Hvordan lage retningslinjer for bruk av IT? Steg for steg veileder og gratis mal!

Anders Bryde Thornild
By: Anders Bryde Thornild Cybersikkerhet | 2 desember

Å lage retningslinjer for hensiktsmessig bruk av IKT i organisasjonen kan hjelpe deg med å styrke informasjonssikkerheten i organisasjonen. I tillegg til å tilrettelegge for en sterk sikkerhetskultur, sikrer slike retningslinjer også for at alle i organisasjonen er på samme side og vet hvordan man skal gå fram når man jobber digitalt. Målet er at alle i organisasjonen skal være trygge på hva de kan og ikke kan gjøre.

I dette blogginnlegget får du en veiledning om hvordan du kan lage retningslinjer for IT-bruk, samt en gratis mal som du finner lengre ned på siden. Vi vil også diskutere hva du må være oppmerksom på når du lager disse retningslinjene for organisasjonen din.

Det finnes og en mal for IT-sikkerhetspolicy som du kan finne her. Begge dokumentene er sentrale for å oppnå en god sikkerhetskultur i organisasjonen din.

Forskjellen mellom retningslinjer for bruk av IT og IT-sikkerhetspolicy

Når du jobber med informasjonssikkerheten i din organisasjon kan du være veldig nyttig å ha både en IT-sikkerhetspolicy og retningslinjer for IKT-bruk. Med en policy og retningslinjer får du klarhet i dine forventninger, som igjen vil forbedre din sikkerhet.

IT-sikkerhetspolicy (retningslinjer for IT-sikkerhet)

Poenget med retningslinjer for IT-sikkerhet eller informasjonssikkerhet er å gi et generelt sett med mål som organisasjonen kan sikte på å nå. I tillegg vektlegger en slik IT-sikkerhetspolicy at alle ansatte er ansvarlig for informasjonssikkerheten i organisasjonen. IT-sikkerhetspolicyen er et kort dokument på et par sider og kan ansees som et notat fra ledelsen, som har ambisjoner for organisasjonens tiltak for informasjonssikkerhet. 

Retningslinjer for bruk av IT

Retningslinjer for bruk av IT er et mer omfattende dokument som inkluderer regler og retningslinjer som hele organisasjonen må følgeEn IT-sikkerhetspolicy er generell og strategisk, mens retningslinjer for IKT-bruk er konkret og oppfordrer til spesifikk type handling. (Dersom du heller vil se veiledningen for å lage en IT-sikkerhetspolicy kan du klikkher).

Retningslinjer for IKT-bruk har spesifikke regler

Mens en IT-sikkerhetspolicy gir strategiske mål, definerer retningslinjer for bruk av IT (AUP på engelsk) spesifikke regler som skal følges. Helt enkelt inneholder den det som bør inngå i de daglige rutinene på arbeidsplassen. For eksempel kan den inneholde retningslinjer om lengde på passord, ryddige pulter eller privat bruk av bedriftens utstyr som bærbare PC-er og smarttelefoner.

Formålet med slike retningslinjer er å skape banen organisasjonen spiller på. Det er å gi klarhet for alle i organisasjonen, slik at reglene er lett å forstå og følge.

For at retningslinjer for IKT-bruk skal fungere bør ingen i organisasjonen noen gang være usikre på om de bryter reglene. Ansatte bør enkelt kunne navigere hverdagen på jobb på en trygg måte. I tillegg bør dokumentet være konsist da for mange regler kan føre til verre informasjonssikkerhet fordi man rett og slett glemmer dem når det blir for mye å holde i hodet på en gang.

Smart CTA_acceptable-use-policy NO

Hvordan bruke malen

Denne malen fra oss bør bare være en kilde til inspirasjon for dine egne retningslinjer. Organisasjonen din har særegne behov og særegen kontekst som kanskje gjør at bare noen av reglene er relevante. Vi anbefaler å ta det som er relevant, legge til egne retningslinjer og legge bort resten.

Malen inneholder retningslinjer om det følgende:

  • Formål

  • Konfidensialitet

  • Adgangskoder (passord og PIN-koder)

  • Fysisk sikkerhet

  • Håndtering av utstyr og dokumenter utenfor lokalene

  • Utstyr og programvare

  • Brukeridentitet

  • Bruk av e-post, internett og SMS

  • Sikkerhetsovervåking og loggføring

  • Behandling av personopplysninger

  • Rapportering av sikkerhetshendelser

Malen består av to hoveddeler: Formålserklæring, og retningslinjer og prinsipper. Retningslinjer og prinsipper har 10 fokusområder for reglene i din organisasjon. Under går vi inn på hver av disse.

