Håndbok i verdivurdering av informasjon
Før verdivurderingen
Den som skal verdivurdere informasjon må ha god kunnskap om temaet som informasjonen omhandler. For å ha tilstrekkelig grunnlag til å vurdere potensielle skadefølger ved tap av konfidensialitet bør annen faglig eller teknisk ekspertise konsulteres ved behov. Man bør også danne seg et bilde av hvilken annen informasjon som er tilvirket om temaet, og hvorvidt det er andre opplysninger om temaet som tidligere er blitt publisert eller på annen måte er allment kjent. I denne forberedende fasen er det tre spørsmål den som skal verdivurdere må ta stilling til.
Spørsmål 1: Er opplysningen, eller tilsvarende opplysninger, verdivurdert tidligere?
I noen tilfeller er det tidligere gjort vurderinger om hvorvidt opplysninger har et beskyttelsesbehov. Allerede sikkerhetsgraderte opplysninger kan ikke omgraderes av andre enn det regelverket åpner for, jf virksomhetssikkerhetsforskriften § 31 . Det kan også være at det tidligere er gjort vurderinger om hvorvidt tilsvarende informasjon skal sikkerhetsgraderes, tilsvarende dokumenter osv. I noen tilfeller er det snakk om en kombinasjon av «ny» (ikke tidligere verdivurdert) og «gammel» (tidligere verdivurdert) informasjon. Hvis en informasjonsmengde utelukkende består av tidligere verdivurderte opplysninger, så kan den som verdivurderer gå videre til spørsmålet om sammenstilling i selve verdivurderingsprosessen (Del 2., spørsmål 4).
Spørsmål 2: Kan informasjonen kontrolleres?
Virksomheten må ha tillit til at konfidensialiteten til informasjon som sikkerhetsgraderes er ivaretatt, og at den kan ivaretas. Virksomheten må derfor undersøke hvorvidt opplysningene tidligere er blitt publisert, eller på annen måte er eller har vært tilgjengelig for uvedkommende.
I noen tilfeller vil det være behov for å sikkerhetsgradere tidligere tilvirkede opplysninger som ikke tidligere har vært håndtert i henhold til kravene i sikkerhetsloven. Virksomheten må vurdere om beskyttelsestiltakene for sikkerhetsgradert informasjon har en faktisk sikkerhetsmessig merverdi, eller om opplysningene må anses som kompromitterte. Her vil det være naturlig å skille mellom åpent tilgjengelig informasjon, og informasjon som ikke har vært åpent tilgjengelig, og som har vært gjenstand for kontrollmekanismer.
Opplysninger som har (eller sannsynligvis har) vært eksponert for uvedkommende må håndteres som en sårbarhet. Det er ingen automatikk i at eksponerte opplysningen ikke lengre har et skadepotensiale og må avgraderes.
Spørsmål 3: Hvem er det informasjonen omhandler?
En virksomhet kan tilvirke informasjon som omhandler forhold ved andre virksomheter, uten at den andre virksomheten har verdivurdert denne informasjonen. Slike situasjoner kan oppstå i gjennomføringen av forskningsprosjekter, undersøkelser eller sammenstilling av informasjon fra ulike kilder. Ettersom skadefølgene ved tap av konfidensialitet omfatter en annen virksomhet, bør virksomheten som tilvirker informasjonen vurdere å konsultere den andre virksomheten i løpet av verdivurderingsprosessen, eller på annen måte be om virksomhetens vurdering av opplysningene.