Vägledning för att klassa information

    Med hjälp av den här vägledningen kan ni klassa er information och era resurser för att få fram åtgärder som behövs för att skydda informationen.

    Logga in för att se mer information på denna sida.

    1. Välj ut den information/det system som ni ska klassa

    När behöver vi göra en informationsklassning? 

    Informationsklassning bör ligga till grund för val av lämpliga skyddsåtgärder vid dessa tillfällen:

    • Inför personuppgiftsbehandlingar
    • Bedömning av hur forskningsmaterial/data ska hanteras och därmed skyddas
    • Nulägesbedömning och/eller riskanalys av ett informationssystem
    • Anskaffning, nyutveckling eller förändring av IT‑system eller infrastruktur, t.ex. datalagringstjänster
    • Fastställande av säkerhetsdesign av ett informationssystem
    • Förändringar av rättsliga krav
    • Nytillkommen information i verksamheten
    • Fastställande av hanteringsregler av information, t.ex. med avseende på krav på kryptering av e-post, regler för kommunikation via mobiltelefon, etc.

    2. Klassa informationen utifrån konfidentialitet, riktighet och tillgänglighet

    Konfidentialitet

    Utgå ifrån de konsvekvenser som kan uppstå vid bristande skydd:

    Exempel på konsekvenser av bristande skydd

    Klass 1: Inga konsekvenser.

    Klass 2: Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada.

    Klass 3: Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryck i sociala medier. Riks - och lokalmedia. Betydande förtroendeskada hos samarbetspartners och allmänhet.

    Klass 4: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartner, uttryck i sociala medier. Drev i riks- och lokalmedia. Allvarlig förtroendeskada hos samarbetspartners och allmänhet.

     

    Konfidentialitet Skyddsnivå Konsekvens av bristande skydd
    Vad kan konsekvenserna bli ifall obehöriga får åtkomst till uppgifterna? K 1: Informationen är publik och kräver inget skydd Inga konsekvenser
    K 2: Informationen kräver grundläggande skydd Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada
    K 3: Informationen kräver högt skydd Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryckt i riks- och lokalmedia. Betydande förtroendeskada hos samarbetspartners eller hos allmänheten.
    K 4: Informationen kräver mycket högt skydd Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners, drev i riksmedier el sociala grupper. Allvarlig förtroendeskada
    Hanteras information som faller under säkerhetsskyddslagen (2018:585), eller produkter med dubbla användningsområden så ska säkerhetssamordnare vid lokalförsörjningsenheten kontaktas.

    Exempel på information

    Klass 1: Text som publiceras publikt på Umu:s webb.

    Klass 2: Information innehåller personuppgifter och försiktighet gäller vid spridning, delning, publicering. 

    Klass 3: Integritetskänsliga personuppgifter. Annan värdefull information som forskningsmaterial/data/dokumentation, tillträdesloggar.

    Klass 4: Sekretessbelagd information. Känsliga personuppgifter, lösenord, kryptonycklar, brandväggsregler, eller särskilt skyddsvärt forskningsmaterial, lagöverträdelser, PDA (produkter med dubbla användningsområden).

    Riktighet

    Utgå ifrån de konsvekvenser som kan uppstå vid bristande riktighet

    Möjliga konsekvenser av bristande riktighet

    Klass 1: Inga konsekvenser

    Klass 2: Måttligt obehag eller begränsad ekonomisk förlust enskild individ, eller begränsad skada på egen eller annan organisation

    Klass 3: Betydande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada på egen eller annan organisation.

    Klass 4: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer. Kan medföra skada på liv eller hälsa för enskilda personer.

     

    Fråga  Skyddsnivå  Konsekvenser av bristande riktighet

    Vad kan konsekvenserna bli ifall uppgifterna är felaktiga eller inaktuella?

    		 R 1: Informationen kräver inget skydd

    Inga konsekvenser
    R 2: Riktighetskravet på informationen är måttligt

    Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada

    R 3: Riktighetskravet på informationen är högt

    Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryckt i riks- och lokalmedia. Betydande förtroendeskada hos samarbetspartners eller hos allmänheten.

    R 4: Riktighetskravet på informationen är mycket högt

    Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners, drev i riksmedier el sociala grupper. Allvarlig förtroendeskada

    Exempel på information

    Klass 1: 

    Klass 2: Allmän information till externa användare, intern/extern kommunikation via e-post

    Klass 3: Forskningsmaterial, studentuppgifter grund - och forskarutbildning, personalärenden, loggar

    Klass 4: Särskilt känslig forskningsmaterial/data/dokumentation, lösenord, kryptonycklar, brandväggsregler

     

    Tillgänglighet

    Utgå ifrån de konsekvenser som kan uppstå vid bristande tillgänglighet:

    Möjliga konsekvenser av bristande tillgänglighet


    Klass 1: Inga konsekvenser

    Klass 2: Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners. Måttliga produktionsbortfall.

    Klass 3: Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje. Stort produktionsbortfall.

    Klass 4: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners. Mycket stort produktionsbortfall.

     

    Fråga Skyddsnivå Konsekvens av bristande tillgänglighet
    Vad kan konsekvenserna bli ifall någon (som är behörig) inte får tillgång till uppgifterna? T 1

    Inga konsekvenser
    T 2: Tillgång till informationen kräver grundläggande skydd

    Avbrott i system medför lindrig påverkan på verksamheten

    T 3: Tillgång till informationen kräver högt skydd

    Avbrott i system kräver stora omprioriteringar i verksamheten

    T 4: Tillgång till informationen kräver mycket högt skydd

    Förlust av data ger mycket höga återställningskostnader i tid och pengar

    Exempel på information

    Klass 1: 

    Klass 2: Personalärenden, ekonomidata, lönelistor, loggar

    Klass 3: Universitetets diarium

    Klass 4: Nationella system, till exempel Ladok

    Chatarina Wiklund
    2023-03-08