Klassifisering av informasjon

Veiledningen beskriver hvordan man kan identifisere institusjonens informasjonsobjekter, klassifisere disse med hensyn til konfidensialitet og kritikalitet og å definere oppbevaringsperioder og disponeringsregler. Det er spesielt viktig å få gjort denne type klassifisering før man legger informasjon ut i skyen, og ved bruk av mobile enheter som lesebrett og smarttelefoner.

Videre er dette dokumentet ment som et verktøy for informasjonseiere for å sikre at virksomhetskritisk innhold blir behandlet på rett måte.

Retningslinjene er utarbeidet av UH-sektorens sekretariat for informasjonssikkerhet ved UNINETT i samarbeid med sektoren. Versjon 2 er oppdater i 2017.

 

Dokumentet er ment som et verktøy for informasjonseiere og andre for å sikre at virksomhetskritisk innhold vil bli tatt vare på, behandlet og avhendet i samsvar med interne og eksterne krav og beste praksis. Det er spesielt viktig å få gjort denne type klassifisering før man legger informasjon ut i "skyen", og ved bruk av mobile enheter som lesebrett og smarttelefoner.

 

Dette er ment som en oversikt over prosessen for informasjonsklassifisering og det gjøres rede for attributtene (metadataene) som bør vurderes.

 

En bevarings- og kassasjonsplan er viktig for god drift av et effektivt informasjons-behandlingssystem. Det gir retningslinjer for oppbevaring og disponering av informasjon som genereres i løpet av den daglige virksomhet og sikrer kontinuitet, beskytter organisasjonens juridiske rettigheter, og gjør at informasjonen lett kan hentes fram etter behov. 

 

Informasjonsklassifisering

Det anbefales at man bruker følgende attributter når informasjon skal klassifiseres:

Eier

Hvilken organisatorisk enhet, rolle eller arbeidsprosess har eierskapet til informasjonen.

Innhold

Type informasjon, uavhengig av format og medium. Hva informasjonen handler om.

For eksempel FOU-søknader, arbeidskontrakter, fagplaner eller regnskapsrapporter.

Hjemmel

Referanse til regulatoriske dokument (lov, regel, forskrift, styrende dokument) hvor oppbevaring og/eller disponering framgår.

For eksempel offl. § 25 (LOV 2006-05-19 nr 16: Lov om rett til innsyn i dokument i offentleg verksemd, offentleglova § 25) eller fvl. § 13.1 (LOV 1967-02-10 nr 00: Lov om behandlingsmåten i forvaltningssaker, forvaltningsloven § 13, første ledd).

Lagringssted

Navnet på systemet og/eller fysiske arkiv der informasjonsobjektet oppbevares i lagringsperioden.

Fore eksempel NOARK-system, annen elektronisk journal, saksbehandlingssystem, økonomisystem m.fl.

Det er viktig at man foretar en vurdering av egnet lagringssted før lagring skjer. Man må vurdere behov for å foreta en risikovurdering, tegne en databehandleravtale med mere. Man må gjøre en særskilt vurdering hvis det er aktuelt å lagre informasjon i skyen.

Konfidensialitetsklasser

Konfidensialitetsklassene beskriver grad av beskyttelse som kreves for informasjon.

Eksempler på informasjon hvor konfidensialiteten er viktig er helseopplysninger, eksamensoppgaver før de er gitt og forskningsresultater som ikke er publisert. Det er definert fire klasser for konfidensialitet. De tre laveste klassene Åpen, Intern og Fortrolig er de som oftest vil bli brukt. Klassene Fortrolig og Strengt fortrolig er harmonisert med Sikkerhetsinstruksen.

  • Åpen (Grønn): Informasjon kan være tilgjengelig for alle uten særskilte tilgangsrettigheter.

    Eksempler på slik informasjon er en web-side som presenterer en avdeling eller enhet som legges åpent ut på internett eller studiemateriell for et emne eller kurs som ligger åpent, men som er merket med en gitt lisens eller opphavsrett.
     

  • Intern (Gul): Informasjonen må ha en viss beskyttelse og kan være tilgjengelig for både eksterne og interne, med kontrollerte tilgangsrettigheter. Benyttes dersom det vil kunne forårsake en viss skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.

    Eksempler på slik informasjon er enkelte arbeidsdokumenter, informasjon som er unntatt offentlighet, personopplysninger, karakterer, store studentarbeider, eksamensbesvarelser, forskningsdata og -arbeider.
     

  • Fortrolig (Rød): Benyttes hvis det vil forårsake skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. Informasjonen skal ha strenge tilgangsrettigheter.

    Eksempler på slik informasjon er enkelte strategidokumenter, store mengder av sensitive personopplysninger, helseopplysninger, eksamensoppgaver før de er gitt, enkelte typer forskningsdata og -arbeider.

Hvis man har behov for et fjerde og høyere nivå for konfidensialitet kan man bruke klassen

  • Strengt fortrolig (Sort) og gjøre en avgrensning mellom den og Fortrolig. Strengt fortrolig benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. Informasjonen skal ha de strengeste tilgangsrettigheter.

    Eksempler på slik informasjon er informasjon om personer som har adressesperre kode 7 eller som har behov for annen særlig beskyttelse og svært konfidensielle forskningsdata og -arbeider.

Noen institusjoner har informasjon som skal beskyttes etter beskyttelsesinstruksen eller sikkerhetsloven. Se kapittel 3 Standarder, lover og forskrifter for mer informasjon.

