IT-policy

Inledning

Det här dokumentet beskriver regler och riktlinjer för användningen av IT-resurser inom  föreningen. Med föreningen menas KFUM Infinite Malmö och med IT-resurser menas datorer, nätverk,  system och all annan kringutrustning som används i samband med hantering av information i  digital form.

Reglerna gäller alla volontärer, anställda, styrelsemedlemmar och samtliga övriga användare av företagets IT-resurser som t.ex. praktikanter och externa konsulter.

Avsikten med dokumentet är att skydda föreningens verksamhet, medlemmar, samarbetspartners, anställda och andra intressenter.

Den grundläggande princip på vilken dessa regler och riktlinjer vilar, är att föreningens IT- resurser ägs av företaget och utgör ett arbetsredskap som skall användas för föreningens verksamhet. Föreningen ska inte lida skada eller onödiga kostnader genom olämplig användning av dessa arbetsredskap.

Föreningens IT-resurser får inte användas för att på otillbörligt sätt sprida, förvara eller förmedla information

  • i strid mot gällande lagstiftning, t.ex. hets mot folkgrupp, barnpornografibrott, olaga våldsskildring, förtal, ofredande, dataintrång eller upphovsrättsbrott
  • som är att betrakta som politisk, ideologisk eller religiös propaganda
  • i strid mot personuppgiftslagens (PuL/GDPR) stadganden om den personliga integriteten
  • som i annat fall kan uppfattas som kränkande och stötande
  • som syftar till att marknadsföra produkter eller tjänster som saknar anknytning till föreningen
  • som på något annat sätt kan störa föreningens IT-säkerhet.

Individuellt ansvar

Det är viktigt att alla berörda inser det individuella ansvar som denna policy innebär. Som användare förväntas du känna till och följa dessa regler och riktlinjer. Det är också viktigt att användandet av föreningens IT-resurser görs på sådant sätt att företagets namn, anseende och goda rykte bibehålls.

Behörighet

Behörigheten till föreningens IT-resurser är personlig och får inte överlåtas eller på annat sätt göras tillgänglig för annan person eller extern part. Det är inte tillåtet att nyttja någon annans behörighet eller utnyttja felaktiga konfigurationer, programfel eller på annat sätt manipulera föreningens IT-resurser.

Säkerhet

För att skydda mot spridning av virus och mot obehörigt tillträde skyddas våra IT-resurser av säkerhetssystem, såsom antivirusskydd och brandväggar. Det är inte tillåtet att avaktivera eller på något sätt manipulera dessa skydd.

Alla anslutningar och installationer av datorer eller annan utrustning i föreningens nätverk ska utan undantag godkännas av företagets IT-ansvariga.

Användaren är ansvarig för en säker användning av sin personliga utrustning och att vidta alla rimliga åtgärder för att skydda IT-resurser mot virus, obehörigt tillträde eller andra attacker mot systemets säkerhet och integritet.

För att förhindra obehörig åtkomst till information, har föreningen valt att via policy automatiskt aktivera lösenords-skyddad skärmsläckare efter 15 minuters inaktivitet av datorn. Bärbara datorer och externa hårddiskar låses nattetid, alternativt tas med hem.

Backup och återläsning

Backup sker automatiskt dagligen. Informationen förvaras säkert i 30 dagar.

Lösenord

Lösenord och användaridentitet ska ses som personliga uppgifter och får inte lämnas ut till någon annan. Lösenord skall av användaren omgående bytas om misstanke finns att det har avslöjats. IT-ansvarig förbehåller sig rätten att omedelbart byta en användares lösenord vid misstanke om att lösenordet avslöjats. Lösenord får inte lagras fysiskt t.ex. i pappersform eller digitalt i t.ex. mobiltelefon.

Användare får inte använda samma lösenord till externa system eller för privat bruk (t.ex.  Facebook och Gmail) som till föreningens resurser.

Lösenordet skall bestå av minst 8 tecken (max 16 tecken) och måste innehålla minst tre av följande: en siffra(0-9), en stor bokstav (A-Z), en liten bokstav(a-z)

  • Lösenord får inte innehålla å, ä, ö eller andra bokstäver som ej finns i det engelska  alfabetet
  • Lösenord får inte innehålla mellanslag
  • Lösenordet ska bytas minst 2 gånger om året (tvingande)

Detta gäller på enheter eller system som har stöd för detta. För mobiltelefoner och handhållna  enheter gäller sifferkod, eller om detta inte finns, högsta möjliga säkerhet som enheten har stöd för.

Lösenord måste bytas minst var 180:e dag. På de system där det är möjligt kommer detta att styras via policys annars är det användarens ansvar att följa detta. Lösenord måste bytas omgående då systemet påminner om detta för att inte riskera att bli utelåst.

Lagring

Användare är skyldiga att lagra sina dokument och filer i därför avsedd plats på föreningens server/hårddiskar. Under inga omständigheter får personinformationen lagras lokalt på datorn. Det är inte heller tillåtet att spara data i externa lagringslösningar (såsom Dropbox eller iCloud) som inte godkänts av föreningen. Detta för att kunna ge sökbarhet samt garantera backup av data.

Internet är avsett att användas för informationssökning och andra relevanta ändamål inom och för föreningens verksamhet.

Vid användning av Internet är det förbjudet:

  • att besöka webbsidor med pornografiskt, rasistiskt eller annat innehåll som kan väcka  anstöt
  • att ”ladda ner” program och filer om de kan påverka IT-säkerheten, vid osäkerhet kontakta  IT-ansvarig
  • att sprida och/eller förfoga över upphovsrättsligt skyddat material utan rättighetsinnehavarens tillstånd
  • att besöka spelsidor, spela förströelsespel, använda chatprogram eller liknande i annat syfte än vad som direkt kan kopplas till anställning, projekt eller uppdrag

E-post

E-post är avsedd att användas för intern och extern kommunikation. All e-post kommunikation som avser föreningens verksamhet skall ske genom föreningens e-postkonton där det klart skall framgå för mottagaren att mejlet kommer från KFUM Infinite Malmö.

Användare får inte använda en företagsadress på ett sätt eller i ett sammanhang som kan skada föreningens image och anseende. E-post får inte användas för politiska, kommersiella eller andra syften som strider mot föreningens verksamhet. E-posten får inte användas för privat bruk, användas i privata diskussionsgrupper, som mottagaradress för privat reklam eller på andra sätt som kan skada föreningen.

Information och data får inte placeras på servrar utanför föreningens kontroll, därför är det inte tillåtet att till exempel vidarebefordra e-post med känslig information till publika e-post tjänster.

Meddelanden som skickas via e-post kan medföra legala konsekvenser för föreningen. Anklagelser om ärekränkning, bruten sekretess eller kontraktsbrott kan bli följden av missbruk eller vårdslös användning av dessa medium. Meddelanden som sänds via e-post eller föreningens internetuppkopplingar kan arkiveras och göras sökbara. När dessa är relevanta kan de utkrävas som bevismaterial i rättstvister där företaget berörs.

Mobiltelefoni

Det är av yttersta vikt att den anställde hanterar sin mobiltelefon med största varsamhet och försiktighet med tanke på vilka säkerhetsrisk denna typ av utrustning innebär, då man via enheten har tillgång till känslig information.

Geografisk spårning av mobiltelefoner är inte aktiverat men kan komma att aktiveras vid förlust av enhet eller annan speciell händelse. Vid tjänstgöring i utlandet skall uppkoppling ske via Wifi i största möjliga utsträckning. Kommunikation skall ske via internet i största möjliga utsträckning. Vid utlandsvistelse i privat regi får inga kostnader kopplade till föreningens mobilabonnemang belasta företaget.

Övrig programvara

Användare får inte ladda ner annan än av IT-ansvariga godkända programvaror. Inga hemsnickrade programvaror får användas på föreningenss datorer eller i dess IT-miljö.

Privat användning av IT-resurser

Användare har fått tillgång till IT-resurser för att underlätta deras arbete för föreningen och resurserna får inte missbrukas. Emellertid är privat användning acceptabelt under förutsättning att:

  • Användningen inte stör några direkta eller indirekta åtaganden med eller för föreningen.
  • Användningen inte medför några kostnader för föreningen.
  • Användningen följer reglerna i denna policy samt policy för personuppgiftshantering.

Kontroll och övervakning av IT-system

Användare som vid användande av föreningens IT-resurser upptäcker fel eller annat som kan vara av betydelse för IT- driften inom företaget, är skyldig att genast rapportera detta till IT-ansvarig.

IT-resurserna övervakas kontinuerligt 24/7 och händelser på det lokala nätverket loggas. Dessa loggar sparas och arkiveras och kan vid behov utgöra bevis för eventuella överträdelser.

Användning av IT-resurser kan granskas och övervakas i alla situationer där det enligt föreningsledningen finns legitim anledning, detta gäller även filer och lagrade meddelanden. Granskning och övervakning får ske utan underrättelse eller begäran om tillstånd. Föreningen kan tvingas göra lagrad information tillgänglig för tredje part som en följd av rättsliga krav eller genom krav från myndigheter.

Övervakningen och kontrollen av resultatet från övervakningen kommer endast att utföras av behörig personal.

Påföljder vid överträdelse

Anställd inom föreningen eller annan berörd som på något sätt bryter mot denna IT-policy kommer att ställas till svars för den överträdelse som begåtts. Överträdelsens art styr påföljden men denna kan vara muntlig eller skriftlig varning från föreningen. Användare som misstänks för brott enligt brottsbalken kan bli föremål för polisanmälan.

Överenskommelse

Härmed intygar jag att jag har läst, förstått och att jag kommer att följa föreningens IT-policy. Jag  förstår att det åligger mig att använda föreningens IT-system på ett sätt som gagnar föreningen,  dess verksamhet samt dess medlemmar och att den information som jag hanterar via föreningens  IT-system inte är privat.  

Jag förstår också att överträdelser mot denna IT-policy kan leda till disciplinära påföljder och vid  grov överträdelse även avsked från föreningen. Jag förstår också att denna IT-policy kommer att  förändras under dess livscykel för att möta de framtida krav företagets IT-system ställs inför.  

Mer info

Allmänna villkor

Nedan allmänna villkor som gäller vid medlemskap hos KFUM INFINITE MALMÖ mellan den person (”Medlem”) som står namngiven i avtalet och KFUM INFINITE MALMÖ, nedan angivet som ”IM”. Utöver dessa villkor kan också särskilda villkor gälla vid enskilda tillfällen och vid...

läs mer

Rutiner

Den 25 maj 2018 började EUs dataskyddsförordning General Data Protection Regulation, GDPR, gälla i hela Europa och ersätter därmed den svenska personuppgiftslagen, PuL. GDPR innehåller regler om hur personuppgifter får behandlas för att skydda den personliga...

läs mer