IT-säkerhetshandboken
http://www.susec.sunet.se
susec@sunet.se

3.7 Informationsklassning

Inledning

Vid universitet och högskolor hanteras många olika slags information muntlig, elektroniskt lagrad, pappersbaserad eller på annat sätt sparad. Dessa olika slag av information har en varierande grad av känslighet, från offentligt material till högaktuella forskningsdata i pågående samarbetsprojekt.

Att klassificera informationen är en av grunderna för att skapa en effektiv informationssäkerhet. För att minimera risken för att känslig information förvanskas - avsiktligt eller oavsiktligt, inte finns tillgänglig för behöriga, eller kommer någon obehörig till del, är det viktigt att det finns riktlinjer för hur informationen får hanteras.

Informationen ska värderas med hänsyn till aktuellt skyddsbehov inriktat på sekretess, riktighet, tillgänglighet och spårbarhet och utifrån den betydelse den har för relevant del av verksamheten, samt de konsekvenser det skulle medföra om informationen hanterades felaktigt, förvanskades, försvann, kom obehörig till del, osv.

Både verksamhetskrav och omvärldskrav ska användas för bedömning av hotbild, risker och sårbarheter i samband med användning av all teknik för informationsbehandling och datakommunikation.

Ha inte högre detaljnivå på klassificeringen än det krävs för att fatta relevanta beslut om skyddsnivå. Alltför omfattande informationsklassificering medför omotiverade administrativa kostnader.

Utforma informationsklassningen så att tillgången till information och öppenheten inom lärosätets verksamhet förblir största möjliga.

Krav och behov med avseende på skydd av personuppgifter, krisberedskap, arkivering och gallring bör ges särskild uppmärksamhet.

Regler om handlingars offentlighet samt om sekretess finns i Tryckfrihetsförordningen (SFS1949:105), Offentlighets- och sekretesslagen (SFS2009:400), samt i Personuppgiftslagen (SFS1998:204).

Behandling av information som innehåller personuppgifter skall anmälas till personuppgiftsombudet vid universitetet/högskolan.

Ansvar

Systemägaren ansvarar inom ramen för antagna mål och ekonomiska ramar för förvaltning, drift, säkerhet, utbildning och övrig användning av sitt IT-system.

Informationsägaren ansvarar för informationsinnehållet liksom informationssäkerheten, dvs att informationen är tillgänglig, korrekt, spårbar, samt skyddad mot obehörig åtkomst.

När flera olika informationsägare använder samma informationssystem eller andra informationsresurser, ska en gemensam informationsklassning eftersträvas och arbetet med klassificering samordnas av systemägaren.

Varje anställd som hanterar information är ansvarig för informationens riktighet och för att informationen skyddas mot obehörig insyn.

Anställda måste vara införstådda med karaktären på de handlingar som varje anställd hanterar. Till exempel förekommer sekretessbelagda handlingar/uppgifter vilka har andra krav på hantering än allmänna handlingar.

Se vidare under "fördjupning"


IT-säkerhetshandboken
http://www.susec.sunet.se