Att klassificera information i KLASSA är helt enkelt att ta reda på vilka typer av information som finns i er verksamhet och vilken säkerhetsnivå de olika typerna ska tillhöra. I verkligheten är det dock inte lika enkelt, därför har vi satt ihop en utbildning i KLASSA.
Att den information som är mycket viktig för er organisation eller vars påverkan skulle innebära stora konsekvenser för er ska ha det starkaste skyddet är självklart. Vad många inte tänker på är att information som inte är känslig inte behöver samma skydd, vilket framför allt kan innebära billigare säkerhetslösningar.
Vad är det värsta som kan hända?
När man klassar information finns det fyra grundläggande säkerhetsaspekter att ta hänsyn till:
- Tillgänglighet; att informationen går att nå när man behöver den.
- Riktighet; att informationen är riktig och inte förvanskats.
- Konfidentialitet; att informationen bara nås av behöriga.
- Spårbarhet; att man ska kunna följa upp vem som gjort vad med informationen.
KLASSA hjälper er med informationsklassning, att ta fram en handlingsplan och ställa krav vid upphandling. Informationsklassningen i KLASSA hjälper dig att bestämma skyddsnivåer för er information utifrån de lagar som påverkar organisationen (t.ex. GDPR, NIS, PBL). Ni får även hjälp att bedöma vilket skydd er information har idag.
Vad gör man praktiskt?
Handlingsplan
När informationsklassningen är gjord får man ett förslag på handlingsplan, med krav på förvaltning av systemet och hantering av dess informationsinnehåll. Handlingsplanen kan ses som ett komplement till det vanliga systemförvaltningsarbetet, med tydliga krav på informationssäkerhet. Den stora fördelen är att du som arbetar med informationssäkerhet får en bättre översikt över arbetet.
Upphandlingskrav
Att känna sin information är inte minst viktigt för att kunna ställa krav vid upphandling. Visar det sig att den information man har till största delen ligger på en låg skyddsnivå kan ni köpa in en lösning med enklare säkerhet som därigenom blir billigare.
Vem ska gå utbildningen?
Utbildningen är främst avsedd för den som KLASSA kallar systemförvaltare; en verksamhetsnära roll med god kunskap om informationen i verksamhetens system men framförallt om vad det innehåller och hur det används. Andra roller som är bra att ha med i ett klassningsprojekt är till exempel verksamhetsansvariga, informationssäkerhetssamordnare och personer som vet vilka krav som ställs på informationshanteringen.
Behöver du stöd i ert arbete med informationsklassning och KLASSA?
Kontakta Erik Baumgardt, konsult inom informationssäkerhet.
