Wikier

Klassifisering av informasjonsverdier - retningslinje

Detaljer Skriv ut
(Videresendt fra Retningslinje for klassifisering av informasjonsverdier)

Retningslinje for klassifisering av informasjon ved NTNU. 

 

Engelsk versjon - Policy for Classification of Information

Temaside om informasjonssikkerhet | Sider merket med informasjonssikkerhet

 

Innholdsfortegnelse

Formål

Formålet med retningslinje for klassifisering av informasjon er å ha oversikt over NTNUs informasjonsverdier, og sikre at de blir forvaltet og håndtert forsvarlig. 

Gjelder for

Retningslinjen for klassifisering av informasjon gjelder for alle som har tilgang til og benytter NTNUs IKT-infrastruktur (informasjonssystemer, programvare, tjenester og utstyr). All bearbeiding og forvaltning av informasjon og data ved NTNU, faller inn under denne retningslinjen. Eksempler på dette er forskningsprosjekt, undervisning, administrasjon og saksbehandling. 

Roller og ansvar

Arbeidet med informasjonssikkerhet berører virksomheten på alle nivå. Ansvar og myndighet for informasjonssikkerhet følger det ordinære linjeansvaret. Alle roller tilhørende styringssystemet er definert i politikk for informasjonssikkerhet.  

For retningslinje for klassifisering for informasjon har linjeledere, prosjektledere og systemeiere sentrale roller med tilhørende ansvar. 

Overordnede prinsipper

  • For å sikre forsvarlig behandling av informasjonsverdier, skal all informasjon og data som produseres og forvaltes ved NTNU klassifiseres.  
  • Klassifisering av informasjonen som behandles i et IKT-system eller prosess, angir krav til sikring av både det enkelte IKT-systemet og hele den samlede prosessen for håndtering. Dette gjelder både informasjon som produseres og som hentes inn, og alle faser av håndtering (lagring, transport, bearbeiding etc). 

Verdivurdering og klassifisering

En informasjonsverdi er informasjon, opplysninger og data vi som enkeltpersoner, NTNU, eller samfunnet ønsker å beskytte. Dette inkluderer både selve informasjonen, lokaler, utstyr, systemer og mennesker som behandler og oppbevarer informasjon. 

  • Informasjon som oppbevares og produseres ved NTNU skal gjennom en verdivurdering1. Dette gjøres ved å avgjøre hva slags verdi informasjonen har for NTNU, og hva slags verdi den har for andre aktører. Eksempel på informasjonsverdier ved NTNU er: 
    • Forskning – Har verdi for NTNU som universitet, for forskerne og potensielt en verdi for samfunnet. 
    • Dokumentasjon – Systemdokumentasjon, planverk osv. 
    • Systemer – noen systemer har verdi ved at vi er avhengig av dem for å få gjort jobben vår, andre ved at de brukes for å lagre data som har verdi. 
    • Personopplysninger – dette er ikke bare en verdi for NTNU, men også for hver enkelt person det gjelder. Derfor stilles det krav til NTNU om hvordan personopplysninger skal oppbevares. 
    • Fysiske områder – laber, arkivrom, serverrom osv. der informasjon og forskning opprettes, bearbeides og lagres. 
  • Basert på verdivurderingen klassifiseres informasjon i samsvar med interne og eksterne krav til konfidensialitet, integritet og tilgjengelighet.  
    • At noe er konfidensielt betyr at det er krav til tilgangsstyring; dette betyr i praksis å sikre at informasjon og informasjonssystemer bare er tilgjengelig for de som har et tjenstlig behov. 
    • Integritet betyr å sikre at informasjon er korrekt, gyldig og fullstendig og ikke kan endres utilsiktet eller av uvedkommende. 
    • Å sikre tilgjengelighet vil si at informasjon og informasjonssystemer er tilgjengelig og kan benyttes innenfor definerte krav  
  • Krav til riktig klassifisering av informasjonsverdier kommer fra mange parter og har forskjellige mål: 
    • Ha oversikt over hvilke verdier NTNU besitter. 
    • Fastslå hvilke informasjon/system/objekt som er viktigst for å nå NTNUs mål, samt holde seg innenfor gjeldende regelverk og imøtekomme inngåtte avtaler. 
    • Sortere hvilken informasjon og IKT-systemer som skal prioriteres ved en hendelse som medfører begrenset kapasitet. 
    • Forenkle arbeidet med å bygge en effektiv og driftsøkonomisk informasjonsarkitektur 

