---

Hej.

Jeg sidder som administrator i et firma, men kender ikke vildt meget til
"hvad der holder i byretten". Vi skal have indført en EDB politik og jeg har
i den forbindelse et par spørgsmål.

Vi opstiller en politik hvor vi definere hvilke programmer der er lovlige at
installere på sin computer og hvilke der ikke er og at medarbejderen selv er
ansvarlig for ikke-godkendte programmer. Hvis der er tvivlspørgsmål skal man
kontakte mig og få en skriftelig afgørelse om programmet er "lovligt" eller
ej (lovligt i den forstand om vi tillader programmet - ikke om der er
licens). Så får vi alle medarbejdere til at underskrive at de har set og er
indforstået med denne politik.

Men hvad så hvis BSA en dag kommer og ser at dén og den medarbejder har en
masse ulovlig software - kan vi som firma så lade dette ansvar hvile på
medarbejderen, da denne jo har set og er indforstået med EDB politikken?
Eller hænger firmaet på den?

Endvidere - hvordan opstiller man en generel EDB politik? Synes det er svært
at tænke på alt og få alle punkter med, så er der en "checkliste" man kan se
et eller andet sted mon?

Håber at kunne få et par bud på ovenstående - gerne fra kvalificeret side,
da jeg ikke kan bruge gætværk til ret meget (kan selv gætte)

Claus

---

"Claus" <claus@mssn.dk> skrev i en meddelelse
news:3cb2aff1$0$78786$edfadb0f@dspool01.news.tele.dk...
> Hej.

> Men hvad så hvis BSA en dag kommer og ser at dén og den medarbejder har en
> masse ulovlig software - kan vi som firma så lade dette ansvar hvile på
> medarbejderen, da denne jo har set og er indforstået med EDB politikken?
> Eller hænger firmaet på den?

Uanset hvor meget medarbejderne skriver under på, er det virksomheden, som
kommer til at hænge på den, idet at softwaren findes på virksomhedens
computere. I et selskab vi købte var det klart ud fra hvem som havde
password, som havde installeret et given program (som slet ikke var anvendt,
da passwordet var ukendt for virksomheden på overtagelsestidspunktet).
Alligevel påstod medarbejderen at en tidligere direktør havde givet
tilladelse, selvom programmet ikke var lanceret, da direktøren var ansat.
Den slap vi for at hænge på, men omkostningerne med skrivearbejdet løb op
over det beløb, som vi kunne have sluppet med ved at betale for
overtrædelsen. Anmelderen var iøvrigt samme medarbejder, som havde ændret de
administratorpasswords der var, så man ikke kontrollere hvilke programmer
der var på serveren.

Kontrol er bedre end tillid skrev man allerede hos Nimb under første
verdenskrig. Man kan for et beskeden beløb købe programmer, som man lægger
ind i login-scriptet. Se f.eks. http://www.alchemy-lab.com under "asset
tracker".

Slet så programmerne, når de dukker op på listen. Som internettet er
indrettet idag, er det ikke engang sikkert at medarbejderne opdager at de
har installeret et program.

> Endvidere - hvordan opstiller man en generel EDB politik? Synes det er
svært
> at tænke på alt og få alle punkter med, så er der en "checkliste" man kan
se
> et eller andet sted mon?

En checkliste er er svær, da hver virksomhed har forskellig kultur. Noget
vil man måske ikke have regler for ikke miste muligheden at afholde at bruge
det i en kommende situation. Men her er et par inspirationspunkter.

Licenser.
Medbragt hardware (PDA'er, mobiltelefonstilslutninger)
Regler for skreven materiale ind og ud af huset.
Chat
Surf-vaner
Udlån og salg af udtjent materiale
Eventuel limit på fri telefon

Med venlig hilsen
Carsten Overgaard

---

> > Men hvad så hvis BSA en dag kommer og ser at dén og den medarbejder har
en
> > masse ulovlig software - kan vi som firma så lade dette ansvar hvile på
> > medarbejderen, da denne jo har set og er indforstået med EDB politikken?
> > Eller hænger firmaet på den?

> Uanset hvor meget medarbejderne skriver under på, er det virksomheden, som
> kommer til at hænge på den, idet at softwaren findes på virksomhedens
> computere.

Jo, men hvis brugeren acceptere klart (med en underskrift), at godtage at
alt hvad der ikke er standard hæfter personen selv for - gælder det så
virkeligt ikke?

