Dyreparkens informasjonssikkerhetspolicy

Fra Dyreparken Wiki
Revisjon per 15. des. 2020 kl. 07:38 av Vidar (diskusjon | bidrag)
(diff) ← Eldre revisjon | Nåværende revisjon (diff) | Nyere revisjon → (diff)
Hopp til navigering Hopp til søk

Informasjonssikkerhetspolicy

Etter GDPR artikkel 32 skal virksomheten gjennomføre passende tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som svarer til risikoen knyttet til virksomhetens behandling av personopplysninger.

1. Bruk av virksomhetens nettverk og informasjonssystemer

1.1. Opplæring

Alle ansatte skal ha jevnlig gjennomgang av denne rutinen. Nyansatte får det som en del av onboarding de gjennomgår med HR. Rutinen legges ut på Workplace for ansatte, og sendes ut på e-post når den trer i kraft. Før den ansatte får tilgang til virksomhetens IT-system, skal vedkommende ha gjennomgått nødvendig opplæring og signert på opplæringen.

1.2. Brukernavn, passord og skjermsparer

  • Den ansatte skal tildeles brukernavn og førstegangs passord.
  • Passord skal være strengt personlig og skal ikke oppgis til eller lånes ut til andre.
  • Passordet skal ikke inneholde navn på familiemedlemmer, fødselsnummer eller andre opplysninger som lett lar seg knytte til brukeren.
  • Passordet skal bestå av en kombinasjon av store og små bokstaver og tall/tegn og være på minst 12 tegn. Siste 5 passord skal ikke gjenbrukes.
  • Passordet skal kun brukes med din bruker og kun i de systemer som virksomheten har tatt i bruk. Det betyr at passordet IKKE skal brukes privat.
  • E-postadressen/brukernavnet skal ikke brukes som brukernavn på internettjenester som ikke er pålagt av virksomheten.
  • Dersom en ansatt har mistanke om at passordet er blitt kjent av andre, skal passordet byttes og hendelsen rapporteres til IT support snarest mulig, og registreres i avviksystemet som et avvik.
  • Datamaskinen skal alltid låses når arbeidsplassen forlates i kortere perioder. Maskinen skal også være satt opp med automatisk skjermsparer med aktivering etter 15 minutters inaktivitet.
  • Den ansatte skal alltid logge ut før du overlater maskinen til andre,samt ved arbeidstidens slutt.
  • Mobiltelefon tilkoblet bedriftens nett/e-postsystem skal være beskyttet med kode, og ha automatisk låsing ved inaktivitet.

1.3. Trådløst nettverk

Destinasjon Dyreparken er åpent gjestenettverk som skal brukes til alle ansattes mobiltelefoner og til gjester. Dyreparken-Admin er passordbeskyttet og forbeholdt ansattes bærbare jobb-pc samt andre enheter som settes opp av IT-avdelingen. Sistnevnte skal aldri deles ut til gjester ifbm. møter etc.

1.4. Internett

Alle ansatte har tilgang til å benytte internett samt sende og motta e-post fra sin lokale arbeidsstasjon/PC. Virksomheten har anledning til å logge informasjon om internettbruk og e-posttrafikk for å sikre alminnelig drift, samt for sporing ved eventuelle sikkerhetsbrudd.

1.5. E-post

  • All virksomhetsrelatert e-post (innkommende og utgående) skal gå gjennom virksomhetens e-postløsning.
  • Dersom e-post må benyttes for overføring av beskyttelsesverdig eller sensitiv informasjon, skal informasjonen sendes som kryptert vedlegg til e-post. Se egen rutine for dette på WP.
  • Brukere er selv ansvarlig for å sørge for lagring av det som er virksomhetsrelatert og som virksomheten trenger tilgang til på Sharefile/felles.
  • Arbeidsgivers mulighet til innsyn i e-post og private filer.
  • En arbeidsgiver kan bare gjøre innsyn i ansattes e-post eller private filer i to tilfeller. Det første er når det er nødvendig for å ivareta driften av virksomheten, det andre er ved mistanke om grove brudd på arbeidstakerens plikter. For mer informasjon les Datatilsynet retningslinjer: https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/innsyn-epost-filer/

