IT-säkerhetspolicy för arbetsutrustning och användare
IT-säkerhetspolicy för arbetsutrustning och användare
Med medarbetare i denna policy menas en anställd eller underkonsult som arbetar för Regent.
1. Virusskydd & Phishing
- Alla datorer som är anslutna till Regents nätverk, eller som hanterar någon av Regents kritiska informationstillgångar, måste ha uppdaterad antivirusprogramvara installerad.
- Antivirusdefinitioner måste regelbundet uppdateras för att säkerställa skydd mot de senaste hoten.
- Schemalagda virussökningar bör utföras på alla system för att upptäcka och ta bort skadlig programvara.
- Browsers ska ha plugins för webbiltrering installerade som förhindrar användaren från att besöka osäkra hemsidor där skadlig kod sprids eller nätfiske (phishing) bedrivs.
2. Enhetskryptering
- Alla bärbara enheter (laptoppar, smartphones, surfplattor) som används för arbetsändamål måste ha disk-kryptering aktiverad.
- Krypteringsnycklar behöver sparas på ett säkert sätt.
- Medarbetare måste se till att deras enheter är lösenordskyddade och inställda på att låsa sig automatiskt efter max 15 minuters inaktivitet.
- Förlorade eller stulna enheter måste omedelbart rapporteras till CISO och/eller närmste chef som kan hjälpa till att ta detta vidare.
3. Lösenordshantering
- Medarbetare måste använda starka, komplexa lösenord som inkluderar en blandning av versaler och gemener, siffror och specialtecken (minst 3 av typerna, minst 8 tecken).
- Lösenord får inte delas med andra.
- Om lösenord ska skrivas ner eller sparas behöver det ske på ett säkert sätt såsom kassaskåp eller lösenordshanterare med stark kryptering. Om misstanke finns att någon annan fått tillgång till ett lösenord måste det omedelbart bytas och rapporteras som en säkerhetsincident.
- Lösenorden ska vara unika för varje konto eller system, det är alltså inte tillåtet att använda samma lösenord för flera konton.
- SSO genom Regents Active Directory är den inloggningsmetod som skall tillämpas default oavsett om aktuellt system innehåller känsliga informationstillgångar eller ej. Om SSO inte är möjligt att införa på grund av ekonomiska eller tekniska begränsningar skall multifaktorautentisering (MFA) aktiveras. Om inte heller det är möjligt att införa skall utvärdering ske om aktuellt systemstöd kan ersättas. Som sista utväg skall starka lösenord enligt ovan tillämpas.
- Alla hemligheter som skrivs ned i källkod på olika sätt skall hanteras på ett säkert sätt så att obehöriga inte får tillgång till dessa. Detta inkluderar att använda .gitignore files för att undvika incheckning av lösenord, hantering av connectionsträngar så att de inte innehåller lösenord i läsbart format och hantering av olika miljöfiler för att nämna några.
4. Administrativa rättigheter
- Medarbetare tilldelas lägsta nivå av åtkomsträttigheter som krävs för att utföra sina arbetsuppgifter.
- Åtkomstbehörigheter måste granskas regelbundet, och överflödiga privilegier måste återkallas.
- För administrativa uppgifter bör ett separat, säkert konto användas och detta konto bör inte användas för vanliga aktiviteter.
- Som regel skall två personer ha administrativa behörigheter till ett system för redundans om någon av dessa blir disponibel. Samtidigt skall inte fler än så vara administratörer då Regent tillämpar minsta privilegium principen.
- Personer med administrativa rättigheter skall använda Regents lösenordshanterare som för att säkerställa att unika lösenord med tillräcklig komplexitet används.
5. Dataskydd och sekretess
- Känslig och konfidentiell data måste krypteras både under överföring och vila.
- Känslig och konfidentiell information får inte skickas genom okrypterade mail. Detta inkluderar att dokument inte får bifogas till mail om de innehåller sådan information. Regents systemverktyg för delning av dokument skall användas för sådana ändamål.
- Medarbetare får inte dela känslig information med obehöriga personer eller externa enheter.
- Personuppgifter om medarbetare och kunder måste hanteras i enlighet med gällande lagar och förordningar om dataskydd.
- Känslig och konfidentiell data får endast behandlas om det krävs för att utföra sina arbetsuppgifter.
6. Programvara och systemuppdateringar
- Operativsystem, applikationer och programvara måste regelbundet uppdateras med de senaste säkerhetspatcharna och buggfixarna från respektive tillverkare.
- Automatiska uppdateringar bör aktiveras där det är möjligt, och manuella uppdateringar bör utföras snabbt om automatiska uppdateringar inte är tillgängliga eller möjliga ur exempelvis ett driftsperspektiv.
7. Säkerhetsmedvetenhet och utbildning
- Om annat inte har förmedlats skriftligen gäller att all kompetensutveckling kring informationssäkerhet är obligatorisk att delta på.
8. Incidenthantering
- Incidenter hanteras enligt gällande incidenthanteringsprocess.
