12. Sikkerhetsinstruks for ansatte

Denne instruksen beskriver retningslinjer for bruk av informasjonssystemer ved Eidfjord fjellstyre. Instruksen gjelder for alle ansatte og skal være lest 

Den ansatte gis adgang til arbeidsgivers datautstyr, -systemer og nettverk for å støtte de oppgaver denne har ansvar for. Dette innebærer at man primært skal benytte dette i forbindelse med jobb. Den ansatte skal ikke med arbeidsgivers utstyr eller systemer tilegne seg eller forsøke å tilegne seg informasjon den ansatte ikke er ment å ha tilgang til. 

Ved endringer av ansvar eller organisasjonsmessig tilhørighet internt i Eidfjord fjellstyre skal brukerens tilganger i informasjonssystemet vurderes.  

Sikkerhetsrelaterte hendelser av betydning for personvernsikkerheten skal rapporteres til daglig leder.  

12.1 Bruk av Eidfjord fjellstyres it-systemer 

Eidfjord fjellstyres informasjonssystemer er beregnet for jobbrelaterte formål. Privat bruk, f.eks. e-post og private filer tillates, så lenge det ikke påvirker jobbrelaterte oppgaver. 

Eidfjord fjellstyre har i utgangspunktet ikke anledning til innsyn i privat e-post eller filer. Unntak gjelder hvis du er ikke-planlagt utilgjengelig i lengre tid, og virksomheten har behov for virksomhetsrelatert informasjon. Det samme gjelder ved begrunnet mistanke om straffbare forhold eller ved sikkerhetsmessige behov. Det er etablert en egen rutine for slikt innsyn, se punkt 10. 

Personopplysninger og selskapsopplysninger skal kun lagres og behandles på systemer eller løsninger som Eidfjord fjellstyre gjør tilgjengelig eller bestemmer skal være tilgjengelig for de ansatte. Det skal ikke benyttes andre løsninger eller systemer for lagring eller behandling av personopplysninger enn på de systemer som Eidfjord fjellstyre har gjort tilgjengelig og godkjent for bruk av de ansatte.  

All prosjektrelatert informasjon skal lagres på prosjektområdene på filservere. Hjemmekatalogen skal primært brukes for informasjon som den enkelte ønsker å ta vare på og som kan benyttes på tvers av prosjekter eller funksjoner som vedkommende utfører.  

Utskrifter skal fjernes fra skriver så snart utskriftsjobben er ferdig. 

12.2 Opplæring 

Før ansatte får tilgang til de aktuelle it-systemene, skal vedkommende ha gjennomgått Rutinene. 

De ansatte selv ansvarlig for å følge de regler som gjelder for bruk av de forskjellige it-systemene og for behandling av beskyttelsesverdig informasjon, herunder personopplysninger, i henhold til Eidfjord fjellstyres rutiner. 

12.3 Brukernavn og passord  

Brukere får tildelt brukernavn og førstegangs passord av it-ansvarlig. Passord er strengt personlig og skal ikke oppgis til eller lånes ut til andre. Dette er et personlig ansvar. 

Valgt passord skal være lett å huske, men det skal ikke inneholde navn på familiemedlemmer, fødselsnummer eller andre opplysninger som lett lar seg knytte til brukeren. 

Passordet skal bestå av en kombinasjon av store og små bokstaver og tall/tegn og være på minst 8 tegn. Siste 5 passord skal ikke gjenbrukes. 

Dersom ansatte har mistanke om at passordet er blitt kjent av andre, skal passordet byttes og hendelsen rapporteres til daglig leder snarest mulig som et avvik. 

12.4 Internett 

Det er ikke tillatt å laste ned utuktig materiale, opphavsrettslig beskyttet materiale (f.eks. musikk, filmer og programvare) eller annet som er i strid med lovverket på utstyr som arbeidstakeren har fått tilgjengeliggjort av arbeidsgiver eller via Eidfjord fjellstyres nettverk. 

Eidfjord fjellstyre har anledning til å logge informasjon om Internett og e-post trafikk for å sikre alminnelig drift, samt for sporing ved eventuelle sikkerhetsbrudd. 

