Kontrakt for IT-sikkerhet fra digi.no

Bakgrunn for bedriften

Denne instruksen/avtalen er utarbeidet som et generelt utgangspunkt for videre bearbeidelse av firmaet som skal anvende denne. Den store forskjell i hvordan datasystemer er organisert, forskjellige behov i forhold til sikkerhetsnivåer i bedriften samt variasjon i hvilke typer personopplysninger som lagres og bearbeides i den enkelte bedrift gjør at instruksen/avtalen må tilpasses den enkelte bedrifts situasjon. Videre kan enkelte virksomheter være underlagt særlige lovpålagte krav i forhold til behandling av data. Brudd på personopplysningsloven kan være straffbart og kan medføre erstatningsansvar. Se datatilsynets hjemmeside www.datatilsynet.no for mer informasjon om arbeidsgivers rettigheter og plikter.

Instruksen/avtalen stilles utelukkende til rådighet som et eksempel på enkelte problemstillinger det kan være grunn til å ta hensyn til ved utforming av denne type instrukser/avtaler.

Ting i parentes er kommentarer og forslag til hva bedriften kan ta med. Enkelte steder er det også angitt alternativer til flere muligheter.

............................................................

KOPIER HERFRA OG NED:

SIKKERHETSINSTRUKS OG AVTALE OM BRUK AV DATASYSTEMER

OG BEHANDLING AV PERSONOPPLYSNINGER

I (”FIRMAET”)

Gyldighet

Regler for IT-brukere gjelder for alle ansatte, alt innleid personell og andre som gis tilgang til bedriftens IT-ressurser, i eller utenfor Bedriftens lokaler.

Regler for IT-brukere gjelder også bruk av bedriftens IT-systemer gjennom oppkobling med privat IT-utstyr eller utstyr som omfattes av Bedriftens "hjemme-PC" avtale.

Innledning

Som medarbeider i Firmaet behandler du forskjellige former for data, dette kan også dreie seg om opplysninger av sensitiv og fortrolig art eller forretningshemmeligheter. Det er derfor påkrevd med gode og strenge sikkerhetsrutiner for å ivareta en høy grad av sikkerhet. Dette gjelder både ved lagring internt, tilgang til systemet og ekstern overføring. Hensiktsmessig personaladministrasjonen og administrasjon av IT-ressurser i Firmaet nødvendiggjør også til en viss grad behandling av personopplysninger om den enkelte. Disse opplysningene skal håndteres i henhold til Datatilsynets retningslinjer.

Denne instruks og avtale gjelder bruk av Firmaets datasystemer og Firmaets behandling av personopplysninger, og vedlegges ansettelsesavtalen.

Immaterielle rettigheter

Alle rettigheter til og rådighet over immaterial rettigheter som patenter, design, varemerker, mønstre og opphavsrettigheter samt metode, konsepter, know-how o.l., som oppstår som følge av eller i forbindelse med arbeids- eller oppdragsforhold, skal ligge hos Bedriften med mindre annet er avtalt skriftlig. Det samme gjelder for informasjon og data, som utarbeides av ansatte eller oppdragstakere under utførelsen av oppgaver som omfattes av arbeids- eller oppdragsforholdet eller skjer etter Bedriftens anvisninger. Bedriften skal ha rett til å bearbeide og foreta endringer i ethvert produkt, fysisk så vel som immaterielt. Bedriften skal ha rett til å overdra alle rettigheter helt eller delvis til tredjepart.

Denne bestemmelse er ikke til hinder for at den enkelte, også etter at arbeids- eller oppdragsforholdet er avsluttet, rettmessig skal kunne nyttiggjøre seg ervervet alminnelig kunnskap, ferdighet og erfaring i henhold til bestemmelser i ansettelsesavtalen.

Regler for IT-brukere

Generelt

Bedriftens IT-ressurser er beregnet for utarbeidelse, behandling og lagring av virksomhetsrelatert informasjon. Utarbeidelse, behandling og lagring av privat informasjon skal begrenses. Privat bruk skal ikke belaste båndbredde, lagringsplass og prosessortid unødvendig.

Bruk av Bedriftens IT-ressurser skal ikke være i strid med bedriftens etiske retningslinjer (eller tilsvarende til enhver tid). Bruken av ressursene skal heller ikke være i konkurranse med Bedriften eller på annen måte kunne skape negativt omdømme eller omtale for Bedriften.

Innsamling og systematisering av data som ikke inngår som en del av brukerens naturlige arbeidsområde er ikke tillatt.

