Informationssikkerhed - til ledere

Denne informationssikkerhedsside er rettet mod dig, som er leder med personaleansvar i Randers Kommune.

Tilsvarende er der udarbejdet en folder rettet mod medarbejderne.

Som leder med personaleansvar har du en vigtig rolle, da du er med til at sikre, at de enkelte opgaver udføres på en sådan måde, at kommunen som myndighed efterlever den gældende lovgivning, kommunens informationssikkerhedspolitik samt de tilhørende retningslinjer og procedurer. Som leder skal du orientere dine medarbejdere om regler for informationssikkerhed, herunder ansvarlighed i relation til Randers Kommunens it-systemer samt i det daglige følge at informationssikkerheden overholdes.

Randers Byråd har vedtaget en informationssikkerhedspolitik, som fastlægger mål og rammer samt den overordnede organisering af informationssikkerhed i kommunen. Politikken bestemmelser udmøntes i kommunens interne retningslinjer i form af informationssikkerhedshåndbogen.

Siden skal give dig et kendskab til de vigtigste regler og retningslinjer, der gælder for informationssikkerhed i kommunen. Den skal også give dig et overblik over de opgaver, du har som leder med personaleansvar i forhold til informationssikkerhed, så du i praksis ved, hvad du skal gøre.

Vil du vide mere, kan du altid læse yderligere i informationssikkerhedshåndbogen. Under "EU databeskyttelsesforordning" finder du selve databeskyttelsesforordningen, vejledninger fra Datatilsynet, interne vejledninger, awarenessmateriale mv.

Informationssikkerhed skal generelt indgå i arbejdet i alle projekter. Krav til informationssikkerhed skal indgå som en del af kravspecifikationen fx krav til kryptering, autorisation og kontroller. Hvis der indgår persondata i systemet, skal der indgås en databehandleraftale, laves risikoanalyse, udarbejdes en systembeskrivelse mv. Se indkøbsguiden for yderligere information.

Det er udelukkende enheder der er anskaffet og konfigurereret af IT & Digitalisering, der må tilsluttes Randers Kommunes netværk. Enhederne må kun anvendes af dig som ansat i Randers Kommune og i forbindelse med varetagelse af dine opgaver. Der er dog undtagelse for mobiltelefoner, hvis man bliver beskattet af brugen. Private enheder må således ikke anvendes til løsning af arbejdsopgaver.

På mobile enheder (tablets og telefoner) skal du som bruger selv opdatere operativsystem og eventuelle apps. Det er her vigtigt, at der hurtigst muligt opdateres til nyeste version. Du vil normalt få at vide, hvornår der er kommet en ny version.

Som udgangspunkt er det ikke tilladt at opbevare persondata eller fortrolige data på fysiske medier. Fysiske medier er fx bærbar pc, mobiltelefoner, tablets, USB-nøgler, eksterne harddiske og lignende. Det betyder bl.a. at du ikke må gemme persondata på pc’ens skrivebord og på drev, men de skal gemmes i dit fagsystem eller i SBSYS.

I forbindelse med en ansættelse vil der til ansættelsesbrevet være vedlagt et bilag med information om Randers Kommunes behandling af medarbejderes oplysninger i henhold til reglerne om databeskyttelse. I ansættelsesbrevet fremgår det, at medarbejderen skal følge reglerne i databeskyttelsesforordningen. Ved opstart modtager alle nye medarbejdere en velkomstmail om, at de skal gennemføre et obligatorisk kursus om GDPR og et obligatorisk kursus om informationssikkerhed. Du skal sikre, at din nye medarbejder gennemfører kurset.

Når et ansættelsesforhold ophører skal der foretages flere praktiske tiltag, således medarbejderen ikke længere har adgang til arbejdspladsen eller Randers Kommunes systemer. Det er fx følgende:

• Inddragelse nøglebrikker/kort
• Inddragelse af fysiske nøgler
• Sletning af autorisationer og evt. licenser
• Aflevering af IT-udstyr, herunder mobiltelefon og tablet
• Kommunikere om tavshedspligten
• Overdragelse af vigtig viden om f.eks. systemer og data til andre i afdelingen/institutionen.

Når en medarbejder skal have tildelt adgange til forskellige systemer, så skal det altid være arbejdsmæssigt begrundet. Det vil sige, at den enkelte medarbejder tildeles adgang efter "Need-to know-princippet" – altså kun adgang til de systemer og informationer, som der er behov for til løsning af vedkommendes opgaver.

Når en medarbejder skal have ændret adgang til et eller flere systemer fx i forbindelse med flytning til anden afdeling i kommunen, så kræver det at alle tildelte adgange bliver gennemgået og tilrettet, således de afspejler medarbejderens nye funktion. Ligeledes ved ophør af et ansættelsesforhold skal det sikres, at tildelte adgange inddrages efter sidste arbejdsdag.

To gange årligt skal ledere foretage en dokumenteret gennemgang af medarbejdernes adgange og skal bestå af både en validering af, om brugeren har et behov for adgang samt hvorvidt de tildelte rettigheder er korrekte. Gennemgang af privilegerede adgange som fx systemadministrator skal gennemgås minimum fire gange årligt, for at verificere de er i overensstemmelse med tildelte opgaver.

Når man som medarbejder får adgang til Randers Kommunes netværk og dermed adgang til Internettet, påhviler det den enkelte it-bruger at sikre, at færden på internettet hverken kompromitterer sikkerheden eller Randers Kommunes anseelse. Færden på internettet bliver logget og sker som en teknisk sikkerhedsforanstaltning med henblik på at identificere og blokere virus, malware, andre it-sikkerhedsmæssige trusler samt til fejlfinding. Derudover tilgår Randers Kommune kun undtagelsesvist loggen med det formål at kontrollere medarbejdernes adfærd, og såfremt der er begrundet mistanke om alvorlige brud på reglerne. På tilsvarende måde tilgår Randers Kommune loggen i fagsystemer.

Randers Kommunes it-brugere er ansvarlige for at sikre deres bruger-id og adgangskode, som er strengt personlige og ikke må deles med andre. Man må ikke registrere adgangskoder på papir, bag tastaturet, i en fil eller lignende, men skal lagres forsvarligt og i henhold til god skik. Man bør ikke bruge samme adgangskode til mail, systemer mv., som man også anvender privat til fx sociale medier. Hvis man får mistanke om, at andre har fået kendskab til sin adgangskode, så skal man straks ændre koden og orientere nærmeste leder.

Kryptering er en metode til at gemme og transmittere data i en form, hvor læsbare data bliver konverteret ved hjælp af en algoritme til et ikke læsbart format. Data kan kun afkodes tilbage til deres oprindelige form ved at anvende en specifik dekrypteringsnøgle.

Når fortrolige eller følsomme personoplysninger skal sendes uden for Randers Kommunes netværk, så skal de altid sendes krypteret. Til dette formål skal anvendes digital post eller sikker mail.

Når der arbejdes uden for Randers Kommunes lokationer skal der altid anvendes VPN på pc'en, hvilket sker automatisk på kommunens pc'er. VPN står for "Virtual Private Network" og giver mulighed for at oprette en beskyttet netværksforbindelse, når der bruges det offentlige netværk. VPN krypterer internettrafikken og skjuler derfor brugerens identitet på nettet.

It-brugere skal sikre, at udstyr, som er uden opsyn, er passende beskyttet. Det kan fx ske ved aflåsning af dør til lokalet. Yderligere skal aktive sessioner, applikationer og netværkstjenester afsluttes, når de ikke længere bruges og pc'en slukkes. Forlades pc'en i løbet af arbejdsdagen skal skærmlås aktiveres (gøres nemt ved tryk på flag + L på tastaturet).

Fysisk papir med følsomme eller fortrolige data skal låses inde i et skab eller pengeboks, når de ikke benyttes. Dette gælder både indenfor og udenfor normal arbejdstid.

Malware er en fællesbetegnelse for skadelige programmer som fx virus, orme og spyware, som er blevet installeret på pc'en uden der er givet tilladelse til det. Man kan få malware, hvis der fx er klikket på et ukendt link i en mail eller har downloadet et ukendt program. Får man mistanke om at man har fået malware, skal man straks kontakte IT & Digitalisering.

Indberetning af et sikkerhedsbrud som fx utilsigtet offentliggørelse af cpr-numre, en utilsigtet udlevering af personoplysninger eller lignende skal ske til Randers Kommunes Databeskyttelsesrådgiver (DPO) ved at gøre følgende:

• Klik på IT-support ikonet på dit skrivebord
• Vælg "Anmeld sikkerhedshændelse" og "Anmeld brud på persondatasikkerheden"
• Udfyld formular og klik på "Indsend".

Ved brud på persondatasikkerheden, skal kommunen uden unødig forsinkelse og senest 72 timer efter, at kommunen er blevet bekendt med det, anmelde bruddet på persondatasikkerhed til Datatilsynet.