Velg en side

Sikkerhet - klassifiser dine data

Informasjon skal behandles på forskjellige måte avhengig av beskyttelsesbehovet. Er det informasjon som kan være åpent og fritt tilgjengelig eller strengt fortrolig. Er det person informasjon som samles inn, eller er all data upersonlig?

For å beskytte sensitiv informasjon og sikre forsvarlig håndtering av data, benyttes klassifisering av informasjon som et viktig verktøy. Klassifisering innebærer å vurdere hvilken grad av konfidensialitet, integritet og tilgjengelighet informasjonen krever.

Bestill demo i dag

Hvorfor er det viktig å klassifisere?

Sikkerhet handler ikke bare om teknologi – men også om bevissthet, rutiner og ansvar.

Riktig klassifisering hjelper organisasjoner med å:

  • Identifisere hvilke sikkerhetstiltak som må iverksettes

  • Kontrollere tilganger og rettigheter

  • Overholde lovpålagte krav (som GDPR eller sikkerhetsloven)

  • Forebygge tap av tillit og omdømme

Eierskap

All informasjon skal ha en entydig og identifiserbare eier. Det skal være mulig å finne ut hvem som er ansvarlig for at informasjonen er vedlikeholdt, oppdatert og behandlet riktig i henhold til dataen.

Det er eieren som skal klassifisere informasjonen. Eier er også ansvarlig for vurderingene som ligger bak klassifiseringen. Informasjon skal alltid plasseres i en tilstrekelig sikker klasse. Dersom man er i tvil velger man den strengste tolkningen.

Åpen informasjon

Fritt tilgjengelig informasjon eller åpen velges dersom det ikke forårsaker noe skade for noen personer eller juridiske enheter at informasjonen blir kjent.

Informasjonen kan da være tilgjengelig for alle uten særskilte tilgangsrettigheter. Eksempler på dette er kurs, selve skjemaene og reklame matriell.

Selv om informasjonen er åpen er det ikke sikkert du kan bruke den til hva du vil. Det er også viktig å sikre at brukere med riktige rettigheter har tilgang til å endre informasjonen.

Intern informasjon

Intern informasjon er data og dokumenter som ikke er ment for offentligheten, men som ikke er så sensitive at de krever høyt sikkerhetsnivå. Det er likevel viktig å beskytte denne typen informasjon mot utilsiktet spredning, da det kan ha konsekvenser for forretninger, drift eller tillit.

Typiske eksempler inkluderer:

  • Interne retningslinjer og prosedyrer

  • Organisasjonskart og kontaktlister

  • Møtereferater og intern korrespondanse

  • Ikke-offentlig prosjektinformasjon

  • Systembeskrivelser eller teknisk dokumentasjon

  • Utkast til avtaler, budsjetter eller planer

  • Intern opplæringsmateriell

Begrenset

«Begrenset» benyttes dersom det vil kunne forårsake en viss skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende eller endres utilsiktet.

Dette er i utgangspunktet informasjon som ikke er åpen for alle. I lover eller annet regelverk er det ingen krav om at informasjonen skal være åpen. Dette er altså all informasjon som ikke er klassifisert som åpen, fortrolig, eller strengt fortrolig.

Informasjonen må ha en viss beskyttelse og kan være tilgjengelig for både eksterne og interne, med kontrollerte tilgangsrettigheter. Informasjonen har kun relevans for eller er innrettet mot en begrenset brukergruppe enten ved universitetet eller ved institusjoner og organisasjoner universitetet har samarbeid med.

    Eksempler på slik informasjon kan være

    • enkelte arbeidsdokumenter
    • informasjon som er unntatt offentlighet
    • mange typer av personopplysninger
    • CVer

    Fortrolig (Rød):

    «Fortrolig» benyttes hvis det vil kunne forårsake skade for enkeltpersoner eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende eller endres utilsiktet.

      Eksempler på slik informasjon kan være

      • særskilte kategorier av personopplysninger (tidligere kalt «sensitive personopplysninger»)
      • data underlagt eksportkontroll
      • personalmapper
      • endel informasjon om f. eks. sikring av bygninger og IT-systemer
      • helseopplysninger

      Strengt fortrolig (Svart):

      «Strengt fortrolig» benyttes dersom det vil kunne forårsake betydelig skade for enkeltpersoner eller samarbeidspartner at informasjonen blir kjent for uvedkommende eller endres utilsiktet.

      Denne kategorien omfatter samme type informasjon som Fortrolig (rød), men der spesielle hensyn gjør at man ønsker å beskytte dataene ytterligere. Pålegg om beskyttelse og sikring utover de lovbestemte skal være nedfelt i avtaler eller skriftlig dokumentert på annen måte.

      Dette tilsvarer graden strengt fortrolig i den offentlige Beskyttelsesinstruksen.

      Plassering av data og informasjon i denne kategorien gjøres i samarbeid med jurister og ansvarlig for sikkerhet.

        Eksempler på slik informasjon kan være

        • store mengder sensitive personopplysninger
        • store mengder helseopplysninger
        • direkte identifiserbare helseopplysninger i medisinsk
        • datasett av stor økonomisk verdi