Medarbetarwebb

Identifiera och analysera information

För att skydda högskolans information behöver du först veta vilken information du har, var den finns och hur viktig den är. Genom kartläggning och analyser får du en tydlig bild av vad som behöver skyddas och vilka åtgärder som krävs.

Vad är informationstillgångar?

Informationstillgångar är all information som högskolan hanterar och behöver skydda, inklusive de resurser som behandlar informationen (exempelvis IT-system).

För att kunna skydda informationen behöver vi först identifiera den. Några viktiga frågor att ställa är:

  • Vilken information har högskolan?
  • Var finns den?
  • Hur viktig är den för verksamheten?
  • Vilken information är mest skyddsvärd och varför?
  • Hur kan vi skydda den på rätt sätt?
  • Hur vet vi vilken information som är verksamhetskritisk?

Informationskartläggning

Ett första steg är att kartlägga vilken information som finns i verksamheten. Det kan göras genom analyser där vi listar våra informationstillgångar. Resultatet blir en grund för nästa steg: informationsklassning, riskanalys och val av säkerhetsåtgärder.

MSB har ett metodstöd, ”Identifiera och analysera”, som kan användas som hjälp i detta arbete.

Metodstöd: Identifiera och analysera (msb.se)

Workshop – stöd i inventeringen

För att underlätta kartläggningen av informationstillgångar kan en workshop hållas. Lämpliga deltagare är:

  • Informationsägare (ofta verksamhetsansvarig)
  • Systemförvaltare
  • Medarbetare som känner till processen eller systemet
  • Stöd från informationsförvaltning (informationssäkerhet, arkiv)
  • IT

Kontakta dataskydd@du.se för mer information.

Analyser inom informationssäkerhet

Olika analyser hjälper oss att förstå riskområden och vilka informationstillgångar som behöver skyddas. Här är några vanliga analyser:

  • Verksamhetsanalys: identifierar verksamhetens viktiga informationstillgångar, interna intressenter (till exempel beslutsfattare, objektsägare, stödenheter och medarbetare) samt verksamhetens förutsättningar (mål, strategier, organisationsstruktur, infrastruktur).
  • Omvärldsanalys: kartlägger externa krav (lagar, avtal, kontrakt) och externa intressenter (ägare, kunder, leverantörer, tillsynsmyndigheter) och förutsättningar (branchspecifika, tekniska, sociala, miljömässiga, politiska).
  • Riskanalys: identifierar risker för informationssäkerheten, antingen på hela verksamheten eller på en enskild del.
  • Gapanalys: visar skillnaden mellan nuläget och önskat läge. Här ser vi vilka säkerhetsåtgärder som redan finns, vilka som saknas och vilka som behöver förbättras. Syftet är att identifiera säkerhetsåtgärder vi inte har infört och införda åtgärder som inte fungerar.
    Metodstöd: gapanalys (msb.se)

Syftet med analyserna är att ge en tydlig bild av vilka informationstillgångar som finns, vilka risker vi har och vilka åtgärder vi behöver för att minska riskerna.

Metodstöd: Identifiera och analysera (msb.se)

Senast granskad: