Lär känna din information

För varje informationstillgång ska det finnas en informationsägare. Informationsägaren har ansvar för informationstillgångens konfidentialitet, tillgänglighet och riktighet. Informationsägaren kan vara en forskningsledare eller en prefekt eller chef över ett område.

Varje informationstillgång ska hanteras med rätt skydd, oavsett om den hanteras inom ramen för forskning, studier eller gemensam förvaltning. Det innebär att du som informationsägare måste säkerställa att informationen du ansvarar över är dokumenterad och hanteras på rätt sätt. Lär känna din information för att hitta rätt nivå av skydd.

Vad är en informationstillgång?

Informationstillgångar är allt som innehåller information, till exempel information i informationsbehandlande system, programvara, fysiska tillgångar och hårdvara, tjänster, människor och immateriella tillgångar.

När ett nytt projekt startar

Vid uppstart av ett projekt handlar det om att informationsklassa information, välja rätt lagringsplats och identifiera säkerhetsåtgärder för att skydda din information. 

Vid varje uppstart av ett nytt projekt bör du som informationsägare:

  • Genomföra en informationsklassning som beskriver information som kommer behandlas och vilka skyddsnivåer som gäller för den. Informationsklassningen är ett bra underlag inför val av IT-tjänst, upphandling av ny IT-tjänst eller inför att ta fram säkerhetsrutiner. På sidan Informationsklassning i inloggat läge finns även en anpassad mall för forskningsprojekt med fördefinierade klassningsvärden.
  • Välja lagringsplats baserat på skyddsbehov 
  • Genomföra en risk- och sårbarhetsanalys (RSA) som beskriver vilka sårbarheter, hot och risker som finns med en informationsbehandling till exempel vid elektronisk eller fysisk hantering. En riskanalys ska alltid göras för att bedöma om en ny IT-tjänst kan tas i bruk.

Hitta rätt nivå av skydd

Skyddet ska vara anpassat så att det inte blir för komplicerat och inte för dyrt. Målet är rätt skydd snarare än att alltid ha högsta möjliga skydd. Om informationen inte är hemlig är det till exempel onödigt med dyra lösningar eller krångliga rutiner för att skydda informationen från att läcka. Det finns tre aspekter att ta hänsyn till i arbetet med informationssäkerhet:

  • konfidentialitet – att endast behöriga har tillgång till information
  • riktighet – att information är korrekt och oförstörd
  • tillgänglighet – att information finns när vi behöver den

Du som är informationsägare bedömer den aktuella informationen utifrån dessa tre aspekter och anpassar skyddet därefter.

Ett exempel är universitetets utrymningsplaner, som innehåller information med höga krav på tillgänglighet och riktighet men som inte alls är konfidentiell.

När behöver vi göra en informationsklassning? 

Informationsklassning bör ligga till grund för val av lämpliga skyddsåtgärder vid dessa tillfällen:

  • Inför personuppgiftsbehandlingar.
  • Bedömning av hur forskningsmaterial/data ska hanteras och därmed skyddas.
  • Nulägesbedömning och/eller riskanalys av ett informationssystem.
  • Anskaffning, nyutveckling eller förändring av IT system eller infrastruktur, t.ex. datalagringstjänster.
  • Fastställande av säkerhetsdesign av ett informationssystem.
  • Förändringar av rättsliga krav.
  • Nytillkommen information i verksamheten.
  • Fastställande av hanteringsregler av information, t.ex. med avseende på krav på kryptering av e-post, regler för kommunikation via mobiltelefon, etc.

 

2023-11-28