Riktlinjer för informationsklassning



Relevanta dokument
Gemensamma anvisningar för informationsklassning. Motala kommun

Informationssäkerhetsanvisning

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Regler för IT-säkerhet vid Göteborgs universitet anger. Publiceringsdatum Juni 2007 (senaste rev. dec 2013)

Pass 2: Datahantering och datahanteringsplaner

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Regler för IT-säkerhet vid Göteborgs universitet anger. Publiceringsdatum Juni 2007 (senaste rev. feb 2015)

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Regler för IT-säkerhet vid Göteborgs universitet anger. Publiceringsdatum Juni 2007 (rev. juni 2012)

Regler för lagring av Högskolan Dalarnas digitala information

Regler för bevarande av elektroniska handlingar vid Mittuniversitetet

Instruktion för informationssäkerhetsklassning

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Riktlinjer för informationssäkerhet

Metod för klassning av IT-system och E-tjänster

Säker informationshantering

Riktlinjer för informationssäkerhet

Leif Bouvin dnr A / Riktlinjer för systemanskaffning och systemutveckling

Riktlinjer för informationssäkerhet

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

IT-säkerhetsinstruktion

Informationssäkerhetspolicy för Ånge kommun

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationsklassning och systemsäkerhetsanalys en guide

Regler för uppdrag med särskilda säkerhets- och.

Riktlinjer för informationssäkerhet

Regler avseende nyttjande av Göteborgs universitets (GU) lokaler för fester och arrangemang. Publiceringsdatum Juni Beslutsdatum

Regler för IT-säkerhet vid Göteborgs universitet anger. Publiceringsdatum Juni 2007 (rev.april 2009) Beslutsdatum (rev.

Informationssäkerhetsinstruktion. medarbetare

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetspolicy

Beslutsdatum reviderade

Informationssäkerhetspolicy

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Fortsatt arbete utifrån dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

I n fo r m a ti o n ssä k e r h e t

Bilaga 1 - Handledning i informationssäkerhet

Riktlinjer för Informationssäkerhet

Riktlinjer om e-post Dnr 1-202/2019. Gäller fr.o.m

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

VÄGLEDNING INFORMATIONSKLASSNING

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhet Riktlinje Förvaltning

Informationsklassning , Jan-Olof Andersson

FÖRFATTNINGSSAMLING. Försvarsmaktens föreskrifter om skydd för utrikes- och sekretessklassificerade uppgifter och handlingar;

Informationssäkerhet - Instruktion för förvaltning

1 Informationsklassificering

Riktlinjer för informationssäkerhet

Bilaga 3c Informationssäkerhet

Informations- och IT-säkerhet i kommunal verksamhet

Handlingsplan för persondataskydd

Informationssäkerhet

Juridik och informationssäkerhet

Informationssäkerhetsinstruktion: Användare

Sekretessavtal. (Projekt namn)

Informationsklassning

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

IT-säkerhetsinstruktion Förvaltning

Policy för informationssäkerhet

Handledning i informationssäkerhet Version 2.0

Modell för klassificering av information

Mall säkerhetsskyddsavtal (nivå 1)

Informationssäkerhet, Linköpings kommun

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Råd för systembeskrivning

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

1(6) Informationssäkerhetspolicy. Styrdokument

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

BESLUT. Instruktion för informationsklassificering

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Informationssäkerhetspolicy

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy KS/2018:260

Hantering av behörigheter och roller

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTER

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

POLICY FÖR E-ARKIV STOCKHOLM

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Bilaga 1a Personuppgiftsbiträdesavtal

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Förnyad certifiering av driftleverantörerna av Ladok

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Ärendet. Förslag till beslut Nämnden föreslås besluta att. - anta informationssäkerhets- och it-plan för Staffan Blom Förvaltningschef.

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Dnr

Riktlinjer för informationssäkerhet

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Informationssäkerhetspolicy för Ystads kommun F 17:01

Transkript:

Fastighetsavdelningen RIKTLINJER FÖR IT-SÄKERHET Leif Bouvin 13-05-02 dnr V 2013/415 031-786 58 98 Riktlinjer för informationsklassning Publiceringsdatum November 2007 (Maj 2013) Publicerad Beslutsfattare www.gu.se Säkerhetschefen Beslutsdatum 2013-05-02 Dokumentsansvarig Giltighetstid Sammanfattning Leif Bouvin Tillsvidare IT-säkerhetsriktlinjerna för informationsklassning består av motsvarande regler för IT-säkerhet vid Göteborgs universitet dnr A 13 349/07 kompletterade med fördjupande detaljriktlinjer och exempel. Fastighetsavdelningen Haraldsgatan 5, Box 100, SE 405 30 Göteborg 031 786 0000, 031 786 1142 (fax) www.gu.se

Innehållsförteckning Riktlinjer för informationsklassning... 1 2 Informationsklassning... 3 2.1 Allmänt... 3 2.2 Informationsklassning... 3 2.2.1 Konfidentialitet... 4 2.2.2 Riktighet... 6 2.2.3 Tillgänglighet... 7 2.3 Sammanfattning... 8 Sidan 2 av 8

Maj 2013 2 Informationsklassning 2.1 Allmänt Följande riktlinjer består dels av den regeltext som återfinns i Regler för ITsäkerhet vid Göteborgs Universitet dnr A 13 349/07 och dels av riktlinjer i form av tillägg, exemplifieringar och förslag som ska ses som kan ses som god praxis vid informationsklassning. Information i alla dess former är en viktig tillgång för Göteborgs universitet (GU). Att klassa informationen är grundläggande för att informationen ska kunna ges nödvändigt och tillräckligt skydd. Utvecklingen inom IT gör det möjligt att hantera (skapa, lagra, utbyta och förmedla) information elektroniskt i allt större utsträckning. Att klassa den information som hanteras underlättar bedömningen av vilka elektroniska hjälpmedel eller tjänster som kan nyttjas. All information vid GU skall klassificeras utifrån krav på konfidentialitet (insynsskydd/sekretess), riktighet och tillgänglighet. Behandling av information som innehåller personuppgifter skall anmälas till universitetets personuppgiftsombud som ger anvisningar om hur informationen får hanteras. Se vidare Regler för behandling av personuppgifter vid Göteborgs universitet. http://www.sakerhet.gu.se/itsakerhet/pul/ Vid bedömning av om handling utgör allmän handling eller ej se vidare Göteborgs universitets arkivhandbok. Informationsägare är ansvarig för informationsklassning av enskilda dokument och klassificeringen genomförs främst utifrån kriterierna konfidentialitet och riktighet. Systemägare är ansvarig för informationsklassning av hela IT-system och klassificeringen skall genomföras utifrån alla tre kriterier. 2.2 Informationsklassning Informationsklassning ska säkerställa att informationen erhåller en lämplig skyddsnivå. Som hjälp används kriterierna konfidentialitet, riktighet och tillgänglighet. Sidan 3 av 8

Med konfidentialitet avses att informationen inte får göras tillgänglig eller avslöjas för obehöriga. Med riktighet avses att informationen inte ska kunna förändras och förvanskas av misstag eller av någon obehörig. Med tillgänglighet avses att informationen ska finnas till hands för behöriga användare då den behövs. Resultatet från de tre olika klassificeringar skall utgöra det samlade kravet på nivån för skyddet av den aktuella informationen eller IT-systemet. 2.2.1 Konfidentialitet Informationen skall vid informationsklassning bedömas utifrån kravet på konfidentialitet det vill säga skydd mot att informationen görs tillgänglig eller avslöjas för obehöriga. Kravet på konfidentialitet klassificeras mot nedanstående fyra informationsklasser där informationsklass 1 har lägst krav och klass 4 högst krav på konfidentialitet. Är informationen att betrakta som konfidentiell för universitetet, medarbetare eller tredjepart? Kan informationen beläggas med sekretess? Är informationen knuten till forskning med särskilda sekretesskrav? Nej Nej Nej Klass 1 Klass 2 Klass 3 Klass 4 Klass 1 konfidentialitet Informationen får lagras på arbetsstationens 1 lokala hårddisk. Informationen får även lagras på flyttbart medium 2 utan restriktioner. Informationen får överföras elektroniskt utan kryptering. Informationen får sändas via fax och med post, såväl internt som externt. Exempel: Information som kan spridas till en obestämd krets utan risk för negativa konsekvenser t ex webbinformation, kursinformation och dylikt. Klass 2 konfidentialitet Informationen skall i första hand lagras på en fristående server och inte på arbetsstationens lokala hårddisk. Servern skall vara placerad i ett godkänt 1 Med arbetsstation avses både stationära och bärbara persondatorer. 2 Exempelvis CD/DVD/USB-minne/smart telefon/surfplatta/löstagbar hårddisk/band/andra bärbara enheter. Sidan 4 av 8

