Informationsklassning hjälper er att sortera information baserat på hur viktig den är. Målet är att ge rätt skydd. Allt ska inte skyddas lika hårt.
Vad är risker med att inte klassa information? Utan klassning riskerar ni att lägga pengar på att skydda offentliga dokument, samtidigt som känsliga uppgifter ligger oskyddade.
Så fungerar det i praktiken
Klassning handlar om att sätta en prislapp på informationen. Vilket värde har den för er? Och vad händer om den försvinner?
Ni ska klassa all information. Från personregister och affärsplaner till dokumentation och inloggningsuppgifter. Även systemen som lagrar informationen ska klassas.
Det här kräver samarbete. Låt verksamhetschefen (som äger informationen) jobba ihop med IT-säkerhetsansvarig och de som använder informationen varje dag.
När ska ni göra detta?
- När ni skapar ny information eller nya system.
- När verksamheten förändras (t.ex. ny organisation).
- När lagen ändras (som nya tolkningar av GDPR).
- Minst en gång om året som en del av er riskhantering.
CIA-modellen - De tre grundpelarna
När ni klassar utgår ni från CIA-modellen. Den bygger på tre grundpelare:
1. Konfidentialitet
Bara behöriga får se informationen.
- Hög: Patientjournaler (får absolut inte läcka).
- Medel: Interna nyhetsbrev (bör inte läcka).
- Låg: Årsredovisning (offentlig information).
2. Riktighet
Informationen ska vara korrekt och får inte ändras av misstag.
- Hög: Läkemedelsrecept (livsfarligt om det blir fel).
- Medel: Interna rutiner (bör vara rätt).
- Låg: Lunchmenyn (inte hela världen om det blir fel).
3. Tillgänglighet
Informationen ska gå att nå när den behövs.
- Hög: Akutsjukvårdens system (måste fungera dygnet runt).
- Medel: Ekonomisystemet (viktigt under kontorstid).
- Låg: Arkiverade dokument (kan vänta några dagar).
Varför ska man klassificera sin information?
Många företag reagerar först när något går fel. Det är dyrt och farligt. Med klassning tar ni kontrollen innan olyckan är framme.
Här är fyra fördelar:
Effektivare användning av pengar
Ni skyddar rätt saker. Lägg inte dyra resurser på att skydda lunchmenyn. Satsa där det verkligen behövs.
Lättare att följa lagen
Klassning hjälper er att följa lagar som GDPR och säkerhetsskyddslagen. Ni får koll på vilken data som kräver extra skydd. Det gör det också lättare vid en revision.
Ökad säkerhetskultur
När ni pratar om informationens värde ökar medvetenheten hos personalen. Alla förstår varför vissa regler finns. Det skapar en bättre säkerhetskultur.
Snabbare hantering av incidenter
Om en olycka sker vet ni direkt hur allvarligt det är.
- Läcker offentlig data? Ingen panik.
- Läcker patientdata? Agera direkt (ni har ofta bara 72 timmar på er enligt GDPR).
Klassningen hjälper er att prioritera rätt när sekunderna räknas. Läs mer om incidenthantering.
Vanliga frågor om informationsklassning
Vad är skillnaden mellan konfidentialitet, riktighet och tillgänglighet?
Konfidentialitet handlar om att endast rätt personer får tillgång till informationen, riktighet säkerställer att informationen är korrekt och inte manipulerad, medan tillgänglighet garanterar att behöriga användare kan komma åt informationen när de behöver den. Alla tre aspekter måste bedömas för varje informationstillgång för att ge den rätt skyddsnivå.
Hur hänger informationsklassning ihop med riskanalys?
Informationsklassning är ofta förutsättningen för din riskanalys. Genom att först klassa informationen vet ni vad som är mest skyddsvärt. När du gör riskanalysen fokuserar du sedan på vilka hot som finns mot just den skyddsvärda informationen. Utan en tydlig klassning riskerar riskanalysen att bli för generell.
Hur ofta ska man klassa sin information?
Informationsklassningen bör göras minst en gång per år enligt god praxis och ISO 27001. Utöver det ska klassning alltid göras vid införande av nya system eller informationstyper, vid väsentliga verksamhetsförändringar, och när nya regelverk träder i kraft. För särskilt känslig information kan kvartalsvis översyn vara lämpligt.
Vem ansvarar för informationsklassning i en organisation?
Ansvaret delas mellan flera roller. Informationsägaren (ofta verksamhetschefen) har det övergripande ansvaret för att klassningen görs och är korrekt. IT-säkerhetsansvarig eller informationssäkerhetssamordnare leder processen, medan systemförvaltare bidrar med teknisk kunskap. Slutanvändare som hanterar informationen dagligen ger viktiga insikter om informationens användning och värde.
Vilka verktyg finns för att klassificera information?
Det finns många verktyg för att klassificera information. I offentlig sektor används vanligtvis KLASSA, som är framtaget av Sveriges Kommuner och Regioner (SKR). Inom privat sektor är det istället vanligt att man använder Excel-ark, Word eller ett digital verktyg som ChainSec.
