Instrucció 1/2012, de 15 de juny, sobre l'ús de les tecnologies de la informació i la comunicació a l'Administració de la Generalitat de Catalunya.

Font: Departament de Governació i Relacions Institucionals


NORMATIVA TIC GENERALITAT 15.06.2012

 

1. Objecte i finalitat.

2. Àmbit d’aplicació.

3. Ús de les TIC en general

4. Credencials d’accés a la informació.

5. Ús de l’estació de treball i maquinari.

6. Configuració i instal·lació de programari.

7. Accés a Internet.

8. Ús del correu electrònic.

9. Ús del certificat digital que l’Administració posa a disposició del seu personal.

10. Tractament d’incidències

11. Pèrdua de vinculació del personal amb l’Administració de la Generalitat.

12. Ús de les TIC per part del personal extern a l’Administració de la Generalitat.

13. Control i seguiment de l’ús de les TIC.

14. Incompliment deles normes d’aquesta Instrucció

15. Publicitat.

16. Entrada en vigor i efectes

17. ANNEX a la INSTRUCCIÓ 1/2002, de 15 de juny, sobre l’ús de les tecnologies de la informació i la comunicació a l’Administració de la Generalitat de Catalunya.

B) BONES PRÀCTIQUES PER A UN BON ÚS DE L’ESTACIÓ DE TREBALL

C) BONES PRÀCTIQUES PER A UN BON ÚS DEL CORREU ELECTRÒNIC

18. Nova política de seguretat de les contrasenyes enregistrades al Directori Corporatiu de la Generalitat

 

INSTRUCCIÓ 1/2012, de 15 de juny, sobre l’ús de les tecnologies de la informació i la comunicació a l’Administració de la Generalitat de Catalunya

En el moment actual, les tecnologies de la informació i les comunicacions (TIC) són part indispensable del funcionament de l’Administració. Avui dia ja no es concep una Administració sense la implantació de les TIC, ja no només com un element d’eficiència i modernitat, sinó com una obligació imposada normativament, que evoluciona i va més enllà de l’automatització a nivell intern, i exigeix la possibilitat de l’accés electrònic del ciutadà als serveis públics per a realitzar totes les seves gestions i tràmits.

Aquest protagonisme de les TIC en l’àmbit de l’Administració de la Generalitat i la seva evolució plantegen la necessitat d’adequar el marc regulatori vigent previst en la Circular 1/2002, de 16 de maig, sobre l’ús de les tecnologies de la informació i la comunicació per part del personal al servei de l'Administració de la Generalitat de Catalunya. Així, la present Instrucció incorpora nous elements dins el concepte d’estació de treball que abasta qualsevol equipament informàtic fix o portàtil a través del qual el personal accedeix habitualment a la informació. D’altra banda, en la línia exigida per la doctrina jurisprudencial existent en l’estudi de l’ús per part dels treballadors dels elements TIC, s’estableixen les regles d’ús qeu s’han d’observar per la seva adequada utilització, alhora que es descriuen millor les eines i mitjans de control que l’Administració utilitzarà per dur a terme la seva supervisió e le procediment que ha d’aplicar-se en ordre a comprovar la correcció dels usos de la infraestructura tecnològica.

Per tal de dur a terme aquesta regulació, la Instrucció parteix del reconeixement de l’existència d’una utilització no merament professional dels mitjans facilitats per l’organització que condueix a la generalització d’una certa tolerància amb un ús moderat d’aquests mitjans que crea una expectativa també general de confidencialitat en aquests usos. Tanmateix, en tant que constitueixen mitjans propietat de l’organització posats a disposició dels empleats públics per utilitzar-los en el compliment de la prestació de serveis, la seva utilització s’enquadra dins de l’àmbit del poder de vigilància de l’empresari, que en l’exercici d’aquest control ha de respectar la consideració deguda a la dignitat del treballador i el dret a la intimitat, tenint en compte a més que les comunicacions telefòniques i el correu electrònic estan inclosos en aquest àmbit amb la protecció addicional que deriva de la garantia constitucional del secret de les comunicacions.

La present instrucció incorpora també l’ús de les TIC per part de personal estern de l’Administració, ja sigui directament amb els recursoso dacilitats per la Generalitat o bé amb recursos propis, per tal de garantir la protecció de la informació de la Generalitat i evitar forats de seguretat, donat l’alt grau de contractació de proveïdors externs.

Amb la finalitat de garantir una metodologia homogènia que asseguri uns resultats basats en criteris uniformes a tota l’organització, vist l’informe favorable del Centre de Telecomunicacions i Tecnologies de la Informació, i de conformitat amb les competències que m’atribueix l’article 22.1 a) del Cecret 326/2011, de 26 d’abril, de reestructuració del Departament de Governació i Relacions Institucionals, aquesta Secretaria aprova la següent Instrucció:

1. Objecte i finalitat.

1.1. Aquesta instrucció té per objecte:

a) L’establiment dels criteris generals i les regles d’ús que s’ha d’observar per l’adequada utilització de les tecnologies de la informació i la comunicació (en endavant, TIC) que l’Administració de la Generalitat posa a disposició del seu personal per a l’exercici de les seves funcions.

b) La difusió dels mitjans de què disposa l’Administració de la Generalitat, com a titular i/o proveïdora de les eines de treball i la infraestructura tecnològica, per a vetllar pel seu correcte ús, així com pel seu adequat control i seguiment.

1.2 Aquesta Instrucció té com a fincalitat:

a) Protegir la informació de la Generalitat de Catalunya, a la qual s’accedeix a través d’aquestes eines.

b) Garantir el bon funcionament de l’equeipament informàtic i la gestió eficient de la infraestructura informàtica i de comunicacions.

c) Assegurar el compliment de la legislació vigent en matèria de propietat intel·lectual i protecció de dades de caràcter personal.

2. Àmbit d’aplicació.

2.1. Aquesta Instrucció és d’aplicació a tot el presonal que, amb independència del seu vincle, tingui accés per raó de les seves funcions a les TIC dels departaments de la Generalitat, les entitats autònomes de caràcter administratiu, les entitats autònomes de caràcter comercial, industrial i financer, el Servei Català de la Salut, l’Institut Català de la Salut i l’Institut Català d’Assistència i Serveis Socials.

2.2. La present instrucció també és d’aplicació al personal que, sense tenir una vinculació de serveis o laboral amb l’Administració de la Generalitat per a la prestació de serveis.

3. Ús de les TIC en general

Els diferents elements que configuren le TIC de cada departament o entitat tenen la consideració d’eines de treball que la Generalitat posa a disposició del personal als efectes d’utilitzar-les exclusivament per al desenvolupament de les tasques i funcions encomanades, en la forma i condicions que es preveuen en aquesta Instrucció.

4. Credencials d’accés a la informació.

 

4.1. Les credencials d’accés a l’estació de treball i a les aplicacions -identificador/contrasenya i certificat digital/número secret (PIN), entre d’altres-, són d’ús personal i intransferible i el personal ha de fer-ne un ús adequat essent responsable de qualsevol activitat relacionada amb l’ús del seu accés personal.

4.2. En relació amb les credencials d’accés a la informació, el personal s’abstindrà de realitzar les accions següents:

  1. Evadir, alterar o modificar, així com a suplantar els sistemes d’autorització i control         d’accés.
  1. Descuidar el deure de custodia de les credencials i, en concret, fer constar en correus electrònics o en qualsevol altre suport les credencials d’accés a la informació.

 

  1. Deixar desatesa la estació de treball un cop superat el procés d’identificació i autenticació sense bloquejar prèviament el seu accés.

5. Ús de l’estació de treball i maquinari.

 

5.1. La Generalitat de Catalunya posa a dispocició del personal els mitjans i equips informàtics necessaris per al compliment de les seves obligacions de servei i laborals. S’entén per estació de treball als efectes d’aquesta Instrucció l’equipament informàtic fix o portàtil a través del qual el personal accedix habitualment a la informació, aplicacions i sistemes d’informació necessaris per al desenvolupament habitual de les seves funcions, incloent l’ordinador, telèfons fixos, mòbils, tauletes, agendes electròniques i impressores.

 

5.2. En relació amb l’ús de l’estació de treball, el personal s’abstindrà de realitzar les accions següents:

  1. Realitzar trucades no autoritzades a serveis de xarxa intel·ligent, així com l’enviament de missatges curts a través del mòbil per participar en concursos, sorteigs o qualsevol altre servei de tarifació addicional, o qualsevol altra possibilitat similar o anàloga a les anteriors.
  1. Emmagatzemar informació no relacionada amb les tasques i funcions encomanades, en especial, emmagatzemar als espais de xarxa fitxers multimèdia que no siguin necessaris pel desenvolupament de les funcions encomanades.
  1. Connectar o instal·lar equips propietat del personal a la xarxa informàtica, llevat d’autorització expressa de l’òrgan competent i amb coneixement de l’àrea TIC.
  1. Alterar o modificar els equips informàtics submnistrats i, en concret, accedir físicament a l’interior d’aquestos per tal de manipular-los.
  1. Fer ús dels equips informàtics assignats a d’altres usuaris sense el seu coneixement, llevat que s’autoritzi pel responsable de la unitat o de l’àrea TIC.
  1. La instal·lació o modificació de maquinari i programari, així com els canvis d’ubicació dels equips o la seva assignació a d’altres persones, sense l’autorització prèvia de l’àrea TIC.
  1. L’accés a xarxes sense fils alienes a la Generalitat de Catalunya, sense l’autorització prèvia del responsable de seguretat de la informació.