Klassifisering i praksis 

Data og informasjon som behandles på NTNU har ulikt beskyttelsesnivå. All informasjon og data skal klassifiseres med hensyn til konfidensialitet for å velge riktig verktøy og infrastruktur. Integritet er også viktig, slik at data/informasjon er korrekt og ikke blir endret ved en feil. Tilgjengelighet er i mange tilfeller mest sentralt for systemeiere som har ansvar for selve systemene, for å sikre at disse fungerer. I praksis vil dataenes integritet og tilgjengelighet vil være godt ivaretatt dersom du benytter en av løsningene presentert i Lagringsguiden.

Vurdering av konfidensialitet
Klassifisering Nivå Beskrivelse Eksempel

Strengt fortrolig

Sort sirkel med kryss for å visualisere strengt fortrolig klassifisering.

 4

Strengt fortrolig benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, NTNU, enkeltindivider eller samarbeidspartnere at informasjonen blir kjent for uvedkommende. 

Informasjon skal kun være tilgjengelig for medarbeidere med strengt kontrollerte rettigheter og som har behov for denne informasjonen for å utføre en pålagt oppgave.  

Eksempler på informasjon: 

  • Store mengder* særlige kategorier («sensitive») personopplysninger 
  • Store mengder* helseopplysninger. 
  • Forskningsdata og datasett av stor økonomisk verdi 
  • Direkte identifiserbare helseopplysninger i medisinsk og helsefaglig forskning 

* Du må selv vurdere hva som er store mengder data i ditt arbeid basert på kontekst, mengde og type data. 

Fortrolig

Rød sirkel med kryss for å visualisere fortrolig klassifisering.

 3

Fortrolig benyttes dersom det vil kunne skade offentlige interesser, NTNU, enkeltindivider eller samarbeidspartnere at informasjonen blir kjent for uvedkommende. 

Informasjon skal kun være tilgjengelig for medarbeidere med kontrollerte rettigheter og som har behov for denne informasjonen for å utføre en pålagt oppgave. 

Eksempler på informasjon:  

  • Særlige kategorier av personopplysninger , herunder helseopplysninger, taushetsbelagte opplysninger,  forretningshemmeligheter 
  • Kunnskap/forskning som er underlagt eksportkontroll 
  • Personalmapper 
  • Noe informasjon om infrastruktur (sikring av bygg og IKT-systemer) 

Intern

Gul sirkel med hake for å visualisere intern klassifisering.

 2

Intern benyttes om informasjon som er begrenset til å være tilgjengelig for medarbeidere for å gjennomføre pålagte oppgaver. Informasjonen kan være tilgjengelig for eksterne med kontrollerte tilgangsrettigheter. 

Eksempler på informasjon: 

  • Interne saksdokumenter 
  • Arbeidsdokumenter  
  • Informasjon som er unntatt offentlighet  
  • Mange typer av personopplysninger (fødselsnummer, navn, epost adresse, ansattnummer, ansettelsesforhold etc) 
  • Mange typer forskningsdata underveis i prosjekter (upublisert arbeid og forskningsdata)   
  • Karakterer 
  • Eksamensbesvarelser 

Åpen

Grønn sirkel med hake for å visualisere åpen klassifisering.

 1

Åpen informasjon som er tilgjengelig for alle uten særskilte tilgangsrettigheter. Informasjon som ikke kan skade noe eller noen, og alle kan få se. 

Eksempler på informasjon: 

  • Åpen kildeinformasjon  
  • Offentlige nettsider  
  • Kursoversikter og innhold 
  • Publisert forskning 

 

Vurdering av integritet
Klassifisering Nivå Beskrivelse Eksempler

Svært høy

 4 Det er av avgjørende betydning at informasjonen som leveres er autentisk og gyldig. Feilinformasjon, enten den er utilsiktet eller tilsiktet, kan føre til feilvurderinger eller beslutninger med alvorlige konsekvenser. Brudd kan føre til korrupte data i sentrale systemer, noe som kan resultere i omfattende følgefeil og betydelig tap av produsert materiale ved NTNU. 
  • Feil i helsejournal, kan medføre tap av liv 
  • Feil i byggetegninger, grunnlagsmateriale for infrastruktur 
  • Feil i risikovurderinger av kritisk betydning 
Høy 3 Brukeren av informasjonen er avhengig av at den er autentisk og gyldig. Feilinformasjon, enten utilsiktet eller tilsiktet, kan føre til feilvurderinger eller beslutninger som kan resultere i betydelige økonomiske tap, omdømmetap eller annen skade for NTNU, enkeltpersoner eller samarbeidspartnere. 
  • Grunndata 
  • Forskningsdata og publikasjoner hvor autentisitet er svært viktig. 
  • Feil i personopplysninger av særlig kategori  
Moderat 2 Brukeren av informasjonen forventer at den er autentisk og gyldig. Feil i informasjonen kan føre til moderate økonomiske tap og/eller svekket omdømme for NTNU, enkeltpersoner eller samarbeidspartnere. 
  • Feil i personopplysninger  
Lav 1 Feil påvirker ikke beslutningsprosesser. 
  • Arbeidsdokumenter der feil i informasjonen ikke har negativ konsekvens for beslutningsprosesser hos brukerne. 

 

 

Vurdering av tilgjengelighet

Klassifisering

Nivå

Beskrivelse

Svært høy

4

Informasjonsverdien påvirker kjernevirksomheten og er kritisk for drift av universitetet.

Høy

3

Informasjonsverdien påvirker avdelinger, seksjoner eller fellesfunksjoner, men ikke drift av universitetet.
Moderat 2

Informasjonsverdien påvirker kun enkelte isolerte systemer, tjenester eller funksjoner.
Lav 1 Informasjonsverdien er isolert og påvirker kun et system, tjeneste eller et mindre antall brukere og har ingen betydning for drift av universitetet eller viktige funksjoner.

 

 

Krav til merking

  • Bruk sensitivitetsmerking med etiketter/labels på dokumenter og e-post når informasjon har et høyt krav til konfidensialitet (intern, fortrolig og strengt fortrolig samt begrenset etter Sikkerhetsloven). 
  • Bruk egnet fagsystem eller verktøy for å behandle, lagre, og bearbeide informasjonen på en sikker og effektiv måte i tråd med systemeiers anbefalinger. 

Mer informasjon

Klassifisering av filer og informasjon

Informasjonssikkerhet - styrende dokumenter

Kontakt

Orakeltjenesten kan hjelpe deg om du har spørsmål eller opplever problemer.

Om retningslinjen

  • Type dokument: Retningslinje
  • Forvaltes av: Seksjon for digital sikkerhet
  • Godkjent av: Direktør for Organisasjon og infrastruktur
  • Gjelder fra: 01.10.2025
  • Neste revisjon: 01.10.2027
  • Unntatt offentlighet: Nei
  • Referanse ISO: ISO27002:2022 5.9,5.10,5.12,5.13,8.12
  • Referanse Policy for informasjonssikkerhet og personvern i høyere utdanning og forskning: Pkt 2
  • Referanse NSMs grunnprinsipper for IKT-sikkerhet: 2.7.5
  • Referanse LOV/Regel: Sikkerhetsloven, Personvernloven, Sikkerhetsinstruksen
  • Referanse interne dokumenter: Politikk for informasjonssikkerhet
36569 Visninger
IT-info: digital sikkerhet Målgruppe: Studenter Medarbeidere Tema: Informasjonssikkerhet Lederstøtte
Tagger
informasjonssikkerhet datahåndtering klassifisering

Child Pages (1)

  • Behandling av informasjon med privat IKT-utstyr

    NTNUs rutiner og retningslinjer krever at du bruker NTNU-administrerte datamaskiner med nødvendige sikkerhetsmekanismer når du behandler klassifisert informasjon. Noen ganger oppstår likevel...