Prosedyre for skjerming av informasjon

Like dokumenter
RETNINGSLINJE for klassifisering av informasjon

Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

IKT-reglement for Norges musikkhøgskole

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Databehandleravtale for NLF-medlemmer

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

Med forskningsbiobank forstås en samling humant biologisk materiale som anvendes eller skal anvendes til forskning.

Ketil Øyesvold Melhus Registrert Gestaltterapeut MNGF DOKUMENTASJON AV PERSONVERN

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Begrensninger i innsynsrett. DRI mars 2011 Jon Berge Holden

Personvern og offentlighet

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

SIKKERHETSINSTRUKS - Informasjonssikkerhet

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Taushetsplikt og skjerming av informasjon v/ Tone Gotheim, seniorrådgiver, juridisk avdeling, Statens jernbanetilsyn

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Videre følger det av offentleglova 3 at alle kan "krevje innsyn i saksdokument, journalar og liknande register til organet hos vedkommande organ.

Offentleglova. Lov om rett til innsyn i dokument i offentleg verksemd. Ikrafttredelse

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Vedlagt følger brev fra fylkesmannen i sak om innsyn i ordførers SMS-kommunikasjon vedr. sykehussaken.

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Cerpus AS - Learning-ID org.nr

RUTINE FOR INFORMASJONSSIKKERHET FOR PERSONOPPLYSNINGER I BRIS. Innhold. Rutine for informasjonssikkerhet for personopplysninger i BRIS

Databehandleravtale etter personopplysningsloven

Vedtak i klagesak som gjelder delvis avslag på forespørsel om innsyn Kommunal Rapport mot Sogn og Fjordane fylkeskommune

RHF og HF omfattes av sikkerhetsloven

Interne retningslinjer for håndtering av sensitiv informasjon

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Evaluering av offentleglova Har den virket etter hensikten? Kontaktseminar 2016

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Sikkerhetsmål og -strategi

Fylkesmannen opprettholder Moss kommunes vedtak om delvis avslag på krav om innsyn i dokumenter om bruk av nettsky

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON. [Virksomhetens navn] [Virksomhetens navn]

Taushetsplikt og konfidensialitet

Innsynsrett - Brukers rett til innsyn

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

heretter kalt Operatøren.

LOV OM RETT TIL INNSYN I DOKUMENT I OFFENTLEG VERKSEMD. En kort innføring i offentleglova av 19. mai 2006

Vedtak i klagesak - Ruter AS - oversikt over ansatte som tjener mer enn kr og stillingsbeskrivelser - Klage avslag innsyn

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

DATABEHANDLERAVTALE vedrørende nettjenesten

Loven gjelder for. All virksomhet i forvaltningen staten kommunene fylkeskommunene ++

FOR nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

Bane NOR SF Postboks HAMAR. Att.: Saksbehandler: Tone Gotheim, Vår ref.: 12/ Deres ref.: Dato:

Arkiv, offentlighet og personvern; er dette forenlig? IKA kontaktkonferanse Rogaland, Ove Skåra, informasjonsdirektør

Databehandleravtale. I henhold til personopplysinglovens 13, jf. 15 og personopplysningforskriftens kapittel 2 inngås følgende avtale.

Personvern - sjekkliste for databehandleravtale

Inhabilitet. Det er ikke noe suspekt i det å være inhabil galt blir det først dersom den inhabile deltar i saksbehandlingen

PROSEDYRE FOR HÅNDTERING AV VARSEL OM KRITIKKVERDIGE FORHOLD

Personopplysninger og opplæring i kriminalomsorgen

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Nye personvernregler

Innhold Rutine for informasjon om TryggEst til ansatte og innbyggere... 3 Informasjon om TryggEst til ansatte i relevante tjenester...

