Rutine for avvikling av IT-rettigheter ved USIT

Rutine for avvikling av IT-rettigheter for ansatte ved USIT som går ut i permisjon, slutter eller går av med pensjon.

Denne rutinen skal benyttes for enhver ansatt ved USIT som går ut i permisjon, slutter eller går av med pensjon.

Nærmeste linjeleder er ansvarlig for at rutinen blir fulgt.

Hensikten med rutinen er å sikre at ingen som slutter eller går ut i permisjon urettmessig har tilgang til UiO sine IT-systemer. Den skal også sikre at de evt. beholder rettigheter gjør det på bakgrunn av et bevisst valg.

 

Ved avgang eller permisjon så deles arbeidstakere inn i tre grupper:

  1. Personer som går ut i fødselspermisjon, studiepermisjon eller annet kortvarig opphold fra arbeidet som er mindre enn ett år, og som i perioden ikke skal utføre lønnet eller ulønnet arbeid som er eller kan være i interessekonflikt med arbeidet ved UiO
  2. Personer som går av med pensjon, det regnes da fra en går ut i 100% pensjon.
  3. Personer som slutter eller går ut i permisjon for å starte i ny jobb hos andre enn USIT.

De tre grupperingene behandles ulikt.
 

Gruppe 1

Personer som faller inn under gruppe 1 skal:

  • I utgangspunktet beholde rettigheter som om de var i full jobb.
  • Spesiellt priviligerte rettigheter som root, adminstrator, tilgang til serverrom eller annet som anses av linjeleder som relevant skal vurderes.

Gruppe 2

Personer som går av med pensjon skal, om de ønsker det, få beholde en konto på UiOs IT-systemer.

Før arbeidstaker går av med pensjon:

  • I god tid før fratredelse skal det varsles om at vedkommende vil miste sine tilganger ved UiOs datasystemer, og maksimalt kunne beholde en brukerkonto ved UiO.
  • Sørge for at alle relevante data enten er tatt ut på eget lagringsmedium eller være overført til den kontoen det er valg å overføre data til.
  • Sørge for at ingen automatiske prosedyrer eller andre jobber som løsninger USIT drifter er avhengig av slutter å virke hvis vedkommendes konto blir deaktivert. Avvik skal rapporteres skriftlig til linjeleder.
  • Destruere nøkkelmatriell og annen relevant informasjon som kan kompromittere USITs eller USITs kunders sikkehet. Slik som kryptonøkler, passord, e-post og annen informasjon som kun er beregnet for USITs ansatte.
  • Ansatte som slutter eller går av med pensjon skal kvittere på at overnevnte punkter er utført.

Når arbeidstaker har hatt sin siste ordinære arbeidsdag ved USIT så har linjeleder ansvar for at:

  • Hvis personen ønsker å beholde en konto så skal personen registreres iht. rutine for tilknyttede brukere. Dette må gjøres innen 1. mnd. fra fratredelse, hvis ikke vil bruker bli sperret.
  • Personen mister alle sine IT-tilganger bortsett fra e-post og innlogging på fellesmaskiner innen 1 uke etter fratredelse. Se sjekkliste under.
  • Personen kan få tilganger til relevante e-postlister eller grupper som gir lese tilgang til relevant interninformasjon. Disse tilgangene kan gis og godkjennes av linjeleder for de relevante fagområdene.
  • Skal personen få skrivetilgang eller andre høyere privilegier så skal det skrives en avtale om dette. Slik tilgang kan foreslås av linjeleder, og skal godkjennes av IT-sikkerhetssjef.
  • Avtale om skrivetilgang sendes IT-sikkerhetssjef og personal.

Gruppe 3

Personer som faller inn under gruppe 3 skal:

Før arbeidstaker slutter:

  • Spesiellt priviligerte rettigheter som root, adminstrator, tilgang til serverrom eller annet skal fjernes ved fratredelse (siste ordinære arbeidsdag).
  • I god tid før fratredelse, minimum innenfor oppsigelsestiden, varsles om at vedkommende vil miste sine tilganger ved UiOs datasystemer, og maksimalt kunne beholde en brukerkonto ved UiO.
  • Sørge for at alle relevante data enten er tatt ut på eget lagringsmedium eller være overført til den kontoen det er valg å overføre data til.
  • Sørge for at ingen automatiske prosedyrer eller andre jobber som løsninger USIT drifter er avhengig av slutter å virke hvis vedkommendes konto blir deaktivert. Avvik skal rapporteres skriftlig til linjeleder.
  • Destruere nøkkelmatriell og annen relevant informasjon som kan kompromittere USITs eller USITs kunders sikkehet. Slik som kryptonøkler, passord, e-post og annen informasjon som kun er beregnet for USITs ansatte.
  • Ansatte som slutter eller går ut i permisjon skal kvittere på at overnevnte punkter er utført.

