Kursiv text är tilläggstext i beskrivande ändamål.
IT-policyförslag nummer 3
Exempel 3 (kan vara ett medelstort företag)
Förslag till IT-policy
Företagets IT-resurser ägs av företaget och är avsedda att användas inom företagets verksamhetsområden. All annan användning är otillåten.
Med IT-resurser menas datorer, lokalt nätverk och all annan kringutrustning som nyttjas i samband med hantering av information i digitaliserad form.
Företagets IT-resurser får inte nyttjas för att på otillbörligt sätt sprida, förvara eller förmedla information som strider mot gällande lagstiftning.
Detta gäller exempelvis:
- hets mot folkgrupp
- hatbrott
- barnpornografibrott,
- olaga våldsskildring
- förtal
- ofredande
- dataintrång
- upphovsrättsbrott
Vidare får inte företagets IT-resurser användas till aktivitet som:
- kan betraktas som politisk, ideologisk eller religiös propaganda.
- strider mot PUL's stadgar om den personliga integriteten.
- kan uppfattas som kränkande och stötande.
- syftar till att marknadsföra produkter eller tjänster utan anknytning till företaget.
Det är också viktigt att:
- nyttjande av företagets IT-resurser görs på sådant sätt att företagets namn, anseende och goda rykte bibehålls.
Behörighet
Behörighetsklassificering sker enligt delpolicy XXXXXX*. Behörigheten är personlig och får inte överlåtas eller på annat sätt göras tillgänglig för annan anställd eller extern part.
*Speciellt anpassad delpolicy som behandlar behörighet till information samt informationssystem inom företaget/organisationen. Behörighet kan exempelvis klassificeras enligt Oklassificerat material, Begränsad tillgång, Känsligt material och Hemligt material.
Det är otillåtet att utnyttja någon annans behörighet eller utnyttja felaktiga konfigurationer, programfel eller på annat sätt manipulera företagets IT-resurser.
Behörigheten är tidsbegränsad och är kopplad till anställning, projektdeltagande eller uppdrag.
Behörighet kan dras tillbaka vid överträdelse mot denna IT-policy.
Internet
Internet är avsett att användas för informationssökning och andra relevanta ändamål inom och för företagets verksamhet.
Vid användning av Internet är det förbjudet att:
- besöka webbsidor med pornografiskt, rasistiskt eller annat innehåll som kan väcka anstöt.
- ladda ner program och filer om de kan påverka IT-säkerheten vid företaget, vid osäkerhet skall IT-ansvarig kontaktas.
- att sprida och/eller förfoga över upphovsrättsligt skyddat material utan rättighetsinnehavarens tillstånd (exempelvis bild och textmaterial).
- att använda chatprogram i annat syfte än vad som kan kopplas till anställning, projekt eller uppdrag.
All privat Internetanvändning med företagets IT-resurser är förbjuden.
E-post
E-post är avsedd att användas för intern och extern kommunikation inom företaget.
All kommunikation som avser företagets verksamhet skall ske genom företagets e-postkonton där det klart skall framgå för mottagaren att e-postmeddelandet kommer från företaget och avser företagets verksamhet.
All e-postförsändelse innehållande sekretessbelagd eller känslig information får ej skickas i klartext. Försändelse av denna typ av information måste ske i krypterad form enligt fastslagen rutin*.
*Vilken typ av information som beläggs med sekretess eller klassas som känslig inom företaget/organisationen måste framgå enligt fastslagen rutin. Denna rutin skall vara väl beskriven för berörd personal.
E-post får inte:
- användas för politiska, kommersiella eller andra syften som strider mot företagets verksamhet.
- inte användas för privat bruk
Undvik att bifoga stora dokument med e-post då det kan medföra överbelastning av servrar, nätverk och e-postlådor.
Fjärråtkomst
Företagets medarbetare skall erhålla säker och pålitlig tillgång till företagets IT-resurser. Detta skall även gälla medarbetare med fastslagna behov av åtkomst via utomstående nätverk, så kallad fjärråtkomst. Se externt fastslagen behovsanalys.