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Hattfjelldal Kommune. Informasjonsplan

Internkontroll i mindre virksomheter - introduksjon

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Sikkerhetskrav for systemer

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

Sikkerhetskrav for systemer

FYLKESMANNEN I OSLO OG AKERSHUS Juridisk avdeling

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Klage over avslag på krav om innsyn i SMS-korrespondanse - Bergen kommune Klager: BT v/anders Haga

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Sikkerhetsmål og sikkerhetsstrategi Internkontrollinstruks for Frischsenteret

Sikkerhetskrav for systemer

Innsyn og offentlighet

Risikoanalysemetodikk

Taushetsplikt og andre begrensinger i tilgang til personopplysninger. DRI mars 2014 Jon B. Holden

2.4 Bruk av datautstyr, databehandling

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Databehandleravtale. mellom. Kunden (behandlingsansvarlig) Devinco AS (databehandler)

PERSONVERNERKLÆRING. Innledning

Vedtak i klagesak - Oslo kommune - Sporveien - lønnsnivå - avslag på innsyn

Krav til informasjonssikkerhet

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Informasjonssikkerhet i Nordre Land kommune

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Ledelse og personvern. Forenklet sammendrag av de styrende dokumenter for personvern og informasjonssikkerhet ved Oslo universitetssykehus

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Offentlighetsloven og taushetsplikt

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

ANBUDSINNBYDELSE PERSONFORSIKRINGER AS Fjellinjen

Transkript:

Prosedyre for skjerming av informasjon FORMÅL: Forebyggende sikkerhet mot kriminelle handlinger. OPPFØLGINGSANSVAR: SB Prosjektledere og PG disiplinledere UTFØRES AV: Alle NÅR: Detaljprosjekt og byggefase. REFERANSER: VEDLEGG: Offentleglova (LOV_2006-05-19_nr.16), Klassifisering og Beskyttelse av Informasjon, (KOBI) Taushetserklæring RESULTAT: Sikre at sensitiv prosjektinformasjon ikke blir kjent for uvedkommende. Godkjent dato: Godkjent av: Per Willy Nysæter Side 1 av 9

Revisjonsoversikt Rev.nr Dato Endret av Revisjonsendring 1.0 Yvonne Bjerke Prosedyren er tilpasset detaljprosjekt og byggefase 2.0 08.10.14 Torstein B. Andersen Prosedyren er tilpasset detaljprosjekt og byggefase 2.1 29.01.15 Yvonne Bjerke Nytt id-nr og nytt prosjektnr. 3.0 23.05.2016 Tom Erik Strøm Lempet på krav til behandling av informasjonsklasse middels. Godkjent dato: Godkjent av: Per Willy Nysæter Side 2 av 9

Innholdsfortegnelse 1. Generelt... 4 1.1. Innledning... 4 1.2. Informasjonsverdi... 4 1.3. Offentleglova... 4 1.4. Sikkerhetsloven og Beskyttelsesinstruksen... 5 2. Verdivurdering... 6 2.1. Verdivurdering... 6 2.2. Inndeling i informasjonsklasser... 6 2.3. Behandling av de enkelte klassene... 7 3. Dokumentbehandling... 8 3.1. Informasjonsklasse Middels... 8 3.2. Informasjonsklasse Høy... 8 3.3. Ansvar for håndtering... 9 3.4. Prosjekthotell... 9 3.5. Taushetserklæring... 9 4. Destruksjon av informasjon... 9 5. Anskaffelser... 9 6. Henvisning... 9 Godkjent dato: Godkjent av: Per Willy Nysæter Side 3 av 9