Når arbeidstaker har hatt sin siste ordinære arbeidsdag ved USIT så har linjeleder ansvar for at:

  • Personen mister alle sine IT-tilganger bortsett fra e-post og innlogging på fellesmaskiner innen 1 uke etter fratredelse. Se sjekkliste under.
  • Etter to uker settes bruker i karantene, etter 1 mnd. slettes bruker.
  • Personer som skal ha tilgang til e-post  og fellesmaskiner ut over dette skal registreres iht. rutine for tilknyttede brukere. Dette må gjøres innen 1 mnd. fra fratredelse, hvis ikke vil tilgang bli fjernet.
  • Personer som er i permisjon beholder tilgang til e-post og fellesmaskiner i permisjonstiden, men må ved permisjonstidens utløp registreres som for punktet over.
  • Før tilganger til alt annet enn e-post og fellestjenester gis så skal skriftlig avtale være inngått og godkjent av IT-sikkerhetssjef.
  • Liste over hvilke tilganger som er gitt og kopi av avtale skal sendes IT-sikkerhetssjef og personal.
  • Avvik fra denne rutine ang. tidsfrister, antall kontoer eller privilegier skal rapporteres til IT-sikkerhetssjef.

Ved særs kritiske tilfeller så kan seksjonledere, gruppeledere eller leder for UiO-CERT gi dispensasjon fra disse bestemmelsene. Det skal da leveres skriftlig avviksrapport til IT-direktør og IT-sikkerhetssjef så fort normalsituasjon er oppnådd, eller maksimalt  innen 1 uke etter at behovet oppstod. Den som innvilget dispensasjonen er ansvarlig for at tilgang enten fjernes eller registeres riktig.

 

Hvis tilganger ikke er fjernet iht. denne rutinen så vil konto bli sperret uten ytterligere varsel.

 

Sjekkliste for fjerning av tilganger

  • Hvis personen ikke allerede har personlig filgruppe så skal dette opprettes og settes som primærgruppe.
  • Personer skal meldes ut av alle grupper bortsett fra personlig filgruppe ( også gruppe USIT )
  • Personer skal kun beholde en konto
  • Husk fjerning av tilganger som ikke er styrt av Cerebrum, slik som andre systempassord, applikasjonspassord, kryptonøkler osv.
  • Husk utmelding fra tjeneste-relaterte e-postlister
  • Database, system og applikasjonspassord som arbeidstaker har hatt / eller kan ha hatt tilgang til skal skiftes ved fratredelse.
  • Husk fjerning av brukers maskin i host.allow filer og acl'er - medmindre maskinen skal gjenbrukes av ny person i samme rolle, med samme tilganger.
  • Husk fjerning av ssh nøkler fra authorized_keys

 

 Sjekkliste for rydding for hjemmeområde

  • Slett evt. passorddatabaser, signeringsnøkler, jobbrelaterte SSH nøkler ol.
  • Sjekk om du har kildekode, script, lisensnøkler eller annet som er nødvendig for videre drift ved USIT. Overlever dette i såfall til linjeleder.
  • Sjekk om du har utredninger, møtereferater, kontrakter eller andre viktige dokumenter lagret - sørg i tilfelle for å overlevere til linjeleder.
  • Sjekk at du ikke har teknisk dokumentasjon, kontrakter, prislister eller annen info. som du etter fratredelse ikke skal ha tilgang til.
  • Sjekk at du ikke har e-post arkiver som inneholder passord, sensitiv eller beskyttelsesverdig informasjon eller annet du ikke skal ha tilgang til etter fratredelse.

 

Publisert 3. mai 2017 09:21 - Sist endret 3. des. 2018 13:04