> I et selskab vi købte var det klart ud fra hvem som havde
> password, som havde installeret et given program (som slet ikke var
anvendt,
> da passwordet var ukendt for virksomheden på overtagelsestidspunktet).
> Alligevel påstod medarbejderen at en tidligere direktør havde givet
> tilladelse, selvom programmet ikke var lanceret, da direktøren var ansat.
> Den slap vi for at hænge på, men omkostningerne med skrivearbejdet løb op
> over det beløb, som vi kunne have sluppet med ved at betale for
> overtrædelsen. Anmelderen var iøvrigt samme medarbejder, som havde ændret
de
> administratorpasswords der var, så man ikke kontrollere hvilke programmer
> der var på serveren.



> Kontrol er bedre end tillid skrev man allerede hos Nimb under første
> verdenskrig. Man kan for et beskeden beløb købe programmer, som man lægger
> ind i login-scriptet. Se f.eks. http://www.alchemy-lab.com under "asset
> tracker".

Vil prøve at kigge på hvad det er for noget.

> > Endvidere - hvordan opstiller man en generel EDB politik? Synes det er
> > svært at tænke på alt og få alle punkter med, så er der en "checkliste"
man kan
> > se et eller andet sted mon?

> Men her er et par inspirationspunkter.
>
> Licenser.
> Medbragt hardware (PDA'er, mobiltelefonstilslutninger)
> Regler for skreven materiale ind og ud af huset.
> Chat
> Surf-vaner
> Udlån og salg af udtjent materiale
> Eventuel limit på fri telefon

Jeg takker for input indtil videre. Vil selvfølgelig gerne have yderligere
input

// Claus

---

Scripsit "Claus" <claus@mssn.dk>

> Jo, men hvis brugeren acceptere klart (med en underskrift), at godtage at
> alt hvad der ikke er standard hæfter personen selv for - gælder det så
> virkeligt ikke?

Ikke overfor en krænket tredjemand. Når først virksomheden har betalt
erstatning til den krænkede, kan den naturligvis rette regreskrav mod
den ansatte.

--
Henning Makholm "We will discuss your youth another time."

---

"Claus" <claus@mssn.dk> skrev i en meddelelse
news:3cb2aff1$0$78786$edfadb0f@dspool01.news.tele.dk...
<KLIP>
> Vi opstiller en politik hvor vi definere hvilke programmer der er lovlige
at
> installere på sin computer og hvilke der ikke er og at medarbejderen selv
er
> ansvarlig for ikke-godkendte programmer. Hvis der er tvivlspørgsmål skal
man
> kontakte mig og få en skriftelig afgørelse om programmet er "lovligt"
eller
> ej (lovligt i den forstand om vi tillader programmet - ikke om der er
> licens). Så får vi alle medarbejdere til at underskrive at de har set og
er
> indforstået med denne politik.

Det er ikke en politik du beskriver snarere et regelsæt!

> Men hvad så hvis BSA en dag kommer og ser at dén og den medarbejder har en
> masse ulovlig software - kan vi som firma så lade dette ansvar hvile på
> medarbejderen, da denne jo har set og er indforstået med EDB politikken?
> Eller hænger firmaet på den?

Firmaet hænger på den, men så må man bare gøre udlæg hos medarbejderen.

> Endvidere - hvordan opstiller man en generel EDB politik? Synes det er
svært
> at tænke på alt og få alle punkter med, så er der en "checkliste" man kan
se
> et eller andet sted mon?

HAr lige lavet en opgave hvor vi skulle opstille en sikkerhedspolitik, dog
blev den graderet til at være et regelsæt af læren, vi lånte forsvares
sikkerhedsmanual, den var fyldt med "politik".

> Håber at kunne få et par bud på ovenstående - gerne fra kvalificeret side,
> da jeg ikke kan bruge gætværk til ret meget (kan selv gætte)

Et kvalificeret gæt vil være at bruge google.com og søge på EDB politik, så
finder du stof til masser af regler. Lige så kan IT sikkerhedsrådet nok også
hjælpe dig.

---

> > ej (lovligt i den forstand om vi tillader programmet - ikke om der er
> > licens). Så får vi alle medarbejdere til at underskrive at de har set og
> > er indforstået med denne politik.

> Det er ikke en politik du beskriver snarere et regelsæt!

