Klassificera information ‑ verksamhetssystem
Klassa din information
Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Det är informationen som är skyddsobjektet, d v s det som ska skyddas. Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. alltså till följd av otillräcklig konfidentialitet, riktighet och tillgänglighet:
När ska informationsklassning genomföras?
- Vid kravställning/kravspecificering under systemutveckling eller inför upphandling av system eller tjänst.
- I samband med förändringar av ett informationssystem som påverkar systemets information.
- Fastställande av säkerhetsdesign av ett informationssystem.
- I samband med risk- och sårbarhetsanalyser eller säkerhetsanalyser av ett förvaltningsobjekt
Gå igenom förljande steg för att klassa och riskbedömma informationen i verksamhetssystemet
- Begär ett dnr från registrator för klassningen
- Ta fram klassningsblanketten (länk), fyll i uppgifterna i fliken systemöversikt (förutom klassningsresultatet)
- Gå över till fliken informationsklassning och fyll i uppgifterna där, ta stöd av informationen i flikarna konfidentialitet, riktighet och tillgänglighet. Hjälp finns också i klassningsstödet (länk)
- Skriv in klassningsvärdet på fliken systemöversikt
- Om behov finns genomför en riskbedömning (länk)
- Utifrån klassningsvärdet, gå igenom vilka skyddsåtgärder som krävs och ta fram en handlingsplan om systemet inte har det skydd som krävs (länk)
- Skicka klassningen (flik 1 och 2) till registrator för diarieföring
Säkerhetsåtgärder
Säkerhetsåtgärderna är uppdelade på höga krav och medelkrav på säkerhet. Höga krav gäller för de system som har ett "K" värde på 3. Kraven på säkerhetsåtgärder gäller både för system som driftas internt och för molntjänster. I säkerhetskraven nämns leverantören och här avses både intern driftleverantör (INFRA) och extern driftleverantör för molntjänster
Säkerhetsåtgärder - höga krav
Säkerhetsåtgärder - medel krav
Gå igenom säkerhetskraven och använd underlaget som en del i en handlingsplan för att förbättra säkerheten i och omkring systemet. Granska om något från riskbedömningen behöver lyftas till handlingsplanen. Aktiviteterna i handlingsplanen ska läggas in i systemplanen
Kontakt
Eva Rodin Svantesson
It-informationssäkerhetssamordnare|IT information security coordinator
eva.rodinsvantesson@miun.se