Behandling og/eller lagring av Bedriftens informasjon og data på IT-ressurser som ikke eies eller på annen måte er kontrollert av Bedriften, skal ikke gjøres uten skriftlig godkjenning fra

overordnet leder eller oppdragsgiver i Bedriften.

Bruk av data til private formål

[I hvilken utstrekning IT-systemet skal tillates anvend til personlig bruk må vurderes konkret.]

Datasystemet skal i utgangspunktet kun benyttes til arbeidsformål. Alle data lagret i systemet, herunder dokumenter og e-post l anses i utgangspunktet som Firmaets eiendom.

[Det må vurderes hvorvidt Firmaets e-post kontoer skal tillates anvendt til privat korrespondanse eller om det for eksempel skal kreves at de ansatte skaffer seg en separat konto f. eks hos hotmail for denne type korrespondanse. I den grad det tillates at Firmaets konto anvendes til privat korrespondanse kan det inntas en begrensning i hvilke type slik korrespondanse som sen kan anvendes til f. eks:]

E-post konto tildelt av Firmaet skal under ingen omstendighet anvendes til utsendelse av pornografisk, ærekrenkende eller ulovlig materiale eller materiale som kan virke støtende, eller på anne måte er i strid med gjeldene lovgiving.

Begrenset privat bruk av datasystemet (surfing på Internett, skriving av private brev og e-post) er tillatt under forutsetning at bruken ikke går ut over medarbeiderens arbeidsoppgaver eller sikkerhet og funksjonalitet i datasystemet. Private brev kan lagres med passord. Det anbefales at privat e-post, dokumenter ol lagres i en egen mappe merket ”privat”.

IKT-utstyr må godkjennes

Kun utstyr som er godkjent av IT-drift skal brukes i tilknytning til Bedriftens IT-ressurser.

Alternativ 1: Det er bare lov å installere godkjent programvare på bedriftens datautstyr.

Alternativ 2: Det er lov å installere programvare som er jobbrelatert på bedriftens datautstyr. Spill, fildelingsprogrammer, kommunikasjonsprogrammer og annen privat løsning skal ikke installeres.

Alternativ: Ikke ta i bruk lynmeldingstjenester som dersom dette ikke er avklart med IT-ansvarlig først.

Sikkerhetprogramvare:

Bedriftens maskiner er utstyrt med en del sikkerhetsprogramvare som vil variere, men på bærebare maskiner er dette brannvegg og program for å stoppe virus og spionvare. Det er brukerens anvar å se til at disse programmene er operative. Problemer med disse programmene og andre sikkerhetsløsningene må meldes til ledelsen. Det er ikke lov å endre, bytte ut, stoppe eller modifisere bedriftens sikkerhetsløsninger, for eksempel sikkerhetsinnstillingene i nettlesere eller brannmurer.

Surfing og bruk av tjenester på internett

Bruk sunt datavett ved surfing på Internett. Vær oppmerksom på at du legger igjen elektroniske spor om deg selv og Firmaets IP(internett)-adresse. Denne informasjonen kan misbrukes av andre.

Det er ikke tillatt å søke eller surfe på sider med straffbart innhold, sider med tjenester som kan lede til straffeforfølgelse for tilbyder eller sider med noen form for pornografisk innhold.

Ikke last ned filer fra Internett fra ukjente nettsteder. Sikkerhetsnivået i webbrowseren skal minimum være angitt til ”Middels”. Ikke besøk antatt farlige sider uten samtykke fra IT-avdelingen/IT-ansvarlig. Vær forsiktig med bruk av husk-passord funksjoner på Internett.

Samtalegrupper (Chat) og andre interaktive programmer på Internett skal ikke benyttes uten forutgående godkjennelse fra IT-avdelingen/IT-ansvarlig. Det samme gjelder News-grupper på internett

Passord og tilgang:

Ved all bruk av Firmaets IT-ressurser skal det benyttes passord ved oppstart. Passordet skal ikke lagres elektronisk ved husk-passord funksjon.

[Bestemmelsen må tilpasses de konkrete passordrutiner i Firmaet, nedenfor er eksempler på bestemmelser som kan anvendes.]

[Personlige passord for pålogging til Firmaets IT-ressurser tildeles av IT-avdelingen/IT-ansvarlig.]

[Alle passord skal bestå av minimum 6 tegn og ha en tilfeldig sammensetning av tall og bokstaver. Passordet må ikke finnes i ordlister, være personnavn eller brukernavn/del av brukernavn. Nytt passord må velges ulikt fra de 5 sist valgte. Alle passordene skal endres en gang pr. måned.]