Så længe det er "lovgivende" for brugeren, så kan vi fint kalde det regelsæt
(og ja, måske er politik noget med paragraffer og sådan)

> > Men hvad så hvis BSA en dag kommer og ser at dén og den medarbejder har
en
> > masse ulovlig software - kan vi som firma så lade dette ansvar hvile på
> > medarbejderen, da denne jo har set og er indforstået med EDB politikken?
> > Eller hænger firmaet på den?

> Firmaet hænger på den, men så må man bare gøre udlæg hos medarbejderen.

Jo, men er det lovligt? (holder det i byretten hvis en medarbejder nægter at
betale?)

> > Håber at kunne få et par bud på ovenstående - gerne fra kvalificeret
side,
> > da jeg ikke kan bruge gætværk til ret meget (kan selv gætte)

> Et kvalificeret gæt vil være at bruge google.com og søge på EDB politik,
så
> finder du stof til masser af regler. Lige så kan IT sikkerhedsrådet nok
også
> hjælpe dig.

IT Sikkerhedsrådet - tak, havde slet ikke tænkt på dette.

Claus

---

"Claus" <claus@mssn.dk> skrev i en meddelelse
news:3cb2e26f$0$11929$edfadb0f@dspool01.news.tele.dk...
<KLIP>
Påfører du dit arbejde tab ved at have noget fy fy liggende, mener jeg ikke
der noget til hiner for at de kan føre søgsmål mod dig, OG vinde
selvfølgelig.

> > > Håber at kunne få et par bud på ovenstående - gerne fra kvalificeret
> side,
> > > da jeg ikke kan bruge gætværk til ret meget (kan selv gætte)
>
> > Et kvalificeret gæt vil være at bruge google.com og søge på EDB politik,
> så
> > finder du stof til masser af regler. Lige så kan IT sikkerhedsrådet nok
> også
> > hjælpe dig.
>
> IT Sikkerhedsrådet - tak, havde slet ikke tænkt på dette.

Prøv forsvaret der kan du sikkert for en kopi fra, altså af deres regelsæt!

---

Claus skrev: (messageID:
<news:3cb2aff1$0$78786$edfadb0f@dspool01.news.tele.dk>)

> Endvidere - hvordan opstiller man en generel EDB politik? Synes det er
> svært at tænke på alt og få alle punkter med, så er der en "checkliste"
> man kan se et eller andet sted mon?

På http://www.bender.dk/ finder du "Tjekliste til retningslinjer for
medarbejderes brug af IT-ressourcer" under "Artiker".

Måske den kan tjene til inspiration, der er ihvertfald ret omfattende.


--
Kasper Damkjær

http://www.damkjaer.net/
- endelig kom v. 3! :)

---

Måske denne var interessant:
http://forlag.da.dk/varetext.asp?varenr=260-03

---

On Tue, 9 Apr 2002 11:10:09 +0200, "Claus" <claus@mssn.dk> wrote:

>Hej.
>
>Jeg sidder som administrator i et firma, men kender ikke vildt meget til
>"hvad der holder i byretten". Vi skal have indført en EDB politik og jeg har
>i den forbindelse et par spørgsmål.
>
>Vi opstiller en politik hvor vi definere hvilke programmer der er lovlige at
>installere på sin computer og hvilke der ikke er og at medarbejderen selv er
>ansvarlig for ikke-godkendte programmer.

Altså en "positivliste"

>Hvis der er tvivlspørgsmål skal man
>kontakte mig og få en skriftelig afgørelse om programmet er "lovligt" eller
>ej (lovligt i den forstand om vi tillader programmet - ikke om der er
>licens). Så får vi alle medarbejdere til at underskrive at de har set og er
>indforstået med denne politik.

Må brugerne godt selv installere programmer?? Det giver da en hulens
masse fejl?


>Endvidere - hvordan opstiller man en generel EDB politik? Synes det er svært
>at tænke på alt og få alle punkter med, så er der en "checkliste" man kan se
>et eller andet sted mon?

Vores er her:

Alt installation på arbejdsstationer må kun foretages af IT-Afd.

Flytning af PC'en må kun foretages i samråd med IT-Afd. (Gælder den
elektriske sammenkobling).

IT-Afd. kan til enhver tid slette eller ombytte PC'en på din
arbejdsplads. Derfor må du ikke selv installere programmer - gem ikke
dine dokumenter på C:\.

Du får et personligt sted (J:\) på vores server til dine dokumenter
mv. IT-Afd. har adgang til disse dokumenter, men ellers får du besked
om hvem der har adgang i øvrigt.

