Klassning är ett sätt att värdera information och se till att den får rätt skydd. Informationsklassningen används bl.a. vid kravställning på IT-tjänster och leverantörer.
Informationsägare har en nyckelroll i att se till att verksamhetens information klassas med utgångspunkt i konfidentialitet, riktighet och tillgänglighet (KRT). Konfidentialitet betyder att informationen är tillgänglig endast för de personer som har behörighet ta del av den, riktighet att innehållet ska vara korrekt och inte kunna förändras av obehöriga och tillgänglighet att informationen ska vara nåbar när den behövs.
Klassningen utgör underlag för kunskapsuppbyggnad och kravställning på hur informationen ska hanteras, behandlas och skyddas. Genom riskarbete kan lämpliga säkerhetsåtgärder införas som skydd mot hot och mänskliga misstag.
Anpassa informationsklassningen efter förändringar
Notera att hållbarheten för en klassning är kortvarig. Information är föränderlig och det kan tillkomma ny information av känslig karaktär. Förutsättningarna kan även påverkas av organisationsförändringar, upphandlingar, byte av ett verksamhetssystem, införande av ny teknik som AI eller ”Internet of things” (IoT) eller förändrade arbetssätt som kommer med nya e-tjänster.
Informationsklassningen behöver därför följas upp årligen (eller oftare vid behov).
Vid klassningen bedöms informationens värde utifrån:
-
Den funktion och betydelse den har för verksamheten.
-
De konsekvenser det medför för verksamheten om informationen skulle förändras av obehörig, försvinna eller komma i orätta händer.
-
Hur känslig den är för den enskildes personliga integritet.
Bedömningar behöver dokumenteras för att stödja det kollektiva minnet och underlätta uppföljning.
Det är viktigt att det framgår:
-
om informationen bedöms som verksamhetskritisk och/eller samhällsviktig.
-
vilka uppgifter som bedöms som känsliga och har ett högt skyddsvärde
-
vilka motiveringar som föranlett klassningsbedömningarna
-
när klassningen är gjord och av vem/vilka
-
– och att informationsägaren finns namngiven.
För information med ett högt skyddsvärde är även spårbarheten viktig, dvs. att i efterhand kunna härleda specifika aktivister och händelser till ett identifierat objekt eller användare. Kom ihåg att informera systemägare och leverantörer om hur informationen klassats!
Klassa system
Systemägare och leverantörer har en skyldighet att informera om vilken informationsklass deras IT-tjänster klarar att hantera. I de fall tjänsten inte motsvarar verksamheternas krav på säkerhet ska informationen hanteras på annat säkert sätt fram till dess att kraven är uppfyllda.
Alla IT-tjänster behöver klassas. Systemklassning fastställs genom i förväg beslutade gränsdragningar om de säkerhetsåtgärder som anses nödvändiga för olika skyddsnivåer.
En genomgång enligt Stödanvisning systemklassning fastställer systemets högsta skyddsvärde. Det styr sedan vilken typ av information som kan/får hanteras i systemet. Även risker som faller utanför kravställningar i ISO 27002 ska beaktas.
Stöddokument vid klassning
- Stödanvisning för klassning av information
- Mall för klassning av information
- Matris för skadebedömning vid informationsklassning och riskanalys
- Stödanvisning för systemklassning
- Mall för systemklassning
Har du frågor eller funderingar?
Informationssäkerhetsteamet finns här för att hjälpa dig! Mejla oss gärna för stöd och vägledning i hur du kan lägga upp arbetet på ett effektivt och strukturerat sätt.