5.3 Quan sigui indispensable emmagatzemar informació en el disc local de l’estació de treball o en suports externs, i el departament, organisme o entitat ho autoritzi, és responsabilitat del personal prendre les mesures adequades per protegir la informació segons el seu nivell de confidencialitat o criticitat, protegint-la d’accessos il·legítims, i seguint sempre les instruccions referents al tractament de la informació en funció de la seva classificació i, si escau, donant compliment a les mesures establertes per la legislació vigent en matèria de protecció de dades de caràcter personal.

5.5 Fora del centre de treball habitual, el personal és responsable del bon ús i de la seguretat de les estacions de treball que li siguin assignades.

5.6 El personal podrá fer un ús privat dels diferents elements de l’estació de treball sempre que es faci de manera excepcional, no abusiva i circumstancial als efectes d’atendre assumptes inexcusables que evitin l’absència del lloc de treball o que facilitin la conciliació de la vida familiar i laboral.

6. Configuració i instal·lació de programari.

6.1. El personal ha de fer ús exclusivament de les aplicacions informàtiques o versions de programari que siguin instal·lades per l’àrea TIC i la seva utilització de de tenir una finalitat professional orientada al compliment de les seves obligacions de servei i laborals.

 

6.2. En relació amb l’ús del programari, el personal s’abstindrà de realitzar les accions següents:

  1. Desactivar i/o modificar dels paràmetres de configuració del programari antivirus o de protecció d’altre codi maliciós que s’executa automàticament per protegir la informació i el sistema.
  1. Alterar la configuració predefinida per l’àrea TIC, així com la seva configuració d’arrencada.
  1. Copiar totalment o parcialment el programari instal·lat protegit per les lleis de propietat intel·lectual (copyright).

7. Accés a Internet.

7.1 La connexió a Internet, que es realitzarà únicament mitjançant la xarxa corporativa habilitada a l’efecte, es justifica per finalitats professionals i exclusivament per al compliment de les funcions i tasques assignades.

7.2 Per tal de protegir la informació de l’estació de treball i d’evitar la sobrecàrrega de la xarxa, llevat d’aquells casos relacionats directament amb les tasques i funcions encomanades i amb l’autorització de l’òrgan competent, el personal s’abstindrà de realitzar, ja sigui dins o fora de la seva jornada de treball, les accions següent:

  1. Consultar pàgines web que no tinguin relació directa amb les funcions i tasques assignades, incloent pàgines web de vídeos en línia.
  2. Descarregar fitxers i/o programes que no estiguin justificats en l’exercici de les funcions i tasques encomanades, incloent música, vídeo i jocs.
  3. Connexió a tertúlies, fòrums de discussió, grups de treball o qualsevol aplicació interactiva, així com participar en jocs en línia.

7.3 El personal podrà fer un ús privat de la connexió a Internet sempre que es faci de manera excepcional, no abusiva i circumstancial als efectes d’atendre assumptes inexcusables que evitin l’absència del lloc de treball o que facilitin la conciliació de la vida familiar i laboral. En cap cas es podrà utilitzar el correu electrònic pel desenvolupament d’activitats privades la compatibilitat de les quals hagi estat autoritzada.

8. Ús del correu electrònic.

 

8.1 En l’àmbit professional i per al compliment de les tasques i funcions assignades s’ha d’utilitzar la bústia de correu electrònic que la Generalitat posa a disposició del personal.

8.2 Quan sigui necessari garantir la identitat de l’emissor del correu, la integritat de la informació continguda, la confidencialitat d’aquesta informació i la no refutació per part del receptor, caldrà utilitzar un certificat digital de l’Agència Catalana de Certificació (CATCERT).

8.3 En cas que de forma temporal o permanent sigui necessari que altres persones accedeixin a la bústia d’un usuari, caldrà modificar els permisos o activar la delegació d’accés, amb el suport si escau de l’àrea TIC, i sense donar a conèixer en cap cas les credencials d’accés de l’usuari.

8.4 En relació amb l’ús del corrreu electrònic, el personal ha d’abstenir-se de realitzar, ja sigui dins o fora de la seva jornada de treball, les accions següents:

  1. Enviar o reenviar missatges amb contingut ofensiu, poc ètic, amenaçador, discriminatori, de calúmnia o que pugui suposar minva en la imatge i consideració de la Generalitat de Catalunya. En cas de rebre un correu amb continguts d’aquest tipus de qualsevol altre usuari de correu de la Generalitat de Catalunya, s’haurà de posar en coneixement del superior jeràrquic.
  2. Utilitzar el correu per a la difusió interna o externa de correu no desitjat o spam, virus i altre codi maliciós, així com per a l’enviament de cartes en cadena o l’enviament massiu de correus que no guardin relació directa amb les tasques i funcions encomanades. El personal que, en l’exercici de les seves funcions, hagi de realitzar enviaments massius de correu utilitzarà llistes de distribució de correu per realitzar-los.
  3. Manipular el contingut de la informació d’un missatge original reenviat, sempre que no s’adverteixi al receptor del tipus de tractament o alteració que se n’ha fet.