Det er ikke tilladt at downloade eller indlægge software eller andet
materiale:
   hvortil XXXX ikke har erhvervet sig en legal brugsret.

   der ikke har en saglig begrundelse i XXXX's
   forretningsområder.

   som ikke er testet og godkendt af XXXX's IT-afdeling.

   Alt indgående og udgående elektronisk post betragtes som
   XXXX's ejendom og vil blive behandlet og registreret
   efter de normale regler for post.

   Brug af Internet skal have en saglig begrundelse i relation
   til XXXX's forretningsområder.

   XXXX foretager en registrering af brug af Internet.

   Det er ikke tilladt at omkonfigurere udleveret udrustning
   uden godkendelse fra XXXX's IT-afdeling.

   Virusadvarsler og lign. modtaget pr. e-mail, skal
   videresendes til IT-afd., og må ikke distribueres videre.

Overtrædelse af ovenstående punkter vil medføre en advarsel, og ved
gentagne overtrædelser (eller grove overtrædelser) vil XXXX tage
ansættelsen op til revurdering.

To kopier af denne Politik udleveres til medarbejderen ved ansættelse,
medarbejderen kvitterer for modtagelsen på den ene og denne afleveres
til Fællestillidsmanden/Personalechefen.


>Håber at kunne få et par bud på ovenstående - gerne fra kvalificeret side,
>da jeg ikke kan bruge gætværk til ret meget (kan selv gætte)

Jeg vil lige sige at vi _har_ haft den i "brug", for at fyre en
medarbejder, for grov overtrædelse.


/Dan MOrtensen

---

Dan MOrtensen wrote:
>
> Må brugerne godt selv installere programmer?? Det giver da en hulens
> masse fejl?

Det er måske lidt OT, men jeg vil ikke mene, at det behøver at være
noget problem. Hvis der anvendes et fornuftigt system, og det i øvrigt
er sat rigtigt op, vil skaden være meget begrænset. I værste fald vil
brugen selv blive hæmmet i sit arbejde, men ingen andre vil blive
påvirket. Det burde være nemt at komme tilbage til udgangspunktet. Og
som sidste udvej må brugeren kontakte IT afdelingen, der på et minut
kan give brugeren et friskt sæt personlige konfigurationsfiler, så
brugeren kan komme tilbage til arbejdet.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk

---

> >Vi opstiller en politik hvor vi definere hvilke programmer der er lovlige
at
> >installere på sin computer og hvilke der ikke er og at medarbejderen selv
er
> >ansvarlig for ikke-godkendte programmer.

> Altså en "positivliste"

Ja.

> >Hvis der er tvivlspørgsmål skal man
> >kontakte mig og få en skriftelig afgørelse om programmet er "lovligt"
eller
> >ej (lovligt i den forstand om vi tillader programmet - ikke om der er
> >licens). Så får vi alle medarbejdere til at underskrive at de har set og
er
> >indforstået med denne politik.

> Må brugerne godt selv installere programmer?? Det giver da en hulens
> masse fejl?

Brugerne må godt selv installere, ja. Vi har en masse individuelle
konfigurationer og jeg kan éne mand ikke rende rundt og installere software.
Endvidere kender jeg langt fra alt den software der installeres. Endvidere
hvis man ikke tillader at brugeren selv kan installere programmer (vha.
sikkerheds politik på serveren), så kan det hurtigt give problemer hvis jeg
er syg eller andet og de så bare ikke kan installere programmer, selv om de
lige har behov for det.

> Vores er her:
>
> Alt installation på arbejdsstationer må kun foretages af IT-Afd.
>
[CUT]
>
> Overtrædelse af ovenstående punkter vil medføre en advarsel, og ved
> gentagne overtrædelser (eller grove overtrædelser) vil XXXX tage
> ansættelsen op til revurdering.

> To kopier af denne Politik udleveres til medarbejderen ved ansættelse,
> medarbejderen kvitterer for modtagelsen på den ene og denne afleveres
> til Fællestillidsmanden/Personalechefen.

Spørgsmålet er jo blot om denne underskrift er gældende? Der har været oppe
tidligere i tråden, at denne underskift ikke var gyldig?

> >Håber at kunne få et par bud på ovenstående - gerne fra kvalificeret
side,
> >da jeg ikke kan bruge gætværk til ret meget (kan selv gætte)

Takker mange gange for dit input.

Claus