Informationsklassning - fördjupning
Allmänt
Klassning av en organisations information utgör en av grunderna för att skapa en effektiv informationssäkerhet. Vid lärosätet hanteras information av olika slag där det ställs olika krav på sekretess, riktighet och tillgänglighet. För att minimera risken för att känslig information kommer obehörig tillhanda, att den oavsiktligt eller avsiktligt förvanskas eller inte finns tillgänglig i förväntad utsträckning, är det viktigt att det finns riktlinjer för hur information får hanteras. Dessa riktlinjer är framtagna för att utgöra ett redskap vid klassificering av lärosätets information med avseende på: · skyddsvärdet (krav på insyningsskydd/sekretess) · krav på riktighet, · krav på tillgänglighet.
Klassificeringen utifrån skyddsvärdet och kravet på riktighet delar in informationen i fyra respektive tre olika informationsklasser där den mest känsliga informationen återfinns i klass fyra respektive tre och den minst känsliga informationen i klass ett. Klasserna beskriver hur informationen får handhas och hur den får lagras. Det måste poängteras att riktlinjerna inte beskriver hur informationen får publiceras eller huruvida informationen utgör allmän offentlig handling.
För information om allmänna handlingars offentlighet, se avsnittet Lagring av trafikdata, Offentlighetsprincipen.
'Behandling av information som innehåller personuppgifter skall anmälas till lärosätets personuppgiftsombud.se avsnittet PuL
Informationsklassificering
Klassificeringen delar in informationen i olika informationsklasser. Klasserna beskriver hur informationen får hanteras, lagras, distribueras och avvecklas.
Resultaten från genomförda riskanalyser är viktiga underlag för en verksamhetsanpassad klassificering.
Klassificering utförs enklast i steg:
Avgränsa vilken information som ska klassificeras, till exempel ett specifikt forskningsarkiv, en enskild databas, ett informationssystem.
Klassificera informationsinnehållet, oberoende av lagringsform.Klassificeringen utgår från de konsekvenser, till exempel lagbrott, skada för studenter eller anställda, förtroendeskada, eller ekonomisk skada, som kan bli följden vid brister avseende informationens riktighet, tillgänglighet, spårbarhet och sekretess.
Kravnivå |
Sekretess |
Riktighet |
Tillgänglighet |
Hög Information med mycket höga krav på spårbarhet |
Känslig information. Kan medföra allvarlig skada för verksamhet eller enskild person om den röjs för obehörig. |
Information som kan medföra allvarlig skada för verksamhet eller enskild person om den är felaktig |
Information som ingår i eller stöder kontinuerlig, kritisk verksamhet. Avbrott medför att nödvändig tillgänglighet och service inte kan upprätthållas och kan medföra allvarlig skada för verksamheten eller enskild person |
Medel Information med höga krav på spårbarhet |
Informationen kan medföra skada för verksamhet eller enskild person om den röjs för obehörig. |
Information som kan medföra skada för verksamhet eller enskild person om den är felaktig |
Information som ingår i eller stöder kontinuerlig verksamhet. Avbrott kan medföra skada för verksamheten eller enskild person |
Låg/Öppen Information med låga krav på spårbarhet |
Informationen är allmän, kan spridas utan risk för negativa konsekvenser. |
Informationen kan förändras utan risk för negativa konsekvenser |
Information med lågt verksamhetsberoende. Kan vara otillgänglig utan risk för negativa konsekvenser |
Tillämpning
Rutiner ska finnas gällande hantering av alla former av information och för samtliga informationsklasser.
För pappersbaserad information finns även regler och rutiner inom miljöområdet som ska beaktas.
Pappersbaserad information
Exempel |
Öppen |
Medel |
Hög nivå |
Förvaring |
Under uppsikt |
Under direkt uppsikt eller inlåst med tillträdesskydd |
|
Kopiering |
Inga restriktioner |
Efter godkännande av informationsägaren |
Ska vara spårbar. Endast efter godkännande av informationsägaren |
Intern distribution |
Inga restriktioner |
Förseglat kuvert |
|
Extern distribution |
Inga restriktioner |
Normal försändelse |
Ska vara spårbar |
Distribution via fax |
Inga restriktioner |
uppringd mottagare, bevakad mottagning |
Krypterad överföring, uppringd mottagare, bevakad mottagning |
Makulering |
Inga restriktioner |
I dokumentförstörare |
Av utfärdaren, i dokumentförstörare |
Muntlig information
Information som sprids muntligen ställer extra höga krav på inblandade personer när det gäller informationens riktighet, sekretess och spårbarhet.
Ofta är den oavsiktliga spridningen, t.ex. vid telefonsamtal på bussen, den som är svårast att förhindra och att få reda på.
Elektronisk information
Elektroniskt lagrad information löper risk för obehörig förändring eller åtkomst, virusangrepp med mera.
Nedan finns ett förslag för hantering av information beroende på form och klassifikation.
Exempel |
Öppen |
Medel |
Hög nivå |
Lagring |
|||
datamedia |
Under uppsikt |
Krypterad och inlåst med tillträdesskydd |
|
bärbar dator |
Inloggningsskydd |
Inloggningsskydd och kryptering |
|
återanvändning av datamedia |
Inga restriktioner |
Tillåtet när rensning enligt IT-säkerhetsorganisationens krav skett |
|
destruktion av datamedia |
Inga restriktioner |
Tillåtet när rensning enligt IT-säkerhetsorganisationens krav skett |
|
gemensamma datorresurser |
Enligt IT-säkerhetsorganisationens krav |
||
Kommunikation |
|||
inom universitetets nät |
Inga restriktioner |
Enligt IT-säkerhetsorganisationens krav |
|
externt via universitetets nät |
Inga restriktioner |
Enligt IT-säkerhetsorganisationens krav |
|
uppkoppling från externt nät till universitetets nät |
Enligt IT-säkerhetsorganisationens krav |
||