8.5 El personal podrà fer un ús privat del correu electrònic corporatiu sempre que es faci de manera excepcional, no abusiva i circumstancial i als efectes d’atendre assumptes inexcusables que evitin l’absència del lloc de treball o que facilitin la conciliació de la vida familiar i laboral. En cap cas es podrà utlitzar el correu electrònic pel desenvolupament d’activitats privades la compatibilitat de les quals hagi estat autoritzada.

9. Ús del certificat digital que l’Administració posa a disposició del seu personal.

9.1 Els certificats digitals autoritzats per al desenvolupament de les funcions encomanades a l’Administració de la Generalitat de Catalunya són els certificats d’ús personal de classe 1 emesos pel CATCERT, vàlids per a signatura i xifrat de documents i correus electrònics, l’autenticació en sistemes d’informació i la realització de tràmits amb plenes garanties jurídiques i tècniques. El certificat digital de CATCERT que l’Administració subministra, és propietat exclusiva de la Generalitat de Catalunya, així com també ho són la clau pública i privada de cadascun dels certificats.

9.2 En el cas de la signatura electrònica, el certificat digital s’haurà d’utilitzar quan el personal hagi d’acreditar la seva pertinença a la Generalitat de Catalunya, sens perjudici que calgui la utilització d’altres certificats reconeguts per acreditar l’adscripció a col·legis professionals o interactuar amb d’altres administracions.

9.3 La Generalitat de Catalunya podrà revocar els certificats sense avís previ, així com a recuperar eventualment les claus de xifratge, seguint els procediments establerts pel CATCERT quan existeixi causa justificada, per tal d’accedir al contingut del correu corporatiu, o a desxifrar documents ubicats a les estacions de treball o als servidors de xarxa de la Generalitat. En cap cas es podrà recuperar la clau d’identificació i signatura electrònica.

9.4 Amb l’objectiu d’afavorir l’ús de la signatura electrònica, el certificat digital només podrà ser utilitzar en l’àmbit personal per a aquells tràmits electrònics admesos per administracions o entitats del sector públic i en cap cas es podrà fer servir per a usos comercials o mercantil privats. L’habilitació per a l’ús del certificat en l’àmbit personal només és aplicable als certificats de classe 1.

9.5 El personal tindrà cura del certificat, tan pel que fa a la conservació en bon estat, com al fet de custodiar-lo adequadament, i respectarà el règim obligatori d’ús dels certificats digitals que determini el CATCERT.

9.6 Quan sigui necessari rebre correus o documentació xifrada de personal extern a l’Administració de la Generalitat, s’empraran les claus públiques dels certificats de CATCERT per al xifratge.

9.7 Només es xifrarà la informació quan existexi un requeriment legal o quan la sensibilitat de la informació ho requereixi. En aquest darrer cas, cada departament, organisme o entitat establirà els criteris de classificació de la informació.

10. Tractament d’incidències

10.1. En cas d’avaria o d’anomalia en el funcionament de l’estació de treball, del correu electrònic o, en general, dels recursos TIC - temps de resposta lent, desaparició o canvi d’ubicació d’arxius, missatges del programari anti-virus, entre d’altres-, la incidència es reportarà amb la màxima agilitat al centre d’atenció a l’usuari que designi l’àrea TIC.

10.2. En cas de danys en l’estació de treball, robatori o pèrdua, cal informar de forma immediata a l’àrea TIC per tal que ho comuniqui al responsable de seguretat. Si el robatori o la pèrdua es produeix fora de les instal·lacions habituals, la persona qeu disposi de l’estació de treball assignada haurà de presentar una denúncia davant dels cossos de seguretat i lliurar una còpia d’aquesta a l’òrgan competent en matèria de règim interior del departament, organisme o entitat.

11. Pèrdua de vinculació del personal amb l’Administració de la Generalitat.

11.1 Quan un usuari del correu corporatiu perdi la seva vinculació amb l’Administració de la Generalitat com a conseqûència de la seva jubilació o qualsevol altra forma d’extinció definitva de la relació de serveis o laboral, es permetrà l’accés a la bústia de correu per un període de quinze dies transcorreguts els quals es bloquejarà l’accés i es configurarà un missatge de resposta automàtica que amb indicació de que la bústia no és operativa i l’adreça a què s’han d’adreçar els missatges en cas de voler contactar amb la unitat corresponent. En cp cas es procedirà a redireccionar la bústia de correu corporatiu cap a una bústia de correu personal. L’accés al portal corporatiu ATRI serà accessible per a aquest personal per un període d’un any.

