Konfidentialitet – krav på hantering Under omarbetning

Bilaga 3. Anvisningar

3.14 Kontinuitetsplanering

3.15.1 Konfidentialitet – krav på hantering Under omarbetning

Informationsklass Konfidentialitet Krav Skyddsåtgärd

Definition av allvarlig skada:

d) orsakar en allvarlig begränsning i KI:s för-måga att lösa sina verksamhetsuppgifter i en utsträckning och varaktighet som innebär att verksamheten inte kan fullgöra en eller flera av sina primära uppgifter;

e) resulterar i omfattande skador på verksam-hetens eller annans parts tillgångar;

f) resulterar i stora ekonomiska förluster för KI eller annan part, eller

d) förorsakar allvarligt negativ påverkan på enskild individs rättigheter eller liv och hälsa.

Informationstillgång som innehåller känslig information som om den kommer i orätta händer kan medföra allvarlig skada.

Generellt tillämpligt för:

1. Informationstillgång som är eller kan bli föremål för sekretess enligt offentlighets- och sekretesslagen (t.ex. uppgifter om enskildas sjukdomar och missbruk, pågående ärende om avskiljande av studerande från högskole-utbildning).

2. Informationstillgång som kan bli föremål för tillämpningskrav enligt särskild lagstiftning (t.ex. patientdata, sjukdomsuppgifter tillsammans med pers.nr.).

3. Informationstillgång som utgör den egna eller annan verksamhets företagshemligheter (t.ex.

forskningsrådata som härrör till enskild individ, ej offentliggjord forskningsdata, lösenord, IT-säkerhetsinställningar).

4. Informationstillgång som inte utgör allmän handling och vilken kan innehålla för enskild individ eller enskilt företag/verksamhet känslig information (t.ex. forskningsinformation från personer i brottsregistret).

5. Information om djurförsök med avsevärd svårighetsgrad för djuren.

6. Information som identifierar personer som handhar djur som ingår i djurförsök.

7. Information om fysisk förvaring av djurför-söksdjur (t.ex. byggnadsritningar, information om transport av djur).

Skapa:

Ange informationsklassen ”K4” i sidhu-vudet eller på därför avsett ställe

Förvara:

Inlåst i säkerhetsskåp om det är pappers-dokument. Utskrifter ska hållas under omedelbar uppsikt. Ej tillåtet att förvara utanför ordinarie arbetsplats. Förvaring på hårddisk/PC/smart phone o dyl kräver behörighetskontroll och stark kryptering.

Lagring på CD/USB/annan bärbar media inte tillåten.

Samtala:

Inte tillåtet via telefon vare sig internt eller externt.

Distribuera:

Får under inga omständigheter spridas internt/externt utan speciella skydds-åtgärder. Om informationen skickas ex-ternt ska endast godkända budfirmor användas, och mottagandet kvitteras av behörig person. Digital överföring endast via krypterad förbindelse. Överföring via fax är ej tillåtet.

E-posta:

Internt: måste krypteras. Verifiera motta-garen.

Externt: ej tillåtet.

Extern avtalspartner: endast via krypterad förbindelse, verifiera mottagaren.

Kasta:

Pappersutskrifter makuleras i papperstugg.

Digital information skrivs över med hjälp av speciellt program.

Begränsad och behovsstyrd åtkomst med stark autentisering.

Karolinska Institutet - Riktlinjer och regler för informationssäkerhet 22 (28) Informationsklass: K1R2T1

Version 2.0 2013-10-01

Definition av betydande skada:

d) orsakar en signifikant minskning i förmågan att lösa KI:s verksamhetsuppgifter i en ut-sträckning och varaktighet innebärande att effektiviteten i att fullgöra verksamhetens primära uppgifter är påtagligt reducerad;

e) resulterar i betydande skador på verksamhet-ens eller annan parts tillgångar;

f) resulterar i betydande ekonomiska förluster för KI eller annan part, eller

d) förorsakar betydande negativ påverkan på enskild individs rättigheter eller hälsa.

Informationstillgång som innehåller känslig information som om den kommer i orätta händer kan medföra betydande skada.

Generellt tillämpligt för:

1. Information som, innan utlämning, alltid ska föregås av en sekretessprövning (t.ex. sjukdoms-diagnoser på avlidna personer som identifieras via löpnummer, arbetsdokument från andra myndig-heter).

2. Personuppgifter i allmänhet eller som enligt PuL är att betrakta som känsliga (t.ex. där sjukdomsuppgifter framgår men identifiering sker via löpnummer och inte pers.nr, enskilda student-ärenden rörande personliga problem).

3. Uppgifter av intern karaktär vilka, utan andra restriktioner, endast egen personal bör ha tillgång till (t.ex. metodbeskrivningar avseende forskning, information som identifierar manipulation av rådata dvs. forskningsfusk, information om känsliga möten såsom rekryte-ringar och donatorer, arbets-dokument och minne-santeckningar innehållande känsliga uppgifter).

Skapa:

Ange informationsklassen ”K3” i sid-huvudet eller på därför avsett ställe.

Förvara:

På ordinarie arbetsplats i sluten förvaring som skyddar mot stöld. Om den förvaras i bostad/tillfällig arbetsplats skall informa-tionen vara under omedelbar uppsikt, annars inlåst.

Under resa ska informationen förvaras i låst handbagage. Bör låsas in i hotellets kassafack om så är möjligt.

Förvaring på hårddisk/PC kräver behörig-hetskontroll. Vid lagring på

CD/USB/annan bärbar media krävs stark kryptering.

Samtala:

Tillåtet via telefon internt inom KI. Ej tillåtet via telefon externt.

Distribuera:

Till behörig personal inom KI. Om in-formationen skickas via internpost: förslu-ten påse. Om informationen skickas ex-ternt ska endast godkända budfirmor användas, och mottagandet kvitteras av behörig person.

Fax: Mottagaren rings upp och mottag-ningen bevakas. Stark kryptering ska användas för digital överföring som ej sker via krypterad förbindelse.

E-posta:

Internt: kryptering rekommenderas. Veri-fiera mottagaren.

Externt: ej tillåtet.

Extern avtalspart: Skall krypteras och mottagaren verifieras.

Kasta:

Pappersutskrifter kastas i slutna behållare.

Innehållet bränns eller förstörs på annat sätt. Digital information kastas i ”pappers-korgen” på datorskrivbordet, och ”pap-perskorgen” töms direkt därefter.

Begränsad och behovsstyrd åtkomst.

2 Informationstillgång som innehåller känslig Skapa: Behörighetskontroll krävs för åtkomst.

Informationsklass: K1R2T1

Version 2.0

Definition av måttlig skada

a) orsakar en signifikant minskning i förmågan att lösa KI:s verksamhetsuppgifter i en ut-sträckning och varaktighet innebärande att effektiviteten i att fullgöra verksamhetens primära uppgifter är påvisbart reducerad;

b) resulterar i mindre skador på verksamhetens eller annan parts tillgångar;

c) resultera i smärre ekonomiska förluster för KI eller annan part, eller

d) förorsakar begränsad negativ påverkan på enskild individs rättigheter eller hälsa.

information som om den kommer i orätta händer kan medföra måttlig skada.

Generellt tillämpligt för:

1. Information erhållen från andra parter (t.ex.

jobbansökningar).

2. Avidentifierad patientdata, rådata från kliniska försök (ej spårbara till individ) och källkod.

3. Informationstillgång som inte utgör allmän handling och vilken endast innehåller generell information (t.ex. arbetsmaterial som inte innehål-ler någon känslig information elinnehål-ler i övrigt någon information som kan härledas till enskilt företag, produkt eller individ).

4. Information som styrs av verksamhetsspecifik lagstiftning.

5. Uppgifter av intern karaktär vilka, utan andra restriktioner, endast egen personal bör ha tillgång till (t.ex. forskningsplaner, strate-gisk plan för verksamheten, styrande dokument, utvärderingar och omdömen om personal och studenter, personalmeddelanden och kommunikat-ionsplaner).

6. Information om vilka djurslag som KI bedriver djurförsök på.

Ange informationsklassen ”K2” i sidhuvu-det eller på därför avsett ställe.

Förvara:

Inga restriktioner om informationen förva-ras på ordinarie arbetsplats. Om informat-ionen förvaras i bostad/tillfällig arbetsplats skall den vara under uppsikt, annars inlåst.

Om informationen hanteras på resa skall den förvaras i handbagage eller resväska.

Samtala:

Tillåtet via telefon internt KI och externt till behörig part.

Distribuera:

Får distribueras internt inom KI.

E-posta:

Internt: inga restriktioner.

Externt: ska krypteras.

Extern avtalspart: bör krypteras.

Kasta:

Pappersutskrifter kastas i slutna behållare.

Innehållet bränns eller förstörs på annat sätt.

Digital information kastas i ”pappers-korgen” på datorskrivbordet.

Ingen/Försumbar

Informationstillgång som endast innehåller in-formation som är offentlig allmän uppgift eller information som om den kommer obehöriga till del medför ingen skada.

Information som är avsedd för eller kan spridas till en obestämd krets mottagare utan risk för negativa konsekvenser.

Generellt tillämpligt för exempelvis:

1. Färdigställda interna riktlinjer, processbeskriv-ningar, instruktioner, kursmaterial och resultat från tentamina, manualer och arbetsordningar etc.

som inte innehåller uppgifter vilka kan bli föremål för sekretess enligt lagen om offentlighet och sekretess.

2. Färdigställda och redan publicerade forsknings-rapporter, publika presentationer, externa nyhets-brev och övrigt kommunikationsmaterial.

3. Metadata.

Inga restriktioner för information i vare sig pappers- eller digital form.

Distribuera:

Inga restriktioner i vare sig pappers- eller digital form.

Karolinska Institutet - Riktlinjer och regler för informationssäkerhet 24 (28) Informationsklass: K1R2T1

Version 2.0 2013-10-01

4. Beviljande anslagsansökningar, etiktillstånd och därtill hörande forskningsansökningar.

5. Personuppgifter rörande anställda och anknutna personer.

6. Information om ekonomi, utrustning, teknik, kemikalier etc. som används inom KI.

Informationsklass: K1R2T1

Version 2.0

In document Bilaga 3 - Anvisningar Regler för informationssäkerhet vid Karolinska Institutet (Page 23-27)