Hopp til hovedinnhold

Klassifisering av informasjon

Det er viktig å tenke gjennom hva slags type informasjon du jobber med. Dette vil hjelpe deg til å si noe om hvor godt informasjonen må sikres.

Publisert: Endret:

Oversikten nedenfor vil hjelpe deg til å si noe om hvilken klasse informasjon du jobber med og hvilke overordnede krav som stilles til denne type informasjon. Lagring av informasjon viser hvor vi kan lagre informasjon i de ulike informasjonsklassene på UiS.

Dersom du jobber med røde/fortrolige informasjon er det strengere krav til sikring enn for gule/interne informasjon. Det kan derfor være lurt å finne ut om det er behov for at all informasjonen må sikres på samme måte, eller om noe trenger mindre sikring. Det kan forenkle arbeidshverdagen din.

All informasjon skal ha en entydig og identifiserbar eier. Det skal være mulig å finne ut hvem som er ansvarlig for at informasjonen er vedlikeholdt, oppdatert og riktig merket. Eier av informasjonen er ansvarlig for de vurderinger som ligger til grunn for plasseringen i en gitt kategori. Der det ikke kan identifiseres en eier, er linjeleder ansvarlig for informasjonen.

  • sikre at informasjonen er plassert i riktig klasse ut ifra dette dokumentet.
  • gjøre en vurdering når informasjonen bytter klasse.
  • påse at all lagring, behandling og bearbeiding av informasjon foregår på tekniske løsninger som er godkjent for dette - se egen lagringsguide.
  • regelmessig sjekke at man oppfyller eventuelle endringer i kravene.

Informasjonen skal alltid plasseres i en tilstrekkelig sikker klasse. Dersom du er i tvil om du skal velge f.eks. rød eller gul, skal du velge rød.

Informasjonsklasser

Informasjon som kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter.

Det aller meste av informasjonen universitetet forvalter er åpen, enten som konsekvens av mål og hensikt med universitetets virksomhet eller som resultat av pålegg om åpenhet i lov, forskrift og annet regelverk som regulerer offentlig forvaltning og virksomhet.

Denne klassen benyttes dersom det ikke forårsaker noen skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.

Eksempler på slik informasjon er

  • en web-side som presenterer en avdeling, et kurs eller en enhet som legges åpent ut på internett
  • studiemateriell som ligger åpent, men som er merket med en gitt lisens og/eller opphavsrett
  • forskningsdata som ikke trenger noen beskyttelse (forskeren står ansvarlig for denne vurderingen)
  • undervisningsmateriell som ikke trenger noen beskyttelse (underviseren står ansvarlig for denne vurderingen)

Merk at selv om noe av denne informasjonen skal være tilgjengelig for alle, skal likevel informasjonens integritet sikres ved at kun personer og brukere med riktige rettigheter har tilgang til å endre informasjonen. Merk også at selv om informasjonen kan være åpen, er det ikke fritt frem å velge hva du gjør med den.

Dette er i utgangspunktet informasjon som ikke er åpen for alle. I lover eller annet regelverk er det ingen krav om at informasjonen skal være åpen. Dette er altså all informasjon som ikke er klassifisert som åpen, fortrolig, eller strengt fortrolig.

Informasjonen må ha en viss beskyttelse og kan være tilgjengelig for både eksterne og interne, med kontrollerte tilgangsrettigheter. Denne klassen benyttes dersom det vil kunne forårsake en viss skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. Informasjonen har kun relevans for eller er innrettet mot en begrenset brukergruppe enten ved universitetet eller ved institusjoner og organisasjoner universitetet har samarbeid med.

Eksempler på slik informasjon kan være:

  • enkelte arbeidsdokumenter
  • informasjon som er unntatt offentlighet
  • mange typer av personopplysninger
  • karakterer
  • studentarbeider
  • eksamensbesvarelser
  • upubliserte forskningsdata og -arbeider

Dette er informasjon som universitetet er pålagt å begrense tilgangen til i lov, forskrift, avtaler, reglementer og annet regelverk. Dette tilsvarer graden fortrolig i den offentlige Beskyttelsesinstruksen. «Fortrolig» benyttes hvis det vil forårsake skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.

Eksempler på slik informasjon kan være

Denne kategorien omfatter samme type informasjon som Fortrolig (rød), men der spesielle hensyn gjør at man ønsker å beskytte dataene ytterligere. Pålegg om beskyttelse og sikring utover de lovbestemte skal være nedfelt i avtaler eller skriftlig dokumentert på annen måte.

Dette tilsvarer graden strengt fortrolig i den offentlige Beskyttelsesinstruksen. «Strengt fortrolig» benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende.

Plassering av data og informasjon i denne kategorien gjøres i samarbeid med UiS-IT.

Eksempler på slik informasjon er

  • store mengder sensitive personopplysninger
  • store mengder helseopplysninger
  • forskningsdata og datasett av stor økonomisk verdi
  • registerdata fra SSB med personinformasjon

Revidert: 14. april 2021

Informasjonsverdi, eller bare verdi i en informasjonssikkerhets sammenheng, er et samlebegrep. Begrepet inkluderer både informasjon og tilhørende støtteverdier som IKT-system, digitale tjenester, datautstyr av ulike varianter mv. Støtteverdiene er «noe» som benyttes i behandlingen av informasjonen.