serverrum. Informationen får även lagras på flyttbart medium utan restriktioner. Informationen får överföras elektroniskt utan kryptering. Informationen får faxas under förutsättning att mottagarkontroll genomförs. Vid försändning med internpost skall förslutet kuvert användas. Extern posthantering får användas. Exempel: Myndighetsinformation som inte kan beläggas med sekretess enligt Offentlighets- och sekretesslagen t ex allmänna offentliga handlingar (beslut i individärenden, interna utredningar etc). Klass 3 konfidentialitet Informationen skall lagras på en fristående server i ett skyddat nät. Servern skall vara placerad i ett godkänt serverrum. Informationen får i undantagsfall lagras på en arbetsstation under förutsättning att hela lagringsmediet är krypterat och att IT-systemet inte delar ut resurser. Informationen får lagras på flyttbart medium under förutsättning att hela lagringsmediet är krypterat samt att det hålls inlåst när det inte används. 3 Dessa medium får inte lämnas utan uppsikt och inte heller förflyttas utanför universitetets lokaler såvida det inte skickas till annan behörig mottagare. All elektronisk överföring av informationen skall vara krypterad. Informationen får inte faxas och vid försändning externt skall postbefordran med REK och mottagningsbevis alternativt bud användas. Vid försändning med internpost skall dubbla förslutna kuvert användas. Informationen får inte lagras i eller synkroniseras med en molntjänst. 4 Vid byte av hårddisk skall den utbytta hårddisken förstöras mekaniskt alternativt skrivas över enligt standard DoD 5520-22 med ett av GU tillhandahållet överskrivningsprogram så att lagrad information inte kan återskapas. Destruktionsintyg respektive signerad anteckning om överskrivning skall arkiveras. Exempel: Information som kan beläggas med sekretess enligt Offentlighets- och sekretesslagen t ex särskilt integritetskänsliga personuppgifter, information från andra myndigheter där sekretess överförts och dylikt. Klass 4 konfidentialitet Informationen skall lagras på fristående server i isolerat nät och inte på arbetsstationens lokala hårddisk. Servern skall vara placerad, separat inlåst, i ett godkänt serverrum. I de fall då server inte finns att tillgå skall informationen lagras på en krypterad separat hårddisk som när den inte nyttjas skall förvaras i säkerhetsskåp av klass SS 3492. Bärbar dator låses in, på motsvarande sätt, då den inte används. Informationen får lagras på annat flyttbart medium under förutsättning att hela lagringsmediet är krypterat samt att det förvaras inlåst i säkerhetsskåp av klass SS3492 när det inte används. Det flyttbara mediet får inte lämnas utan uppsikt och 3 För säkerhetskopior/backup gäller särskilda rutiner. 4 Med molntjänst avses här en tjänst som dels bygger på att resurser delas av flera användare eller organisationer och dels att program och data lagras decentraliserat i ett nätverk av servrar. Sidan 5 av 8

