Riktlinjer för informationssäkerhetsklassning

En informationssäkerhetsklassning innebär att man gör en klassning av den information som behandlas inom ett it-stöd. Klassningen är inte en övning som handlar om IT och teknik, det handlar om verksamhet, verksamhetens processer och de krav som finns på den. Genom att klassa information kan ni identifiera känslig och kritisk information, och därefter vidta åtgärder så att denna kan få tillräckligt skydd. Ni kan även undvika att information får onödigt överskydd med höga kostnader som följd.

En klassificering sker utifrån fyra perspektiv:

  • Konfidentialitet – Vad kan konsekvenserna bli ifall informationen läcker ut till obehöriga?
  • Riktighet – Vad kan konsekvenserna bli ifall informationen är felaktig eller inaktuell?
  • Tillgänglighet – Vad kan konsekvenserna bli ifall någon (som är behörig) inte får tillgång till informationen?
  • Spårbarhet – Finns det krav på att kunna spåra händelser i systemet? Vad kan konsekvensen bli ifall det inte går att spåra en händelse?

Riskanalys för kritiska it-stöd

Om ert it-stöd får en hög klassning, det vill säga att det är ett kritiskt it-stöd ur något av ovansåtende perspektiv, så bör en riskanalys genomföras. En riskanalys innebär att verksamheten tillsammans med it identifierar risker och hot samt planerar åtgärder för hur dessa ska hanteras.

Denna typ av övning landar ofta i både tekniska förbättringar men väldigt ofta handlar det också om att rutiner i verksamheten kan behöva förändras.
Riktlinjer för informationssäkerhetsklassning

Riktlinjer och mallar

Riktlinjer informationsäkerhetsklassning 1.1

Bilaga 1_Matris för informationssäkerhetsklassning

Bilaga 2_Vägledning, lagkrav på informationstillgång

Bilaga 3_Mall_Informationssäkerhetsklassning_1.0

Bilaga 4_Mall_Riskanalys_1.0