøves forsiktighet under oppbevaring og transport av Selskapets IT Utstyr. Det skal alltid være avslått ved flytting. Det må IKKE sendes som bagasje på f.eks. fly. Fysiske påvirkninger som slag, støt, trykk, temperatur, fuktighet, elektriske eller magnetiske felt og vannskader kan oppstå under transport. Selskapets IT Utstyr skal aldri ligge i solen.
En kald Selskapets IT Utstyr (tåler inntil -30° C) skal ikke startes før utstyret er blitt minimum +10° C. Dette grunnet fare for fukt og rim/islag dannet internt i enheten.
En bærbar Selskapets IT Utstyr er et utsatt tyveriobjekt. Det skal derfor utføres aktsomhet i forbindelse med oppbevaring, både på kontoret og utenfor. Når du har med deg Selskapets IT Utstyr ut av kontoret er det ikke lov å forlate denne i bil, garderobe, venterom e.l..
Generelt skal Selskapets IT Utstyr og eventuelle andre informasjonsenheter (f.eks iPhone) oppbevares på en måte som ikke gjør den unødig utsatt for tyveri, dvs. minst mulig synlig for eventuelle tyver, og aller helst låses inn hvis man forlater den.
Enheter med
fingeravtrykksgodkjenning
ansiktsgjenkjenning
IRIS scanning
eller annet fysisk sikring skal ikke ha denne funksjonen aktivert ved reise til utlandet. Bakgrunnen for dette er at flere land (USA, Australia m.fl.) kan kreve at du legger din finger på leseren slik at de får tilgang til din enhet og dermed kan kopiere ut alle data. De kan derimot IKKE kreve at du taster inn et passord eller PIN kode da dette er i ditt hode og ansett som noe de ikke kan kreve å få utlevert.
Virus og programvaresikkerhet
Selskapet har installert flere former for sikkerhet- og antivirusprogram som skanner alt for å sikre at uønskede programmer ikke kjøres eller tilllates inn på Selskapets IT Utstyr. Dette skanner e-mail, nettsteder, filer og enheter koblet til maskinen. Antivirusprogrammene vil få oppdatert signaturfiler regelmessig (beskrivelse av virus nødvendig for å gjenkjenne dem) . Dessuten vil dette programmet regelmessig skanne hele Selskapets IT Utstyr. Denne skanningen skal ikke avbrytes!
Ansatte som jobber utenfor Selskapets kontor er ansvarlig for å koble Selskapets IT Utstyr til nettverket enten via VPN eller med kabel på kontoret for oppdatering av sikkerhetsprogramvare minst en gang annenhver måned.
Brudd på datasikkerhet
Datasikkerheten er brutt ved alle hendelser som kan medføre at uvedkommende kan få/ kan ha fått/ har fått tilgang til konfidensiell informasjon eller tilgang til Selskapet nettverk. Dette omfatter alle former for virus- og / eller phishingangrep (hvor man har gitt fra seg sitt passord utilsiktet på en nettside). Uforutsette aksjoner på Selskapets IT Utstyr som kan skyldes virus faller inn under denne betegnelsen.
Alle slike hendelser skal straks meldes Helpdesk og / eller IT-ansvarlig. Det er bedre å ha meldt en gang for mye, enn å unnlate å melde en potensiell hendelse!
I løpet av 2 arbeidsdager skal du ha fått en tilbakemelding fra Helpdesk om hva som er foretatt med henvendelsen. Dersom dette ikke er tilfelle, bør du følge dette opp. Sikkerhet er kun så sterk som det svakeste leddet i kjeden - ikke la det være deg!
Avslutning av arbeidsforholdet
Før du fratrer Selskapet er du ansvarlig for at alle personlige data på maskinen og på ditt hjemmeområde på server blir slettet. Alle andre data på hjemmeområdet og jobbrelaterte e-mails må enten overføres til ‘offentlige’ områder på serveren, eller til den medarbeider som overtar dine oppgaver. Du er også selv ansvarlig for å stoppe e-mail til din e-mail-konto i Selskapet ved å informere aktive kontakter om nytt kontaktpunkt i Selskapet. Husk at det ikke er lovlig å opprette en automatisk videresending av e-mail.
Dette gjelder også ved permisjon over 6 måneder eller lenger.
Eventuell formidling av ny kontaktinformasjon til Selskapets kunder og kontakter må godkjennes av Daglig Leder i Selskapet. Dette er i utgangspunktet ikke tillatt.
Etter at du har avsluttet ditt arbeidsforhold, har Selskapet ved IT-avdelingen rett til å gå inn på ditt hjemmeområde, og aksessere data på det tilbakeleverte Selskapets IT Utstyr. Eierskap av alle data på disse områdene går over til Selskapet etter din avslutning med mindre disse dataene er av privat karakter, hvorhen de vil slettes. Du skal bli varslet ihht loven når slik tilgang til dine private data inntreffer.
Dine brukerkontoer, tilganger, lagringsmedier, data på Selskapets IT Utstyr og mailboksen vil bli slettet så snart arbeidsforholdet er avsluttet og du har bekreftet at alle data relevant for arbeid er lagret iht anvisninger gitt i dette dokument. Det er forbudt å kopiere og/eller på annen måte ta med seg dokumenter som i medhold av de regelverk som gjelder ditt ansettelsesforhold tilhører Selskapet og/eller ta med elektroniske kopier av slike dokumenter når du avslutter arbeidsforholdet. Dersom Selskapet kan sannsynliggjøre at slike dokumenter i strid med de avtaler som gjelder for ditt arbeidsforhold, er kopiert og/eller på annen måte er tatt med forut for og/eller i forbindelse med avslutningen av ditt arbeidsforhold, vedtar du ved din signatur på dette dokumentet å betale en konvensjonalbot på kr 40 000,- (eks mva) pr dokument (pr versjon) som er ulovlig kopiert samt tilbakelevere og slette enhver kopi av slike dokumenter.
Signering
Denne instruksen er utarbeidet i ett eksemplar. Eksemplaret leveres Selskapet, en kopi beholdes av den ansatte.
Jeg erklærer å ha gjort meg kjent med og forstått innholdet av denne instruksen.
Sted
Dato
Navn (Blokkbokstaver)
Underskrift