11.2 Quan aquests usuaris disposin de certificat digital propietat de la Generalitat de Catalunya hauran de lliurar-lo. En cap cas, un cop l’usuari perdi la vinculació amb la Generalitat de Catalunya, es podrà recuperar la clau d’identificació i signatura electrònica.

12. Ús de les TIC per part del personal extern a l’Administració de la Generalitat.

12.1. A més de les regles previstes en la present Instrucció, l’ús de les TIC per part del personal sense vinculació funcionarial o laboral amb l’Administració de la Generalitat, sens perjucici d’allò previst en l’instrument que reguli la prestació de serveis, se subjecten a les següents condicions:

  1. La utilització dels recursos TIC per part del personal extern ha de ser prèviament autoritzada pel departament, organisme o entitat.
  2. Qualsevol sol·licitud d’alta, baixa o manteniment de l’accés dels usuaris externs a la xarxa, ha de ser cursada pels mitjans establerts a través de la unitat responsable de l’execució del contracte del departament, organisme, entitat o persona designada a l’efecte.
  3. Quan l’estació de treball estigui connectada a la xarxa, l’accés al correu electrònic de la companyia externa només es podrà realitzar a través de webmail.
  4. El sistema operatiu haurà de tenir suport i manteniment del fabricant i tot el programari que ho requereixi haurà d’estar instal·lat sota llicència vàlida.
  5. L’estació de treball haurà de tenir instal·lar un tallafocs, programari antivirus, eines de neteja de malware/spyware i política activa de pegats. Les actualitzacions d’antivirus es realitzaran periòdicament i com a mínim setmanalment. L’antivirus s’haurà d’executar automàticament en el moment de l’arrencada, quan s’accedeix en mode lectura a dispositius de memòria externs, o quan s’intenti obrir qualsevol fitxer.

12.2 Caldrà una autorització prèvia i per escrit del departament, organisme o entitat, en els casos d’ús de l’estació de treball per l’accés a xarxes externes via connexions tipus mòdem o mòbils, connectivitat sense fils quan l’estació de treball està connectada a la vegada a la xarxa Generalitat, així com per la instal·lació de programari no stàndard, que permetés a l’estació de treball la seva utilització com a servidor o com element de xarxa (servidor Web, servidor de Correu, etc).

13. Control i seguiment de l’ús de les TIC.

 

13.1 Els departaments estan facultats per a efectuar les tasques de control i seguiment que siguin necessàries en les infraestructures comunes i en les estacions de treball assignades al seu personal als efectes de comprovar i verificar que l’ús de les TIC s’ajusta a l’establert en la present instrucció.

13.2 Amb la finalitat de garantir el bon funcionament de les eines i la infraestructura TIC, fer un seguiment de la seva adequada utilització, així com per detectar i eliminar tots aquells agents que puguin distorsionar el normal funcionament dels diferents elements que la configuren, els departaments compten, entre d’altres, amb sistemes que permeten:

  1. Registrar l’accés als sistemes d’informació.
  2. Limitar l’accés a determinades webs no relacionades amb les activitats de l’Administració, i registrar l’accés del personal a Internet, les pàgines web visitades i l’hora de connexió.
  3. Registrar el volum de correu electrònic enviat i rebut, i de quins són l’emissor i destinataris dels missatges.
  4. Registrar l’ús de les comunicacions de veu i dades a nivell d’usuari, controlar el volum de tràfic de descàrrega de dades des d’Internet, i si no es justifica, disminuir la velocitat de descàrrega sense previ avís.

13.3 Sens perjudici de l’anterior i als efectes de verificar els indicis existents sobre usos indeguts, il·lícits o abusius, l’accés als equips informàtics, al contingut dels arxius, al contingut de les pàgines web visitades i al contingut dels correus electrònics s’haurà d’autoritzar, amb caràcter d’informació reservada, mitjançant resolució de la persona titular de la secretaria general o òrgan equivalent dels organismes o entitats.

L’acte d’accés a la informació es durà a terme respectant la normativa de protecció de dades de caràcter personal, en presència de la persona interessada i si aquesta ho sol·licita, d’un representant del personal, i dins l’horari de prestació de serveis o laboral. Si la persona afectada es nega a presenciar l’acte de revisió podrà designar una persona que la representi a l’efecte i, si no la designa, es farà constar la negativa a presenciar la revisió en l’acta corresponent i continuarà el procediment. Els assistents a l’acte de revisió han de guardar el secret de totes les actuacions i, l’incompliment d’aquesta obligació, s’ha de considerar falta disciplinària. En l’acta que s’estengui s’ha de fer constar la identificació dels assistents, les actuacions de revisió i comprovació realitzats, el resultat de les actuacions, les incidències que s’hagin produÏt i les manifestacions que els assistents desitgin realitzar.

