Informationsklassning – de 10 vanligaste frågorna (och svaren)

Kanske känner du till begreppet informationsklassning. Mer än väl. Eller så är du nybörjare på ämnet. Oavsett vad så kommer här svar på alla de frågor du kan tänkas ha om informationsklassning. Eller i alla fall de 10 vanligaste.
Nu kör vi!  

1. Vad är informationsklassning?

En informationsklassning är en process där man bedömer skyddsbehovet för den information som organisationen hanterar.

Informationen klassas utifrån den funktion och betydelse den har för verksamheten och utifrån de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna eller komma i orätta händer. Modellen för klassificering bygger på att informationen bedöms och klassas med utgångspunkt från tre grundprinciper; konfidentialitet, riktighet och tillgänglighet (KRT).

2. Varför ska vi göra informationsklassning?

Av framförallt två anledningar.

  1. För att bli medveten om vilken information ni förfogar över och vilka risker som medföljer.
    Exempelvis kan det vara bra att bli medveten om att läckande av organisationens kundregister skulle kunna leda till en personuppgiftsincident. Varför då? Det leder oss in på nästa punkt.
  2. Så att ni kan ge er information rätt skydd
    Genom att bli medveten om risker och konsekvenser kan ni identifiera åtgärder som ger informationen rätt typ av skydd. Med rätt typ av skydd menas både ett högt skydd för skyddsvärd information men även ett lägre skydd till en lägre kostnad för information som inte är skyddsvärd. Det ger ett mer kostnads- och resurseffektivt informationssäkerhetsarbete.

Exempelvis kanske ni efter genomförd klassning konstaterar att informationen är så pass känslig att en säkrare metod för åtkomst behövs, möjligen tvåfaktorsautentisering. Samma säkra metod för åtkomst kanske inte behövs för en annan typ av information.

3. Vem ansvarar för informationsklassning?

Det yttersta ansvaret för att informationen har relevant skydd har organisationsledningen. Ofta delegeras dock arbetet nedåt i organisationen. Verksamhetsansvariga, t.ex. roller som linjechef, processägare, projektägare och informationsägare får då ofta ansvaret för att den avgränsade verksamhetens information har ett tillräckligt högt skydd. Exempelvis är en HR-chef ansvarig för att all HR-relaterad information hanteras på rätt sätt.

Verksamhetsansvariga har oftast inte informationssäkerhet som huvudkompetens, varför det behövs en samordnande roll som kan stötta vid genomförande av informationsklassning. Det kan vara någon som har rollen som Informationssäkerhetsansvarig eller CISO.

CISO:n agerar klassningsledare, dvs hjälper till med strukturen och genomförandet av klassningen. CISO har ofta ett sammankallande ansvar, medan verksamhetsansvarig ansvarar för att besluta om genomförande eller icke genomförande av åtgärder.

Det är fördelaktigt om CISO efter genomförd klassning ansvarar för att kontrollera status på de åtgärder som diskuterats.

4. När ska vi göra en informationsklassning?

För att kunna säga att man har ett systematiskt informationssäkerhetsarbete så ska informationsklassningar ske med löpande intervall. Dels behöver man, om man inte gjort något alls, genomföra klassning av verksamhetskritisk information. Därefter handlar det om att löpande uppdatera befintliga klassningar, förslagsvis en gång per år, alternativt när någon större förändring sker.

Ska ni upphandla eller köpa in ett nytt system så ska detta också klassas. Det görs för att säkerställa att även att de leverantörer ni samarbetar med hanterar er information på ett säkert sätt.

5. Hur gör vi en informationsklassning?

Förbered klassningen genom att 1) tydligt definiera och avgränsa vad som ska klassas och 2) samla in information om vad som ska klassas. Informationen dokumenteras med fördel i ett protokoll eller i ett system för informationsklassning och delas med deltagarna innan och under informationsklassningen.

Klassningen inleds med att gå igenom det förberedande underlaget så att alla vet vad fokus är för klassningen. Vad som händer sen och i vilken ordning kan skilja sig åt. Vissa börjar med en riskanalys för att sedan fortsätta med att sätta klassificeringsbeslut. Andra sätter klassificeringsbeslut först och gör riskanalysen sen.

Oavsett ordning så innehåller en fullständig klassning:

  • Riskanalys där sannolikheten och konsekvensen av att en risk inträffar bedöms.
  • Riskåtgärder identifieras för att sänka eller eliminera risker
  • Klassificieringsbeslut (enligt KRT) sätts utifrån hur skyddsvärd informationen är
  • Uppföljning på beslutade riskåtgärder en tid efter klassningen

6. Vem ska vara med på en informationsklassning?

Under en klassning är ofta en klassningsledare med. Det är någon som leder workshopen och ansvarar för metoden. Den här personen har ofta titeln CISO. Men för att CISO:n ska kunna göra sitt jobb krävs det några fler deltagare.