1. Generelt 1.1. Innledning Nasjonalmuseet forvalter på vegne av samfunnet en stor og verdifull samling kunst, som omfatter mange av hovedverkene i norsk kunst. Å ta vare på denne arven for fremtidige generasjoner er viktig for å opprettholde nasjonens kulturelle identitet. Det overordnede målet for sikringsarbeidet ved Nasjonalmuseet er å forebygge straffbare forhold. Sikkerheten i og utenfor bygget skal være gjennomgående høy. Ledende teknologi skal tas i bruk, og kontinuerlig utvikling av menneskelige og organisatoriske sikringstiltak skal ha høy fokus også etter at bygget blir tatt i bruk. Selve bygningskroppen skal også være godt sikret. Denne prosedyren beskriver hvilken informasjon som er å anse som sensitiv, og hvordan denne informasjon skal håndteres i prosjektet. Dokumentet inngår som en del av de forebyggende sikkerhetstiltakene som skal beskytte det nye Nasjonalmuseet mot tilsiktede uønskede handlinger. Prosjektet velger å basere informasjonshåndteringen på koordineringsutvalget for informasjonssikkerhet (KIS) sin rapport om Klassifisering og beskyttelse av informasjon (KOBI) og Hjemmel for unntak fra offentligheten er Offentleglova 24.3. 1.2. Informasjonsverdi Alt uttak og distribusjon av eksisterende informasjon og utarbeidelse av nye dokumenter etter 1. oktober 2014 skal verdivurderes etter denne prosedyren (se kapittel 2.1). Med verdivurdering i denne sammenheng menes en vurdering av hvilke skadefølger det kan få dersom informasjonen kommer på avveie. 1.3. Offentleglova Generelt skal man ikke kunne unnta noe informasjon fra offentligheten med mindre dette er hjemlet i Offentleglova. Dette følger av Offentleglova 3, Hovedregel: «Saksdokument, journalar og liknande register for organet er opne for innsyn dersom ikkje anna følgjer av lov eller forskrift med heimel i lov. Alle kan krevje innsyn i saksdokument, journalar og liknande register til organet hos vedkommande organ. «Bestemmelsen vi bruker for å unnta et dokument for offentligheten er offentlighetsloven 24 tredje ledd første setning. Den lyder: Det kan gjerast unntak frå innsyn for opplysningar når unntak er påkravd fordi innsyn ville lette gjennomføringa av straffbare handlingar. Godkjent dato: Godkjent av: Per Willy Nysæter Side 4 av 9

Følgende momenter vektlegges ved vurderingen av om det er grunnlag for unntak fra offentlighet(verdivurdering): Det må dreie seg om opplysninger som kan være nyttige ved gjennomføringen av straffbare handlinger. Dette gjelder uavhengig av fag og detaljering. Unntaksregelen omfatter opplysninger om konkrete sikringstiltak. Som hovedregel vil ikke generelle og nøytrale opplysninger om f.eks. plantegninger, størrelse, rominndeling, byggematerialer osv. kunne unntas fra innsyn. 1.4. Sikkerhetsloven og Beskyttelsesinstruksen Prosjektet ligger utenfor Sikkerhetsloven. Beskyttelsesinstruksen kommer heller ikke til anvendelse i dette prosjektet. Godkjent dato: Godkjent av: Per Willy Nysæter Side 5 av 9

2. Verdivurdering 2.1. Verdivurdering Et forebyggende tiltak i forbindelse med håndtering av sensitiv informasjon i tilknytning til prosjektet er å gjøre en individuell vurdering av mulige konsekvenser ved at informasjonen blir distribuert en verdivurdering. Ansvaret for publisering av informasjon ligger hos den enkelte forfatter/ publikasjonsansvarlige og den som har tilgang til eller har lastet ned informasjonen. Det er gjort en overordnet oppdeling av informasjon som er åpen og informasjon som har behov for å unntas offentlighet i henhold til Offl. 24.3. Retningslinjer for håndtering av informasjon i henhold til Offl. 24.3 er gitt under kapitel 3. I hvert enkelt tilfelle skal det vurderes hva konsekvensen kan bli dersom informasjonen blir tilgjengelig for personer med kriminelle hensikter eller misbrukes på annen måte. 2.2. Inndeling i informasjonsklasser Informasjonen inndeles i tre (3) klasser og gis betegnelsene Lav Middels Høy, etter hvor strenge krav som stilles til konfidensialitet. Informasjonsklasse Lav Konfidensialitet Informasjon som ikke kan skade virksomheten, samarbeidspartnere, enkeltpersoner eller samfunnet dersom den kommer uautoriserte i hende. Informasjon som alle kan se og som kan gjøres tilgjengelig for anonyme brukere på for eksempel Internett. Middels Informasjon som er intern og kan være uheldig for eller skade virksomheten, samarbeidspartnere, enkeltpersoner eller samfunnet dersom den kommer uautoriserte i hende. Informasjon der tilgang er begrenset til virksomheten eller andre virksomheter har autorisert. Informasjon som er unntatt offentlighet etter Offentleglova skal minimum ha denne klassen. Høy Informasjon som kan gjøre omfattende skade for virksomheten, samarbeidspartnere, enkeltpersoner eller samfunnet dersom den kommer uautoriserte i hende. Tabell 1: Informasjonsklasser Godkjent dato: Godkjent av: Per Willy Nysæter Side 6 av 9

2.3. Behandling av de enkelte klassene Følgende regler legges til grunn for behandling av informasjon i de enkelte klassene. Informasjonsklasse Lav: Ingen krav i lov og forskrift til behandling, men informasjonen bør ikke aktivt publiseres. Informasjonsklasse Middels: Skal unntas offentlighet med hjemmel i Offentleglova 24, 3 ledd. Alle brukere som skal ha tilgang til disse dokumentene skal ha tilgang til prosjektets web-hotell (Joint). Informasjonsklasse Høy: Skal unntas offentlighet med hjemmel i Offentleglova 24, 3 ledd. Alle brukere som skal ha tilgang til disse dokumentene skal ha tilgang til eget skjermet område på prosjektets web-hotell (Joint). Behandling Produksjon og lagring av elektroniske dokumenter Informasjonsklasse Lav Middels Høy - Skal produseres og lagres på den enkelte virksomhets datautstyr. - Dokumentet skal gjøres utilgjengelig for uautoriserte personer. - Skal produseres på den enkelte virksomhets datautstyr. - Skal produseres og lagres på den enkelte virksomhets datautstyr. - Dokumentet skal gjøres utilgjengelig for uautoriserte personer, enten ved kryptering/ passordbeskyttelse av selve serveren eller ved adgangsstyring på mapper. Publisering og oversendelse av elektroniske dokumenter - Internt i virksomheten: Ingen - Mellom ulike virksomheter i prosjektet: Ingen - Ut av virksomheten: Ingen - Internt i virksomheten: Ingen - Mellom ulike virksomheter i prosjektet: Prosjektets web-hotell. - Ut av virksomheten: Prosjektets web-hotell. - Internt i virksomheten: Kryptert dokument oversendes som vedlegg på epost. Krypteringskoden sendes via en annen kanal, f. eks. tlf. eller sms, eller sende link til dokumentet. - Mellom ulike virksomheter i prosjektet: Kryptert dokument lastes opp på prosjektets web-hotell. - Ut av virksomheten og mellom ulike virksomheter i prosjektet: Kryptert dokument lastes opp på prosjektets web-hotell. Oppbevaring av fysiske dokumenter og elektroniske lagringsmedier (minnepinne, ekstern harddisk etc.) - Ingen - Ingen - Låst kontor eller nedlåst i eget skap. Godkjent dato: Godkjent av: Per Willy Nysæter Side 7 av 9

Transport av fysiske dokumenter eller elektroniske lagringsmedier (minnepinne, ekstern harddisk etc.) Oversendelse av fysiske dokumenter eller informasjon lagret på elektronisk medium (minnepinne, ekstern harddisk etc.) - Ingen - Ingen - Ha kontroll på dokument/mediet til enhver tid. - Ingen - Ingen - Lukket nøytral konvolutt som sendes rekommandert eller med bud. Merking av dokument - Ingen - Unntatt offentlighet i henhold til Offl. 24.3 Tabell 2: Behandling av de enkelte klassene - Unntatt offentlighet i henhold til Offl. 24.3 3. Dokumentbehandling Alle dokumenter i prosjektet er i utgangspunktet å betrakte som åpne, dvs. at de havner i klassifiseringsgruppen "Lav". Det er imidlertid identifisert noen dokumenter og annen elektronisk informasjon som trenger beskyttelse når det gjelder konfidensialitet. Oversikten nedenfor gir informasjon om dokumenter som kan inneholde informasjon med behov for beskyttelse. Uavhengig av dette, skal informasjon om Sentralt Hovedkommunikasjonsrom (SHKR) og Vaktsentral anonymiseres i dokumenter som håndteres i henhold til informasjonsklassene Lav og Middels. Det kan i tillegg til disse være dokumenter eller deler av dokumenter hvor innholdet er av en slik art at plassering i informasjonsklasse Middels eller Høy bør vurderes. Det er viktig å gjennomføre en verdivurdering av det enkelte dokuments innhold og fokusere på hvilken informasjon som skal beskyttes. 3.1. Informasjonsklasse Middels Helhetlig informasjon om byggets sikringstiltak. Når det gjelder de elektroniske sikringstiltakene forutsettes prekvalifisering i entreprise K501. As-built-dokumentasjon(FDV), fysisk og elektronisk sikring. Brann Beredskapsplan. 3.2. Informasjonsklasse Høy Sikkerhetsplan med vedleggtegninger. Godkjent dato: Godkjent av: Per Willy Nysæter Side 8 av 9

3.3. Ansvar for håndtering Det er den enkelte medarbeider sitt ansvar å sørge for etterlevelse av reglene i dette dokumentet. Hver enkelt disiplinleder er ansvarlig for at rutinen er kjent hos alle medarbeiderne. 3.4. Prosjekthotell Joint prosjekthotell benyttes i prosjektet. Egne grupper opprettes i prosjekthotellet for informasjonsklasse "Høy". Tilgang til gruppen administreres av Statsbygg og skal være basert på det tjenstlige behovet for tilgang som de ulike prosjektdeltagerne har. 3.5. Taushetserklæring Taushetserklæring gjelder i hovedsak kontraktspartnere og tredjepart når informasjon i prosjektet har et skjermingsbehov og det er et tjenstlig behov for kjennskap. Taushetserklæring kreves kun signert for tilgang til informasjonsklasse "Høy". Den enkelte skriver under på en taushetserklæring og er kjent med hvordan denne informasjonen skal genereres, lagres (fysisk og elektronisk), kommuniseres, distribueres, oppdateres osv., og til slutt destrueres (fysisk og elektronisk). Det vil kun være de med tjenstlig behov som får tilgang til informasjonen ved å signere en taushetserklæring, de igjen har et ansvar for å gjøre tilsvarende overfor sine underleverandører. Mal til taushetserklæring (vedlegg 1 til denne prosedyren) skal gjøres kjent for den/de det måtte gjelde, den skal signeres. 4. Destruksjon av informasjon Informasjon som har et behov for å unntas offentligheten skal makuleres når informasjonen ikke lenger er gyldig (nye versjoner er opprettet). Skriftlige dokumenter skal makuleres i makuleringsmaskiner før det forlater prosjektkontoret /virksomhetens kontor. 5. Anskaffelser Dokumenter som skal sendes til entreprenører skal verdivurderes før utsendelse. Dersom dokumentene er klassifisert til "Høy", skal prosjektet vurdere om entreprenørene skal prekvalifiseres før de får tilsendt underlaget. 6. Henvisning 1. PNN-GEN-PR-0004 Vedlegg 1 Taushetserklæring Godkjent dato: Godkjent av: Per Willy Nysæter Side 9 av 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding