Samhliða innleiðingu 2. áfanga Umbru í skýjavegferð, bætist við möguleiki á öryggisflokkun og verndun gagna í Office forritum. Með samræmdum merkingum skjala, sem byggja á samræmdri flokkun upplýsinga hins opinbera, er öryggisstig merkt inn á skjölin sjálf og eftir atvikum gæti verið mögulegt að dulkóða skjölin.
Öryggisflokkun gagna íslenska ríkisins er mikilvægur þáttur í því að styðja við bætt öryggi og stjórnun gagna ásamt því að auka hagnýtingu upplýsingatækni hjá ríkisaðilum.
Öryggisflokkar gagna taka til allra gagna sem ríkisaðilar safna, vista, vinna með, búa til og gera aðgengileg, í þágu hlutverks síns, þ.m.t. gögn sem stafa frá eða gerð eru aðgengileg þriðja aðila.
- Hvað þýðir gagnaflokkun fyrir þig sem notanda?
- Öryggisflokkun fyrir stjórnendur, skjalastjóra og kerfisstjóra
Hvað þýðir gagnaflokkun fyrir þig sem notanda?
Öryggisflokkun gagna gerir þér kleift að merkja skjöl með viðeigandi öryggismerkingu eftir þörfum hverju sinni. Merking skjals segir til um ákvarðað öryggisstig skjalsins og takmarkanir tengdum merkingunni.
Merking er svo notuð í ýmsum tilgangi þegar kemur að því að ákveða aðgengi að gagni, hvort heldur sem er í gegnum handvirka eða sjálfvirka notkun.
Það er undir hverjum ríkisaðila komið hvort eða hvernig þeir nýta öryggisflokkun gagna ríkisins. Upplýsingar hér að neðan eru leiðbeinandi.
| Ef öryggisflokkun gagna hefur verið virkjuð á þínum starfsstað, þá birtist nýr "Sensitivity" hnappur í Home stikunni í Office forritum, hvort sem er á vef eða á tölvu. Einnig má nálgast gagnaflokkun skjals undir heiti skjals efst til vinstri í glugganum. Gildir þetta um Word, Excel og PowerPoint. Einnig er hægt að merkja tölvupósta, en þá birtist "Sensitivity" hnappurinn á nýjum póstum. | Hér má sjá dæmi úr Word: | ||
| Með þessum hnappi má velja öryggismerkingu viðkomandi skjals, en tegundir merkinga geta verið mismunandi á milli ríkisaðila. Öll skjöl sem eru stofnuð fá sjálfkrafa merkinguna "Varin". Nánari lýsingar á merkingunum má lesa neðar. |  |  | |
| Upplýsingatexti um miðann birtist ef músin er færð yfir merkinguna. |  | ||
| Þegar breytt er um flokk þarf að skrá ástæðu fyrir því. Þetta er fyrst og fremst ætlað til þess að vekja notandann til umhugsunar um aðgerðina: Upplýsingatexti miða birtist í haus skjals og við minnum á það hann er ekki sýnilegur í vafraútgáfu forritsins nema með því að skoða hausinn sérstaklega. | Hér má sjá breytingu skjals úr „Varið“ í „Opin“: | Breyting skjals úr „Varið“ í „Sérvarin“ býður upp á fleiri möguleika | |
Flokkar í boði
Ríkisaðilum er leiðbeint að styðjast við fjóra flokka gagna og nýta í sinni starfsemi. Horft er til þess að flokkunin verði skyldubundin þegar reglur um meðferð trúnaðarupplýsinga verða settar. Gögn skulu flokkuð eftir því öryggisstigi sem virði þeirra gerir kröfu um:
Opin gögnÓpersónugreinanleg gögn eða gögn sem eru opin og aðgengileg til notkunar og endurnotkunar. Svo gögn teljist opin þurfa þau að vera tiltæk án umsókna / beiðna og vera aðgengileg óháð tíma. Opin - Gögn án aðgangsstýringa og fyrir almenning. | Varin gögnÖll gögn önnur en opin gögn sem eru hluti af daglegum rekstri ríkisaðila. Varin gögn geta þó verið misviðkvæm og krafist sérsniðinna öryggisúrræða í samræmi við niðurstöður áhættumats. |
Sérvarin gögnGögn sem vegna viðkvæmrar stöðu m.t.t. tímasetninga eða innihalds geta valdið víðtæku og langvarandi tjóni fyrir hópa einstaklinga, lögaðila eða ríkisaðila. | Afmörkuð gögnGögn sem eru viðkvæm fyrir samfélagið í heild eða stöðu þjóðarinnar á alþjóðavettvangi. Ekki er ætlast til að gögn í þessum flokki séu vistuð í skrifstofuumhverfi ríkisins. |
Hvaða áhrif hefur þetta á notandann
- Aukið öryggi gagna – Gögn eru sjálfkrafa flokkuð og varin með dulkóðun, aðgangsstýringu og flokkum.
- Samræmi við reglugerðir – Auðveldar fyrirtækjum að fylgja GDPR og öðrum reglugerðum með því að vernda viðkvæmar upplýsingar.
- Meiri vitund um gagnavernd – Notendur verða meðvitaðri um að meðhöndla trúnaðargögn á réttan hátt.
- *Takmarkanir á deilingu – Notendur geta ekki sent skjöl utan stofnunarinnar nema með réttum heimildum.
- *Sjálfvirk flokkun gagna – Kerfið getur merkt skjöl og tölvupósta byggt á innihaldi eða handvirkt af notendum.
*Stjörnumerktir eiginleikar eru væntanlegir eða þarf sérstaklega að virkja fyrir stofnun.
Áhrif á viðskiptavini
- Tryggir trúnaðargögn – Viðskiptavinir geta verið vissir um að persónulegar upplýsingar þeirra séu verndaðar.
- Betri stjórn á skjölum – Fyrirtæki geta tryggt að viðkvæm gögn séu aðeins aðgengileg réttum einstaklingum.
- Dregur úr áhættu gagnaleka – Minnkar líkur á að trúnaðargögn lendi í röngum höndum.
- Aukin gagnsæi og traust – Viðskiptavinir treysta fyrirtækjum betur sem vernda gögn sín.
Niðurstaða: Sensitivity Labels í Microsoft 365 bæta öryggi, stuðla að reglufylgni og gera notendum kleift að stjórna gögnum betur. Þetta gagnast bæði fyrirtækjum og viðskiptavinum með því að vernda viðkvæmar upplýsingar og auka traust.Meira um flokka
Öryggisflokkun gagna íslenska ríkisins er mikilvægur þáttur í því að styðja við og auka hagnýtingu upplýsingatækni og gagna hjá ríkisaðilum.
Ríkisaðilum er leiðbeint að styðjast við fjóra flokka gagna og nýta í sinni starfsemi. Horft er til þess að flokkunin verði skyldubundin þegar reglur um meðferð trúnaðarupplýsinga verða settar.
Öryggisflokkun gagna hefur bein áhrif á hvernig notkun skýjaþjónusta er háttað og þar með hvar er t.d. leyfilegt að vista gögn ríkisaðila.
| Flokkur | Staðsetning vistunar | Öryggisúrræði (viðmið) |
| Opin gögn | Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Fjársýslunnar. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. | Tryggja réttleika og tiltækileika. |
| Varin gögn | Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Fjársýslunnar. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. | Dulritun í flutningi yfir óörugg net og varið í geymslu fyrir óviðkomandi aðgangi. Auðkenning hvers notenda og allra aðgerða. Atburðaskráning uppflettinga og aðgangstilrauna. |
| Sérvarin gögn | Hjá hæfum aðila innan EES sem uppfyllir öryggiskröfur og er t.d. aðili að innkaupaferli Fjársýslunnar. Ríkisaðili getur talist hæfur að uppfylltum öryggiskröfum. Sértæk lög og kröfur geta takmarkað vistunarstaði. | Dulritun (með eigin lykli eða aðferðum) í notkun, flutningi og geymslu. Sterk og margþátta auðkenning, atburðaskráning uppflettinga og aðgangstilrauna. Sérhönnuð upplýsingakerfi byggð á sértækum öryggis- og virknikröfum miðað við eðli og virði gagnanna. |
| Afmörkuð gögn | Á sértækum og aðskildum upplýsingakerfum í eigu viðkomandi ríkisaðila. | Allt ofangreint auk aðskilnaðar frá öðrum kerfum. |
Nýjustu upplýsingar um gagnaflokkun ríkisins má nálgast á vef stjórnarráðsins:
Stjórnarráðið | Öryggisflokkun gagna íslenska ríkisins
Öryggisflokkun fyrir stjórnendur, skjalastjóra og kerfisstjóra
Umbra virkjar möguleika á öryggisflokkun þegar ríkisaðili er kominn inn í 2. áfanga skýjavegferðar. Með þeirri aðgerð opnast fyrir ofangreinda möguleika til merkingar, en það er undir stjórnendum ríkisaðila komið að upplýsa notendur um hvernig þeir eiga að nýta öryggisflokkunina í þágu ríkisaðila.