Det er ikke tillatt å forsøke å forbigå sikkerhetsmekanismer og denne sikkerhetsinstruks, for eksempel ved å skjule disse gjennom andre tjenester. 

Ved bruk av internett opptrer man som en representant for Eidfjord fjellstyre. De samme retningslinjer som ved all annen kontakt på vegne av Eidfjord fjellstyre gjelder. Informasjon som av medier eller opinion oppfattes som pornografisk, rasistisk, kriminell eller av uetisk natur, skal derfor ikke oppsøkes, kopieres eller lastes ned til it-utstyr som eies eller driftes av Eidfjord fjellstyre. 

Det er ikke tillatt å bruke internett-tilgang til å vandalisere og sabotere herunder ødelegge data, forhindre internett-tjenester eller spre skadelig programvare som virus, trojanere eller ormer. Opphavsrettigheter skal respekteres.  

12.5 E-post 

All e-post som benyttes i arbeidet skal skje gjennom Eidfjord fjellstyres e-postløsning.  

Arbeidsgivers e-postsystem er opprettet som et arbeidsverktøy. Sunn fornuft og god dømmekraft må være førende for all privat bruk. E-postsystemet skal ikke brukes til å spre materiale som er diskriminerende, pornografisk eller på annen måte fremstår som støtende eller plagende. Arbeidsgiver vil i utgangspunktet ikke gå inn på den enkeltes e-postsystem, men dette kan gjøres i enkelte tilfelle, se nærmere i punkt 10 om slik tilgang. 

Dersom e-post må benyttes for overføring av beskyttelsesverdig informasjon, herunder særlige kategorier personopplysninger, skal informasjonen sendes som kryptert vedlegg til e-post med godkjent krypteringsprogram. 

Brukere er selv ansvarlig for å vurdere hva som er beskyttelsesverdig. 

12.6 Aktivitetslogger 

It-systemet har innebygde logger som kan spore aktivitet tilbake til den enkelte datamaskin (for eksempel logges IP-adresse når internett brukes). Disse loggene brukes for å administrere systemet og for å avdekke/oppklare brudd på sikkerheten i it-systemene. Arbeidsgiver vil ikke bruke personopplysninger som fremkommer som følge av denne loggingen for løpende overvåking eller kontroll av den enkelte med mindre det er mistanke om brudd på sikkerhetsbestemmelsene. 

12.7 Datamaskin, mobiltelefon og annet portabelt utstyr 

Datamaskin gjort tilgjengelig i jobb, mobiltelefon og annet portabelt utstyr er i utgangspunktet konfigurert av it-ansvarlig. Dette oppsettet skal ikke endres av bruker.  

Arbeidsgivers datautstyr (datamaskiner, servere, fellesnett og øvrig infrastruktur) er stilt til den ansattes disposisjon for bruk som arbeidsverktøy. Sunn fornuft og god dømmekraft må være førende for eventuell privat bruk. 

Beskyttelsesverdig informasjon skal ikke lagres på datamaskin, telefoner eller annet portabelt utstyr med mindre det er installert godkjente sikkerhetsløsninger (normalt med kryptert disk). 

La allikevel aldri datamaskin, telefon eller annet bærbart utstyr ligge synlig uten tilsyn. 

12.8 Lagring og tilgang til data 

Informasjon knyttet til Eidfjord fjellstyre eller Eidfjord fjellstyres kunder/leverandører/ansatte/samarbeidspartnere osv. tillates ikke lagret på privat datamaskin.  

Arbeidsgiver har adgang til den informasjon som ligger på fellesområdet. Arbeidsgiver har i utgangspunktet ikke anledning til å gå inn på den ansattes private område, se nærmere i punkt 10 om slik tilgang.  

Arbeidsgiver kan nekte ansatte tilgang til it-systemet dersom det er mistanke om misbruk av it-systemet inntil saken er nærmere avklart.  

For å sikre at det blir tatt sikkerhetskopier, skal all jobbrelatert informasjon lagres på områder som blir sikkerhetskopiert. 

