IKT-reglement

1. Formål

Formålet med IKT-reglementet ved Universitetet i Sørøst Norge (USN) er å sikre at bruk av USNs IKT-ressurser er i overensstemmelse med norsk lovgivning og som er forenlig med USNs virksomhet. IKT-reglementet skal bidra til data- og driftssikkerhet, og dermed støtte studenter og ansatte i deres virke.

2. Virkeområde

IKT-reglementet gjelder for alle studenter, ansatte og andre brukere som gis tilgang til USNs IKT-ressurser. 

IKT-reglementet gjelder for all bruk av USNs IKT-ressurser. IKT-ressurser defineres som alle fysiske komponenter (datanett bestående av kabling og nettverkselektronikk, samt generelle eller spesielle datamaskiner), programvare anskaffet av, eller som disponeres av USN og skytjenester som er endel av IT-tjenestene ved USN. Dette omfatter også privat utstyr tilsluttet USNs IKT-ressurser, samt programvare lisensiert av USN som installeres på privat utstyr.

3. Brukernes rettigheter

USN skal ivareta brukernes personvern i tråd med personopplysningsloven og sørge for at brukernes personopplysninger og data ikke misbrukes. USN skal ikke utlevere opplysninger om enkeltbrukere eller data tilhørende en bruker hvor dette ikke følger uttrykkelig av norsk regelverk.

4. Bruk av USNs IKT-ressurser

IKT-reglementet skal være lest og akseptert før arbeid utføres eller brukerkonto benyttes. Utførelse av arbeid eller bruk av konto innebærer aksept av retningslinjene.

4.1 Brukerident og passord

  • Passord for pålogging til USNs IT-tjenester er personlig og hemmelig. Passord og brukerident skal ikke oppgis til eller lånes ut til andre.
  • Ved mistanke om at passordet er blitt kjent av uvedkommende skal passordet byttes og IT-support informeres snarest mulig. Bytte av ditt passord utføres på konto.usn.no.
  • For å hindre at uvedkommende får tilgang skal skjermlås aktiveres når brukeren forlater arbeidsplassen. Dersom maskinen skal overlates til andre skal brukeren logge ut av egen brukeridentitet.

4.2 Bruk av utstyr

  • USNs PCer er normalt konfigurert av IT-avdelingen. Det grunnleggende oppsettet skal ikke endres av bruker.
  • Den ansatte må sørge for å lagre dokumenter på USNs IT-tjenester for lagring for å sikre at det tas backup av data. USN IT-tjenester for lagring er alle stasjoner (som for eksempel M: og V:) som automatisk monteres opp ved pålogging.
  • Bærbar PC (jobb-PC) som benyttes som klient i USN-nettet, kan benyttes i forbindelse med jobb på reiser og hjemme. Jobb-PC skal kun benyttes til jobbrelaterte oppgaver.
  • Den ansatte må utføre oppdateringer av både operativsystem, applikasjoner og antivirusprogram når disse gjøres automatisk tilgjengelig fra IT-avdelingen.
  • Den ansatte må aldri la bærbar PC eller annet bærbart utstyr ligge synlig uten tilsyn.
  • Ved behov for gjenoppretting av data som er slettet, må brukeren ta kontakt med IT-support. Det er kun data som er lagret i USN IT-tjenester (som for eksempel på stasjonene M: og V:) som kan gjenopprettes.
  • Slettet data i skytjenester, som f.eks i Microsoft 365, kan ikke gjennopprettes av IT-avdelingen. Det henvises til den enkelte avtale om skytjeneste for informasjon om backup og eventuell gjenoppretting av slettede filer.

4.3 Lagring av personopplysninger

  • Hvis du lagrer personopplysninger i dokumenter, databaser eller i e-postmeldinger, må du sørge for at dette gjøres i henhold til reglene i personopplysningsloven. Som hovedregel bør lagring av personopplysninger i størst mulig grad unngås.

4.4 Internett

  • Vær varsom ved bruk av informasjon og tilbud på Internett, åpning av nettsider, vedlegg og lenker i e-post, lynmeldinger og lignende.
  • Det er ikke tillatt å laste ned materiale i strid med lovverk, rettigheter og lignende.
  • Tjenester for fildeling tillates ikke på grunn av sikkerhetsrisikoen.
  • Ressurskrevende tjenester, eksempelvis radiolytting og TV/video streaming, web-tjenere, spilltjenere m.m., skal begrenses for ikke å negativt påvirke jobbrelatert trafikk i nettet.
  • Det er ikke tillatt å forsøke å forbigå sikkerhetsmekanismer, for eksempel ved å skjule ikke-tillatte tjenester gjennom andre tjenester.

5. USNs rett til logging 

USN logger informasjon som er nødvendig for informasjonssikkerheten og driften av USNs IKT-ressurser. Loggingen benyttes til systemovervåkning på aggregert nivå.

