Blogg:

Verdivurdering av informasjon – din viktigste verdi?

15. mars 2022

Marta Kruke, Senior associate, rådgivning |

To personer ser på en telefon foran en pc

 

Informasjon kan ha stor verdi for din virksomhet, dine samarbeidspartnere eller andre i samfunnet. Verdivurdering av informasjon er et nødvendig grunnlag for å kunne utøve god risikostyring og finne løsninger som bidrar til å unngå skader og tap.

Ved manglende verdivurderinger av informasjon, eller feilvurdering av et informasjonsprodukts verdi, øker risikoen for at sentrale verdier havner i feil hender, blir endret eller utilgjengelig. For informasjon av betydning for nasjonale sikkerhetsinteresser kan det i verste fall påvirke rikets sikkerhet og befolkningens trygghet. 

De fleste vil være enig i at dette høres fornuftig ut. Hvordan man gjør en verdivurdering er imidlertid ikke like åpenbart. Selve vurderingen skal gi svar på følgende: 

  • Har verdien interesse for uvedkommende? Hvorfor?
  • Hvilke konsekvenser vil det få dersom verdien tilfaller uvedkommende, blir urettmessig endret eller blir gjort utilgjengelig?

 

BDO foreslår følgende prosess for verdivurdering:

  1. Vurdering av informasjonens betydning for nasjonale sikkerhetsinteresser (NSI).
  2. Vurdering av informasjonens skadepotensiale. Her blir det sentralt å vurdere informasjonens nøyaktighet, tilgjengelighet, rettidighet, fullstendighet og riktighet.
  3. Vurdering av konsekvenser ved sammenstilling av flere informasjonskilder.

Hvis det kan skade nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende, blir endret eller blir utilgjengelig, har vi et skjermingsverdig informasjonsprodukt. Er informasjonen skjermingsverdig av konfidensialitetshensyn, skal informasjonen graderes etter sikkerhetsloven. Er informasjonen skjermingsverdig av integritets- eller tilgjengelighetshensyn, har vi et skjermingsverdig ugradert informasjonsprodukt. Det finnes ingen krav til merking av slik informasjon. I forlengelsen av dette anbefaler BDO «BDO-modellen» som innebærer å synliggjøre at informasjon er skjermingsverdig ugradert ved hjelp av følgende merker:

 

​BDO-modellen for klassifisering av integritet og tilgjengelighet 

MEGET KRITISK INTEGRITET dersom det kan få helt avgjørende skadefølger. MEGET KRITISK TILGJENGELIGHET dersom det kan få helt avgjørende skadefølger.
KRITISK INTEGRITET dersom det kan få alvorlige skadefølger. KRITISK TILGJENGELIGHET dersom det kan få alvorlige skadefølger.
VIKTIG INTEGRITET dersom det kan få skadefølger. VIKTIG TILGJENGELIGHET dersom det kan få skadefølger.

 

BDO har utarbeidet et e-læringskurs i sikkerhetsloven, nå også med en modul som omhandler «verdivurdering, sikkerhetsgradering og merking av informasjon etter sikkerhetsloven». Hele kurset er relevant for virksomheter underlagt sikkerhetsloven, og den ferske modulen er spesielt nyttig for virksomheter som trenger kunnskap om verdivurdering av informasjon. Modulen går dypere inn på verdivurderingsprosessen og gir innblikk i merking etter sikkerhetsloven og BDOs egne anbefalinger på synliggjøring av informasjon som er skjermingsverdig av integritets- og tilgjengelighetshensyn. Modulen treffer også godt for dem som vil lære om merking etter sikkerhetsloven, omgradering, delgradering, tilleggsmerking med nøkkelord og merking av informasjon som frigis til andre stater. 

BDO tilbyr også andre kurs og har mulighet til å lage eller tilpasse kurs til din virksomhet, for mer informasjon om kurs innen sikkerhet og beredskap, se her.