Formål:

Først har vi en formålserklæring for å sette an tonen og kommunisere målet med retningslinjene for IKT-bruk. Generelt bør denne si at dokumentet er et sett med retningslinjer som det forventes at alle ansatte i organisasjonen følger. Her er et eksempel:

“X (navn på organisasjonen) er opptatt av å sikre tilgjengeligheten, konfidensialitet og integriteten til alle sine systemer og data. Alle ansatte må handle på ansvarlig, etisk forsvarlig og lovlig vis. Alle X-ansatte, konsulenter og midlertidig ansatte er pålagt å behandle informasjon med aktsomhet og diskresjon, uansett om det dreier seg om skriftlig, elektronisk eller muntlig informasjon.

Derfor må håndteringen skje i tråd med Xs policy for informasjonssikkerhet i tillegg til de følgende retningslinjer og prinsipper. For å få dette til blir ansatte hos X opplært fortløpende i og stadig bevisstgjort på temaer innenfor nettsikkerhet og personvern ved hjelp av kontinuerlig opplæring.”

Kort sagt er målet med en formålserklæring å etablere grunnreglene for bruk av IT i organisasjonen din. Den bør eksplisitt nevne forventning om ansattes kontinuerlige opplæring og bevisstgjøring. 

Retningslinjer og prinsipper:

Retningslinjene og prinsippene peker ut spesifikke regler å følge når man bruker IT-systemer i organisasjonen. Her har vi lagt til 10 punkter du kan inkludere med forklarende tekst. 

1. Konfidensialitet

Konfidensialitet inkluderes vanligvis i ansettelses- eller prosjektkontrakter, men det er fortsatt nyttig å nevne det i retningslinjene for å vektlegge hvor viktig det er. Den tilsier at organisasjonen forventer konfidensialitet fra ansatte når det gjelder konfidensiell informasjon, f.eks. kundeinformasjon. Her er et eksempel:

“Du må behandle all informasjon tilhørende X med diskresjon og nøysomhet. Du bør ikke under noen omstendigheter skaffe deg tilgang til informasjon, systemer eller nettverk som ikke er nødvendige for jobben din. Ikke del konfidensiell informasjon med kollegaer, konsulenter eller midlertidig ansatte som ikke har et jobbrelatert behov for informasjonen. Du skal ikke dele konfidensiell informasjon med tredjeparter med mindre det har et tydelig forretningsformål. Når man jobber med eksterne parter, må det ligge en signert en konfidensialitetserklæring.”

2. Adgangskoder (passord og PIN-koder)

I denne delen kan organisasjonen stille krav til brukernes adgangskoder. For eksempel kan du stille krav til lengde, bruk av tall eller tegn. Du kan også bruke denne delen til å fraråde ansatte å gjenbruke passord. Her er et eksempel:

“Alle passord og PIN-koder er personlige. For å lage et sikkert passord anbefaler vi at passordet består av minst 12 tegn, har både store og små bokstaver, tall og spesialtegn. Når du forlater maskinen din, må du logge deg av eller låse maskinen. Aldri skriv passord på oppslagtavler og papir, og aldri lagre det på harddisk eller e-post.”

3. Fysisk sikkerhet

Delen om fysisk sikkerhet handler om hvordan informasjon som er lagret på fysiske utstyr bør håndteres. Den inneholder også anbefalinger på fremgangsmåte og gir noen idéer om hva man bør være oppmerksom på i en fysisk setting. Her er et eksempel:

Pass på at pulten din er organisert og at ingen viktige dokumenter ligger synlig når du ikke bruker dem. Konfidensiell informasjon må legges i låste skuffer, skap eller lignende for å unngå uautorisert adgang. Vær i tillegg oppmerksom på synligheten til dataskjermen din. Du bør ikke ha konfidensielle og sensitive data åpne når uautoriserte personer er bak deg slik at de kan se hva du gjør over skulderen din. 

4. Håndtering av utstyr og dokumenter utenfor lokalene

Denne delen tar for seg hvordan utstyr og dokumenter håndteres når man er utenfor bedriftens/organisasjonens lokaler, f.eks. når man jobber hjemmefra. Stadig flere bedrifter har nylig vært nødt til å definere dette konkret nå når jobber hjemmefra har blitt nødvendig. 

