Informationsklassning - KLASSA

Att arbeta med informationsklassning innebär att organisationen har ett enhetligt arbetssätt, en klassningsmodell, för att identifiera och värdera (klassa) sin information.

Klassningsmodellen säkerställer att organisationen klassificerar sin information på ett enhetligt sätt utifrån aspekterna (definitioner är hämtade ur SS-ISO/IEC 27000:2018):

  • Konfidentialitet; Egenskap som innebär att information inte tillgängliggörs eller avslöjas för obehöriga individer, objekt eller processer (3.54). Svensk ANM. I Terminologi för informationssäkerhet (SIS-TR 50) definieras ”konfidentialitet” som ’skydd mot obehörig insyn’.
  • Riktighet; Egenskap som innebär att vara korrekt och fullständig. Svensk ANM. Enligt svensk terminologi för informationssäkerhet (SIS-TR 50) definieras "riktighet" som 'skydd mot oönskad förändring'.
  • Tillgänglighet; Egenskapen att vara åtkomlig och användbar på begäran från ett behörigt objekt
    Svensk ANM. I Terminologi för informationssäkerhet (SIS-TR 50) definieras ”tillgänglighet” som åtkomst för behörig person vid rätt tillfälle’.

Fiktivt exempel - Informationsklassning Mittköping

Avsnittet ger exempel på ett arbetssätt för informationsklassning. Det är angeläget att varje organisation definierar sina konsekvensnivåer utifrån organisationens förutsättningar.

Arbetsmaterial: Fiktivt exempel Informationsklassning (WORD) Word, 58 kB.

Vad som ska behandlas är konsekvenserna för verksamheten om informationen hanteras bristfälligt eller omges med otillräckligt skydd. Bedömningen sker enligt en fyrgradig skala som också ska ge vägledning om vilken skyddsnivå som är lämplig.

Informationsklassning bygger på att bedöma vilka konsekvenser avsaknad av informationens konfidentialitet, riktighet och tillgänglighet kan medföra.

Exempel på konsekvensområden som kan användas vid informationsklassningen är:

  • Ekonomisk skada
  • Negativ påverkan för verksamheten
  • Lagefterlevnad
  • Förtroendeskada
  • Påverkan på liv och hälsa
  • Påverkan på enskildas fri- och rättigheter (integritet)

Ett exempel på skala för att klassa informationen är:

  • Försumbar
  • Måttlig
  • Betydande
  • Allvarlig

Ett tips är att använda samma skala för bedömningen av konsekvensen av att identifierade risker inträffar.

Exempel bedöma konsekvenser

Bilden anger ett exempel på innehåll och upplägg. I arbetsmaterialet finns mer information om innehåll utifrån de tre perspektiven.

Tänk på att det inte är nödvändigt att samtliga konsekvensområden bedöms som allvarlig för att informationen ska klassificeras som allvarlig. Det kan alltså räcka med att ett konsekvensområde bedöms som allvarlig för att informationen ska klassas som nivå allvarlig.

Informationsklassningen genomförs ur de tre perspektiven: konfidentialitet, riktighet och tillgänglighet. Bilden anger ett exempel på innehåll och upplägg.Förstora bilden

Klicka på bilden för en större version.

Informationsklassning nivå 1

Det kan vara klokt att börja värdera (klassa) sin information i de, för verksamheten, mest kritiska systemen. Det kan handla om system inom den samhällsviktiga verksamheten, t.ex. social omsorg, vatten och avlopp eller krisberedskap och civilt försvar.

KLASSA

SKR har utvecklat KLASSA för att stödja organisationerna med ett enhetligt arbetssätt (en klassningsmodell) för att värdera (klassa) sin information utifrån konfidentialitet, riktighet och tillgänglighet. KLASSA erbjuder också, som verktyg, en dokumentation och historik över organisationens klassningar.

KLASSA kan också användas för att ställa informationssäkerhetskrav vid upphandlingar och uppföljningen av informationssäkerhetskraven i förvaltningen av systemen.
Notera: I nuläget är KLASSA enbart tillgängligt för kommuner, regioner och statliga myndigheter, samt bolag som ägs av dessa organisationer och kommunalförbund.

Tips

MSB har publicerat en vägledning som ger dig stöd i stöd i arbetet med att utforma en modell för klassning av information.

SKR har tagit fram en vägledning för klassificering som vägleder dig hur du kan resonera kring vilken nivå du väljer för de tre perspektiven. Den tar tar bland annat upp hur olika lagar påverkar val av konsekvensnivåer.

Stöd för arbetet säkerhetsåtgärder för konsekvensnivåer finns i SKR:s verktyg KLASSA.

Läs vidare

Metodstödet för systematiskt informationssäkerhetsarbete, Klassningsmodell, MSB

Vägledning för informationsklassning och lagrum, KLASSA

Säkerhetsåtgärder för komsekvensnivåer, KLASSA

Kontakta oss

Kontaktformulär SKR








Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.

SKR använder ett ärendehanteringssystem för effektiva processer för dig som behöver rådgivning och service.

Vill du inte lämna dina personuppgifter går det bra att ringa oss i stället på telefon

08 452 70 00.

Det går också bra att kontakta oss om du vill att dina personuppgifter gallras i systemet.

https://skr.se/dataskydd

Så hanteras ditt ärende

Mer om oss

Sveriges Kommuner och Regioner

SKR är en medlems- och arbetsgivarorganisation för landets alla kommuner och regioner. Vi är en politiskt styrd organisation och vår styrelse består av förtroendevalda från kommuner och regioner.

Kontakta SKR

Adress och övrig kontaktinformation

08-452 70 00

info@skr.se

  • Evenemang

    Hitta och anmäl dig till SKR:s kurser, konferenser och andra evenemang.

  • Rapporter och skrifter

    Ladda ner, läs eller beställ SKR:s olika publikationer.

  • Cirkulär

    Här hittar du SKR:s cirkulär – exempelvis rekommendationer, tolkningar av nya lagar och information om avtal.

  • Handlingar och beslut

    Hitta handlingar och beslut från SKR.

  • Press

    Hitta nyheter, pressmeddelanden och debattartiklar i SKR:s pressrum.

  • Statistik

    Länkar till SKR:s statistik, analysrapporter, öppna jämförelser och ren data indelad efter ämnen.

  • Lärande exempel

    Ta del av hur kommuner och regioner har förbättrat sina verksamheter.

  • Bloggar

    Läs personliga betraktelser om aktuella ämnen.

Om SKR

Kommuner och regioner

Hjälp

Till toppen av sidan