Medarbetarwebb

Informationsklassning inom informationssäkerhet

Informationsklassning hjälper dig att avgöra hur viktig informationen är och vilket skydd den behöver. Genom att värdera konfidentialitet, riktighet och tillgänglighet kan du prioritera rätt säkerhetsåtgärder.

Vad är informationsklassning?

Informationsklassning är en metod för att bestämma värdet på vår information. När vi vet vilken information vi har, var den finns och hur viktig den är för verksamheten, blir det lättare att skydda den på rätt sätt.

Vid klassningen bedöms konsekvenserna om:

  • Konfidentialitet: obehöriga kommer åt informationen
  • Riktighet: informationen förstörs, ändras eller manipuleras
  • Tillgänglighet: vi inte kan komma åt informationen när vi behöver den

Vad är en klassningsmodell?

En klassningsmodell är ett verktyg som hjälper oss att värdera information på ett enhetligt sätt. Den bygger på de tre aspekterna:

  • Konfidentialitet: att informationen inte delas med obehöriga
  • Riktighet: att informationen är skyddad mot oönskade och obehöriga ändringar eller förstörelse
  • Tillgänglighet: att informationen finns tillgänglig när den behövs

Modellen gör det möjligt att jämföra olika informationstillgångar i organisationen och se vilka som behöver mest skydd. Den använder en skala för att bedöma konsekvenser och tar hänsyn till olika perspektiv, till exempel ekonomisk förlust, minskat förtroende eller avbrott i verksamheten.

 

Nivå

Definition

Förklaring
Mycket stor sannolikhet 3 Mindre än 1 månad Händelsen är mycket trolig och nästan säker att den kommer att inträffa
Stor sannolikhet 2 1 månad - 1 år Händelsen är trolig och förväntas inträffa
Liten sannolikhet 1 1 år - 10 år Händelsen är osannolik men kan inträffa ibland
Osannolikhet 0 Mer än 10 år Händelsen är extremt liten, nästan försumbar att den inträffar

Konsekvensnivåer

Definition

Förklaring
Informationsklass 0 (försumbar) Inga konsekvenser eller försumbara konsekvenser Öppen information som kan spridas fritt inom och utom organisationen
Informationsklass 1 (låg, måttlig) Kan medföra obehag eller begränsad ekonomisk förlust för enskilda personer, eller begränsad skada för högskolan eller tredje part Intern information som om den sprids till obehöriga kan medföra måttliga negativ påverkan på organisationen, externa aktörer eller idivider
Informationsklass 2 (medel, betydande) Kan orsaka omfattande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada för högskolan eller tredje part Kan exempelvis vara ett systemavbrott som varar längre än ett dygn men kan vara upp till ett par veckor vid betydande händelser
Informationsklass 3 (hög, allvarig) Kan medföra skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag, eller ekonomisk förlust för ett stort antal personer, eller mycket allvarig skada för högskolan eller tredje part Kan exempelvis vara avbrott i en eller flera kritiska verksamheter som kräver omfattande omprioriteringar av verksamheten vid högskolan

Begrepp inom informationsklassning

För att informationsklassningen ska bli överskådlig delas informationstillgångarna upp i tydliga klassningsobjekt.

För att avgränsa klassningsobjekt behöver du identifiera en viss informationstyp. Det kan handla om:

  • En viss typ av information (till exempel om anställda eller lokaler)
  • Information som hör till en avdelning, ett system, arbetsflöde eller projekt

Det viktiga är värdet av informationen, inte var den finns eller hur den används.