14. Incompliment deles normes d’aquesta Instrucció

14.1. El personal haurà de subjectar les seves actuacions a l’establert en la present Instrucció i, qualsevol excepció en el seu compliment, sempre justificada en l’exercici de les funcions i tasques encomanades, haurà de ser prèviament autoritzada per superior jeràrqueic o la persona responsable corresponent.

14.2. Davant qualsevol ús dels elements d’infraestructura TIC contravenint l’establert en questa Instrucció, els òrgans competents, sens prejudici k’adoptar les mesures de restricció o de suspensió d’ús que considerin escaients, exigiran les responsabilitats disciplinàries o de qualsevol altre ordre, que se’n derivin d’acord amb la normativa vigent.

14.3. En el cas d’incompliment de l’establert en aquesta la Instrucció per part de personal extern, s’aplicarà el que estableixi el contracte de prestació de serveis, sens perjudici que la Generalitat pugui adoptar les mesures de restricció o suspensió que consideri adients, així com altres mesures orientades a efectuar les reclamacions a que l’esmentat incompliment pugui donar lloc.

15. Publicitat.

15.1 Els òrgans competents adoptaran les mesures oportunes per tal de donar la màxima difusió d’aquesta Instrucció i el seu annex entre el personal que pugui tenir accés a les TIC.

15.2. Aquesta Instrucció i el seu annex estaran disponibles al Portal d’informació i serveis (ATRI) per al personal de la Generalitat.

15.3 Els departaments posaran a disposició del seu personal la present instrucció i el seu annex a la intranet departamental o al mitjà equivalent de publicació de les normes internes. També es posaran a disposició d’aquell personal que sense tenir una relació laboral amb l’Administració de la Generalitat, tingui accés a la informació per a la prestació d’un servei.

16. Entrada en vigor i efectes

16.1. Es deixa sense efectes la Circular 1/2002, de 16 de maig de 2002, sobre l’ús de les tecnologies de la informació i la comunicació (TIC) per part del personal al servei de l’Administració de la Generalitat de Catalunya, així com totes aquelles instruccions, circulars o ordres de servei que s’oposin o contradiguin a l’establert en la present Instrucció.

16.2. Les persones titulars de les secretaries generals dels departament i dels òrgans competnents del s organismes i entitats poden adequar les previsions d’aquesta Instrucció, dins l’àmbit corresponent, a les especificitats tècniques que així ho precisin.

16.3. Aquesta Instrucció entrarà en vigor el mateix dia de la seva aprovació.

16.4. S’incorpora, com a annex a aquesta Instrucció, la guia de bones pràctiques per a l’ús de l’estació de treball i del correu electrònic.

17. ANNEX a la INSTRUCCIÓ 1/2002, de 15 de juny, sobre l’ús de les tecnologies de la informació i la comunicació a l’Administració de la Generalitat de Catalunya.

GUIA DE BONES PRÀCTIQUES PER A L’ÚS DE L’ESTACIÓ DE TREBALL I DEL CORREU ELECTRÒNIC

A) GLOSSARI DE TERMES

 

Àrea TIC: Unitat que té atribuïda la competència de gestió de les TIC i a la que correspon l’exercici de les funcions atribuïdes per la normativa organitzativa del departament/organisme/entitat.C

Codi maliciós: Programari o arxiu nociu per a l’estació de treball (ET), dissenyat per inserir virus, cucs, troians, tec, l’objectiu dels quals pot ser, entre d’altres, propagar-se per l’ET o altres ET en xarxa o per Internet, robar informació i claus d’accés de l’usuari, eliminar arxius, arribant fins i tot a formatejar el disc dur o mostrar publicitat invasiva.

Estació de Treball (ET): Equipament informàtic fix o portàtil a través del qual el personal accedeix habitualment a la informació, aplicacions i sistemes d’informació necessaris per al desenvolupament habitual de les seves funcions, incloent telèfons fixos, mòbils i agendes electròniques.

Personal: Totes les persones a qui és d’aplicació aquesta Instrucció.

Suport extern: Qualsevol dispositiu d’emmagatzemament d’informació com ara CDs, DVDs, claus USB, cintes, etc.

