Informationsklassning och handlingsplan

KLASSAS mål och syfte

KLASSA:s primära mål och syfte är att vara ett stöd för den verksamhetsnära systemförvaltaren. Ett sätt att se KLASSA är som en brygga mellan verksamhetens behov av skydd och teknik (se bilden nedan).

Länken mellan verksamhet och teknik

KLASSA är alltså inte en vägledning för hur man ska organisera sitt informationssäkerhetsarbete eller en teknisk specifikation. Det betyder också att KLASSA inte ger en direkt vägledning hur man ska leda eller styra sitt informationssäkerhetsarbete även om informationen i KLASSA med fördel kan användas som underlag för det övergripande arbetet eftersom KLASSA ställer upp en del krav som kan ingå i ett sådant arbete.

För att identifiera en verksamhets informationsmängder utgår man från de system organisationen använder eller planerar att införa. KLASSA används för att värdera informationen i dessa system och tar fram handlingsplaner som identiferar en del av de åtgärder som behöver vidtas. Givetvis kan det dock krävas mer åtgärder utifrån andra övervägande och behov som inte KLASSA omfattar, som t ex interna och avtalsmässiga krav. Dessa åtgärder kan man ofta identifiera genom att göra en riskanalys.  Med KLASSA kan man  också identifiera gemensamma brister som förekommer i flera system, se vilka informationsresurser som innehåller viktig information samt hitta gemensamma skyddsnivåer.

Hur ett informationssäkerhetsarbete kan organiseras och förvaltas beskrivs i sin helhet i MSB:s metodstöd för systematiskt informationssäkerhetsarbete på www.informationssakerhet.se.

 

KLASSA ger inte facit

Givetvis kan det krävas mer åtgärder utifrån andra överväganden och behov som inte KLASSA omfattar, som t ex interna och avtalsmässiga krav.  Listan på säkerhetsåtgärder som KLASSA genererar behöver justeras utifrån ett antal perspektiv som av olika anledningar inte kan omhändertas i den specifika klassningen.

Varje klassningsobjekt kan ha specifika förutsättningar för det sammanhang som just den informationen eller det systemet används i. Då kan det behövas göras en precisering. Det görs genom en ”lokal riskanalys”, där det avgörs om de säkerhetsåtgärder som framkommit i KLASSA är lämpliga för klassningsobjektet i fråga, sett utifrån riskanalysens resultat. Det kan också vara beroende på att vissa krav ställs, såsom specifik lagstiftning, ingångna avtal eller verksamhetens krav. Även branschpraxis kan vara styrande.

Med KLASSA kan man då också identifiera gemensamma brister, se vilka informationsresurser som innehåller viktig information och hitta gemensamma skyddsnivåer.

Sveriges Kommuner och Regioner
Sveriges Kommuner och Regioner
Besöksadress: Hornsgatan 20, 118 82 Stockholm
E-post: klassa@skr.se
Om kakor
Om webbplatsen

En webbplats från Sveriges Kommuner och Regioner