REGLER FOR BRUG AF PC OG IT-ARBEJDSPLADS
Alle pc’er eller it-arbejdspladser skal være beskyttet med antivirus-software, som under ingen omstændigheder må fjernes eller deaktiveres af medarbejdere. Det er ikke tilladt for medarbejderne selv at installere software på pc’er eller it-arbejdspladser. Ønskes anden software installeret, skal dette ske i samråd med it-afdelingen.
Arbejdsrelaterede data, herunder særlige kategorier af personoplysninger (følsomme personoplysninger), må ikke gemmes på pc’ens lokale drev.
Hvis arbejdspladsen forlades, skal medarbejderen låse pc’en.
Medarbejdere, der har fået stillet mobiltelefon og Ipad til rådighed, skal ændre adgangskode ved modtagelse af disse enheder. Mobiltelefon skal være sikret med automatisk lås med kode, samt SIM-kort låst med PIN-kode.
Det er ikke tilladt for EKKOfondens beboere at anvende EKKOfondens devices/enheder (mobiltelefon og Ipad).
Reglerne omkring privat brug af devices er reguleret i personalehåndbogen.
MEDARBEJDERES BRUG AF INTERNET OG E-MAIL
Medarbejdere, der har fået stillet en pc til rådighed, skal følge retningslinjer for internetadgang og brug af e-mail. Retningslinjer fremgår af EKKOfondens personalehåndbog.
Retningslinjerne har til hensigt at sikre en hensigtsmæssig anvendelse af internet og e-mail i relation til EKKOfondens tilrettelæggelse af arbejdet og persondatasikkerheden. Retningslinjerne skal være gældende, uanset om brugen sker på arbejdspladsen eller eksternt, såfremt brugen indebærer opkobling til EKKOfondens netværk.
ANVENDELSE AF EKKOFONDENS INTERNE DREV OG SERVERE
Der må ikke lagres arbejdsrelaterede eller særlige kategorier af personoplysninger på lokale pc drev. Persondata af følsom karakter, skal derfor øjeblikkelig overføres til de respektive fortrolige netværksdrev og slettes fra lokal eller ekstern harddisk.
Alle drev på EKKOfondens servere skal være tilgængelig for brugerne til arbejdsrelaterede formål. Den enkelte bruger skal dog kun have adgang til de drev, som brugeren har et arbejdsmæssigt behov for at have adgang til. Alle medarbejdere i EKKOfonden skal som udgangspunkt have adgang til et personligt drev og et afdelingsdrev samt til de nødvendige fællesdrev.
BRUGERRETTIGHEDSSTYRING
For at sikre fortrolighed og integritet, skal medarbejdere kun tildeles de adgange til data i
it-systemerne, som der er arbejdsbetinget behov for. Det er lederen af den enkelte afdeling, der har ansvaret for, at den enkelte medarbejder er tildelt de korrekte rettigheder.
Adgange til EKKOfondens interne server samt anvendte IT systemer tildeles altid med udgangspunkt i ”need-to-know”/ ”need-to-have” og ”least privilege”-principperne. Derved sikres, at adgange er tildelt brugere med et arbejdsbetinget behov, uanset hvilken form for it-udstyr der anvendes.
Endvidere er det afdelingslederens ansvar, at medarbejderes brugerkonti øjeblikkelig nedlægges ved arbejdsophør i forbindelse med medarbejderes fratrædelse. It-afdelingen er – i samarbejde med afdelingslederne – ansvarlig for at definere, hvilke systemer og data, som medarbejderne skal have fri adgang til.
PASSWORD-POLITIK
Alle medarbejdere skal øjebliklig efter tiltrædelse ændre sit midlertidige password til sit eget hemmelige password. Password skal som minimum være på 10 karakterer og være komplekst, herunder være en blanding af tal og tegn samt indeholde både store og små bogstaver. Password skal skiftes hver 90. dag, når systemet giver besked herom. Password kan genbruges efter 10. gange.
Passwords er strengt personlige og må ikke gives til andre. Hvis en medarbejder har mistanke om, at andre har kendskab til vedkommendes password, skal medarbejderen øjeblikkelig skifte det. Såfremt medarbejderen har mistanke om misbrug af password og brugerkonti, skal medarbejderen uden unødigt ophold henvende sig til lederen for afdelingen.
Da EKKOfondens IT systemer er internetbaserede løsninger vil disse skulle tilgå disse via en internetbrowser. Mange internetbrowsere tilbyder at huske login oplysninger – brugernavn og password, lige som det er muligt at bede computeren om at huske oplysninger når du logger ind på EKKOfondens interne server. EKKOfondens medarbejdere skal til en hver tid fravælge at benytte denne mulighed.
DATABESKYTTELSE GENNEM DESIGN OG STANDARDINDSTILLING
EKKOfonden gennemfører – både på tidspunktet for fastlæggelse af processer og systemer til behandling og på tidspunktet for selve behandlingen – passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper.
I gennemførelsen af de passende tekniske og organisatoriske foranstaltninger tages der hensyn til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer.
Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer.
BESKYTTELSE MOD VIRUS
Alle EKKOfondens servere og pc’er skal være beskyttet med opdateret antivirus software til beskyttelse af it-systemer og data mod virusangreb. Det er it-afdelingens ansvar, at antivirus-softwaren er opdateret med seneste version.
FIREWALL
For at beskytte EKKOfondens netværk mod indtrængen fra eksterne kilder, skal der opsættes en firewall. It-afdelingen er ansvarlig for, at adgangen til netværket er beskyttet via en firewall og har således ansvaret for konfigurationen af firewall samt administration og vedligeholdelse heraf, herunder sikre, at dette sker i takt med udviklingen i trusselsbilledet.
Ændringer af opsætning af firewallen skal registreres automatisk i en log.
KRYPTERING
Der anvendes korrekt og effektiv kryptering for at tilsikre beskyttelse af datas fortrolighed, autencitet og/eller integritet. Data og underliggende infrastruktur skal beskyttes ved transmission af fortrolige oplysninger. Ved valg af kryptering tages i betragtning, at en kraftig kryptering sænker farten og dermed dataflowet.
NETVÆRK
Ansvaret for opbygning og vedligeholdelse af netværket skal placeres i it-afdelingen. It-afdelingen vedligeholder en topologi med oversigt over netværket. Alle eksterne forbindelser til EKKOfondens netværk skal godkendes af it-afdelingen, som løbende opdaterer en oversigt med alle eksterne forbindelser til netværket.
SIKKERHEDSKOPIERING
Alle data, der er centralt lagret på EKKOfondens servere, skal indgå i sikkerhedskopieringen af systemer og data. Det er it-afdelingens ansvar at foretage sikkerhedskopiering af centralt lagrede data, og at sikkerhedskopierne opbevares på forsvarlig vis. Endvidere er det it-afdelingens ansvar at teste genskabelse af data på baggrund af sikkerhedskopien.
Alle arbejdsrelaterede data skal sikkerhedskopieres, således at de kan genskabes i tilfælde af systemnedbrud eller lignende. For at sikre data, skal alle medarbejdere lagre data, herunder ind- og udgående elektroniske dokumenter, databaser, regneark m.v., på de centrale servere.
FJERNARBEJDSPLADSER
Ved behov skal medarbejdere kunne tilgå netværket uden for EKKOfondens lokaler ved opkobling via en sikker VPN-forbindelse med brugernavn og password.
SIKKER BORTSKAFFELSE AF DATAMEDIER
Alle datamedier skal bortskaffes på en sådan måde, at oplysninger, der måtte befinde sig på datamediet, ikke kan tilgås og derved komme til uvedkommendes kendskab. Ved datamedier forstås enhver form for enhed til opbevaring af data. Alle trykte dokumenter skal lægges i aflåst makulatorboks, som afhentes og destrueres på forsvarligvis. Alle harddiske, bånd, disketter, usb-nøgler og tilsvarende medier skal fysisk destrueres, så læsning og genskabelse af data umuliggøres.
Tidligere anvendte pc’er kan genanvendes inden for EKKOfonden, uden at harddisken destrueres. Såfremt pc’en genanvendes inden for egen juridisk enhed, er det tilstrækkeligt, at harddisken formateres og overskrives gentagende gange, før den tages i brug af en anden medarbejder. Ved andre tilfælde skal harddiske destrueres.
SYSTEMDOKUMENTATION
Der skal foreligge dokumentation for EKKOfondens lokale it-systemer. Der er her tale om dokumentation af systemernes konfiguration, indhold samt anvendelse, både for systemer som leveres af leverandører samt egenudviklede systemer. Formålet er, at systemer kan genskabes efter eventuelle nedbrud.
KONTROL OG OVERVÅGNING
EKKOfonden skal have procedure for overvågning og kontrol af medarbejderes brug af systemer, herunder brug af internettet og e-mail. Overvågningen og kontroller skal være baseret på opsat sikkerhedslogning.