Dersom det gjennom loggføringen oppdages sikkerhetsbrudd eller ulovlig aktivitet, skal brukerne bli underrettet om at dette vil bli kontrollert for å identifisere ansvarlig bruker, samt om at aktiviteten skal opphøre umiddelbart. Dersom aktiviteten ikke opphører, vil USN uten samtykke fra brukerne identifisere den eller de ansvarlige. Straffbare forhold vil bli anmeldt.

6. Innsyn

USN har begrenset rett til innsyn i e-post eller personlige lagringsområder, jf. forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale. Brukeren bør samle personlig e-post og personlige data i egne mapper kalt ”personlig” for å skjerme slike data ytterligere fra innsyn.

USN har bare rett til å gjennomsøke, åpne eller lese brukernes e-post:

  • når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten
  • ved begrunnet mistanke om sikkerhetsbrudd eller ulovlig bruk av e-post eller personlig lagring

Brukeren skal så langt som mulig varsles med skriftlig begrunnelse og få anledning til å uttale seg før USN gjennomfører innsyn. I varselet skal USN begrunne hvorfor vilkårene anses oppfylt. Brukeren har rett til å være til stede ved gjennomføring av innsynet, og til å la seg bistå av tillitsvalgt eller annen representant.

Er innsynet foretatt uten forutgående varsel, skal brukeren gis skriftlig underretning så snart innsynet er gjennomført. Underretningen skal, i tillegg til opplysninger om hvorfor USN anså vilkårene for innsyn som oppfylt, inneholde opplysninger om hvilken metode for innsyn som ble benyttet, hvilke e-poster eller andre dokumenter som ble kontrollert, samt resultatet av innsynet, jf. forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale § 3.

Innsynet må gjennomføres på en slik måte at dataene så langt som mulig ikke endres og at frembrakte opplysninger kan etterprøves.

Begjæring om innsyn fremmes av øverste leder ved enheten (institutt, fakultet eller avdeling i sentraladministrasjonen). Beslutning om innsyn fattes av rektor.

USN kan gi innsyn i informasjon, logger og sikkerhetskopier til offentlige myndigheter når dette har hjemmel i lov eller forskrift, samt ved beslutning av retten.

7. Hacking

Det er forbudt å søke og gjøre seg kjent med andres passord eller andre sikkerhetselementer, eller å forsøke å oppnå uautorisert tilgang til andres data. Dette gjelder uavhengig av om dataene er beskyttet eller ikke.

Uautorisert tilgang eller forsøk på innbrudd i andres maskiner, områder eller systemer via USNs nettverk, er forbudt. Brukeren har ikke lov til å avlytte datatrafikk på nettet.

8. Rapportering og avvik

Alle feil eller mistanker om sikkerhetsbrudd, virus/orm/trojaner eller hendelser som kan ha betydning for sikkerheten, eller feil i informasjonssystemet (både maskinvare og programvare) på USN-utstyr skal rapporteres til IT-support snarest mulig.

Det er kun rektor eller den hun/han gir ansvaret til, som har myndighet til å uttale seg til presse eller andre media i forbindelse med saker som gjelder IT-sikkerhet, sikkerhetsbrudd eller større hendelser.

Avvik fra IKT-reglementet/denne instruksen skal håndteres i henhold til avviksrutine og skal varsles til fagansvarlig for informasjonssikkerhet umiddelbart. Det kan også varsles via IT-support som informerer fagansvarlig for informasjonssikkerhet om avviket.

Dersom studenter eller tilsatte har prosjektspesifikke behov som avviker fra denne instruksen, skal det sendes en anmodning til IT-support via avdelingsleder.

9. Sanksjoner

Overtredelse av IKT-reglementets bestemmelser kan føre til at brukeren nektes tilgang til hele eller deler av USNs IKT-ressurser. I tillegg kan det medføre sanksjoner etter andre regler, så som disiplinærreaksjoner etter Lov om statens ansatte mv. (statsansatteloven), erstatningsansvar, straffeansvar o.a.

Midlertidig utestenging besluttes av øverste leder ved enheten etter samråd med systemeier. Personal- og organisasjonsavdelingen skal varsles dersom utestengingen gjelder en arbeidstaker.

Midlertidig utestenging kan skje ved berettiget mistanke om at:

  • brukeren har gjort seg skyldig i alvorlige overtredelser, eller
  • brukeren eller brukerens IKT utstyr utgjør en vesentlig trussel for informasjonssikkerheten

I vurderingen skal det legges vekt på overtredelsens grovhet, om brukeren tidligere har overtrådt reglementet, hvilke følger en utestenging vil få for brukeren og forholdene ellers.

Klage på vedtak truffet med hjemmel i tjenestemanns- og forvaltningsloven følger disse lovenes regler om klage.

10. Opphør av student og ansettelsesforhold

Ved kassering av minnebrikker, utstyr som inneholder harddisker og annet lagringsmateriale, skal tilsatte levere utstyret til IT-support for forsvarlig destruksjon.