1.6. PC og annet utstyr

Oppsett av kontor-PC, jobb-laptop og annet portabelt utstyr skal ikke endres av bruker. Beskyttelsesverdig informasjon skal ikke lagres lokalt på jobb-laptop eller annet portabelt utstyr. Jobb-laptop eller annet bærbart utstyr skal ikke ligge synlig uten tilsyn.

1.7. Sikkerhetskopiering

For å sikre at det blir tatt sikkerhetskopier, skal all virksomhetsrelatert informasjon lagres på eller kopieres til servere i virksomhetens nett. For jobb-laptop må oppdatering mot servere i virksomhetens nett gjøres regelmessig, spesielt dersom andre er avhengig av informasjonen.

1.8. Fjerntilkobling

Ekstern tilkopling mot virksomhetens hjemmekontor løsning tillates kun etter avtale med avdelingsleder og IT-sjef.

1.9. Hjemme-PC

Kunde- eller virksomhetsrelatert informasjon skal ikke lagres på privat/hjemme-PC.

1.10. Reparasjon, service og vedlikehold

Alle feil eller mistanker om feil i informasjonssystemet (både maskin- og programvare) skal rapporteres til IT support umiddelbart. Arbeid som skal utføres av eksternt personell på IT-systemer og utstyr skal kun iverksettes etter godkjennelse fra systemeier, med informasjon til IT-avdelingen.

1.11. Håndtering av informasjon og lagringsmedier

Utstyr som skal kasseres og som inneholder harddisker og annet lagringsmateriale (f.eks. minnebrikker, backuptape etc.) skal destrueres på forsvarlig vis. Dersom du er i tvil, ta kontakt med IT-avdelingen

1.12. Lagring og utskrift

  • All prosjektrelatert informasjon skal lagres Asana og ikke andre steder. Midlertidig lagring underveis i prosjektet utenom Asana skal skje på områder som er dekket av backup (felles n: og hjemmekatalog h:). I en overgangsperiode benyttes fortsatt gammelt prosjektområde på felles (n:).
  • Fellesområdet skal brukes til informasjon som ikke er prosjektrelatert og som skal kunne leses/brukes av flere innenfor de ulike organisasjonene. Det er satt opp tilgangsbegrensning på enkelte områder.
  • Hjemmekatalogen (h:) skal primært brukes til filer/informasjon som den enkelte ønsker å ta vare på og som er jobbrelatert.
  • Privat innhold skal ikke lagres på Dyreparkens lagringsmuligheter.
  • Utskrifter skal fjernes fra skriveren så snart utskriftsjobben er ferdig og beskyttes med passord om det er sensitiv informasjon som skrives ut.

2. Fysisk adgang

2.1. Adgangskort og nøkler

  • Ansatte som mister nøkkel/nøkkelkort, skal umiddelbart melde ifra om dette til ISS, HR eller HMS. Det er ikke tillatt å ha pin-koden på baksiden av kortet. Kortet skal aldri lånes bort til andre.
  • Ansatte som slutter eller går ut i permisjon lengre enn 6 måneder, skal levere inn nøkkel/nøkkelkort.

2.2. Besøkende

Den som mottar besøkende, er ansvarlig for at:

  • besøkende blir registrert/utregistrert hos sentralbord, hentet og fulgt tilbake
  • besøkende ikke oppholder seg i virksomhetens lokaler uten følge av en ansatt, eller har fått godkjenning til å gå alene

Besøk utenom ordinær arbeidstid skal begrenses.

3. Personellsikkerhet

3.1. Taushetserklæring

Alle ansatte, konsulenter og vikarer skriver under på taushetserklæring i sin arbeidsavtale/arbeidsreglement/kontrakt.