Informationsklassning och handlingsplan

Så här genomförs en klassning

Det finns flera sätt att använda KLASSA men här nedan kan du läsa hur det är tänkt.

 

1. Fastställ säkerhetsnivåer. Klassa informationen i det aktuella systemet från "försumbar" till "synnerligen allvarlig" i de tre perspektiven
 
a) Konfidentialitet (sekretess/åtkomstbegränsning)
b) Riktighet
c) Tillgänglighet
 
2. Lagrum. Byt flik till "Lagrum" och markera de lagrum som systemet omfattas av.
 
3. Självvärdering. Byt flik till "Självvärdering" och svara på varje krav huruvida det uppfylls.
 
4. Inför en upphandling- Ta ut upphandlingskraven. Gå igenom varje krav och bedöm om de är relevanta.
 
5. Dokumentera- t ex genom att klipp-och-klistra resultat till förvaltningsplan/ alt. upphandlingskrav
 

En informationssäkerhetssamordnare (eller motsvarande) är sammankallande till mötena för att klassa det enskilda systemet. Detta sker förslagsvis med ett visst intervall (t ex vartannat år), eller vid större förändringar, uppdateringar eller nya interaktioner med andra system.

När det är dags att klassa ett system sammankallar informationssäkerhetssamordnaren systemförvaltaren och driftsansvarige (om systemet driftas på plats). Avsätt cirka 2 timmar beroende på system och hur vana de medverkande är att genomföra övningen.

Vid mötet inleder alltid samordnaren att informera övriga om syftet och arbetsgången.

Sedan påbörjas arbetet med den övergripande klassningen med hjälp av klassningsmatrisen utifrån de tre perspektiven.

När du skapar en ny handlingsplan för ett system får du tips om hur andra med liknande namn har klassat sina system. Dessa är bara inspiration- inte alls avsett som styrande.

Glöm inte att ta hänsyn till lagar som ofta styr vilka nivåer som bör sättas. Se stödmaterialet och vid behov av fördjupning- läs gärna på https://www.informationssakerhet.se/metodstod-for-lis/. Den nivån som väljs för varje perspektiv styr vilka krav som ska hanteras. Ju högre nivå- desto fler och mer omfattande krav.

Gå sedan vidare till "Lagrum" och markera de lagar som systemet omfattas av. Det kommer leda till att ytterligare krav "tänds upp".

Nu är det dags att gå igenom de krav som genererats utifrån val av klassningsnivåer och lagkrav. Ta den tid som behövs för att gå igenom frågorna ordentligt men det är viktigt att inte fastna på ett enskilt krav. Om diskussioner uppstår- parkera den frågan och återvänd till den på slutet. Behåll ett viss tempo. Samordnarens roll här är viktig att man håller sig till en gemensam bedömningsgrund.

Tänk "Ja" (Uppfyller helt) eller "Nej" (Uppfyller inte alls) när ni tar ställning till varje krav, och använd "Uppfyller delvis" om ni är osäkra. Det tar alltid längre tid första gången. Fokusera mer på att ta er igenom alla krav, än att svara absolut rätt första gången. Arbetet är ändå tänkt att fortsätta efter övningen vilket ger alla möjligheter att justera bedömningarna. Detta ökar förståelsen till nästa runda och ger alla en bättre inblick i det övergripande informationssäkerhetsarbetet.

Använd anteckningsfältet för att skriva kommentarer och se till att anteckna vad som ska följas upp. Det underlättar för alla parter om det finns bra anteckningar i kommentarsfältet men var noggrann med att inte skriva känslig information i anteckningsfältet!

Tänk på att kraven måste bedömas utifrån den information som verkligen hanteras- tillämpa principen "följ-eller-förklara" och ta medvetna beslut om behov av avsteg föreligger. Alla krav är inte tillämpbara på alla typer av system. Var noga med att dokumentera avsteg samt motiven.

För system som klassas och ligger högt på prioriteringslistan kan det vara bra att kontrollera om katastrofplan och kontinuitetsplanen är aktuell eller behöver uppdateras. I sådana fall kan det också vara lämpligt att det är samordnaren som sammankallar berörda till ett nytt möte där det genomförs.

När klassningen är genomförd titta tillsammans på resultatet och se hur systemet ligger till i diagrammen. Diskutera vad som behöver göras, i vilken ordning och vilken uppföljning ni ska ha på det berörda systemet. Maila alltid ut resultatet och handlingsplanen till berörda parter.

Sveriges Kommuner och Regioner
Sveriges Kommuner och Regioner
Besöksadress: Hornsgatan 20, 118 82 Stockholm
E-post: klassa@skr.se
Om kakor
Om webbplatsen

En webbplats från Sveriges Kommuner och Regioner