1. Välj ut den information/det system som ni ska klassa
När behöver vi göra en informationsklassning?
Informationsklassning bör ligga till grund för val av lämpliga skyddsåtgärder vid dessa tillfällen:
- Inför personuppgiftsbehandlingar
- Bedömning av hur forskningsmaterial/data ska hanteras och därmed skyddas
- Nulägesbedömning och/eller riskanalys av ett informationssystem
- Anskaffning, nyutveckling eller förändring av IT‑system eller infrastruktur, t.ex. datalagringstjänster
- Fastställande av säkerhetsdesign av ett informationssystem
- Förändringar av rättsliga krav
- Nytillkommen information i verksamheten
- Fastställande av hanteringsregler av information, t.ex. med avseende på krav på kryptering av e-post, regler för kommunikation via mobiltelefon, etc.
2. Klassa informationen utifrån konfidentialitet, riktighet och tillgänglighet
Konfidentialitet
Utgå ifrån de konsvekvenser som kan uppstå vid bristande skydd:
Exempel på konsekvenser av bristande skydd
Klass 1: Inga konsekvenser.
Klass 2: Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada.
Klass 3: Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryck i sociala medier. Riks - och lokalmedia. Betydande förtroendeskada hos samarbetspartners och allmänhet.
Klass 4: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartner, uttryck i sociala medier. Drev i riks- och lokalmedia. Allvarlig förtroendeskada hos samarbetspartners och allmänhet.
Konfidentialitet |
Skyddsnivå |
Konsekvens av bristande skydd |
Vad kan konsekvenserna bli ifall obehöriga får åtkomst till uppgifterna? |
K 1: Informationen är publik och kräver inget skydd |
Inga konsekvenser |
K 2: Informationen kräver grundläggande skydd |
Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada |
K 3: Informationen kräver högt skydd |
Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryckt i riks- och lokalmedia. Betydande förtroendeskada hos samarbetspartners eller hos allmänheten. |
K 4: Informationen kräver mycket högt skydd |
Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners, drev i riksmedier el sociala grupper. Allvarlig förtroendeskada |
Hanteras information som faller under säkerhetsskyddslagen (2018:585), eller produkter med dubbla användningsområden så ska säkerhetssamordnare vid lokalförsörjningsenheten kontaktas. |
Exempel på information
Klass 1: Text som publiceras publikt på Umu:s webb.
Klass 2: Information innehåller personuppgifter och försiktighet gäller vid spridning, delning, publicering.
Klass 3: Integritetskänsliga personuppgifter. Annan värdefull information som forskningsmaterial/data/dokumentation, tillträdesloggar.
Klass 4: Sekretessbelagd information. Känsliga personuppgifter, lösenord, kryptonycklar, brandväggsregler, eller särskilt skyddsvärt forskningsmaterial, lagöverträdelser, PDA (produkter med dubbla användningsområden).
Riktighet
Utgå ifrån de konsvekvenser som kan uppstå vid bristande riktighet
Möjliga konsekvenser av bristande riktighet
Klass 1: Inga konsekvenser
Klass 2: Måttligt obehag eller begränsad ekonomisk förlust enskild individ, eller begränsad skada på egen eller annan organisation
Klass 3: Betydande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada på egen eller annan organisation.
Klass 4: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer. Kan medföra skada på liv eller hälsa för enskilda personer.
Fråga |
Skyddsnivå |
Konsekvenser av bristande riktighet |
Vad kan konsekvenserna bli ifall uppgifterna är felaktiga eller inaktuella?
|
R 1: Informationen kräver inget skydd |
Inga konsekvenser
|
R 2: Riktighetskravet på informationen är måttligt |
Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada
|
R 3: Riktighetskravet på informationen är högt
|
Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryckt i riks- och lokalmedia. Betydande förtroendeskada hos samarbetspartners eller hos allmänheten.
|
R 4: Riktighetskravet på informationen är mycket högt
|
Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners, drev i riksmedier el sociala grupper. Allvarlig förtroendeskada
|
Exempel på information
Klass 1:
Klass 2: Allmän information till externa användare, intern/extern kommunikation via e-post
Klass 3: Forskningsmaterial, studentuppgifter grund - och forskarutbildning, personalärenden, loggar
Klass 4: Särskilt känslig forskningsmaterial/data/dokumentation, lösenord, kryptonycklar, brandväggsregler
Tillgänglighet
Utgå ifrån de konsekvenser som kan uppstå vid bristande tillgänglighet:
Möjliga konsekvenser av bristande tillgänglighet
Klass 1: Inga konsekvenser
Klass 2: Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners. Måttliga produktionsbortfall.
Klass 3: Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje. Stort produktionsbortfall.
Klass 4: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners. Mycket stort produktionsbortfall.
Fråga |
Skyddsnivå |
Konsekvens av bristande tillgänglighet |
Vad kan konsekvenserna bli ifall någon (som är behörig) inte får tillgång till uppgifterna? |
T 1 |
Inga konsekvenser
|
T 2: Tillgång till informationen kräver grundläggande skydd |
Avbrott i system medför lindrig påverkan på verksamheten
|
T 3: Tillgång till informationen kräver högt skydd
|
Avbrott i system kräver stora omprioriteringar i verksamheten
|
T 4: Tillgång till informationen kräver mycket högt skydd
|
Förlust av data ger mycket höga återställningskostnader i tid och pengar
|
Exempel på information
Klass 1:
Klass 2: Personalärenden, ekonomidata, lönelistor, loggar
Klass 3: Universitetets diarium
Klass 4: Nationella system, till exempel Ladok