Lagringsmedier (som minnepinner, eksterne harddisker og papirdokumenter) som inneholder personopplysninger og/eller konfidensiell informasjon, skal håndteres og oppbevares på en måte som gjør at slik informasjon ikke kommer på avveie. Utskrifter som inneholder personopplysninger og/eller konfidensiell informasjon den ansatte ikke lenger har behov for, skal makuleres. Forpliktelser etter dette punkt supplerer taushetserklæringer for dem som er bundet av slike. Arbeidsgiver står fritt til å sperre alle tjenester som kan medføre en sikkerhetsrisiko.  

Lagringsmedier som skal kasseres, skal leveres til it-ansvarlig for sikker destruksjon. 

12.9 Installasjon av programvare og maskinvare 

Det skal ikke benyttes programvare som avviker fra lisensavtaler til produsenter. 

All lisensiert programvare på maskinen skal godkjennes av it-ansvarlig. Dette gjelder både datamaskiner og telefoner. 

Dersom arbeidstaker har behov for ytterligere lisensiert programvare, ta kontakt med it-ansvarlig.  

Arbeidstaker skal være varsom med installasjon av programvare på den datamaskinen som denne disponerer. Enhver installasjon av programvare utover det som utgjør arbeidsgivers it-plattform skal være faglig begrunnet. Den enkelte ansatte er selv ansvarlig for konsekvensene av de installasjonene denne selv gjør og at den ansatte forholder seg til seriøse leverandører. Den ansatte forplikter seg til å følge de lover og regler som gjelder for bruk av programvare. Den ansatte skal kun installere programvare som denne som bruker har lisens til å bruke. Arbeidsgiver forbeholder seg retten til uten forutgående varsel å fjerne programvare som ikke følger norsk lov eller som arbeidsgiver blir kjent med at det ikke er betalt nødvendig lisens for. Kopiering av lisensiert programvare er forbudt med mindre arbeidsgivers avtale med leverandør uttrykkelig gir adgang til dette 

12.10 Reparasjon, service og vedlikehold 

Alle feil eller mistanker om feil i it-systemet (både maskin- og programvare) skal rapporteres til it-ansvarlig snarest mulig. 

Det er kun it-ansvarlig som kan iverksette arbeid som utføres av eksternt personell på it-systemer og utstyr. 

12.11 Fysisk adgang 

Dersom den ansatte mister nøkkel/nøkkelkort, meld umiddelbart fra til ansvarlig for nøkkel/nøkkelkort. 

Ansatte som slutter eller går ut i permisjon, skal levere nøkkel/nøkkelkort tilbake. 

Den som mottar besøkende, er ansvarlig for at besøkende ikke går fritt i lokalene eller på områder denne ikke skal være.  

12.12 Kontakt med media 

Det er kun virksomhetsleder eller den som denne gir ansvaret til, som har myndighet til å uttale seg til presse/media i forbindelse med saker som gjelder it-sikkerhet, sikkerhetsbrudd eller katastrofer. 

12.13 Konsekvenser ved brudd på instruksen 

Brudd på Eidfjord fjellstyres sikkerhetsinstruks er å betrakte som tjenesteforsømmelse, og konsekvenser for ansatte som har forårsaket brudd på sikkerhetsreglene vil bli vurdert i hvert enkelt tilfelle og kan ved alvorlige brudd føre til oppsigelse/avskjed. 

12.14 Avslutning av arbeidsforhold 

Ved avslutning av arbeidsforhold, skal vedkommendes leder sikre at Eidfjord fjellstyres eiendeler er tilbakelevert, herunder datamaskin, mobiltelefon, nøkler, adgangskort eller andre midler for tilgang til Eidfjord fjellstyres lokaler.  

Det er ikke tillatt å kopiere/medbringe lagret informasjon, som er relatert til vedkommendes arbeid. Dersom utstyr er avtalt medtatt, skal dette leveres inn slik at data/informasjon som er relatert til vedkommendes arbeid fjernes. 

Leder skal også påse at arbeidstaker foretar arkivvurdering av digitalt og fysisk materiale, slik at dokumenter og informasjon er tilgjengelig for virksomheten etter vedkommendes fratreden.  

Leder skal sikre at endring eller sperring av brukertilganger blir gjennomført.  

Det skal sørge for at arbeidstakers e-postkonto og private områder på Eidfjord fjellstyres it-systemer slettes så snart som mulig og senest innen seks måneder fra fratreden.