Företaget tillhandahåller de resurser som krävs för fjärråtkomst.
Det åligger IT-ansvarig att säkerställa att datorer som används för fjärråtkomst lever upp till de krav som ställs för god IT-säkerhet (avseende antivirus, personlig brandvägg med mera).
Lösenord
Lösenord som används inom Företaget AB skall användas och hanteras i enighet med företagets lösenordspolicy* (följ länken för att ta del av en lösenordspolicy).
*En lösenordspolicy kan byggas upp som en delpolicy eller en fristående policy.
Lösenord och användaridentitet är personliga uppgifter och får inte lämnas ut till någon annan.
**Det går också att inkludera krav på lösenordshantering i den aktuella IT-policyn. Detta kan exempelvis se ut enligt nedanstående text.
Krav vid lösenordshantering
1. Lösenordet skall innehålla minst tio tecken.
2. Lösenordet skall inte kunna kopplas till dig eller någon av dina familjemedlemmar eller på annat sätt vara lätt för en utomstående att gissa sig till.
3. Använd både bokstäver, siffror och specialtecken. Använd både stora och små bokstäver.
4. Lösenordet skall inte kunna återfinnas i form av något ord i någon ordlista eller lexikon – det bör inte heller vara en enkel sammanskrivning av två ord.
5. Använd inte enkla tangentbordsmönster av typen 1234 eller asdfgh.
Om användaruppgifter lagras i pappersform (eller digitalt, exempelvis mobiltelefon) skall valt media förvaras och hanteras som en personlig värdehandling. Lösenord skall omgående bytas om misstanke finns att det har avslöjats.
Användaridentitet
Det är förbjudet att dölja användaridentiteten vid nyttjande av företagets IT-resurser.
Sekretessbelagd information
Sekretessbelagd information får inte skickas i klartext över det lokala eller publika nätverket. Exempel på sekretessbelagd information är skall framgå av externt fastslagen rutin.
Fientlig kod
Det är förbjudet att medvetet sprida virus eller annan fientlig kod till eller från företagets IT-resurser.
Alla datorer inom företaget skall ha ett antivirusskydd. Det är förbjudet att avaktivera eller på något sätt manipulera detta skydd.
Kontroll och övervakning av IT-system
Användare som vid nyttjande av företagets IT-resurser upptäcker fel eller annat som kan vara av betydelse för IT- driften inom företaget (incident), skall genast rapportera detta till IT-ansvarig*.
*I det här fallet kan policyn peka på en av företaget/organisationen framarbetad incidentrapport skall användas.
IT-resurserna övervakas och händelser på det lokala nätverket (LAN) loggas. Dessa loggar sparas och arkiveras i enlighet med externt fastslagen rutin för arkivering och kan vid behov utgöra bevis för eventuella överträdelser.
Påföljder vid överträdelse
Anställd inom Företaget AB som på något sätt bryter mot denna IT-policy kommer att ställas till svars för den överträdelse som begåtts. Överträdelsens art styr påföljden men denna kan vara muntlig varning, skriftlig varning, avstängning från Företaget AB:s IT-system, avsked från Företaget AB samt i grova fall polisanmälan.
Överenskommelse
Härmed intygar jag att jag har läst, förstått och att jag kommer att efterleva Företaget AB:s IT-policy. Jag förstår också att den information som jag hanterar via Företaget AB:s IT-system inte är privat. Jag förstår också att överträdelser mot denna IT-policy kan leda till disciplinära påföljder och även avsked från Företaget AB samt vid grov överträdelse polisanmälan. Jag förstår också att det åligger mig att använda Företaget AB:s IT-system på ett sätt som gagnar företaget, dess affärsverksamhet samt dess anställda. Jag förstår också att denna IT-policy kommer att förändras under dess livscykel för att möta de krav Företaget AB:s IT-system ställs inför.
Signering av anställd samt policyägare
Datum:___________________________________________
Signatur:__________________________________________
Namnförtydligande:__________________________________
Konto:___________________________________________
Policyägare (Företaget AB:s representant)
Signatur:_________________________________________
Namnförtydligande:_________________________________ |