Tecnologies de la Informació i les Comunicacions (TIC): Als efectes d’aquesta Instrucció, s’entén per TIC el conjunt d’elements d’infraestructura i equipaments de maquinari i programari necessaris per a gestionar la informació en format digital al llarg de tot el seu cicle de vida, que inclou la seva creació, visualització, transport, emmagatzemament i destrucció.

B) BONES PRÀCTIQUES PER A UN BON ÚS DE L’ESTACIÓ DE TREBALL

 

  1. Sempre que els sistemes d’informació ho permetin, s’utilitzaran contrasenyes de com a mínim vuit caràcters, que combinin majúscules, minúscules, lletres, números i caràcters especials, amb l’objectiu de construir contrasenyes segures i difícils d’esbrinar.
  2. En els dispositius a través dels quals sigui possible accedir a la xarxa informàtica o al correu electrònic de la Generalitat, i per tal de protegir la informació que hi resideix o a la qual s’hi pot accedir, caldrà activar un codi d’accés al mateix, que el bloquegi transcorregut un cert temps d’inactivitat, essent necessari tornar a introduir el codi per a reactivar-lo novament. En cas que el dispositiu porti un codi activat per defecte, caldrà modificar-lo.
  3. Cal apagar l’estació de treball en terminar la jornada laboral com a mesura de seguretat i estalvi, tret que existeixi causa justificada.
  4. Les ET s’han d’ubicar en zones d’accés controlat, especialment quan es tracti d’ET desateses (per exemple un quiosc d’informació destinat a l’ús del public).
  5. Quan l’estació de treball s’utilitzi per donar atenció al públic, si la informació que visualitza és confidencial o de caràcter personal, cal orientar la pantalla per evitar que el públic a qui s’atén pugui visualitzar la informació.
  6. Per tal d’evitar els riscos d’un eventual incident als equips per la caiguda de líquids o restes d’aliments que afectin al seu correcte funcionament, cal evitar beure, menjar o fumar a prop dels equips de tractament d’informació.
  7. Cal prestar especial atenció a la posició de l’estació de treball respecte de l’usuari/usuària, l’alçada de la pantalla, la posició del teclat i la posició corporal que s’adopta en seure davant l’ordinador, ja que si no es fa correctament pot ser motiu de molèsties corporals.
  8. Les impressores s’han d’ubicar de manera que no permetin la visibilitat dels documents impresos de manera fàcil. Cal evitar llocs de pas o zones d’accés al públic.

C) BONES PRÀCTIQUES PER A UN BON ÚS DEL CORREU ELECTRÒNIC

 

  1. Llevat que s’hagi fet servir una signatura electrònica, el correu electrònic no es considera com un registre de negoci formal, ja que no garanteix l’autenticitat, integritat, exactitud, completesa, no refutació i preservació de l’evidència. Així mateix, atès que constitueix informació subjecta a canvis de versió o programari, no s’ha de guardar com a registre permanent.
  2. Cal posar una clàusula de forma estàndard al peu del correu per a protegir la possible condifencialitat de la informació continguda al missatge i seguir les instruccions corporatives referents a la protecció del medi ambient

(Abans d’imprimir aquest e-mail pensa si és realment necessari)

La clàusula de confidencialitat s’haurà d’ajustar a les especificacions emeses al respecte per l’òrgan competent del departament /organisme/entitat.

  1. En cas d’absència per més d’un dia, quan el programari de correu ho permeti, cal utilitzar l’opció ‘fora de l’oficina’, indicant el primer i últim dia d’absència, per notificar a les persones que envien missatges fins quan s’està absent i amb qui es pot contactar en cas d’urgència.
  2. Cal ser selectiu a l’hora d’emmagatzemar correus, i guardar només aquells que puguin ser útils en el desenvolupament de la feina.

 

Sobre el contingut dels missatges de correu electrònic:

