MENY

Forvaltning og klassifikasjon av informasjon og eiendeler

Forvaltning av informasjon med personopplysninger skal inkludere protokoll over behandlingsaktiviteter og holdes løpende oppdatert. (POLF Artikkel 30)

Forvaltningen av informasjon skal også inkludere (ikke avgrenset til); informasjonens art (personopplysninger, sensitive personopplysninger, annen informasjon med betydning for personvern og informasjonssikkerhet), systemeier, hjemmel for behandlingen, hvor informasjonen lagres og hvordan den sikres.

  • Alle behandlingsprosesser skal ha en entydig eier.
  • Alle informasjonsaktiva skal ha entydig eierskap.
  • Retningslinjer for akseptabel lagring av informasjon er angitt i egen retningslinje/policy.
  • Ansatte og tredjeparts brukere skal tilbakelevere virksomhetens eiendeler ved avslutning av arbeidsforholdet. Dette er regulert i egen retningslinje (Forvaltning av IKT-utstyr ved UiS)

Klassifikasjon av informasjon

Klasse

Hvem har tilgang / type data

Merknader

Åpen / Grønn

Informasjon kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter.

Eksempler på slik informasjon er en web-side som presenterer en avdeling eller enhet som legges åpent ut på internett

Skal ikke kreve innlogging eller annen form for identifikasjon, autentisering og autorisering.

Integritet er fortsatt like viktig. Kun personer med rett tilgang kan endre dataene.

Intern / Gul

Data som er beregnet kun for UIS-ansatte, studenter ved UiS eller navngitte enkeltpersoner eller grupper ved institusjoner UiS samarbeider med.

Eksempler på slik informasjon er enkelte arbeidsdokumenter, informasjon som er unntatt offentlighet, enkelte personopplysninger, karakterer, studentarbeider, eksamensbesvarelser, upubliserte forskningsdata og -arbeider.

Tilgang skjer etter innlogging med brukernavn og passord.

Fortrolig / Rød

Dette er informasjon som universitetet er pålagt å begrense tilgangen til i lov, forskrift, avtaler, reglementer og annet regelverk. «Fortrolig» benyttes hvis det vil forårsake skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner om informasjonen blir kjent for uvedkommende.

Eksempler på slik informasjon er enkelte strategidokumenter, sensitive personopplysninger, helseopplysninger, informasjon om sikring av bygninger og IT-systemer, eksamensoppgaver før de er gitt, enkelte typer forskningsdata og -arbeider

Tilgang skjer etter innlogging med brukernavn og passord.

To-faktor autentisering ved bruk av skyløsning.

Bærbare enheter: PC, Mac, USB-pinner og -disker må krypteres.

Dokumenter som skylagres må merkes med etiketter (labels)

Strengt fortrolig / Svart

Strengt fortrolig benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. Informasjonen skal ha de strengeste tilgangsrettigheter.

Eksempler på slik informasjon er store mengder sensitive personopplysninger, store mengder helseopplysninger eller forskningsdata og datasett av stor økonomisk verdi.

Plassering av data og informasjon i denne kategorien gjøres i samarbeid med UiS jurister og IT-sikkerhetsteam.

Dokumentasjon

UiS skal dokumentere informasjonssikkerhets- og personvernarbeidet i henhold til føringene i denne håndboken og i tråd med god praksis for arbeid med informasjonssikkerhet i UH-sektoren. Universitetsdirektøren legger frem endringer i policy og håndbok for styret. Øvrig dokumentasjon forvaltes av universitetsdirektøren.