Begrepp

Förklaring
Informationsmängd

Är en samlad grupp information, till exempel: ett dokument (till exempel en PDF),
en databas, eller liknande. En informationsmängd kan innehålla en eller flera informationstyper. Den delas inte upp i mindre delar, utan ses som en helhet. Ett klassningsobjekt består oftast av flera informationsmängder.
Informationstyp

Är information av ett visst slag. Exempel på vanliga informationstyper: personuppgifter, kundregister, ekonomiska redovisningar, riskanalyser, källkod, ritningar, forskningsresultat. En informationstyp kan ibland också definieras som en informationsmängd och klassas på samma sätt.
Informationstillgångar

Är all information som behöver skyddas, samt de resurser som används för att hantera den, till exempel: system som tar emot, lagrar eller bearbetar information,
verktyg som visar eller kommunicerar information.
Klassningsobjekt

Är en meningsfull del av organisationen där information hanteras. Det kan vara: en verksamhet, en enhet eller en avdelning, en process eller en tjänst, ett it-system. Ett klassningsobjekt kan innehålla flera informationsmängder och informationstyper.

Metodstöd: Klassning av information (msb.se)

Resultatet av klassningen

När informationen är klassad vet vi:

  • Vilken betydelse den har för verksamheten
  • Vilka säkerhetsåtgärder som krävs för att skydda den

Om flera informationsdelar med olika skyddsvärde hanteras tillsammans gäller alltid det högsta skyddsvärdet. Informationsklassningen blir också underlag för riskanalysen.

Roller och ansvar

Vid informationsklassning finns olika roller och ansvar:

  • Informationsägaren (ofta en verksamhetsansvarig chef eller utsedd ställföreträdare) har det yttersta ansvaret.
  • Arbetet kan göras tillsammans med medarbetare som känner till processer, system eller informationen väl.
  • Stöd kan även ges från andra roller med kompetens för vad som ska klassas (till exempel: informationsförvaltning, IT eller jurist).

Hur görs klassningen?

För att klassa och bedöma en risk används en matris med konsekvenskriterier och konsekvensnivåer. Det ger stöd i att kategorisera och få en samsyn om informationens värde. 

För varje informationsmängd kan frågor hjälpa till för att ta reda på informationsmängdens placering i matrisen. Frågorna kan består av:

  • Vad skulle hända om obehörig kommer åt informationen (konfidentialitet)?
  • Vad skulle hända om informationen är felaktig (riktighet)?
  • Vad skulle hända om informationen inte är tillgänglig (tillgänglighet)? 

Konsekvenskategorier, konsekvensnivåer och konsekvenskriterier:

  • Konsekvenskategorier: samlade värden för verksamheten som är viktiga att upprätthålla och eller undvika (till exempel ekonomi, förtroende).
  • Konsekvensnivåer: hur allvarlig konsekvensen är från nivå 0: försumbar till nivå 3: allvarlig. Antal nivåer motsvarar en organisations bedömning av sina informationstillgångars säkerhetsskydd och konsekvenser om något skulle hända.
  • Konsekvenskriterier: en förklaring till vad varje nivå innebär i praktiken. Kriterierna ska skapa förståelse för informationens spårbarhet, behov av skydd eller värde och dess placering i matrisen.

Klassningsmatris

Klassningsmatrisen är organisationens övergripande dokumenterade matris för bedömning av informationsmängdens värde i relation till konsekvenserna. Den baseras på konsekvenskategorierna, konsekvensnivåerna och konsekvenskriterierna.

Klassningsmatris Högskolan Dalarna (pdf)

Klassa informationen och dokumentera i klassningsstöd

Efter inventering av informationsmängder, förståelse för informationsmängdernas värde i klassningsmatrisen ska informationen klassas. Ett klassningsverktyg används som stöd för att kartlägga informationen och dokumentera informationsklassningen som ska diarieföras.

MSB:s metodstöd

Myndigheten för samhällsskydd och beredskap (MSB) har tagit fram vägledningar, verktyg, mallar och tips för att stödja arbetet med informationssäkerhet. Metodstödet bygger på internationella standarder för ledningssystem för informationssäkerhet (LIS) och består av fyra steg som tillsammans beskriver hur ett systematiskt informationssäkerhetsarbete kan utformas.

Metodstöd för informationssäkerhetsarbete (msb.se)

Senast granskad:
Kontakt
Dataskydd
dataskydd@du.se
Relaterade länkar
Senast granskad: