Instruktion för informationssäkerhetsklassning



Relevanta dokument
Skyddsnivå utifrån informationssäkerhetsklassning

Borlänge kommun. Internkontroll KS Kontrollområde: Tydlig rubricering av ärenden, Nämndservice. Beslutad av kommunstyrelsen

Mall för riskbedömning

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

POLICY OCH RIKTLINJER FÖR GISLAVEDS KOMMUNS HAN- TERING AV KLAGOMÅL OCH SYNPUNKTER

Kapitel 7 Hantering av tillgångar

RUTIN FÖR KLASSIFICERING AV INFORMATION

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Informationssäkerhet - Instruktion för förvaltning

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Vetenskapsrådets informationssäkerhetspolicy

Om studiedokumentation inom yrkeshögskolan

Riktlinjer för informationsklassning

Hur gör jag med dokumenten?

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Hantering av skyddade personuppgifter

Informationssäkerhetspolicy för Vetlanda kommun

Instruktion för e-post E-postinstruktion Beslutad

19. Skriva ut statistik

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Handledning för uppsatsadministratörer

Bilaga 17 Mall för operativt samverkansavtal med GSIT 2.0- leverantören Dnr: /2015 Förfrågningsunderlag

Ärende Beslut eller åtgärd. 1 Fastställande av dagordning Inga ärenden anmäldes till Övrigt.

Riktlinje för synpunkts- och klagomålshantering VON 2013/ Riktlinjerna är antagna av vård- och omsorgsnämnden den 13 maj 2003.

Regler för lagring av Högskolan Dalarnas digitala information

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Tillståndsplikt och övervakning av utsläpp

Tryck på Ansök här i vänstermenyn, se nedan.

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Ändra, kopiera eller radera publikation (staff)

Till dig som vill göra fältförsök med genetiskt modifierade växter

Föredragande borgarrådet Anna König Jerlmyr anför följande.

Riktlinjer för behandling av personuppgifter vid webbpublicering

ISO I PRAKTIKEN

Konkurrensverkets författningssamling

Tack för att du bidrar till att vi får bättre kunskap om trädgårdssektorn!

Riskanalys. Förskolenämnden

Teknisk beskrivning PDL i HSA

Open Access-policy för vetenskaplig publicering vid Umeå universitet

Säkerhetsskyddsplan för Älvsbyns kommun

Riktlinjer för hantering av allmänna handlingar

VÄGLEDNING INFORMATIONSKLASSNING

Registrering och hantering av allmänna handlingar

Lättläst sammanfattning Åtgärder mot fusk och fel med assistansersättning

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Avtalsform Ramavtal & enstaka köp Namn Molntjänster

Riktlinje för mobil användning av IT - remissvar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Information till patienten och patientens samtycke

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

ANVÄNDNINGSPOLICY FÖR ELEKTRONISK POST VID ÅBO AKADEMI

Riktlinjer för säkerhet i Växjö kommun

Rikspolisstyrelsens författningssamling

ELEVHJÄLP. Diskussion s. 2 Åsikter s. 3. Källkritik s. 11. Fördelar och nackdelar s. 4. Samarbete s. 10. Slutsatser s. 9. Konsekvenser s.

Kultur- och fritidskontoret LATHUND. Att komma med i föreningsregistret

En guide till FirstClass

Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen

Webbstrategi. Strategi. Fastställt av. Kommunikationsdirektör. Datum för fastställande Giltighetstid. Tillsvidare.

Riktlinjer informationssäkerhetsklassning

Granskning av bisysslor. 25 september 2013

Lagen om extraordinära händelser. Helen Kasström, MSB

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Frågor och svar. Beskrivning: IT-konsulttjänster Resurskonsulter Norra regionen och Uppsala-Örebro.

SVERIGES 18-ÅRINGAR HAR FÅTT EN VIKTIG UPPGIFT

Säkerhetsåtgärder vid kameraövervakning

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Instruktion för riskhantering

Lena Persson mail: Rutiner för hantering av skyddad identitet inom förskola och grundskola i Ängelholms kommun

Riktlinjer för användning av sociala medier

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Patientsäkerhetsberättelse Sunnangårdens Gruppbostad

Conversionista 404-studie, våren 2011

riktlinje modell plan policy program regel rutin strategi taxa riktlinje för styrdokument ... Beslutat av: Kommunfullmäktige

Metodstöd 2

Tolkningar och bedömningar av Egenkontrollförordningen

I särskola eller grundskola?

Logga in. Elevöversikt. Kolumner. Godkänna. Urval. Hantera inflytt och byte. Sök. Familjebild. Utskriftsrutin Om pengen

Kommunal vuxenutbildning: elever, kursdeltagare och utbildningsresultat, första halvåret 2016.

K2 eller K3? Vad ska fastighetsägare och bostadsrättsföreningar välja?

PMSv3. Om konsten att hålla koll på ett vägnät

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

IT-verksamheten, organisation och styrning

MER-styrning - Lekeberg kommuns styrmodell

Manual för registrering av arbetsskada i Lisa

Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results.

Trädportalen.se. Användarhandledning för rapportsystemet för skyddsvärda träd

Delegeringsordning. Kultur- och fritidsnämnden Gäller fr.o.m Antagen av Kultur- och fritidsnämnden , 5

Förordnande av verksamhetschef för den medicinska och psykologiska delen av elevhälsan

Det första steget blir att titta i Svensk MeSH för att se om vi kan hitta några bra engelska termer att ha med oss på sökresan.

SYSTEMATISKT ARBETSMILJÖARBETE GRUNDUTBILDNING

Stockholms läns landsting 1 O)

Projektplan för En säkrare Sevesotillsyn, godkänd av styrgruppen

Konsekvensutredning avseende ändring av Socialstyrelsens föreskrifter (SOSFS 2005:29) om utfärdande av intyg inom hälsooch sjukvården m.m.

VASS HBI Användarmanual

Användarmanual Jobb i Stan. CV-Handboken. Registrering, jobbsökning mm. Copyright Aditro. All rights reserved.

Transkript:

1(9) DNR: SÄK 2014-19 Exp. den: 2014-12-16 STYRANDE DOKUMENT Sakområde: Säkerhet och informationssäkerhet Dokumenttyp: Anvisning/Instruktion Beslutsfattare: Säkerhetschef Avdelning/kansli: SLU Säkerhet Handläggare: Informationssäkerhetschef Beslutsdatum: 2014-12-18 Träder i kraft: 2014-12-18 Giltighetstid: tills vidare Bör uppdateras före: [Datum] Ev dokument som upphävs: - Bilaga till: - Instruktion för informationssäkerhetsklassning Syfte Syftet med informationssäkerhetsklassning är att tydliggöra att olika typer av information har olika värde för SLU utifrån aspekterna konfidentialitet, riktighet och tillgänglighet 1, vilket också leder till olika behov av skydd. a) Konfidentialitet innebär att information inte ska avslöjas eller vara tillgänglig för obehörig. b) Riktighet innebär att information inte obehörigt ändras eller modifieras, varken obehörigen, av misstag eller på grund av funktionsstörning. c) Tillgänglighet innebär att informationen finns att tillgå, dels här och nu i förväntad utsträckning och inom önskad tid men också hur länge den ska sparas i framtiden. För att kunna hantera information på ett säkert och anpassat sätt, för att kunna kravställa eller upprätthålla säkerheten i ett it-system eller att genomföra riskbedömningar är det viktigt att veta informationens värde, dvs att informationssäkerhetsklassa. Ansvar Myndigheten för samhällsskydd och beredskap, MSB, uttrycker att en myndighet ska klassificera sin information. Det är ägare 2 av information som är ansvarig för att informationen informationssäkerhetsklassas. Ägare är ofta den verksamhetsansvarige vars verksamhet har skapat informationen, fattat beslut om den alternativt tagit över ansvaret för den. Ägarskapet kan förändras över tid. 1 Även möjligheten att säkerställa vem som haft åtkomst till information, dvs spårbarhet, kan vara viktig att ange. Se kapitel Övrigt på sid 3. 2 Standarden SS-ISO/IEC 27001:2005 Ledningssystem för informationssäkerhet uttrycker: Termen ägare avser en person eller enhet som har ett uttalat ledningsansvar för att styra produktion, utveckling, underhåll, användning och säkerhet avseende dessa tillgångar. Termen ägare innebär inte att personen har faktisk äganderätt till tillgången. 1(9)

Tillvägagångssätt Mall för informationssäkerhetsklassning finns framtagen för registrering av klassningsresultatet och den finns på SLU Säkerhets sidor på medarbetarwebben. Använd mallen och registrera resultatet löpande under klassningen enligt beskrivning nedan. Observera att flöden för bestämmande av klass och konsekvensnivåer beskrivs på sid 5 och 9. 1. Inledning 1.1. Dokumentadministration: Öppna Mall för informationssäkerhetsklassning. Fyll i dokumenthuvudet med datum för klassning, författare, organisationstillhörighet. Spara filen så att klassningsobjektets namn framgår. 1.2. Klassningsobjekt och Beskrivning: Namnge vad som ska informationssäkerhetsklassas, ett så kallat klassningsobjekt. Klassningens omfattning kan vara ett projekt, hel eller del av organisation, en process ett IT-system, en databas, etc. Klassningsobjektet blir en gruppering av ett antal olika typer av information. För att underlätta förståelsen av vad som ska klassas och vad som inte ska klassas kan objektet beskrivas. Det kan vara ett projekts omfattning, en verksamhets avgränsning, ett IT-systems användningsområde etc. 1.3. Kl.datum, Ansvarig och Deltagare: Ange när klassningen har ägt rum, vem som är ansvarig för klassningsobjektet och vilka som deltog. Ansvarig för objektet behöver inte vara närvarande men denne är troligtvis informationsägare. I de fall t.ex. förtydliganden behöver göras eller när omklassning ska genomföras är de bra att veta vilka som genomförde tidigare klassning. Komplettera med befattning och kontaktuppgifter. 2. Identifiera typ av information Identifiera de olika typer av information 3 som finns inom klassningsobjektet och registrera dessa i kolumnen. I de fall informationen är mycket beroende av specifik hårdvara eller likande kan detta anges för att påvisa dess värde. Det kan vara svårt att avgöra till vilken detaljeringsgrad information ska identifieras. I de fall en informationstyps värde avviker från övriga typer kan den definieras extra noga. Dessutom kan de informationstyper vars bedömning förändras över tid anges som två olika informationstyper, t.ex. publicerad och opublicerad rapport, ansökningsinformation vid ansökningstider och vid övrig tid. Dessa informationstyper används med fördel i riskbedömning. 3 Exempel på typ av information kan vara offentlig forskningsrapport, artiklar, opublicerat forskningsresultat, rådata, avhandlingar, bilder, studieanmälan, tentamensfrågor, examensarbete, examensbevis, projektplan, anbud, avtal, personuppgifter, interna rutiner, loggar, lösenord, information på externwebben. Observera att här avses inte bara allmänna handlingar. Observera även att t.ex. en databas ofta innehåller ett flertal olika informationstyper. 2(9)

3. Konsekvensbedömning avseende konfidentialitet, riktighet och tillgänglighet Information klassificeras utifrån vilka konsekvenser, dvs skada på SLU:s värden (exempelvis allvarlig skada), som oönskad påverkan på informationen bedöms kunna leda till utifrån konfidentialitet, tillgänglighet och riktighet. Konsekvensens, dvs den eventuella skadans, storlek leder till klass 3, 2, 1 eller 0. 3.1. Ta den första typen av information som skrivits in i tabellen och bedöm vilken konsekvens det skulle innebära för SLU om konfidentialitet förlorades. Läs igenom frågorna och följ flödet i kapitel Frågor och flöde för att avgöra klass (konsekvensnivå) på sid 5 för att välja nivå på klass. Konsekvensnivåerna nämnda i flödet definieras i kapitel Beskrivning av konsekvensnivåer kopplat till informationssäkerhetsklass på sid 9. 3.2. Registrera typens informationssäkerhetsklass för konfidentialitet i tabellen i formen K0, K1, K2 eller K3. Komplettera gärna bedömningen med kommentar för att kunna följa resonemanget i efterhand. 3.3. Motsvarande bedömning görs för informationstypen gällande riktighet (R0, R1, R2 eller R3), tillgänglighet på kort sikt (TK0, TK1, TK2 eller TK3) och tillgänglighet på lång sikt (TL0, TL1, TL2 eller TL3) Byt ut konfidentialitet mot riktighet och tillgänglighet och K mot R, TK och TL i beskrivningen på sid 9. 3.4. Varje informationstyp ska ha bedömning gällande alla aspekterna konfidentialitet, riktighet och tillgänglighet på kort och lång sikt, vilket ger kombinationer såsom exempelvis K0 R1 TK2 TL1 eller K1 R2 TK0 TL0. 4. Övrigt Här kan typen av information beskrivas, bedömning förklaras, sekretessparagraf 4 anges, speciella spårbarhetskrav 5, tidsaspekter gällande tillgänglighet, speciella beroenden förtydligas om det antas kan vara till nytta för andra läsare eller kommande omklassningar. 5. Sammanfattning, slutsats Här anges vilka slutsatser som dras av klassningen, speciellt viktiga informationstyper, förslag på skydd, tidsaspekter osv. 4 Vid begäran om utlämnande av information görs en sekretessbedömning, men det är lämpligt att vid klassningstillfället göra en uppskattning av om information kan antas omfattas av sekretess. 5 Även möjligheten att säkerställa vem som haft åtkomst till information, dvs spårbarhet, kan vara en viktig informationssäkerhetsaspekt. 3(9)

Resultatet Varje typ av information ska nu ha fått en kombination av informationssäkerhetsklasser uttryckt i Kx Rx TKx TLx. Det kan vara t.ex. Årsrapport K0R2TK1TL1. Resultatet sparas i fil namngiven så att klassningsobjektet framgår. Kopia på resultatet ska finnas hos SLU Säkerhet. För kontaktuppgifter, se medarbetarwebben. Resultatet ligger till grund för på vilket sätt information får hanteras, var den får lagras, om den ska krypteras, långtidsförvaras, vem som får ta del av den, vilka krav som ska ställas på specifikt IT-system etc. Omklassning Det är viktigt att omklassning sker om informationens betydelse förändras, vilket den ofta gör över tid. T.ex. kan viss information behöva skyddas utifrån hög klass avseende konfidentialitet, K2, vid en tidpunkt för att senare vara t.ex. publicerad och inte ha några som helst krav på konfidentialitet, K0. Detsamma gäller tillgänglighet och riktighet. För att underlätta omklassningen kan det ha stor betydelse att tydliga kommentarer till varför har antecknats i övrigt-kolumnen vid det tidigare klassningstillfället. Det kan vara lämpligt att ha informationssäkerhetsklassning som en stående punkt i verksamhetsplaneringen. 4(9)

Frågor och flöde för att avgöra klass (konsekvensnivå) Kategori Konfidentialitet Konfidentialitet innebär att information inte ska avslöjas eller vara tillgänglig för obehörig. För att underlätta bedömningen kan nedanstående frågor beaktas: a) Vad innebär avslöjande utanför SLU, inom SLU, till enstaka medarbetare? b) Vilken är det största skadan som kan uppstå? c) Vad blir skadan utifrån ekonomi, förtroende, moral osv? d) Bryts eventuella avtal eller lagar om informationen avslöjas? e) Kan information komma att sekretessbeläggas 6 (t.ex. avseende skydd av utrotningshotade arter eller rikets säkerhet) enligt paragraf i Offentlighetsoch Sekretesslag (2009:400) vid begäran om utlämnande 7? f) Kräver eventuell sekretess (t.ex. sekretess med avseende på skydd av rikets säkerhet) specifika skyddsåtgärder, såsom märkning, förvaring, kryptering, isolerat IT-system osv? Svaren på frågorna ovan bedöms utifrån konsekvensnivåerna beskrivna på sid 9. 6 Sekretessbelagd uppgift ska skyddas från obehörig insyn. 7 Observera att vid begäran om utlämnande av allmän handling görs bedömning i enlighet med Tryckfrihetsförordningen och Offentlighets- och sekretesslagen (OSL) oberoende av denna klassning. 5(9)

Konsekvensbedömning för kategori Riktighet Riktighet innebär att information inte obehörigt ändras eller modifieras, varken otillåten, av misstag eller på grund av funktionsstörning. För att underlätta bedömningen kan nedanstående frågor beaktas: a) Vad innebär det om informationen förändras på ett för SLU icke avsett sätt? b) Finns tillämpliga lagkrav avseende riktighet? c) Vad är det värsta som kan hända om informationen är oriktig? d) Räcker det att informationen är tolkningsbar eller måste den vara exakt? Svaren på frågorna ovan bedöms utifrån konsekvensnivåerna beskrivna på sid 9. 6(9)

Konsekvensbedömning för kategori Tillgänglighet på kort sikt Tillgänglighet på kort sikt innebär att informationen finns att tillgå här och nu i förväntad utsträckning och inom önskad tid. För att underlätta bedömningen kan nedanstående frågor beaktas: a) Hur långa avbrott tål SLU? Måste informationen vara tillgänglig konstant, inom en timme, en dag, en vecka, en månad eller räcker det med ett år? b) Vad innebär kortare avbrott dagligen eller veckovis? c) Vad innebär det om informationen blir tillgänglig betydligt långsammare än tänkt? d) Behöver informationen vara tillgänglig via internet, på gemensam server, via löstagbart media? e) Förändras tillgänglighetskravet över olika återkommande perioder och över tid? Tidsaspekterna ovan kommer inte hanteras i klassningen pga att det skulle medföra alltför många klassningsnivåer. Tidsaspekterna måste hanteras på annat sätt, t.ex. genom krav på IT-system, säkerhetskopiering, lagring osv. Svaren på frågorna ovan bedöms utifrån konsekvensnivåerna beskrivna på sid 9. 7(9)

Konsekvensbedömning för kategori Tillgänglighet på lång sikt Tillgänglighet på lång sikt innebär hur viktigt det är att informationen finns tillgänglig i framtiden ( långtidsförvaring ). För att underlätta bedömningen kan nedanstående frågor beaktas: a) Vad innebär det om information som är en vecka, en månad, ett år, tjugo år gammal inte går att göra tillgänglig igen? b) Förändras tillgänglighetskravet över olika återkommande perioder och över tid? Även här måste tidsaspekterna ovan hanteras t.ex. genom krav på IT-system, säkerhetskopiering, lagring osv. Svaren på frågorna ovan bedöms utifrån konsekvensnivåerna beskrivna på sid 4. 8(9)

Beskrivning av konsekvensnivåer kopplat till informationssäkerhetsklass Klass 3 (K3, R3, TL3 eller TK3) Konsekvensnivå Förödande eller mycket allvarlig skada Kan förslust av konfidentialitet leda till förödande eller mycket allvarlig skada, dvs, kan det a) innebära att SLU inte kan fullgöra en eller flera av sina primära uppgifter? b) resultera i omfattande skador på SLU:s tillgångar? c) resultera i stora ekonomiska förluster? d) det förorsaka allvarligt negativ påverkan på enskild individs rättigheter eller liv och hälsa? Om svaret är ja blir informationssäkerhetsklassen K3, gå vidare till riktighet och tillgänglighet. Om svaret är nej, gå vidare till nästa konsekvensnivå, dvs nästa lägre klass. Klass 2 (K2, R2, TL2 eller TK2) Konsekvensnivå Allvarlig skada Kan förslust av konfidentialitet leda till allvarlig skada, dvs kan det a) innebära att SLU:s primära uppgifter kan fullföljas, men att effektiviteten är allvarligt och påtagligt reducerad b) resultera i allvarliga skador på SLU:s tillgångar c) resultera i allvarliga ekonomiska förluster d) förorsaka allvarliga negativ påverkan på enskild individs rättigheter eller hälsa Om svaret är ja blir informationssäkerhetsklassen K2, gå vidare till riktighet och tillgänglighet. Om svaret är nej, gå vidare till nästa konsekvensnivå. Klass 1 (K1, R1, TL1 eller TK1) Konsekvensnivå Lindrig eller besvärande skada Kan förslust av konfidentialitet leda till lindrig eller besvärande skada, dvs kan det a) innebära att SLU:s primära uppgifter kan fullföljas, men att effektiviteten är påvisbart reducerad b) resultera i mindre skador på SLU:s tillgångar c) resultera i smärre ekonomiska förluster d) förorsaka begränsad negativ påverkan på enskild individs rättigheter eller hälsa Om svaret är ja blir informationssäkerhetsklassen K1, gå vidare till riktighet och tillgänglighet. Om svaret är nej, gå vidare till nästa konsekvensnivå. Klass 0 (K0, R0, TL0 eller TK0) Konsekvensnivå Ingen eller försumbar skada Kan förslust av konfidentialitet leda till ingen eller försumbar skada, dvs a) medför inte någon eller endast försumbar negativ påverkan b) informationen blir inte föremål för några särskilda skyddsåtgärder utifrån just denna specifika informationssäkerhetsaspekt Om svaret är ja blir informationssäkerhetsklassen K0, gå vidare till riktighet och tillgänglighet. 9(9)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss