Datamigreringsprosjektet

Foto: Mostphotos

Om klassifisering

Både felles og personlig informasjon skal klassifiseres etter beste evne

All klassifisering skal skje i tråd med Retningslinje for klassifisering av informasjon.

Utdrag fra retningslinjen:

  • All informasjon skal ha en entydig og identifiserbar eier
  • Det skal være mulig å finne ut hvem som er ansvarlig for at informasjonen er vedlikehold, oppdatert og riktig merket med tilhørende klassifiseringsklasse
  • Informasjonseier skal være en organisatorisk enhet, rolle eller arbeidsprosess
  • Eier av informasjonen er ansvarlig for vurderingen som ligger til grunn for plasseringen i den aktuelle klassifiseringsklassen [...]

Noen av fellesdiskene er fra tiden før fusjonene. Dagens enheter kan oppleve at det er uklart hvem som er de rette eierne. Da skal den lokale prosjektgruppen undersøke om det er eksisterende enheter, roller eller prosesser som kan ta eierskap over den aktuelle informasjonen. Dersom ingen tar eierskap, skal dataene slettes.

Sektoren har behandlet spørsmålet om teknisk sikkerhet i M365-plattformen, i 2018. Uninett-rapporten Office 365 - God praksis for klassifisering og lagring av fortrolig informasjon kan leses på nett. Flere av utfordringene som ble påpekt i 2018, gjelder også i dag. Det vil si at det gjenstår litt arbeid før vi kan si at det er enkelt å klassifisere alle filtyper.

Ofte stilte spørsmål om klassifisering

Skal all informasjon klassifiseres?

Ja, det er slik det står i Retningslinje for klassifisering av informasjon ved UiT. Vi innser at dette er en tung bestilling, så derfor anbefaler vi at man starter med de viktigste områdene først, eksempelvis data som inneholder personopplysninger, virksomhetskritiske data, økonomiske og juridiske sensitive data osv. Alle som skal klassifisere bør bruke nettsiden uit.no/om/informasjonssikkerhet aktivt i sitt arbeid.

Det er identfisert en del filtyper innenfor forskningsfeltet som ikke lar seg klassfisere. Hvis dere opplever at filer ikke lar seg klassifisere, eller at de endrer seg når de klassifiseres, så fjerner dere klassifiseringen og iverksetter andre tiltak. Dette kan være streng tilgangsstyring, skjerming av informasjon og tydelig/entydig navngiving av områder, mapper og filer.

Det ser ut som at vi har 90% grønne og gule data i våre mapper, kan det stemme?

Dette er helt vanlig. Hva slags klassifiseringsnivå dere ender opp med påvirkes ofte av hva slags virksomhetsområde dere jobber innenfor. Kanskje dere lager mye som er ment å deles ut eller publiseres? Veldig mange prosjekt- og arbeidsdokumenter vil ofte kunne deles fritt internt, samtidig som det ikke ville være naturlig å publisere de åpent.

Se til eksemplene i Retningslinje for klassifisering av informasjon dersom dere er i tvil.

Når i flytteprosessen er det enklest å klassifisere? Rydd, sorter, slett (det som ikke skal tas vare på) og til slutt, klassifiser. Klassifiseringsverktøyet dere skal bruke fungerer best når dere jobber med filer og mapper som ligger på personlige hjemmeområder (H:\) eller fellesdisker, via Windows Filutforsker. Når der skal flytte data, så velg kopier. På denne måten har dere en ekstra sikkerhet dersom prosessen skulle gå galt.
Jeg har allerede kopiert over masse data til OneDrive og Teams - hvordan kan jeg bulk-klassifisere tingene mine? Siden det er enklest å klassifisere filer og mapper via Windows Filutforsker, så kan du synkronisere kanaler eller mapper til datamaskinen, klassifiser dataene, og avslutte synkroniseringen når alt er kopiert over. Bruk OneDrive-appen for å administrere hvilke mapper/kanaler som er synkronisert.
Finnes det mye røde og sorte data ved UiT?

Fra Uninetts rapport om Office 365 - God praksis for klassifisering og lagring av fortrolig informasjon kan vi lese at "Erfaringstall fra andre bransjer tilsier at ca. 5 % av informasjonen som behandles kan ansees å falle under klassifisering fortrolig eller strengere."

Ansatte som er ansvarlige for fortrolige og strengt fortrolige data bør være veldig proaktive med tanke på å skaffe seg opplæring og informasjon. Svært fortrolige administrative data er lagt i arkivsystemet, og svært fortrolige helseforskningsdata er plassert i egne spesialdesignede, lukkede systemer.

Kan jeg klassifisere PDF'er til rødt nivå og jobbe med dem? Adobe Reader trenger et lite programtillegg kalt MIP for at dette skal fungere. MIP for Acrobat Reader er kjørt ut til alle maskiner som en tvungen oppdatering og er installert på 95,5% av alle UiT maskiner. Sjekk at maskinen din har alle de siste oppdateringene før du evt. sender melding om feil.