top of page

Fysisk trygghet


Förhindra obehörig fysisk åtkomst till lokaler och konfidentiell information.

Fastighetssäkerhet   

Kontroll av fysisk åtkomst till byggnader, kontor och andra verksamhetsställen

Organisationens säkerhetsområden kan inte nås utan att uppmärksammas, lokalerna skyddas av lämplig tillträdeskontroll. Endast behöriga personer får ta sig in i säkerhetsområdena.

Meddelandeprocess vid förlust av fysiska identifierare

Personalen har bruksanvisningar och verktyg som gör att de kan rapportera en förlorad fysisk identifiering (t.ex. nyckelbricka, smartkort, smart klistermärke).

Enheters skydd och användning


 

Störningshantering


Upptäck, rapportera och åtgärda säkerhetsincidenter konsekvent.

   

Störningshantering och rapportering

Instruktioner och anmälningsprocess för att rapportera störningar till personal

En process upprätthålls för att rapportera störningar, vilket hjälper personalen att rapportera störningar effektivt och konsekvent.


Saker som kan rapporteras som störningar är till exempel:

  • obehörig åtkomst till data/lokaler

  • verksamhet som strider mot riktlinjerna för informationssäkerhet

  • misstänkt datasäkerhetsproblem (t.ex. nätfiske, skadlig programvara)

  • avbrott i informationssystemet

  • oavsiktlig eller avsiktlig förstörelse/ändring av data

  • förlorad eller stulen enhet

  • komprometterat lösenord

  • förlorad fysisk identifierare (t.ex. nyckelring, smartkort, smart klistermärke)

  • misstänkt svaghet i informationssäkerheten (t.ex. i det använda informationssystemet eller andra arbetssätt)

Personalens instruktioner betonar skyldigheten att rapportera datasäkerhetsincidenter så snart som möjligt i enlighet med överenskommen process. Instruktionerna beskriver även andra åtgärder i händelse av fel (t.ex. registrering av felmeddelanden och andra detaljer).

Hantering av process och dokumentation av inträffade datasäkerhetsincidenter

Alla informationssäkerhetsincidenter hanteras konsekvent så att informationssäkerheten kan förbättras utifrån det inträffade.

 

I processen för störningshantering:

  • det rapporterade felet har bekräftats (eller så är det onödigt att skriva ner det)

  • typ och orsak till störningen dokumenteras

  • riskerna förknippade med störningen dokumenteras

  • risker behandlas, om deras behandling behöver uppdateras

  • åtgärderna för att minska riskerna eller beslutet att acceptera dem definieras och dokumenteras

  • parter till vilka det är viktigt att informera om resultatet av behandlingen definieras (inklusive de utanför organisationen)

  • fastställa behovet av analys efter avbrott


 

Hantering av datamaterial


Identifiera data utanför systemen och se till att de hanteras på ett säkert sätt.

   

Hantering av datamaterial

Dokumentation av datamaterial för dataförråd

Organisationen måste föra en lista över det datamaterial som ingår i de datareserver som den hanterar.

Dokumentationen ska innehålla minst följande information:

  • Informationssystem och andra medel som används för att behandla uppgifterna

  • Nyckeldatagrupper i materialet (och om det innehåller personuppgifter)

  • Förvaringstid för datalagringen (diskuteras mer i detalj i en separat uppgift)

  • Vid behov, information om arkivering / förstörande av material (kommer att diskuteras mer i detalj i en separat uppgift)

Namnge ägare till datamaterial

En ägare namnges för varje datamaterial. Ägaren är ansvarig för informationstillgångens livscykel och ansvarar för att utföra de förvaltningsuppgifter som är relaterade till den tillgången.

Ägarens uppgifter inkluderar till exempel:

  • säkerställa dokumentering av tillgången

  • säkerställa ett korrekt skydd av tillgångar

  • regelbunden översyn av åtkomsträttigheter

  • säkerställa korrekt behandling av data, även när data förstörs



Ägaren kan delegera en del av uppgifterna, men ansvaret ligger kvar på ägaren.


 

Utveckling och digitala tjänster


Se till att informationssäkerhetsaspekter beaktas vid utvecklingen av dina egna IT-tjänster.



Administration av partnerskap

Säkerställ verksamheten i enlighet med kontrakt och skydd av tillgångar som används av leverantörer.

   

Instruktioner

Programvara och uppdateringar för mobila enheter

När du använder mobila enheter, vänligen följ följande regler gällande uppdatering:

  • Jag installerar inte programvara eller ändrar deras inställningar när det inte ingår i mina arbetsuppgifter

  • Jag installerar begärda uppdateringar och säkerhetskorrigeringar för befintlig programvara tillförlitligt och utan dröjsmål

  • Om jag behöver använda ny programvara, ber jag om tillstånd från IT-avdelningen

Övervakning av mobila enheter

Jag ansvarar för följande när jag använder en mobil enhet:

  • Jag lämnar inte en enhet med konfidentiell information obevakad

  • Jag rapporterar den borttappade enheten omedelbart

  • Jag bevarar inte mobila enheter i bilen

  • Jag ser till att de automatiska låsen enligt användarmanualen för enheten används

  • Jag tar hand om säkerhetskopieringen och synkroniseringen enligt instruktionerna

  • Jag ser till att enhetens operativsystem är uppdaterat


Problemsituationer vid användning av mobila enheter

När jag stöter på problemsituationer med utrustningen följer jag följande regler:

  • Jag agerade enligt instruktionerna efter att systemet slutade fungera

  • Jag rapporterar alla informationssäkerhetsproblem till IT enligt instruktionerna (t.ex. när jag misstänker en virusinfektion eller datanätfiske)

  • Jag rapporterar den borttappade/stulna enheten eller taggarna i enlighet med rapporteringsprocessen




Acceptabel användning av mobila enheter

När jag använder organisationens mobila enhet följer jag följande regler:

  • Jag använder inte arbetsutrustning för saker utanför jobbet

  • Jag ändrar inte standardinställningar relaterade till enhetssäkerhet utan tillstånd

  • Jag stänger av eller växlar enheten till energisparläge i slutet av arbetsdagen, om inte annat anges (t.ex. på grund av säkerhetsuppdateringar)

  • Jag tar inte bort eller kringgår enhetens skydd mot skadlig programvara

 


Allmänna bruksanvisningar för distansarbete

När jag arbetar på distans följer jag följande regler:

  • Jag kommer inte att tillåta en utomstående person, inte ens en bekant, att använda din terminal

  • Jag använder inte offentliga terminaler för jobbet

  • Minimera mängden data som ingår i distansarbete

  • Jag lagrar inte personliga filer i onödan på arbetsgivarens servrar

Rapportera en förlorad identifierare

Jag rapporterar en förlorad fysisk identifierare (t.ex. nyckelring, smartkort, smart klistermärke) i enlighet med rapporteringsprocessen.


Passerkontroll och besökare

Besökspolicy

När det gäller besökare följer jag följande regler:

  • För besöksändamål använder jag endast konferensrum avsedda för det ändamålet

  • Jag lämnar inget känsligt material i konferensrummen, till exempel vid besök eller efter intern förhandling

  • Vid behov kommer jag att informera besökaren om nödvändigheten av praxis ur synvinkeln av hans egen datasäkerhet, dataskydd och annan säkerhet


Rapportering av störningar

Reglerna för rapportering av informationssäkerhetsincidenter har definierats och man övervakar att de följs.


Reglerna kan omfatta t.ex. följande saker:

  • Rapportera alltid alla informationssäkerhetsincidenter och misstänkta brister i informationssäkerheten i enlighet med anmälningsprocessen

  • Försök aldrig bevisa en misstänkt säkerhetsrisk, utan rapportera den istället enligt överenskommelse

  • När du upptäcker ett fel, kom ihåg: skynda dig inte, stäng inte av enheten, koppla ur nätverkskabeln och koppla från den trådlösa anslutningen, skriv ner eventuella aviseringar eller ta en bild av dem och visa exakt när du rapporterar ärendet vad du gjorde när felet inträffade.



 

Användning av informationssystem

Chefer ska i förväg meddela ägarna av informationssystemen om väsentliga förändringar i anställningsförhållandena för underställda, såsom befordran, degradering, avslutande av anställning eller andra förändringar i arbetsrollen.

Sekretess för lösenord

Jag följer följande regler angående lösenordsskydd:

  • Jag delar aldrig min inloggningsinformation med andra

  • Jag registrerar inte mina lösenord någon annanstans än i lösenordshanteringssystemet (t.ex. på papper eller i en textfil)

Byte av komprometterade identifieringsuppgifter

Jag följer följande regler för min identifieringsinformation:

  • Jag följer tjänsteleverantörernas information om eventuella dataläckor

  • Jag kommer omedelbart att ändra mina identifikationsuppgifter om det är möjligt att informationen har läckt

Lösenordsstyrka och korrekt användning

Jag följer följande regler angående styrkan på lösenord:

  • Jag känner till kriterierna för tillräckligt komplexa lösenord och jag använder tillräckligt starka lösenord

  • Jag använder inte samma lösenord för flera olika tjänster

  • Om tjänsten använder standardlösenordet som jag fått, återställer jag det första gången jag loggar in

  • Jag behandlar säkerhetsfrågorna som används för återställning av lösenord och deras svar som konfidentiella och otänkbara som lösenord


Allmänna regler för identifiering

Jag följer följande regler för identifieringsinformation:

  • Jag föredrar centraliserade identifieringsmetoder som stöds av organisationen när det är möjligt och undviker att skapa lokala användarnamn + lösenordskombinationer

  • Jag ger inte utomstående tillgång till min enhet, inte ens på distans, om jag inte har fått tillstånd i förväg

  • Jag uppmärksammade varningarna från webbläsaren när jag loggade in

  • Jag rapporterar all obehörig åtkomst till data som ett säkerhetsintrång

Kommunikation och nätfiske

Förnuftig användning av arbetsplatsens e-post

När du skickar ett e-postmeddelande, kontrollera att du följer följande instruktioner:

  • Använd din arbetsplats e-post endast för att hantera arbetsärenden

  • Se till att mottagarens adress är korrekt när du skickar ett e-postmeddelande

  • Vidarebefordra inte konfidentiell information i ett osäkert e-postmeddelande

  • Dela inte information om e-postmottagare i onödan och använd fälten till, cc och hemlig kopia på rätt sätt

  • Vidarebefordra inte arbetsplats e-post till personliga adresser

Regler mot bedrägeri

Jag följer alltid följande regler i verksamheten:

  • Jag laddar inte ner / installerar programvara från Internet om det inte ingår i mina arbetsuppgifter

  • Jag blockerar popup-fönster som standard och accepterar dem bara när det behövs

  • Jag låter inte onlinekonton existera oanvända

  • Jag fyller inte i konfidentiell information via en länk som jag fick i ett e-postmeddelande

  • Jag skickar inte konfidentiell information i ett e-postmeddelande

Verifierar din webbadress

Om du tvivlar på äktheten av ett meddelande eller annan avisering du har fått, gör alltid följande kontroller innan du klickar eller lämnar ut konfidentiell information:

  • Kontrollera att länken pekar till en bekant domän

  • Var uppmärksam på alla varningar som ges av webbläsaren

  • När du är på webbplatsen kontrollerar du webbplatsens https-skydd och formatet på webbadressen i adressfältet


Användning av personuppgifter

Ta emot och behandla förfrågningar om dataskydd

Närhelst vi behandlar personuppgifter har den registrerade vissa rättigheter, t.ex. få tillgång till sina uppgifter och i vissa situationer invända mot behandlingen eller få sina uppgifter raderade.

Jag är bekant med förfarandena för begäranden om dataskydd, som kan inkludera t.ex.:

  • de sätt på vilka den registrerade kan göra en begäran om information

  • de sätt på vilka identiteten på avsändaren av informationsförfrågan kontrolleras innan begäran tas emot

  • personer till vilka informationsförfrågningar skickas i förhållande till varje register

Behandling av personuppgifter i system som inte stöds

Jag kommer inte att överföra eller spara konfidentiell information till en personlig molntjänst (som ett Dropbox- eller Evernote-konto) om inte organisationen har ett avtal om att tillhandahålla tjänsten.

Allmänna regler för användning av personuppgifter som finns i systemen

När jag använder personuppgifter i informationssystem följer jag följande regler:

  • Jag använder informationen endast för den användning den är avsedd för

  • Jag kommer endast att använda information som är din, allmänt tillgänglig eller som jag har fått tillgång till

  • Lägg inte till nya datafält till tjänster utan att tänka och informera andra

  • Ta inte bort data från datasystemen till lokala diskar utan en viktig anledning, och radera dem så snart som möjligt


 

Dataskyddshantering


Dataskyddsteamet , som träffas regelbundet under ledning av dataskyddsansvarig. Teamet har medlemmar från olika utbildningsområden/enheter som följer och instruerar i frågor som rör ämnet.

Teamet träffas en gång i månaden för att uppdatera instruktioner, diskutera upptäckta hot eller avvikelser, komma överens om information etc. Personalen har fått i uppdrag att kontakta dataskyddsteamet när de upptäcker information eller cybersäkerhetshot eller avvikelser.

Utarbetandet av riktlinjerna för cybersäkerhet pågår för närvarande. Steg-för-steg-instruktioner om hur man ska reagera i hotsituationer håller på att utarbetas. Kräver samarbete med externa aktörer.

Utbildning

Hela personalen har genomfört en "dataskyddsutbildning i vardagen" och ett dataskyddstestet. Nya anställda genomför testet som en del av introduktionen.

Personalen måste fylla i Sekretess-ABC för personal inom offentlig förvaltning utbildning och returnera det godkända prestationscertifikatet till HR (på finska)

All personal måste sätta sig in i dataskyddspolicyn, som kan ses på intra. Datasäkerhetsteamets månatliga cyberväder är tillgängligt på teamets informationskanal

Syftet är att hålla en dataskyddseftermiddag för personalen minst två gånger per år, där vanliga dataskyddspraxis och aktuella cybersäkerhetsnyheter granskas.

Riktlinjer gällande datasäkerhet för personal och naturligtvis dataskyddsrelaterade registerutdrag. Syftet är att i början av året genomföra en informationssäkerhetskartläggning och utifrån det planera åtgärder.

Säker post används för att överföra konfidentiella meddelanden som innehåller personlig information. Säker utskrift med kopieringsmaskiner (kräver utskriftskort eller legitimation)

Personalen ska genomgå Tietosuojan ABC julkishallinnon henkilöstölle utbildning för personal inom offentlig förvaltning och lämna in godkänt intyg till personalavdelningen (på finska).


 

Uppdaterad den 9 april 2024

Skapad av


Informationssäkerhet och cybersäkerhet

Text

Text

Text

Text

Text

Text

Text

Text

bottom of page