Skapa riktlinjer för IT-användning för din verksamhet, med vår guide och mall

Anders Bryde Thornild
By: Anders Bryde Thornild Cybersäkerhet | 9 december

Att ha ett dokument med riktlinjer för IT-användning i er verksamhet kan bidra till att stärka er kultur i informationssäkerhet. Utöver en bättre kultur, säkerställer dokumentet också att hela verksamheten har en enhetlig linje, och alla vet hur de ska hantera sina aktiviteter digitalt. Målet med riktlinjerna är att alla anställda i verksamheten är säkra på vad de kan göra på sina arbetsdatorer, och vad de inte kan göra.

I detta blogginlägg får du vägledning om hur skriver dessa riktlinjer, tillsammans med vår mall som du hittar längre ner på denna sida. Vi kommer också att ta upp vad du ska vara medveten om när du skriver den här typen av riktlinje för din verksamhet.

Vi har också en mall för hur man skapar en IT-säkerhetspolicy som du hittar här. Bägge dokument är viktiga verktyg för att kunna skapa en god kultur i informationssäkerhet i din organisation.

Skillnaden mellan en IT-säkerhetspolicy och riktlinjer för IT-användning

När du arbetar med cybersäkerhet i din organisation kan det vara mycket användbart att ha både en IT-säkerhetspolicy och Riktlinjer för IT-användning. Med en policy och flera riktlinjer ger du en tydlig uppsättning förväntningar, som stärker verksamhetens säkerhet.

IT-säkerhetspolicy

Syftet med en IT-säkerhetspolicy är att ge en allmän uppsättning mål som verksamheten jobbar efter. Den betonar bland annat att all personal är ansvarig för IT-säkerheten i verksamheten. Eftersom det är en policy, är det ett mindre dokument med få sidor och ska ses som en skriftlig sammanfattning, för ledningen, med verksamhetetens ambitioner inom IT-säkerhet.

Riktlinjer för IT-användning

Riktlinjer för IT-användning är ett mer omfattande dokument. Den innehåller regler och principer som alla anställda i organisationen måste följa. Där IT-säkerhetspolicyn är mer allmän och strategisk är dessa riktlinjer mer konkret och görbar. (Om du hellre vill följa guiden för IT-säkerhetspolicy, klicka här)

Riktlinjer för IT-användning skapar specifika regler

Medan IT-säkerhetspolicyn skapar strategiska mål, definierar riktlinjerna för IT-användning de specifika regler som ska följas. Faktiskt innehåller riktlinjerna det som varje enskild anställd ska följa under den dagliga arbetsrutinen. Riktlinjerna kan till exempel handla om längden på lösenord, vad för information man har på sitt skrivbord eller privat användning av företagsutrustning, som bärbara datorer och smartphones.

Syftet med riktlinjerna är att skapa en yta där verksamhetens anställda ska arbeta inom. Därför är det viktigt att de är tydliga, lätta att förstå och följa.

Med välskrivna riktlinjer för IT-användning borde ingen i verksamheten någonsin fundera på om de bryter mot reglerna. Det ska vara enkelt och säkert att utföra sitt dagliga arbete. Dessutom ska dokumentet vara kortfattat, består det av alltför många regler kan det leda till en sämre IT-säkerhet, för att man helt enkelt kan glömma bort dem om det blir för mycket att komma ihåg på en och samma gång.

Smart CTA_acceptable-use-policy NO

Hur man använder mallen

Vår mall som delar med oss av, ska bara fungera som inspiration för era riktlinjer för IT-användning. Eftersom din organisation har sina egna unika behov och sammanhang som kanske gör att bara några av de regler som vi nämner är relevanta. Vi rekommenderar att du tar det som är relevant för dig, lägger till egna riktlinjer och tar bort resten.

Mallen innehåller riktlinjer för följande punkter:

  • Ändamål

  • Sekretess

  • Åtkomstkoder (lösenord och PIN-koder)

  • Fysisk säkerhet

  • Hantering av utrustning och dokument utanför X-området

  • Utrustning och programvara

  • Användaridentitet

  • Digital aktivitet

  • Säkerhetsövervakning och loggning

  • Hantering av personuppgifter

  • Rapportering av säkerhetsincidenter

Mallen innehåller två övergripande punkter: Ändamål, och Regler och Principer. Där regler och principer har 10 fokusområden för riktlinjer i verksamheten. Vi kommer att gå igenom varje punkt här under.

Ändamål

Först ger vi en syftesförklaring för att ange tonen och kommunicera målen för dokumentet med riktlinjer för IT-användning. Detta avsnitt ska förklara rent generellt att dokumentet är en uppsättning riktlinjer som förväntas följas av all personal i organisationen. Vi ger ett exempel här:

X (organisationens namn) fokuserar på att säkerställa tillgängligheten, sekretessen och integriteten för sina system och data. Därför måste alla anställda agera på ett ansvarsfullt, etiskt och juridiskt korrekt sätt. Alla Xs anställda konsulter och tillfälligt anställda är skyldiga att administrera kunskap med omsorg och omdöme, vare sig det är skriftligt, elektroniskt eller muntligt.

Därför måste hanteringen ske enligt Xs IT-säkerhetspolicy, samt följande regler och principer.

För att säkerställa detta utbildas Xs personal kontinuerligt och görs medvetna om ämnen inom  cybersäkerhet och GDPR genom kontinuerlig utbildning.” 

I korthet innehåller ‘ändamål’ de grundläggande reglerna för IT-användning inom er organisation. Den bör uttryckligen beskriva förväntningarna på personalens kontinuerliga utbildning och kunskap.

Regler och principer

Regler och principerna framhåller specifika regler som ska följas vid användning av IT-system inom organisationen. Här har vi lagt till 10 punkter som ni kan ta med, tillsammans med lite vägledande text.

1. Sekretess

Sekretess ingår normalt i anställnings- eller projektavtal, men det är ändå lämpligt att beskriva det i riktlinjerna för att betona dess betydelse. Den anger att organisationen förväntar sig sekretess från sina anställda när det gäller konfidentiell information, t.ex. kundinformation. Till exempel:

“Du måste hantera all information från X med diskretion och omsorg. Under inga omständigheter får du skaffa tillgång till eller använda information, system eller nätverk som inte är nödvändiga för ditt jobb. Dela inte konfidentiell information med kollegor, konsulter  eller tillfälligt anställda som inte har ett arbetsspecifikt behov av denna information. Du får inte dela konfidentiell information med tredje part såvida det inte har ett tydligt affärssyfte. I arbetet med externa  parter måste de ha undertecknat ett sekretessavtal.”

2. Åtkomstkoder (lösenord och PIN-koder)

I detta avsnitt kan verksamheten ställa krav på användarnas åtkomstkoder. Du kan till exempel ange krav för längd, användning av siffror eller tecken. Ni kan även använda detta avsnitt för att avråda personal från att återanvända lösenord. Ett exempel kan se ut så här:

“Alla lösenord och PIN-koder är personliga. För att skapa ett starkt lösenord rekommenderar vi ett långt lösenord på minst 12 tecken med både stora och små bokstäver, siffror och specialtecken. När du lämnar din arbetsstation måste du logga ut eller låsa datorn. Lämna aldrig lösenord skrivna på anslagstavlor, papper eller lagrade på hårddisk/e-post. 

3. Fysisk säkerhet

Avsnittet om fysisk säkerhet handlar om hantering av information som lagras på fysisk utrustning. Det ger också några bra metoder och tips om vad man ska vara medveten om i fysiska miljöer. Vi ger ett exempel här:

“Ditt skrivbord måste alltid vara fritt från konfidentiell information. Konfidentiell information måste placeras i låsta lådor, skåp eller liknande för att undvika att obehöriga får tillgång till den. Var också medveten om datorskärmens synlighet – du bör inte ha konfidentiell och känslig information öppen när det finns obehöriga bakom dig så att de kan se dina aktiviteter över din axel. 

4. Hantering av utrustning och dokument utanför X-området

Detta avsnitt handlar om hur man hanterar utrustning och dokument utanför verksamhetens lokaler, t.ex. när man arbetar på distans. Nyligen har allt fler företag blivit tvungna att definiera detta på ett konkret sätt, eftersom arbete hemifrån har blivit en nödvändighet.

Här kan ni ta med hur förväntningarna kan skilja sig från att jobba i de egna lokalerna. Detta avsnitt fokuserar främst på att säkra organisationens IT-utrustning. Vi ger ett exempel här:

“Om du tar med dig IT-utrustning utanför Xs lokaler måste den skyddas med PIN eller lösenord som garanterar ett tillräcklig skydd mot användning av obehöriga personer. Vid flygresor måste mobil utrustning (dvs. bärbar dator och mobil enhet) och dokument alltid bäras som handbagage."

5. Utrustning och programvara

Numera använder vi molntjänster och programvara som man snabbt kan få tillgång till och ladda ner från internet. Därför är det viktigt att ha några allmänna regler för vilka typer av tjänster som kan användas och laddas ner, eftersom det kan vara oerhört svårt att kontrollera och hålla reda på allt som händer i ert team. Ett exempel:

Alla IT-system, utrustning eller minneslagringsenheter måste godkännas av X och följa de standarder som företaget utfärdat. Anslut aldrig obehörig utrustning till arbetsstationer eller nätverk. Detta gäller även USB-minnen och smarta telefoner. Dessutom får du bara installera eller ladda ner program om du har fått tillåtelse att göra det.  

Programvara och utrustning tillhör X och måste behandlas därefter. De får därför inte lånas ut till andra, inklusive familjen. För datahantering måste du använda Xs interna filserver. Användning av molnbaserade tjänster som Google Drive, Dropbox och webbaserad fildelning är endast tillåten om du tar emot data från externa parter. Det är inte tillåtet att ladda upp Xs data till obehöriga tjänster. Programvaran måste alltid användas enligt licensvillkoren som X anger. 

6. Användaridentitet

Användaridentitet handlar om användarnamn och lösenord som används för att logga in på organisationens IT-system. Flera användare kan till exempel dela användarinformation och använda varandras inloggningsuppgifter. Vi rekommenderar dock att ni bara använder era egna användaruppgifter så att ni inte får problem till följd av andras handlingar. Vi ger ett exempel på riktlinjen här:

“Användarrättigheter måste respekteras, använd  därför bara dina egna användaruppgifter för att logga in. Dela aldrig din användarinformation med andra, inklusive din arbetsgivare. Missbruk av uppgifter och digital aktivitet kan lämna digitala spår som har en  negativ inverkan på X.” 

7. Digital aktivitet

Här kan ni diskutera den bästa metoden för hantering- och begränsning av digital aktivitet på företagsägd utrustning. Det är viktigt att ställa upp realistiska förväntningar och några av dessa kan innefatta det vi normalt anser vara sunt förnuft. Det skulle exempelvis vara upprörande att förbjuda besök på vissa offentliga webbplatser eller att kolla ens privata e-post, men ni kan begränsa mängden av privat användning under arbetstid. Självklart ska olagliga webbplatser och aktiviteter förbjudas. Det är dock upp till er organisation att ange dessa regler där ert team fortfarande har viss frihet, men ni drar en linje någonstans. Vi ger ett exempel här:

“Minimera den privata användningen av Internet och e-post på Xs utrustning. Spara personliga dokument i en mapp, lokalt på din dator, och märk den "Privat". Personuppgifter får inte skickas via e-post.  Arbetsrelaterad korrespondens på Internet får under inga omständigheter ske genom anonymiserade kommunikationskanaler. Det är strängt förbjudet att använda Xs e-postkonton, datorer, surfplattor och mobiltelefoner för att titta på pornografiskt, rasistiskt, extremistiskt eller kriminellt innehåll. När du får ett e-post måste avsändarens e-postadress kontrolleras innan okända länkar och dokument öppnas. 

8. Säkerhetsövervakning och loggning

Detta finns för att kommunicera att ni som organisation kan logga och övervaka ert teams digitala aktiviteter av säkerhetsskäl. Det betyder inte nödvändigtvis att det görs rutinmässigt och ännu viktigare, att ni respekterar integriteten hos ert team. Men genom att uppmärksamma dem på det kan ni uppmuntra dem att sköta sina digitala aktiviteter på ett vettigt sätt. Vi ger ett exempel här:

“X respekterar den enskilda medarbetarens integritet och följer lokala lagar och regler. Vi förbehåller oss dock rätten att logga IT-användning och under särskilda omständigheter kräva tillgång till en anställds e-post och filer.”

9. Hantering av personuppgifter

Hantering av personuppgifter finns som en del för att organisationer ska följa GDPR. Normalt kräver efterlevnad av GDPR mer detaljerade processer än en uppsättning regler i ett dokument för IT-användning. Riktlinjerna är dock fortfarande ett ställe där anställda kan göras medvetna om hanteringen av personuppgifter med vissa allmänna krav. Dessa krav säger inte så mycket om de processer som får er att uppfylla kraven men kan skapa medvetenhet om vikten av att hantera personuppgifter. Vi ger ett exempel här:

“På X är vi mycket noga med att ta väl hand om och skydda den personliga information som våra kunder, medlemmar, anställda och partners har anförtrott oss. Vi arbetar kontinuerligt för att utveckla och implementera säkra processer, som måste säkerställa laglig och säker behandling av personuppgifter.

Vi har inrättat följande grundläggande standarder för behandling av personuppgifter:

    • Anställda får endast tillgång till personuppgifter som är relevanta för deras arbete och funktion

    • Personuppgifter ska endast delas internt om det är relevant för mottagarens uppgift och funktion, exempelvis personuppgifter från en kund

    • E-mails som innehåller personuppgifter bör raderas så fort de relevanta uppgifterna har behandlats

    • Personuppgifter får inte sparas lokalt eller i inkorgen längre än nödvändigt. Använd istället ett av de system som är avsedda för detta i organisationen.

    • Både fysiska och digitala filer bör granskas regelbundet för att säkerställa att de inte innehåller personuppgifter som lagras längre än nödvändigt.”

10. Rapportering av säkerhetsincidenter

Den sista punkten finns för att illustrera vikten av att rapportera säkerhetsincidenter. Eftersom tydlig kommunikation är det enda sättet att varna och skydda de andra om händelsen, bör det krävas att personalen rapporterar säkerhetsincidenter som de observerar eller utsätts för. I det här avsnittet kan ni ge exempel på vad en säkerhetsincident kan innebära och till vem de ska rapportera. Det viktiga är att ert team är medvetna om när man ska agera och vem man ska vända sig till. Vi ger ett exempel här:

“Om du misstänker några säkerhetsincidenter måste du omedelbart rapportera detta till din närmaste chef och IT-avdelningen.”

Exempel på säkerhetsincidenter

  • Du har tagit emot ett märkligt e-mail

  • E-mail med personuppgifter har skickats till fel mottagare

  • Borttappad IT-utrustning

Tveka inte att kontakta den ansvarige (XXX) om du misstänker något. Ta det säkra före det osäkra!

Riktlinjerna är ett första steg mot bättre vanor

Riktlinjerna gör det möjligt för ert team att enkelt kontrollera vad de kan eller inte kan göra. Det är dock viktigt att påpeka att det inte kan stanna vid denna insats; du kan inte bara skriva ner reglerna och förvänta dig att alla följer dem. Ditt team måste få kontinuerlig utbildning för att säkerställa att medvetenheten alltid finns.

En stark grund för din cybersäkerhetskultur

Riktlinjerna för IT-användning ger en stark grund för att skapa en stark kultur inom IT-säkerhet i din organisation. Om du nu har förberett dig, och vill komma igång med att skriva policyn för IT-säkerhet, hittar du en liknande guide här.

Det är viktigt att dokumenten inte bara ligger och samlar damm när du har fyllt i dem, utan att du kontinuerligt granskar och uppdaterar dem. Vi rekommenderar att du gör detta årligen. Vi måste dessutom arbeta aktivt med målen och riktlinjerna från de två dokumenten, så att IT-säkerhetskulturen i din organisation förblir stark.

Vi hoppas att du tyckte att mallen och guiden var användbar!