Cyber Security Geometric Forms On White Ground

Informationsklassning – informationssäkerhetsarbetets viktigaste fundament!

Det är inget nytt att IT- och informationssäkerhet är viktiga pusselbitar i vårt digitaliserade samhälle. Systemen och informationen som de innehåller är ofta det mest värdefulla tillgångarna i moderna organisationer. Förlust av information eller svårigheter i att komma åt information i verksamhetens system kan utgöra betydande affärsrisker och orsaka stor skada för båda den egna organisationen samt dess kunder. Det är därför viktigt att informationen skyddas på rätt sätt och för att göra det behöver man först analysera och klassificera den. 

Vad behöver göras? 

Ett bra informationssäkerhetsarbete utgår från en grundlig informationsklassificering. Den lägger grunden för hur organisationen ska säkra sin information. Min uppfattning är dock att den ofta blir lite slarvigt gjord, bara för att den ska göras. Det är dock ytterst viktigt att detta arbete görs grundligt för att få fram rätt nivå på skydd ur både ett säkerhetsmässigt och ett ekonomiskt perspektiv. För att veta hur informationen ska skyddas behöver du veta vilken information du har och var den lagras. Detta görs parallellt med en riskanalys för att förstå riskerna som följer av felaktig hantering och förlust av den skyddsvärda informationen. 

Beroende på organisation, modell och kultur kan klassningen utgå från information i processer, i IT-system eller i databaser. Det är aldrig systemet eller databasen i sig som klassificeras utan informationen som behandlas i dem.  

Syftet med att klassningen är att: 

  • upprätthålla de grundläggande informationssäkerhetsprinciperna konfidentialitet, riktighet, tillgänglighet och spårbarhet samt att förstå de negativa konsekvenserna om dessa inte hanteras på rätt sätt. 
  • förstå och fastställa skyddsbehovet för informationen och säkerställa att nivån motsvarar hela organisationens behov.  

Hur går man tillväga? 

Verksamheten behöver identifieras och analyseras för att ta reda på behov, involvera interna intressenter, som informationsägare, systemägare, processägare, etc. för att få ingångsvärden om informationen som ska klassas. I nästa steg ska även externa intressenter identifieras och analyseras. Det kan exempelvis gälla specifika lagkrav rörande informationshanteringen.  

Klassningen behöver göras redan innan man skaffar sig ett verktyg eller en tjänst. Klassningen behöver sedan regelbundet granskas för att säkerställa att den fortfarande gäller, särskilt då förändringar som påverkar informationsinnehållet eller informationshanteringen ska genomföras.   

Hur skaffar man sig mer kunskap om detta? 

MSB har bra hjälpmedel och information om informationsklassning, bl. a. i Metodstöd för systematiskt informationssäkerhetsarbete. Där framgår att man behöver utforma en klassningsmodell, styrdokument samt skapa en organisation med roller och ansvar för informationssäkerheten i organisationen.  

Nedan finner du mer info att läsa: 

Informationssäkerhet.se - Stöd för systematiskt arbete med informationssäkerhet i organisationer (informationssakerhet.se)

KLASSA, informationsklassning | SKR

Metodstöd för systematiskt informationssäkerhetsarbete (msb.se) 

Du kan även kontakta mig, så berättar jag mer.

Kontakt

Paul Welishe 073-040 83 12

Relaterat