  1. Abans d’enviar un missatge cal considerar si és el mitjà de comunicació més adient. En cas d’urgència, és convenient advertir al receptor per telèfon que se li ha enviat un missatge i que s’agrairia una ràpida resposta.
  2. Cal escriure els missatges amb llenguatge professional; no ser massa informal o col·loquial. No escriure res que no es posaria en una carta. Cal ser neutral i evitar llenguatge sexista, insultant, abusiu o discriminador, que pogués ofendre o irritar als altres.
  3. Amb la finalitat que el destinatari conegui en tot moment qui és l’emissor del missatge dins l’àmbit de la Generalitat i les seves dades de contacte, cal incorporar un comiat i signatura al peu del correu amb informació suficient, seguint les indicacions al respecte de cada departament / organisme / entitat.
  4. Cal activar els correctors ortogràfics, quan estiguin disponibles.
  5. Sempre que sigui possible, s’ha d’incorporar la informació al propi missatge i no adjuntar documents.
  6. En el ‘Tema’, convé escriure una frase que ajudi al receptor a saber de què tracta el missatge, i li permeti filtrar-lo, prioritzar-lo, arxivar-lo i més endavant recuperar-lo.
  7. No s’han d’obrir missatges de correu ni documentació adjunta si el remitent és totalment desconegut, l’adreça de correu és totalment desconeguda, el títol del missatge no proporciona una descripció del possible contingut del missatge, o es tracta d’un missatge estrany que no s’esperava, independentment de qui sigui l’emissor. Possiblement es tracta de spam o són missatges generats per virus o altre codi maliciós. Cal esborrar aquests missatges sense obrir-los i, a continuació, eliminar-los de la paperera.
  8. Per evitar la sobrecàrrega de la xarxa, no s’han d’adjuntar imatges o fitxers de gran volum al missatge si existeix una altra manera de compartir la informació amb el destinatari.
  9. Els missatges que s’hagin de conservar es guardaran aplicant les mesures adequades per a protegir la informació segons el nivell de confidecialitat o criticitat d’aquesta, protegint-los sempre d’accessos il·legítims i garantint-ne la seva integritat i disponibilitat.

Sobre l’enviament de missatges:

  1. No s’han de contestar mai missatges de spam, ni respondre a l’opció de ‘donar de baixa la subscripció’ d’aquests missatges, per evitar donar a conèixer als emissors de spam que es tracta d’una adreça de correu vàlida, i evitar així que puguin intensificar l’enviament de correu brossa.
  2. Cal utilitzar les opcions de seguiment dels missatges enviats quan realment sigui necessari, i tenint en compte que només funcionarà si el servidor de correu del receptor està configurat per fer-ho.
  3. Cal enviar missatges de correu únicament a aquelles persones amb una necessitat legítima de la informació, i no s’ha de respondre a missatges si no aporten valor afegit.
  4. Abans d’enviar un missatge a una llista de distribució, cal analitzar si no existeixen altres eines de comunicació massiva, així com com si tots els membres de la llista estan interessats en aquell missatge.
  5. Cal dirigir el missatge a les persones de les que s’espera un acció o resposta, i enviar còpies a les persones que es vol mantenir informades, però de les que s’espera cap acció o resposta.
  6. En l’enviament massiu de correus electrònics caldrà incloure les adreces dels destinataris com a còpia oculta per tal de garantir que no es deixen visibles les adreces electròniques de tots els destinataris.
  7. Si es contesta un missatge, cal incorporar el cos del missatge al que es respon, per mantenir intacta la cadena d’informació.
  8. Abans de reenviar un missatge, cal assegurar-se que tota la informació que s’està reenviant pot ser desvetllada al destinatari.
  9. S’ha de configurar els missatges amb l’opció ‘importància alta’ només en els casos realment urgents.

18. Nova política de seguretat de les contrasenyes enregistrades al Directori Corporatiu de la Generalitat

Properament es començarà a implantar una nova política de seguretat de les contrasenyes enregistrades al Directori Corporatiu de la Generalitat (en endevant DC)

Amb l’aplicació d’aquesta mesura, qualsevol canvi de contrasenyes qeu es faci a partir del 12 d’abril, via GDI o via Portal d’Autogestió, haurà de complir que la contrasenya del DC:

  1. Tingui com a mínim 8 dígits (màxim 30) i
  2. Contingui números i lletres

Per altra banda, la contrasenya de l’usuari s’haurà de renovar cada sis mesos, per tal de complir amb el que regula el “Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999,  de 13 de diciembre, de protección de datos de carácter personal”. La implantació d’aquesta caducitat de contrasenyes s’anirà aplicant progressivament per departaments/organismes, i es començarà a desplegar a partir del proper mes d’abril.

Un mes abans de l’aplicació de la caducitat de les contrasenyes al vostre departament, els gestors tecnològics de cada departament rebran un correu electrònic d’avís inici d’aplicació de la caducitat de la contrasenya d’aquell departament, indicant com s’implantarà la caducitat en el mateix, i proposant instruccions i ajuda per a donar als CAU departamentals, per a que sàpiguen com informar a l’usuari final si té dubtes envers aquest canvi de política. Aquest correu incorporarà una bústia de contacte, on els gestors tecnològics del departament/organisme tindran l’opció de resoldre qualsevol dubte que tinguin sobre la planificació proposada amb un tècnic de GICAR, per tal que la implantació d’aquesta política de contrasenyes tingui el mínim impacte possible sobre els usuari del DC d’aquell àmbit.

La contrasenya del Directori Corporatiu és la que actualment s’utilitza per a accedir a aplicacions com ATRI, el correu corporatiu PIM i Ecorreu, a qualsevol aplicació integrada amb GICAR (com GEEC, GECAT, Intranet d’Educació, S@rcat, PICA, etc.)