IT-policy!?

Sunet's etiska regler är en bra början:

http://basun.sunet.se/html_docs/info_sunet/etik.html

Etiska regler

Det är en i den akademiska världen allmänt accepterad princip att bevara nätverken så öppna som möjligt.

För att så skall kunna ske är det oundvikligt att vissa etiska krav ställs på de individer som använder nätverken och på deras aktiviteter. Dessa etiska krav skiljer sig inte särskilt mycket från övriga krav som ställs på medborgarna i ett modernt samhälle.

SUNET fördömer som oetiskt när någon

1. försöker få tillgång till nätverksresurser utan att ha rätt till det

2. försöker dölja sin användaridentitet

3. försöker störa eller avbryta den avsedda användningen av nätverken

4. uppenbart slösar med tillgängliga resurser (personal, maskinvara eller programvara)

5. försöker skada eller förstöra den datorbaserade informationen

6. gör intrång i andras privatliv

7. försöker förolämpa eller förnedra andra.

Fyll sedan på med sådant som är relevant för erat företag

Får man fråga vad som är så nattsvart med eran It-Policy ?

Ska jag vara ärlig så tror jag de flesta IT-Policy är ganska "nattsvarta". Allt är skrivet för att visa att företaget inte tillåter något som helst som inte är nödvändigt. Sen hur vanligt är det att dom anställda följer en IT-policy helt fullt ut ?

Skrev ett skolarbete om just detta, ska se om jag hittar det när jag kommer hem (om några dagar dvs)

Lägg gärna in en (temporär) länk till dokumentet/policyförslaget så man kan titta på det komma med lite förslag...

"Det är förbjudet att besöka sidor med olagligt innehåll. Det är ej heller tillåtet att lyssna på
radio eller musik via Internet, använda MSN Messenger, ICQ eller annan chatprogramvara,
bevaka aktier eller liknande, detta pga att det reducerar våra resurser vad gäller det primära
syftet med vår uppkoppling mot Internet, nämligen mailhantering och övrig kommunikation
till regionskontor eller konsulter vi anlitar."

- Det är väl bara att rätta sig i ledet. Chattprogram kan vara bra, men det finns också risker med dem.

"Filer av typ .com, .exe, .pif, .vbs, .scr stoppas
idag i vårt epost-system."

-Absolut rätt!

"För att ett lösenord skall vara svårt att knäcka rekommenderas att det är minst 8 tecken, och
att det innehåller både bokstäver och siffror blandat, allra helst med blandat stora och små
bokstäver. Lösenordet skall inte innehålla användarens eget eller nära släktingars namn.
Alla lösenord skall bytas regelbundet oavsett om systemen påminner om detta eller inte."

- Jag tycker att ni borde ha kravet "maskinellt", dvs att lösenord föker reglerna, på hur många tecken det skall vara, samt minst en siffra, minst en stor bokstav.

"Alla användare ansvarar för att logga ur sin dator från nätverket när dagens arbete är slutfört
för att förhindra för obehöriga att på ett lätt sätt ta sig in i systemen."

- Rätt, dessutom tycker jag att ni skall aktivera skärmsläckare med lösenordshantering efter ett visst intervall. Dessa inställningar skall ni sedan hindra användarna från att ändra.

Tja, jag ser inte riktigt vad som är så nattsvart.
Om man har i åtanke på att folk sitter på jobbet och har betalt per timme, använder datorer som företaget äger, programvara som företaget licencierar och i all kommunikation utåt representerar företaget, så är det väl inte så konstigt att företaget föredrar att man gör sådant som har med arbetet att göra?

Att man väljer att förbjuda installation av egna program förstår jag helt och hållet. Om något program som IT-enheten inte har koll på börjar krångla så kan det lätt bli väldigt dyrt (tid är pengar).

Punkten i de etiska reglerna: "inte tillåtet att... 8. utnyttja XXXXXXs utrustning för privat bruk som inte är av ringa omfattning"
ger ju en liten hint om att det inte är helt förbjudet att göra sådant som inte är arbetsrelaterat om det inte är olagligt, osäkert eller använder mycket resurser.

Men för att slippa problem med regeltolkning i framtiden bör företaget specificera vad man faktiskt får göra, inte bara vad man inte får göra.

Det känns som att ni har rätt mycket frihet ändå.
Jag har varit med om företag där all extern mail och all surfning är blockerad. Sedan får man specificera vilka mailadresser man vill kunna skicka till (och få godkännt av chefen), typ mail till *@våranföretagspartner.com och www.våranleverantör.com
Dessutom var datorerna rätt hårt låsta. Man ansökte om inloggningskonto , mail och word+excel t.ex. Då fick man upp ikonerna för outlook, word och excel på skrivbordet. Inget annat. Ingen startmeny, ingen utforskare mm. Endast skrivbehörighet till sin katalog på servern, ingen skrivbehörighet på datorn. Man fick till och med fråga extra för att få se klockan i högra hörnet!
Det mina damer och herrar, det är nattsvart!

Ja, det dokumentet kan väl tänkas vara lite "hårt" skrivet. Det känns t.ex. lite hårt att begränsa användandet av program som ICQ/MSN Messenger, men det är kanske så att denna användning drar ner produktiviteten i företaget - vad vet jag. Även förbud mot att "lyssna på radio via Internet" känns lite jobbigt - jag lyssnar på nätradio stora delar av min vakna tid på dygnet! Det är kanske dock så att ni har en ganska litet Internetlina som många ska dela på?

Sammantaget kan jag hålla med om att det är ett ganska "mörkt" dokument, men man får ställa sig frågan "varför är det mörkt?". Är detaljförbuden berättigade, eller är det saker som du tycker borde vara tillåtna? När man skriver ett sådant policydokument tycker jag man först ska bena ner vad som är tillåtet, och vad som inte är det. Det som är förbjudet ska uttryckligen förbjudas, det som är tillåtet ska inte tas upp. Då råder det inga tvivel om vilka regler som gäller.

Sedan tycker jag att man, i ett policydokument, inte nödvändigtvis måste ta upp saker så detaljerat om man inte måste. En IT-policy behöver inte berätta exakt för användarna t.ex. vilka "övervakningsprogram" som är installerade osv., och hur man ska gå tillväga med att skicka e-post., Det kan man skriva i ett vanligt PM, eller utskick till användarna, eller på internhemsidan.

Det bör också framgå vad som gäller vid regelöverträdelser. Får man kicken direkt, eller får man några varningar först? Polisanmäls upptäckta lagöverträdelser? Osv....

Jag tycker också det är dumt att skriva saker som "koncernen har som policy att nedladdning och användning av musikfiler i så kallat mp3-format inte är tillåtet. Detta är på grund av det oklara rättsläget beträffande upphovsrätt." Jasså?! Så det är helt OK att ladda ner musikfiler i AAC, WMA etc. då eller? Typisk sak som känns som ett påhopp. Antingen är det tillåtet att ladda ner saker efter eget omdöme, eller så är det helt förbjudet. Det räcker gott med att säga att "Nedladdning av material som inte har med jobbet att göra är förbjuden". Sedan är det upp till var och en att fatta vad det är man inte får ladda ner.

Vidare det här med att "All information som lagras på hårddisk på server eller lokal dator är XXXXXX koncernens egendom." - det känns ju definitivt som en slags inskränkning av den personliga identiteten. Som att företaget har rätt att snoka i precis allt som man har på sin dator. Bättre att formulera sig i stil med att "it-avdelningen har rätt att övervaka data i systemen". Man får också passa sig lite exakt hur man formulerar sig. Man kan komma i konflikt med gällande lagar angående avlyssning, och brytande av sk. "telehemlighet" - det som förhindrar ISP:s att avlyssna trafiken i deras nät utan vidare.

Det känns i alla fall som om det dokumentet skulle behövas slipas på en del....

Håller med janzzon.

Den där IT-policy är mycket lik den vi tillämpar på mitt jobb, och den funkar fint.
Visst, det var lite smågäll när vi införde den för att folk inte kom åt Svenska Spel, ATG, ect...
Men det är bara att tydligt förklara att sådant inte är jobbrelaterat.

Har man inte en tydlig it-policy så tar det högst 2,5 sec innan folk börjar ladda ned saker, kolla på skumma (p0rn) sidor, osv..

Känns som de missat lite grann vad en policy är, en policy ska endast dra upp reglerna sen ska ett dokument innehållandes riktlinjerna förklara varför och hur policyn ska efterlevas (iaf så som vi fått lära oss).

Vår uppgift vi skulle lösa
http://www.masda.vxu.se/multimedia/kurser/MEA722/uppgifter/up...

En sida med information kring IT-säkerhet/IT-policy etc vi fick som grund
http://www.masda.vxu.se/multimedia/km/security/security.htm

Jag håller iofs. inte med om att "chatt via IRC eller ICQ" inte är att anses som professionell. Mycket av den dagliga versamheten (iaf. mellan tekniker) hos många större ISPs i dagsläget sker t.ex. via IRC (och även i viss mån via ICQ).

Genomtänkt var det väl, dom vill inte att olagligt upphovsrättsskyddat material ska lagras på företagetsdatorer. Däremot var det felformulerat när dom bara tog upp mp3 filer. Hade dom skippat "i så kallat mp3 format" och bara skrivit musikfiler så hade det täckt alla format.

Här får man använda lite sunt förnuft... Tänk så här: Skrivbordet du använder på jobbet tillhör företaget. Om du ställer ett inramat kort på din fru där, kan företaget klaga på dig då?...eller ta ramen o kortet ifrån dig för det är "deras".
Det blir lite skillnad om du släpar dit hela din fotosammling eller videofilms hylla och ställer på kontoret.

Det är nog datorerna som övervakas, inte personalen.

Vi har massor utav Office 97 kvar, och jag kan inte påstå att vi är efter i utvecklingen...
Och det är inte en generations fråga, det är en attitydsfråga.

Problemet med att förbjuda att man laddar ner "upphovsrättsskyddat material" är att man då inte ens kan surfa till Aftonbladets hemsida. Dom har ju upphovsrätten till alla bilder på sin hemsida!

Fullt så illa har dom väl förhoppningsvis inte menat
Det står iofs:
"Likaså är nerladdning av material med upphovsrättsskydd förbjudet om inte berörd person via avtal har rätt att ladda ner sådant material."
Och Aftonbladet såsom upphovstättsinnehavare genom handling visat att man har rätt att ladda ner deras texter/bilder genom att dom har publilcerat dom på webben.

Men jag förstår vad du menar, JohanS, att det är lätt att skjuta sig i foten när man skriver regler. Det blir lätt absurda konsekvenser dom inte går att upprätthålla
Om man genom att starta datorn (eller iaf går ut på nätet) bryter mot IT-policyn så är det väl inte så många som tar policyn seriöst.

Vore intresant att veta om företaget det handlar om är ett Svenskt dotterbolag som följer en koncerpolicy eller om policyn är lokalt skapad.

/H

tycker faktiskt att policyn ser ut som den gör på många andra ställen. Det står inget om att man inte får skicka privata mail som det är förbjudet att göra på många andra företag.