Alle passord skal behandles på en sikker måte og ikke meddeles andre enn IT-avdeling etter konkret forespørsel. Vær særlig oppmerksom på at det kan forekommer ”social manipulation” ved at utenforstående søker å få tilgang til passord ved å angi konstruerte behov.

Pcen skal innstilles slik at den låses etter XX minutter uten aktiv bruk. PCen skal skrus helt av ved arbeidsdagens slutt. Det er viktig at alle programmer avsluttes før PCen slås av.

Ved behov kan det gis nærmere passordrutiner.

Datavirus

På grunn av fare for datavirus og andre ødeleggende programmer skal filvedlegg til e-post fra ukjente avsendere alltid betraktes i visnings-funksjonen før du eventuelt åpner dokumentet/filen. Du må aldri åpne vedlagte programfiler fra ukjente avsendere. Firmaet forbeholder seg retten til automatisk sletting av slike e-post-vedlegg.

Makrobeskyttelse i Word skal være skrudd på. Dette gjøres ved å velge ”Middels sikkerhet” under Verktøy-meny – Makro –Sikkerhet.

Dokumentsikkerhet

[Avsnittet under er under forutsetning av at Firmaet anvender en sentral serverbasert løsning for lagring av dokumenter/filer, ved andre løsninger for lagring må punktet tilpasses dette.]

Dokumenter (og andre datafiler) skal som utgangspunkt ikke lagres på lokal harddisk, disketter, CD-rom eller tilsvarende. Dersom man midlertidig må lagre på lokal disk (f.eks bærbar PC) eller på diskett, minnestick skal filene senere overføres til server og deretter slettes fra lokal disk/diskett.

Vær også oppmerksom på at sikkerhetskopi kun tas av datafiler som er lagret på server. Dersom du over tid oppbevarer større arbeider på bærbar PC, skal det jevnlig overføres en sikkerhetskopi til server.

Det er ikke tillatt å benytte automatisk videresending av e-post til e-post adresser utenfor Firmaets system. Det er heller ikke adgang til å ha dette som en manuell rutine.

Utstyr (hardware) som skal kasseres skal først gjennomgås av IT-avdelingen/IT-ansvarlig. Det er ikke adgang for den enkelte til selv å forestå kassering av utstyr (hardware) Firmaet skal ha en klar policy for sletting av minnet på datamaskiner og lagringsmedier før de blir kassert, eller sørge for at de har en gjenninvinngspartner som destruerer maskinen i henhold til gitte krav.

Bruk av mobiltelefoner og PDAer

Lagring av virksomhetsrelatert informasjon skal ikke gjøres på mobiltelefon, håndholdte enheter og lignende teknologi uten godkjennelse. Hvis slik informasjon lagres, må enheten har systemer for godkjent kryptering av innholdet.

Sikring av maskiner

Når en arbeidsstasjon forlates skal den logges av eller sikres med godkjent passordbeskyttelse.

Alle bedriftsrelatert informasjon (dokumenter) på bedriftens bærbare skal være kryptert med løsningen bedriften har valgt for dette.

Utstyr og komponenter som skal kasseres skal først gjennomgås av IT-ansvarlig

Ekstern påkobling

Påkobling til bedriftens IT-systemer fra maskiner eid av andre aktører som nettkafeer eller enkeltbrukere som ikke er klarerte partnere er ikke lov.

Bruk av minnepinner og annet eksternt lagringsutstyr må skje med forsiktighet.

Det er ikke tillatt å undersøke sikkerheten i systemer og nettverk ved å forsøke å bryte sikkerhetsmekanismer.

Innsyn

Bedriften, ved autorisert personell, har innsynsrett i all informasjon lagret på bedriftens IT-ressurser uten hensyn til lagringssted eller merking. Dette gjelder også i saker som fordrer innsyn i ansattes e-post og personlige dataområder.

Registrering av aktivitet / logging

Aktivitet på Bedriftens IT-ressurser kan spores tilbake til den enkelte. Alle Bedriftens IT-ressurser kan overvåkes og all autorisert og forsøk på ikke autorisert bruk kan registreres i logger. Dette for å kunne administrere IT-ressursene og for å ivareta Bedriftens krav til informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet) samt avdekke brudd på denne.

Det foretas logging av følgende aktiviteter:

[Informasjon og påfølgende samtykke fra den enkelte ansatte bør innhentes for alle former for logging av den ansattes bruk av data, samt for annen elektronisk logging av den ansattes aktiviteter i bedriften. Nedenfor er det oppstilt enkelte eksempler på denne type informasjon. Listen er imidlertid ikke uttømmende og det må konkret vurderes hvilke former for logging man finner nødvendig. Videre må det alltid vurderes om behandling av person¬opplysninger er i overensstemmelse med personopplysningsloven og forskrift og om slik behandling utløser krav om melding/konsesjon.]

Påloggingspassord

Internettlogg

Internettaktiviteter blir logget på den enkeltes kontor-PC og servere [må tilpasses den konkrete situasjon i Firmaet] som en del av funksjonen til internettleseren. Firmaets IT-avdeling har tilgang til alle maskiner og alle profiler.

Dokument-/filbehandling

[Type lagring og tilgang vil variere fra bedrift til bedrift, punktet må derfor tilpasses den individuelle situasjon. Eksempel på bestemmelse kan være:]

Alle dokumenter som blir produsert (Word, Excel, PP ol) blir lagret i et felles datalager. Som standard har alle medarbeidere full tilgang til alle dokumenter.

[Andre punkter som kan være av betydning i forhold til logging av dokumentopplysning er:

• Informasjon om logging i brannmur

• Informasjon om andre medarbeideres tilgang til lagrede dokumenter, og eventuell lagring av data om slik tilgang

• Kontrollrutiner i Firmaet i forhold til lagring av data.

Rutiner om:

Brukerregister enkelte applikasjoner

Ekstern pålogging

Kalenderfunksjon

Telefoni/mobiltelefoni

Adgangregistrering og lignende

Videoovervåkning

Sikkerhetskopiering]

Bruk av IT hos partnere/kunder:

Den ansatte forplikter seg dessuten til å ivareta kunder/partneres behov for og krav til integritet og sikkerhet, herunder datasikkerhet. Den ansatte skal ha spesiell fokus på at bruk av kundens PC-utstyr, nettverk, databaser, e-mailsystem, internettilgang, ivaretar sikkerhets- og integritetskravene, og at bruk skjer innenfor allment aksepterte etiske normer. Adgang til og bruk av kundens system for databehandling skal ikke benyttes i større utstrekning enn oppdraget tilsier og/eller tillater. Det er strengt forbudt å lagre uvedkommende informasjon på kundens/klientens maskinvare, eller urettmessig koble seg opp mot kundens datasystemer uten avtale med kunden/klienten.

Varslingsplikt:

Uregelmessigheter i systemer og nettverk, mistanke om virusangrep, tyveri av utstyr og tap eller kompromittering av passord eller enhet for oppbevaring av privat elektronisk nøkkel, skal straks rapporteres til IT-drift eller andre ansvarlige. Saker av alvorlig eller prinsipiell karakter vil bli overlatt til politiet for videre undersøkelser m.m.

Skanning

Det kan også foretas skanning av alle lagringsområder for å avdekke uautorisert eller ulisensiert programvare, ”underholdningsfiler” som musikk og video, uønsket eksekverbar kode (programkode som kan inneholde for eksempel virus og skjult programvare) og annet innhold som ikke er i tråd med Bedriftens regler eller er jobbrelatert.

For å ivareta informasjonssikkerheten kan Bedriften foreta sletting av slike filer uten varsel.

Årlig revisjon, endringer mv

Denne sikkerhetsinstruksen skal gjennomgås årlig av Firmaets styre. Endringer i instruksen som styret vedtar vil bli behørlig varslet [på Firmaets intranett eller] ved e-post til alle medarbeidere og er etter dette bindende for alle medarbeidere. Omfattende endringer krever medarbeidernes signatur [Instruksen skal være tilgjengelig for alle medarbeidere på Firmaets intranett.]

Konsekvenser ved brudd

Brudd på disse reglene kan medføre konsekvenser, og i alvorlige tilfeller oppsigelse eller avskjed. Grove brudd vil normalt bli politianmeldt og påtalt. Den ansatte skal gjøre seg kjent med og følge de til enhver tid gjeldende regler for bedriftens IT-ressurser, spesielt regler og rutiner for:

Brudd på disse reglene fra innleid personell vil kunne medføre at oppdraget/ene faller bort.

Bedriften vil informere om når det foreligger endringer i gjeldende regler. Dokumenter som berører den ansatte vil være tilgjengelig fra eget nettsted [4].

Samtykke:

Undertegnede bekrefter å ha mottatt sikkerhetsinstruksen og at den vil bli overholdt. Videre samtykker undertegnede til den bruk, registrering og behandling av personopplysninger som fremgår ovenfor.

............................ ............................................

Navn (blokkskrift) Dato, underskrift

Avtalen/instruksen signeres og sendes nærmeste overordnede leder, eventuelt personalarkiv, for oppbevaring sammen med ansettelseskontrakt.

Vennligst ikke stryk: Copyright digi.no

Til toppen