Det är bra om någon med beslutsmandat är med. En som kan besluta om vilka av våra gemensamt framtagna riskåtgärder vi ska genomföra respektive inte genomföra. Den här personen kan vara någon med rollen Verksamhetschef, exempelvis HR-chef.

Därutöver behövs specialister på objektet i fråga, oavsett om det är system, tjänst eller papperspärm som ska analyseras så behöver personer som vet vilken sorts information som hanteras vara med. Det här kan exempelvis vara administratörer och är det ett IT-system som analyseras är det toppen om systemförvaltare är med samt IT-kompetens som har kunskap om IT så som drift och arkitektur.

7. Ska vi klassa information, informationsmängder eller informationstillgångar / informationsbärare?

Det florerar många olika begrepp och perspektiv att använda sig av vid en klassning. Informationsmängd, informationstillgång, informationsbärare m.m. Vad ska man egentligen utgå ifrån i sin analys?

Det är alltid informationen i sig som ska klassas. Men för att underlätta kan informationen ibland grupperas på olika sätt.

Vad just ni ska välja beror på vad ni gjort tidigare. Har ni gjort processkartläggningar och har koll på vilken information ni har kan ni utgå från informationen eller informationsmängden.

Har ni inte gjort processkartläggningar kan det vara enklare att börja med informationstillgången/informationsbäraren och titta på informationen som finns där.

8. Ska vi göra riskanalys och sätta klassificeringsbeslut vid samma tillfälle?

Om vi ska göra alla delar i en klassning vid ett och samma tillfälle beror på hur omfattande det vi analyserar är. Är det exempelvis ett ekonomisystem vi ska klassa så är det ofta uppenbart vilken information det handlar om. Då kan det finnas skäl att göra klassningen och titta på riskerna vid samma sittning.

Är det ett å andra sidan ett filsystem vi ska analysera, exempelvis Sharepoint, kan det finnas skäl att dela upp på flera tillfällen eftersom det innehåller så vitt skild information med olika skyddsvärde. Då blir det för tids- och resurskrävande att samla alla kompetenser vid ett och samma tillfälle och vi bör därför dela upp vid flera sittningar.

9. Hur ska vi välja ut vilken information vi ska klassificera?

Om ni ska klassa för första gången så ska ni alltid börja med er mest skyddsvärda information. Då säkerställer ni att ni börjar med det viktigaste. Det kan exempelvis handla om patientdata om ni är ett vårdbolag. Utan patientdatan blir det svårt att bedriva verksamheten och vid röjande av patientdata får det stora konsekvenser = er mest skyddsvärda information.

Är ni nya på klassningar kan det kan även finnas en idé att börja med något där det är greppbart vad det är som ska klassificeras så att det inte blir för komplicerat. Om vi spinner vidare på exemplet i frågan ovan hade vi till exempel börjat med ett ekonomisystem istället för filsystemet.

10. Ska vi klassificera all information vi har? Hur gör vi det på bästa sätt?

Ni måste inte nödvändigtvis beta av all information ni har.

Om ni som organisation har jobbat med informationskartläggning kanske insikter finns om er information. I och med det kan det bli uppenbart att en viss del av den information ni förfogar över inte har någon skyddsvärdighet att tala om alls. Det vill säga att skadan som skulle uppstå om samma information röjs, förvanskas eller inte finns tillgänglig är obetydlig eller försumbar. Liten eller ingen skyddsvärdighet innebär dessutom oftast att riskerna som kommer med förvaringen av den sortens information inte kan vara särskilt allvarliga.

Dock behövs insikter om vilken information organisationen förfogar (informationskartläggning) för att kunna dra ovanstående slutsats.

Kontentan: All information bör kartläggas, men regelrätt informationsklassning och riskanalys så som det beskrivs ovan behövs inte överallt.

 

Relaterat innehåll:

Så samordnar du dataskydd och informationssäkerhet

I resurspressade organisationer krävs ett effektivt dataskydds- och informationssäkerhetsarbete. Så hur kan dessa områden samordnas och effektiviseras? Vilka likheter finns mellan dataskydd och informationssäkerhet? Vad skiljer dem åt? Och vad blir resultatet av ett bättre samarbete? I det här webinaret djupdyker vi i begreppen dataskydd
Läs mer »
gdpr-system

Välja nytt gdpr-system – vad du ska tänka på

Ni vill arbeta effektivt med att efterleva GDPR men Excel eller ert befintliga system gör inte riktigt jobbet. Men att ge sig ut på marknaden och försöka hitta ett GDPR-system som passar bättre är en utmaning i sig. Vad ska ni egentligen ställa för krav
Läs mer »

Så ökar du verksamhetens engagemang för dataskydd

Tänk om du kunde bygga en dataskyddskultur. En organisation med högt engagemang och ansvarskänsla kopplat till dataskydd. Hur hade det sett ut? Och vad innebär en dataskyddskultur?   En dataskyddskultur Om vi målar upp en vision av en organisation med en stark dataskyddskultur, så kanske
Läs mer »