Integritetsklasser

Hvor viktig det er at ikke informasjonen kan endres av uvedkommende eller ved et uhell?  Hvis det er krav til at informasjonen ikke skal endres av uvedkommende eller ved et uhell må den sikres spesielt.  Aktuelle sikringstiltak kan være spesielle krav til pålogging for å få mulighet til å endre dokumentet, skrivebeskyttelse eller digital signering av dokument.

Eksempler på krav til beskyttelse av dokumenters integritet:
 

  • Lavt krav til integritet
    En-faktor autentisering
     
  • Medium krav til integritet
    To-faktor autentisering.
     
  • Høyt krav til integritet
    To-faktor autentisering. Skrivebeskyttelse. Digital signering. Logging.

At integriteten overholdes er viktig for all informasjon, men noen eksempler på informasjon hvor integriteten er spesielt viktig er søknadsfrister, karakterer og forskningsdata.

Tilgjengelighetsklasser

Hvor lenge man kan akseptere at informasjonen er utilgjengelig? Noen systemer eller tjenester er kritiske for at virksomheten skal fungere. Akseptabel nedetid kan for noen systemer variere gjennom året i forhold til for eksempel eksamen, opptak, rapporteringer m.m.

Eksempler på perioder er:

  • 1 time
  • 1 dag
  • 1 uke
  • 1 måned

Man må også vurdere om informasjonen kan lagres i skyen. Da er man avhengig av at man har internettilgang helt frem til datasenteret som tilbyr skytjenesten.

Eksempler på informasjon hvor tilgjengeligheten er viktig er fagsystemer i kritiske faser for studentopptak og eksamensavvikling, store student- eller forskningsarbeider, eksamensbesvarelser og forskningsdata.

Bevaringsverdi

Bevaringsverdi er en vurdering som angir den relative betydningen informasjonen har for organisasjonen. Dette kan for eksempel være:

  • Juridisk verdi
  • Virksomhetskritisk
  • Historisk verdi

Personopplysninger

Hvis informasjonsobjektet inneholder eller kan inneholde personopplysninger, skal dette avmerkes i tabellen.

  • PERSONOPPLYSNINGER er opplysninger og vurderinger som kan knyttes til en enkeltperson. Eksempler på personopplysninger er navn, fødselsnummer, bilde, video og lydopptak, logg fra bruk av adgangskort, informasjon fra en kilde, blodprøver og googlesøk på person.
     
  • SENSITIVE PERSONOPPLYSNINGER er definert som opplysninger om rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold, medlemskap i fagforeninger samt genetiske data og biometriske data som anvendes til identifisering av personer.

Skylagring

Angi om informasjonen er egnet for skylagring. Enkelte informasjonstyper kan ikke lagres i skyen på grunn av lovkrav eller er ikke egnet for skylagring av andre grunner. Dette gjelder spesielt lagring utenfor Norge eller EU/EØS-området. Informasjon som kan falle inn under disse kategoriene må gjennomgå en særskilt risikovurdering før en eventuell lagring i skyen.

Dette gjelder for eksempel:

  • Regnskapsdata
  • Arkivverdig materiale
  • Sensitive personopplysninger
  • Fortrolig informasjon
  • Virksomhetskritisk informasjon

UNINETT har utarbeidet en juridisk veileder for skytjenester. Lenke: https://www.uninett.no/skytjenester/juridisk-veileder-skytjenester

Den norske arkivloven er under revisjon (pr.  oktober 2017) så det vil muligens bli endringer i hva som kan lagres utenlands.

Arkivnøkkel

En arkivnøkkel er et system for ordning av sakarkiv basert på ett eller flere ordningsprinsipper.  Arkivnøkler beskriver inndelingsprinsipper og rekkeordningssystemer og benytter vanligvis et ordningsprinsipp på inndeling etter emne. Statlige organer skal ifølge arkivforskriften bruke «Felles arkivnøkkel for statsforvaltningen».

Oppbevaringsperiode

Den tid som informasjonen skal oppbevares i arkivet. Oppbevaringsperioden starter når informasjonsobjekt blir til, og oppgis i antall år.

  • PERMANENT – informasjonsobjektet oppbevares permanent.
  • LEVETIDSRELATERT – informasjonsobjektet er levetidsrelatert i forhold til andre objekter (datasystemer, prosjekter, programmer, kontrakter, bygninger, ansettelsesforhold, studieforhold eller lignende). Det er vanlig at man setter en oppbevaringsperiode som kan være 5 eller 10 år etter at objektet er avhendet, kontrakten er utløpt osv.
  • nn ÅR – institusjonen har definert oppbevaringsperioden, for eksempel hvis oppbevaringsperiode er koblet til en hendelse, aktivitet eller er lovpålagt.

Avhendingsregler

Regler for avhending av informasjonen etter endt oppbevaringsperiode.  Merk at det kan være spesielle regler for bevaring av informasjon som gjelder egen virksomhet eller som har prinsipiell karakter. Rutinemessige enkeltsaker som har mistet sin administrative betydning kan ofte kasseres.

  • GJENNOMGANG – send informasjonsobjektet til informasjonseieren for gjennomgang etter utløpt oppbevaringsperiode.
  • KASSER – kasser informasjonsobjektet umiddelbart etter utløpt oppbevaringsperiode. Vær oppmerksom på at informasjonsobjekter som inneholder personopplysninger krever sikker destruering.
  • DEPONER – deponer informasjonsobjekt i arkivdepot, for eksempel hos Statsarkivet, etter utløpt oppbevaringsperiode.
  • BEVARES – skal ikke avhendes på grunn av krav om permanent oppbevaring.

 

Teksten på denne siden er hentet fra denne fagspesifikasjonen:

UFS 136 - Veiledning i klassifisering av informasjon v2 2017