Her kan du skrive om hvordan forventningene er annerledes enn i lokalene. Denne delen handler hovedsakelig om å sikre organisasjonens IT-utstyr. Her er et eksempel:

“Dersom du tar med IT-utstyr utenfor Xs lokaler må det sikres med en PIN-kode eller et passord som tilstrekkelig beskytter mot adgang for uautoriserte personer. Ved flyreiser må mobilt utstyr (dvs. bærbare PC-er og telefoner) og dokumenter alltid tas med som håndbagasje.“

5. Utstyr og programvare

I dag bruker vi tjenester og programvare som raskt kan finnes og lastes ned fra internett. Derfor er det veldig viktig å lage noen generelle regler om hvilke typer tjenester som kan brukes og lastes ned, da det kan være veldig vanskelig å kontrollere og følge med på alle aktivitetene til teamet ditt. Her er et eksempel:

“Alle IT-systemer, lagringsenheter og alt utstyr må godkjennes av X og følge selskapets skriftlige standarder. Aldri koble uautorisert utstyr til arbeidsmaskinen eller nettverket. Dette gjelder også USB-enheter og smarttelefoner. I tillegg er det kun tillatt å installere og laste ned programmer dersom du er gitt tillatelse til å gjøre det.

Programvare og utstyr tilhører X og må behandles deretter. Derfor skal de ikke lånes til andre, heller ikke familie. For håndtering av data må du bruke Xs interne filserver. Bruk av skybaserte tjenester som Google Drive, Dropbox og nettbasert fildeling er bare tillatt dersom data skal mottas fra eksterne parter. Det er ikke tillatt å laste opp Xs data til uautoriserte tjenester. Programvaren må alltid brukes i tråd med lisenskravene X har akseptert.”

En måte å følge aktiviteten til teamet ditt på er ressursstyring – slik kommer du i gang!

6. Brukeridentitet

Innloggingsinformasjon tar for seg brukernavn og passord som brukes for å logge inn på organisasjonens IT-systemer. For eksempel kan brukere dele brukerinformasjon og bruke hverandres brukernavn og passord. Men vi anbefaler at man bare bruker ens egen innloggingsinformasjon slik at ingen havner i trøbbel på grunn av noe en annen har gjort. Her er et eksempel på retningslinjer:

“Brukernes rettigheter må respekteres. Bruk derfor bare ditt eget brukernavn og passord til innlogging. Aldri del brukerinformasjonen din med andre, inklusive arbeidsgiver. Misbruk av innloggingsinformasjon og digital aktivitet kan etterlate spor som har negativ innvirkning på X.”

7. Bruk av e-post, internett og SMS

Her kan du diskutere anbefalte fremgangsmåter og begrensninger for digitale aktiviteter på utstyr eid av bedriften. Det er viktig å sette realistiske forventninger og noen av disse kan være det vi vanligvis kaller sunn fornuft. For eksempel ville det være overdrevent å forby spesifikke nettsider eller å sjekke privat e-post, men du kan begrense hvor mye privat aktivitet som gjøres i løpet av arbeidstiden. Selvsagt bør ulovlige nettsider og ulovlig aktivitet forbys. Så er det opp til organisasjonen din å spesifisere disse reglene slik at teamet ditt fortsatt har noe frihet, men du må trekke grensen et sted. Her er et eksempel:

“Bruk internett og e-post til private formål på Xs utstyr i minst mulig grad. Hvis du lagrer personlige dokumenter lokalt på datamaskinen din, merk dem med ‘privat’. Personopplysninger skal ikke sendes per e-post. Jobbrelatert korrespondanse på nett skal ikke under noen omstendigheter finne sted gjennom anonymiserte kommunikasjonskanaler. Det er strengt forbudt å bruke e-postkontoer, datamaskiner, nettbrett og mobiltelefoner tilhørende X til å se pornografisk, rasistisk, ekstremistisk eller kriminelt innhold. Når en e-post er mottatt skal senderens e-postadresse sjekkes før ukjente lenker og dokumenter åpnes.”

8. Sikkerhetsovervåking og loggføring

Dette er for å kommunisere at dere som organisasjon kan loggføre og overvåke de digitale aktivitetene til teamet ditt til sikkerhetsformål. Dette betyr ikke nødvendigvis at det gjøres regelmessig og viktigst av alt er det at du respekterer teamets privatliv. Men ved å gjøre dem oppmerksomme på det, kan du oppfordre dem til å gjøre digitale aktiviteter på rimelig vis. Her er et eksempel:

“X respekterer den individuelle ansattes privatliv og følger lokale lover og regler. Men vi forbeholder oss retten til å loggføre IT-bruk og, under spesielle omstendigheter, kreve tilgang til e-posten og filene til en ansatt.”

9. Behandling av personopplysninger

Fornuftig behandling av personopplysninger er en del av det å være en organisasjon som må etterleve kravene i GDPR. Vanligvis kreves det en mer komplisert prosess for å oppfylle kravene i GDPR enn et sett med regler skrevet ned i et dokument om IT-bruk. Men retningslinjene er fortsatt et sted der ansatte kan bevisstgjøres på en del generelle krav til håndtering av personopplysninger. Disse kravene sier ikke mye om prosessen som må til for å oppfylle kravene i GDPR, men kan bidra til å gjøre ansatte oppmerksomme på viktigheten av korrekt håndtering av personopplysninger. Her er et eksempel:

“Hos X er vi veldig opptatt av å ta godt vare på og beskytte personopplysningene som våre kunder, medlemmer, ansatte og partnere har gitt oss ansvaret for. Vi jobber kontinuerlig med å utvikle og iverksette sikre prosesser som fører til lovlig og sikker håndtering av personopplysninger.

Vi har bestemt følgende grunnleggende regler for behandling av personopplysninger: 

  • Ansatte får bare hente personopplysninger som er relevante for deres arbeid og stilling

  • Personopplysninger bør bare deles internt dersom det er relevant for mottakerens oppgaver og stilling. F.eks. personopplysninger fra en kunde

  • E-poster som inneholder personopplysninger skal slettes når de relevante dataene er behandlet

  • Personopplysninger skal ikke lagres lokalt eller i ens innboks lengre enn strengt nødvendig. Bruk i stedet et av systemene laget spesifikt for dette i organisasjonen.

  • Både fysiske og digitale mapper bør ses gjennom regelmessig for å sikre at de ikke inneholder personopplysninger som er lagret lengre enn strengt nødvendig.”

10. Rapportering av sikkerhetshendelser

Det siste punktet er for å vise viktigheten av å rapportere sikkerhetsrelaterte hendelser. Fordi tydelig kommunikasjon er den eneste måten å advare og beskytte alle andre fra hendelsen bør det kreves at ansatte rapporterer sikkerhetsrelaterte hendelser de observerer eller er utsatt for. I denne delen kan du gi eksempler på hva en slik hendelse kan være og hvem det bør rapporteres til. Det viktige er at teamet ditt er klar over hva de skal gjøre og hvem de skal ta kontakt med. Her er et eksempel:

Dersom du mistenker at en uønsket sikkerhetshendelse har skjedd, ta umiddelbart kontakt med din nærmeste leder og IT-avdelingen.”

Eksempler på uønskede sikkerhetshendelser

  • Du har fått en mistenkelig e-post

  • E-post med personopplysninger er sendt til feil mottaker

  • Mistet IT-utstyr

Ikke nøl med å ta kontakt med ansvarshavende (XXX) dersom du mistenker noe. Best å være på den sikre siden!

Retningslinjene er første steg for å få gode vaner

Disse retningslinjene gjør det mulig for teamet ditt å enkelt sjekke hva de kan og ikke kan gjøre. Men det er viktig å påpeke at dette tiltaket ikke må få stå alene; du kan ikke bare skrive ned reglene og forvente at alle følger dem. Teamet ditt må læres opp på kontinuerlig basis for å sikre at de alltid er bevisstpå  problemstillingene. 

Smart CTA_e-book NO

Et solid grunnlag for deres sikkerhetskultur på nett

Retningslinjer for IKT-bruk er et solid grunnlag for å bygge en sterk kultur for informasjonssikkerhet. Dersom du nå er klar for og har lyst til å komme i gang med en policy for informasjonssikkerhet kan du finne en lignende guide her.

Det er viktig at dokumentene ikke bare ligger og samler støv etter at du har fylt dem ut, men at du stadig går gjennom og oppdaterer dem. Vi anbefaler at du gjør dette årlig. I tillegg må vi arbeide aktivt med målene og retningslinjene fra de to dokumentene slik at kulturen for informasjonssikkerhet i organisasjonen din setter seg. 

Vi håper du fant nytte i malen og veilederen!