inte heller förflyttas utanför GU:s lokaler såvida det inte skickas till annan behörig mottagare. All elektronisk överföring av informationen skall vara krypterad. Informationen får inte faxas och vid försändning externt skall postbefordran med REK och mottagningsbevis alternativt bud användas. Informationen får inte sändas med internpost. Informationen får inte lagras i eller synkroniseras med en molntjänst. Vid byte av hårddisk skall den utbytta hårddisken förstöras mekaniskt så att lagrad information inte kan återskapas. Destruktionsintyget skall arkiveras. Exempel: Information som kan omfattas av någon regel i Offentlighets- och sekretesslagen som utrikessekretess (15:1), försvarssekretess (15:2), information knuten till uppdragsforskning med särskilda sekretesskrav och information knuten till sekretess i forskningssamverkan (24:5). 2.2.2 Riktighet Informationen skall vid informationsklassning bedömas utifrån kravet på riktighet det vill säga skydd mot oavsiktlig eller avsiktlig förvanskning. Kravet på riktighet klassificeras mot nedanstående tre informationsklasser där informationsklass 1 har lägst krav och klass 3 högst krav på riktighet. Kan oriktig information medföra skada? Kan oriktig information medföra allvarlig skada? Oriktig information kan medföra allvarlig skada. Nej Nej Klass 1 Klass 2 Klass 3 Klass 1 riktighet Inga krav ställs på verifiering av riktigheten i informationen eller skydd mot förvanskning av informationen. Exempel: Eget arbetsmaterial som ännu inte blivit allmän handling. I övrigt är den här klassningen sällsynt. Klass 2 riktighet Informationen skall vara spårbar och riktigheten skall kunna verifieras t.ex. genom signering. Sidan 6 av 8

Exempel: Information som ingår i myndighetsutövning och där riktigheten har betydelse för den enskilde eller för dokumentets status t ex allmänna handlingar, webbinformation och dylikt. Klass 3 riktighet Varje inmatning (transaktion) eller förändring av information skall vara spårbar och riktigheten skall kunna verifieras för varje inmatning eller förändring av information. Informationen skall förses med ett högt skydd mot oavsiktlig eller avsiktlig förändring och får endast hanteras i ett skyddat nät med ett anpassat behörighetskontrollsystem. Informationen får inte lagras i eller synkroniseras med en molntjänst. Undantag upphandlade tjänster som uppfyller kraven på verifiering av transaktioner. Exempel: IT-system för kritiska processer i verksamheten såsom GUDOK och GU:s webb. Information i IT-system med särskilda krav på riktighet såsom ekonomiadministrativa system och IT-system som behandlar personuppgifter (LADOK, Agresso, Palasso, Gunda, Sampass, transaktionsloggar m.fl.). 2.2.3 Tillgänglighet Informationen skall vid informationsklassning bedömas utifrån kravet på tillgänglighet det vill säga att informationen skall finnas till hands för behöriga användare då den behövs. Kravet på tillgänglighet klassificeras mot nedanstående tre informationsklasser där informationsklass 1 har lägst krav och klass 3 högst krav på tillgänglighet. Medför förlust av tillgänglighet måttlig negativ påverkan på verksamheten? Medför förlust av tillgänglighet stor negativ påverkan på verksamheten? Medför förlust av tillgänglighet betydande/allvarlig negativ påverkan på verksamheten? Nej Nej Klass 1 Klass 2 Klass 3 Klass 1 tillgänglighet Måttliga krav ställs på tillgänglighet till informationen eller systemet. Exempel: Eget arbetsmaterial som ännu inte blivit allmän handling. Klass 2 tillgänglighet Stora krav ställs på tillgänglighet till informationen eller systemet. Exempel: Information och system på vilka det ställs krav på tillgängligheten för att GU ska uppfylla sina åtaganden som myndighet samt gentemot tredje man. Sidan 7 av 8

Klass 3 tillgänglighet Betydande krav ställs på tillgänglighet till informationen eller systemet. Längre avbrott i tillgängligheten är inte acceptabla. Exempel: Verksamhetskritisk information. Tillgängligheten enligt ovanstående gäller i första hand tillgänglighet ur en tidsaspekt. Tillgänglighet kan uttryckas i både tid och rum. Vad som måste beaktas avseende rumsaspekten dvs att informationen ska vara tillgänglig oavsett var användaren befinner sig är att den avsevärt ökar risken för att kraven på konfidentialitet och riktighet inte kan uppfyllas. 2.3 Sammanfattning Resultatet från de tre olika klassificeringar skall utgöra det samlade kravet på nivån för skyddet av den aktuella informationen eller IT-systemet. Resultatet utgör grunden för hur informationsägaren skall hantera informationen och underlag för systemägarens kravställning på ett IT-system. Information kan också få en ändrad klassning över tiden. Exempel på det är vid upphandling då anbudssekretess råder ända fram till dess att val av leverantör är klart. Sidan 8 av 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss