Klassifisering av filer og informasjon - Kunnskapsbasen
Klassifisering av filer og informasjon
Denne siden inneholder informasjon om hvordan du kan klassifisere filer og informasjon etter krav til konfidensialitet, gjennom bruk av følsomhetsetiketter i Word, Excel, PowerPoint og Outlook.
English version - Classification of files and documents
Temaside om Informasjonssikkerhet | Sider merket med klassifisering
Innholdsfortegnelse [-]
Informasjonsklassifisering
All informasjon som behandles ved NTNU skal klassifiseres etter krav til konfidensialitet, slik at man vet hvor og hvordan informasjonen kan behandles. Du finner mer informasjon om informasjonsklassifisering i Retningslinjen for klassifisering av informasjonsverdier
Følgende klasser er definert:
Følsomhetsetiketter i Word, PowerPoint, Excel og Outlook
I Microsoft 365 er det mulig å synliggjøre hvilken klassifisering filer og dokumenter har, gjennom bruk av "følsomhetsetiketter" som merker dokumentene og som kan utløse tekniske tiltak som kryptering. Vi benytter Azure Information Protection (AIP) for å aktivere denne funksjonen. Når AIP er installert, finner du igjen klassene som følsomhetsetiketter i skrivebordsversjonen av Microsoft 365.
Privat
Eventuelle private dokumenter kan merkes med etiketten Privat.
Åpen
Denne etiketten brukes på informasjon som kan være tilgjengelig for alle, uten særskilte tilgangsrettigheter.
Eksempler på slik informasjon kan være websider, kursoversikter eller trykt materiell som deles ut fritt tilgjengelig.
Intern
Informasjon som må ha en viss beskyttelse og hvor tilgjengelighet skal begrenses til utvalgte interne og/eller eksterne brukere, med kontrollerte tilgangsrettigheter, kan klassifiseres som Intern. Benyttes dersom det vil kunne forårsake en viss skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.
Eksempler på slik informasjon er enkelte arbeidsdokumenter, informasjon som er unntatt offentlighet, personopplysninger, karakterer, store studentarbeider, eksamensbesvarelser, forskningsdata og -arbeider.
- Intern informasjon må kategoriseres i en av tre underkategorier. Ved bruk av kategori Intern informasjon blir det ikke satt tekniske begrensninger på dokumentet. Det betyr at alle som har tilgang til området filen er lagret på, vil ha tilgang til dokumentet.
- Ved bruk av kategoriene Fødselsnummer eller Beskyttet informasjon blir dokumentet kryptert og får tilgangskontroll med logg. Kategorien Fødselsnummer brukes på dokumenter som inneholder fødselsnummer. Kategorien Beskyttet informasjon kan brukes dersom man ønsker kryptering og tilgangskontroll, uten at innholdet inneholder fødselsnummer eller kan klassifiseres som fortrolig.
- Kategorien Intern informasjon – Arkiv brukes utelukkende for å fjerne kryptering før et dokument skal arkiveres i ePhorte.
Fortrolig
Dokumenter som inneholder fortrolig informasjon skal klassifiseres ved bruk av etiketten Fortrolig. Dette omfatter informasjon som krever streng tilgangsstyring. Benyttes dersom det vil kunne forårsake skade for offentlige interesser, institusjonen, enkeltpersoner eller samarbeidspartnere hvis informasjonen blir kjent for uvedkommende.
Eksempler på slik informasjon er enkelte strategidokumenter, særlige kategorier av personopplysninger (tidligere kalt "sensitive personopplysninger"), helseopplysninger, eksamensoppgaver før de er gitt, enkelte typer forskningsdata og -arbeider.
Når etiketten Fortrolig brukes, settes det flere tekniske begrensninger på dokumentet:
- Dokumentet blir kryptert og får tilgangskontroll med logg.
- Det blir ikke mulig å skrive ut eller ta skjermbilde av dokumentet.
- Kategorien Fortrolig informasjon – Arkiv brukes utelukkende for å fjerne kryptering før et dokument skal arkiveres i ePhorte.
Merk at det foreløpig ikke er mulig å åpne dokumenter med tilgangskontroll i Microsoft 365 Online (nettleser-versjon).
Strengt fortrolig
Etiketten Strengt fortrolig skal ikke brukes. Dokumenter med informasjon i denne klassen må behandles i løsninger som er godkjent for dette.
Sette rettigheter
I Word, Excel og PowerPoint
Ved bruk av etiketten Fortrolig og ved bruk av kategoriene Fødselsnummer eller Beskyttet informasjon under etiketten Intern, må du sette tilgangsrettigheter på dokumentet.
I feltet Velg tillatelser, angi hvilken tillatelse du ønsker å gi:
- Lese - Bare vise
- Kontrollør - Vise og redigere
- Medforfatter - Vise, redigere, kopiere og skrive ut
- Medeier - Alle tillatelser
- Bare for meg
Skriv deretter inn hvem som skal få den aktuelle tillatelsen. Bruk vedkommendes e-postadresse(r). Ikke bruk grupper når du gir tillatelser. I det nederste feltet kan du om ønskelig angi en utløpsdato for tilgangen.
I Outlook
Ved bruk av etiketten Fortrolig og ved bruk av kategoriene Fødselsnummer eller Beskyttet informasjon under etiketten Intern, blir e-postmeldingen kryptert. Tilgangsrettigheter gis til mottakere av e-posten.
Merk: Unngå å sette e-postlister og grupper som mottakere av e-post som er klassifisert slik at det medfører kryptering. Årsaken er at tilgangen knyttes til enkeltpersoner gjennom e-postadressen til mottakeren. Innholdet blir bare dekryptert når mottaker er autentisert med sin personlige bruker. Bruk av grupper vil derfor kunne gjøre innholdet uleselig for mottakere.
Endre eller slette etikett
Hvis en følsomhetsetikett allerede er satt på et dokument og du vil endre det, kan du velge en annen etikett. For å slette følsomhetsetikett trykk på allerede valgt følsomhetsetikk.
Installasjon og bruk på ulike enheter
Windows
AIP klient må installeres fra Software Center på administrerte NTNU-maskiner med Windows operativsystem. Har du en frittstående Windows-maskin (ikke-administrert) kan du installere AIP-klienten selv fra Microsoft.
Mac
Klassifisering gjennom bruk av følsomhetsetiketter støttes også fra Microsoft 365 skrivebordsprogrammer på Mac. Ingen installasjon er nødvendig. Etikettene finner du under menyvalget Hjem og knappen Følsomhet.
Android og iOS
Med appene Word, Excel og PowerPoint kan du lese og redigere klassifiserte dokumenter og dokumenter med tilgangsrettigheter, fra mobiltelefon og nettbrett. Du kan imidlertid ikke klassifisere dokumenter med følsomhetsetiketter som medfører kryptering i disse appene.
Outlook på mobil lar deg lese innholdet i e-postmeldinger som er kryptert, men du kan ikke sende krypterte meldinger fra mobilen.
Hvis du ikke bruker Outlook, kan du lese innholdet i e-postmeldinger med tilgangsrettigheter (.rpmsg-filer) ved å bruke appen Azure Information Protection. Denne appen lar deg også åpne andre filtyper med tilgangskontroll, som PDF-filer eller bildefiler.
Programfarm
Tjenesten kan også brukes fra Programfarm for brukere med maskiner som ikke støtter tjenesten direkte.
Kryptering og eksterne mottakere
AIP er i utgangspunktet tenkt som en tjeneste for klassifisering av informasjon internt ved NTNU, men det mulig å kryptere e-poster og dokumenter også til eksterne mottakere. Dette forutsetter imidlertid at mottakers e-postadresse kan autentiseres mot Microsoft (Azure AD- eller MS-konto). Årsaken er at avsenders og mottakers e-postadresse er deres nøkkel til å dekryptere dokumenter og e-post som er kryptert ved bruk av NTNU sitt sertifikat.
Kan data dekrypteres av andre?
Løsningen er satt opp med en krypteringsnøkkel utstedt av Microsoft. Det betyr at det finnes en teoretisk mulighet for at Microsoft kan dekryptere innhold. En begrenset gruppe av våre egne administratorer kan også gi seg selv midlertidig mulighet til å dekryptere innhold. Dette kan f.eks være nødvendig dersom en fil er kryptert og arkivert i ePhorte av en tidligere ansatt. Slik aktivitet logges til en hver tid. Er du interessert i mer teknisk infomasjon så kan du lese om det her.
Om arkivering i ePhorte
Dokumenter
- ePhorte har sin egen tilgangsstyring og dokumenter der skal ikke klassifiseres ved bruk av følsomhetsetiketter.
- Krypterte dokumenter må dekrypteres før arkivering i ePhorte. Det er den som krypterer dokumentet (eier av dokumentet) som må vurdere om det skal arkiveres i ePhorte.
- Bruk kategoriene Intern informasjon – Arkiv eller Fortrolig informasjon – Arkiv for å fjerne kryptering før arkivering. Hvis du ønsker å beholde den originale fila etter arkivering, må riktig etikett settes på nytt. Alternativt kan fila slettes.
E-post
- For å importere kryptert e-post i ePhorte, må programmet EphorteOutlook benyttes. Det er ikke mulig å importere kryptert e-post ved bruk av Importsentral i ePhorte.
- Eventuelle vedlegg i kryptert e-post, må dekrypteres før arkivering i ePhorte.
Mer informasjon
- Retningslinje for klassifisering av informasjon (PDF)
- Retningslinje for behandling av personopplysninger (PDF)
- Du finner mer informasjon om AIP på Microsoft sine nettsider (engelsk språk)
Kontakt
Orakeltjenesten kan hjelpe deg om du har spørsmål eller opplever problemer.