It services Enfo
Blogg

Informationsklassificering - så funkar det!

12 februari, 2021
Thomas Andersson, Epical
Att klassificera sin data och information är grundläggande för din informationssäkerhet. Medarbetarnas fel och misstag kan annars bli dyra lärdomar eller i värsta fall leda till ödesdigra konsekvenser för verksamheten. Vi berättar hur du ska göra för att klassificera din information rätt. 

Klassificering av information handlar enkelt uttryckt om att ta reda på vilka typer av information som finns samt vilken säkerhetsnivå de olika typerna ska tillhöra.

“Det är viktigt att skilja på hur mycket viss information behöver skyddas jämfört med annan information. Man ska tänka på att det är väldigt kostsamt att bygga in skydds- och säkerhetskontroller i en infrastruktur och därför behöver man prioritera vilken information som behöver det starkaste skyddet. Samtidigt får man också reda på vilken information som inte behöver skyddas alls,” säger Thomas Andersson, EVP Digital Trust på Enfo.

 

De största problemen och utmaningarna när det gäller informationsklassificering

Den enkla delen är att bygga själva modellen. Det vill säga att man kommer överens hur den ska se ut med en matris med olika skydds- och konsekvensnivåer. Det svåra är alltid att implementera den strategi som man har kommit överens om och att göra modellen användarvänlig.

”Själva inventeringen av informationen kan vara tidsödande, men såklart viktig. Man måste också ha en rutin och ett arbetssätt om hur man klassificerar ny information som skapas. Det är ett långsiktigt projekt som handlar om hela informationssäkerheten så man måste i förväg vara inställd på att man behöver lång tid för att bli färdig,” säger Thomas.

 

Tips! Håll det enkelt i början

Att sedan sprida kunskapen och utbilda användarna och få dem att tillämpa detta är ytterligare en utmaning. I förlängningen bör man på något sätt märka all information med rätt informationsklass för att man enkelt ska kunna se hur pass känslig informationen som man hanterar är. Ett värdefullt tips är att aldrig börja med fler än tre olika nivåer när det gäller klassificeringen. Att ha många i början kommer att leda till att det blir svårt att dra nytta av jobbet överhuvudtaget.

 

3 saker att tänka på när du bestämmer informationstyp

  • Konfidentialitet
    Vem har rätt till att ta del av informationen? Hur kan vi skydda den mot obehöriga?
     
  • Riktighet
    Detta handlar om att man måste kunna lita på att det som står där verkligen är riktigt och sant. Att ingen har manipulerat informationen.
     
  • Tillgänglighet
    Detta innebär att informationen ska finnas tillgänglig när man behöver den för sitt arbete eller för externa parter som behöver den.

 

 

Keep it simple - tre nivåer är oftast tillräckligt, när det gäller informationsklassificering

Thomas Andersson, EVP Digital Trust, Enfo

Informationstypernas tre nivåer av konfidentialitet

Utifrån detta kan man gruppera information i grupper med olika skyddsnivåer. Nyttan av informationsklassning är att dimensionera skyddet för informationen genom att göra det så kostnadseffektivt som möjligt.

  • Öppen information
    Hit hör material som till exempel ligger publikt tillgängligt på hemsidan, som är öppen för vem som helst att ta del av.
  • Intern information
    Information som samtliga medarbetare på företaget kan ta del av. Hit hör till exempel information som platsar på företagets intranät där alla anställda är behöriga att ta del av informationen.
  • Sekretessbelagd information
    Data och information som endast styrelse och ledning eller begränsade arbetsgrupper/projekt ska ha tillgång till. Eller personer med särskilda behörigheter eller positioner. Den här informationen krypteras och byggs in i högsäkra IT-system.

Thomas Andersson, EVP Digital Trust på Enfo
thomas.andersson@enfogroup.com
Linkedin 

Dela

Relaterat material