Publicerad 11 mars 2021

Mer om KLASSA

Här finns mer information om verktyget KLASSA.

Vad ska klassas?

I KLASSA används ”system” som ett praktiskt samlingsbegrepp. Men det ska hela tiden vara informationen och verksamhetens process där informationen används som ska vara fokus för arbetet, inte systemet i sig. När klassningen görs ska du utgå ifrån hur viktig informationen är för verksamheten, inte funktionaliteten för det system som för tillfället används.

Du kan informationssäkerhetsklassa informationen i ett verksamhetssystem utifrån fyra olika konsekvenser.

  • Tillgänglighet, om informationen inte kan nås.
  • Riktighet, om informationen förvanskas.
  • Konfidentialitet, om informationen brister i åtkomstbegränsning.
  • Spårbarhet, om det inte går att följa upp vem som gjort vad med informationen.

Vem ska göra klassningen?

I KLASSA används begreppet ”Systemförvaltare” som målgrupp för vem KLASSA ska hjälpa i första hand. Med detta avses en verksamhetsnära roll med god kunskap inte bara om systemet utan framförallt vad det innehåller och hur det används. Olika organisationer kan använda olika namn för denna roll.

Klassningen är bra att göra tillsammans med till exempel systemägare, verksamhetsansvariga, IT-systemförvaltare, Informationssäkerhetssamordnare, eller andra som kan bidra till att beskriva vilka krav som ställs på informationshanteringen från verksamheten, lagstiftning eller annat.

Handlingsplan

Efter klassningen kan du göra en självskattning som visar vilka åtgärder som behöver vidtas och vilka som redan är genomförda. Resultatet kan tas ut som en handlingsplan med krav på förvaltning av systemet och hantering av dess informationsinnehåll.

I handlingsplanen identifieras både krav på hanteringen av informationen samt även IT-säkerhetsaspekter. Därför är det bra om representanter med kunskap om hur systemet används, vilken information det innehåller och krav på hur informationen får och ska hanteras, samt kunskap från IT-driften, deltar i självskattningen.

Handlingsplan kan gärna integreras i det normala systemförvaltningsarbetet. KLASSA ersätter alltså inte andra modeller utan ska ses som förslag med konkreta krav utifrån informationssäkerhet till den modell och process organisationen använder för systemförvaltning och informationssäkerhetsarbete.

Med KLASSA kan man också få översikt och sammanställning hur samtliga verksamhetssystem i organisationen förvaltas. Du som arbetar med samordning av informationssäkerhet kan hålla koll på när informationssäkerhetsgranskning genomfördes och du får också massor av referenser till bland annat lagrum och ISO-standarden.

Upphandlingskrav

Klassningen kan också genomföras inför en upphandling för att få ut en lista med förslag på informationssäkerhetskrav. Gå igenom förslagen och gör en bedömning av vilka krav som passar i sammanhanget.

Inloggning

KLASSA har en öppen och en sluten del. KLASSA Test är öppen och en som alla kan läsa och genomföra en klassning och få ut en handlingsplan. För att kunna spara sina handlingsplaner och överblick behövs ett användarkonto till den slutna delen. Kommuner, landsting eller regioner kan skapa ett användarkonto, ett gemensamt för varje organisation.

Skapa konto i KLASSA

Support

Supporten för Klassa når du genom att skicka e-post till

klassa@skr.se

Vi försöker hantera ditt ärende så snart vi kan. Det finns ingen supportnummer för telefon. Går ditt ärende inte att hantera via e-post ringer en handläggare upp dig.

Informationsansvarig

  • Jonas Nilsson
    Informationssäkerhetsspecialist

Kontakta oss

Kontaktformulär SKR
Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.