Virksomhetsikkerhetsforskriften § 37 Krav til oversikt over informasjon gradert KONFIDENSIELT eller høyere

En virksomhet skal ha en oversikt over hvor dens egne dokumenter og lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, til enhver tid befinner seg. I tillegg skal virksomheten ha en oversikt over hvilke dokumenter og lagringsmedier med informasjon som er gradert KONFIDENSIELT eller høyere, som er mottatt fra eller sendt til andre virksomheter.

Virksomheten skal ha en oversikt over hvor dokumenter og lagringsmedier med innhold sikkerhetsgradert KONFIDENSIELT eller høyere, til enhver tid befinner seg. Oversikt over sikkerhetsgraderte dokumenter og lagringsmedier skal inneholde tilstrekkelig informasjon til å identifisere og gjenfinne informasjonen. Dette betyr at dokumenter og lagringsmediers fysiske plassering skal nedtegnes, og all inn- og utgående trafikk av graderte dokumenter og lagringsmedier fra virksomheten skal dokumenteres.

I tillegg til opplysninger om dokumentets avsender, mottaker og innhold, bør også opplysning om gradsnivå inngå i oversikten. For informasjon sikkerhetsgradert HEMMELIG og høyere bør i tillegg antall sider og eksemplarnummer inngå i oversikten der dette er praktisk mulig å oppføre.

For informasjon gradert HEMMELIG og høyere anbefaler NSM at virksomheten paginerer og eksemplarnummererer dokumentene der dette er praktisk mulig, for med dette å oppnå høyere kvalitet på virksomhetens oversikt – dette for å sikre reelt samsvar mellom oversikten og hva oversikten viser til. Informasjonen skal være korrekt, fullstendig og tilgjengelig.

For elektroniske lagringsmedier skal oversikten inneholde opplysninger om lagringsmediet, samt om hvilke dokumenter som er lagret på det.

Krav til oversikt må sees i sammenheng med eventuell mangfoldiggjøring og spredning av sikkerhetsgradert informasjon. Virksomheten må ha rutiner som sikrer nødvendig kontroll på kopier og utskrifter av gradert informasjon gradert KONFIDENSIELT eller høyere.

Antall kopier og utskrifter bør ikke være større enn at det er mulig å holde en reell oversikt over disse. NSM anbefaler at virksomheten tilintetgjør kopier og utskrifter når behovet for disse opphører.

Bestemmelsen i Forskrift om virksomheters arbeid med forebyggende sikkerhet § 37 gjelder i tillegg til bestemmelser om journalføringsplikt i forskrift om offentlige arkiv.