- Medarbetare måste omedelbart rapportera alla säkerhetsincidenter, brott eller misstänkta aktiviteter till CISO eller närmsta chef för att få hjälp att hantera incidenten.
- Incidenter kan även rapporteras anonymt genom Regents visselblåsarfunktion.
9. Nätverkssäkerhet
- Alla bärbara enheter (laptoppar, smartphones, surfplattor) som används för arbetsändamål måste ha ett kontinuerligt aktivt brandväggsskydd. (På per default på Windows, MacOS, Android och iOS)
- Åtkomst till organisationens nätverksresurser från externa platser bör ske genom säkra VPN-anslutningar.
10. Fysisk säkerhet
- Fysisk åtkomst till IT-infrastruktur, servrar och nätverksutrustning måste begränsas till behörig personal endast.
11. Regler vid arbete från Regents kontor
- Regent tillämpar clear desk och clear screen policy. Detta innebär att efter varje arbetsdag skall eventuella anteckningar och annan information som har arbetats med under dagen avlägsnas.
- Datorer, lagringsmedier av olika slag och andra konfidentiella informationstillgångar såsom anteckningsblock skall låsas in i säkerhetsskåpet när de inte används.
- Fysiskt antecknad informationen som inte längre behövs skall förstöras i dokumentförstöraren om den innehåller känslig data.
- Vid möten i konferensrummet med skyltfönster ut mot gatan skall persiennerna dras igen om konfidentiell information visas på skärm eller antecknas på whiteboard.
12. Backup
- Användare uppmanas använda organisationens godkända molnbaserade lagringslösning där säkerhetskopiering sker regelbundet.
- Användare är ansvariga för att säkerställa att deras arbetsrelaterade data på lokala enheter säkerhetskopieras regelbundet för att undvika förlust av data vid enhetsfel, stöld eller andra olyckshändelser.
13. Utrangering av enheter
- Alla enheter som tas ur bruk, inklusive datorer, mobila enheter och lagringsmedia, måste genomgå en säker raderingsprocess för att säkerställa att all data raderas permanent och inte kan återställas.Innan enheter tas ur bruk måste all data och programvara säkerhetskopieras om det finns behov av att bevara informationen för framtida bruk eller dokumentationsändamål.
- Kontakta ”kontors- och adminansvarig” för att få hjälp att genomföra detta.
14. Hantering av hemligheter i källkod
- Alla hemligheter, inklusive API-nycklar, lösenord, och certifikat, bör klassificeras som konfidentiell information och hanteras därefter.
- Direkt inmatning av hemligheter i källkoden i läsbart format är inte tillåtet.
- .gitignore-filer skall konfigureras för att automatiskt utesluta filer och mappar som innehåller känslig information från att checkas in i versionshanteringssystem.
- Miljövariabler skall användas för att injicera hemligheter i applikationen vid start. Dessa variabler bör hanteras utanför källkoden och skyddas genom lämpliga åtgärder i utvecklings-, test-, och produktionsmiljöer.
- Hemligheter ska lagras i krypterad form, både i vila och under transport. Stark kryptering skall användas och nycklar skall hanteras på ett säkert sätt.
- Automatiska processer skall sättas upp för att rotera hemligheter regelbundet och efter varje misstänkt säkerhetsincident.
15. AI-verktyg, översättningsverktyg och andra publika molntjänster
- Data måste anonymiseras. Exempelvis namn och personnummer
- Säkerhetsklassad information får inte skrivas in. Exempelvis lösenord, connectionsträngar eller annan data känslig för Regents eller våra kunders verksamheter
- Säkerställ att Regents och våra kunders regler, rutiner och policys efterlevs gällande hur dessa tjänster får användas
- Tillämpa försiktighetsprincipen. Klipp inte in källkod eller data om du är osäker på ifall det kan utgöra en säkerhetsrisk
16. Efterlevnad och revision
- Reguljära säkerhetsrevisioner och efterlevnadskontroller kommer att genomföras för att säkerställa att organisationens IT-säkerhetspolicyer och förfaranden följs.
- Eventuell efterlevnadsbrist kommer att åtgärdas omedelbart, och rättelseåtgärder kommer att vidtas.
17. Upprätthållande
- Bristande efterlevnad av IT-säkerhetspolicyer kan leda till disciplinåtgärder, inklusive men inte begränsat till, avstängning, uppsägning, rättsliga åtgärder och ekonomiska påföljder.
Denna IT-säkerhetspolicy är utformad för att skydda organisationens digitala tillgångar, säkerställa konfidentialitet och integritet hos data samt minimera säkerhetsrisker. Medarbetare förväntas sätta sig in i denna policy och följa dess riktlinjer vid alla tidpunkter.
Alla medarbetare måste skriva under att man läst, förstått och följer innehållet i denna policy. Därefter behöver Regent skicka ut denna policy minst en gång per år för att påminna och utbilda om vilka regler som gäller, och vad de berörda har skrivit under på att de ska följa.