Vägledning för att klassa information

Med hjälp av den här vägledningen kan ni klassa er information och era resurser för att få fram åtgärder som behövs för att skydda informationen.

1. Välj ut den information/det system som ni ska klassa

När behöver vi göra en informationsklassning? 

Informationsklassning bör ligga till grund för val av lämpliga skyddsåtgärder vid dessa tillfällen:

  • Inför personuppgiftsbehandlingar
  • Bedömning av hur forskningsmaterial/data ska hanteras och därmed skyddas
  • Nulägesbedömning och/eller riskanalys av ett informationssystem
  • Anskaffning, nyutveckling eller förändring av IT‑system eller infrastruktur, t.ex. datalagringstjänster
  • Fastställande av säkerhetsdesign av ett informationssystem
  • Förändringar av rättsliga krav
  • Nytillkommen information i verksamheten
  • Fastställande av hanteringsregler av information, t.ex. med avseende på krav på kryptering av e-post, regler för kommunikation via mobiltelefon, etc.

2. Klassa informationen utifrån konfidentialitet, riktighet och tillgänglighet

Konfidentialitet

Utgå ifrån de konsvekvenser som kan uppstå vid bristande skydd:

Exempel på konsekvenser av bristande skydd

Klass 1: Inga konsekvenser.

Klass 2: Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada.

Klass 3: Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryck i sociala medier. Riks - och lokalmedia. Betydande förtroendeskada hos samarbetspartners och allmänhet.

Klass 4: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartner, uttryck i sociala medier. Drev i riks- och lokalmedia. Allvarlig förtroendeskada hos samarbetspartners och allmänhet.

 

Konfidentialitet Skyddsnivå Konsekvens av bristande skydd
Vad kan konsekvenserna bli ifall obehöriga får åtkomst till uppgifterna? K 1: Informationen är publik och kräver inget skydd Inga konsekvenser
K 2: Informationen kräver grundläggande skydd Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada
K 3: Informationen kräver högt skydd Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryckt i riks- och lokalmedia. Betydande förtroendeskada hos samarbetspartners eller hos allmänheten.
K 4: Informationen kräver mycket högt skydd Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners, drev i riksmedier el sociala grupper. Allvarlig förtroendeskada
Hanteras information som faller under säkerhetsskyddslagen (2018:585), eller produkter med dubbla användningsområden så ska säkerhetssamordnare vid lokalförsörjningsenheten kontaktas.

Exempel på information

Klass 1: Text som publiceras publikt på Umu:s webb.

Klass 2: Information innehåller personuppgifter och försiktighet gäller vid spridning, delning, publicering. 

Klass 3: Integritetskänsliga personuppgifter. Annan värdefull information som forskningsmaterial/data/dokumentation, tillträdesloggar.

Klass 4: Sekretessbelagd information. Känsliga personuppgifter, lösenord, kryptonycklar, brandväggsregler, eller särskilt skyddsvärt forskningsmaterial, lagöverträdelser, PDA (produkter med dubbla användningsområden).

Riktighet

Utgå ifrån de konsvekvenser som kan uppstå vid bristande riktighet

Möjliga konsekvenser av bristande riktighet

Klass 1: Inga konsekvenser

Klass 2: Måttligt obehag eller begränsad ekonomisk förlust enskild individ, eller begränsad skada på egen eller annan organisation

Klass 3: Betydande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada på egen eller annan organisation.

Klass 4: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer. Kan medföra skada på liv eller hälsa för enskilda personer.

 

Fråga  Skyddsnivå  Konsekvenser av bristande riktighet

Vad kan konsekvenserna bli ifall uppgifterna är felaktiga eller inaktuella?

R 1: Informationen kräver inget skydd

Inga konsekvenser

R 2: Riktighetskravet på informationen är måttligt

Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada

R 3: Riktighetskravet på informationen är högt

Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryckt i riks- och lokalmedia. Betydande förtroendeskada hos samarbetspartners eller hos allmänheten.

R 4: Riktighetskravet på informationen är mycket högt

Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners, drev i riksmedier el sociala grupper. Allvarlig förtroendeskada

Exempel på information

Klass 1: 

Klass 2: Allmän information till externa användare, intern/extern kommunikation via e-post

Klass 3: Forskningsmaterial, studentuppgifter grund - och forskarutbildning, personalärenden, loggar

Klass 4: Särskilt känslig forskningsmaterial/data/dokumentation, lösenord, kryptonycklar, brandväggsregler

 

Tillgänglighet

Utgå ifrån de konsvekvenser som kan uppstå vid bristande tillgänglighet:

Möjliga konsekvenser av bristande tillgänglighet


Klass 1: Inga konsekvenser

Klass 2: Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners. Måttliga produktionsbortfall.

Klass 3: Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje. Stort produktionsbortfall.

Klass 4: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners. Mycket stort produktionsbortfall.

 

Fråga Skyddsnivå Konsekvens av bristande tillgänglighet
Vad kan konsekvenserna bli ifall någon (som är behörig) inte får tillgång till uppgifterna? T 1

Inga konsekvenser

T 2: Tillgång till informationen kräver grundläggande skydd

Avbrott i system medför lindrig påverkan på verksamheten

T 3: Tillgång till informationen kräver högt skydd

Avbrott i system kräver stora omprioriteringar i verksamheten

T 4: Tillgång till informationen kräver mycket högt skydd

Förlust av data ger mycket höga återställningskostnader i tid och pengar

Exempel på information

Klass 1: 

Klass 2: Personalärenden, ekonomidata, lönelistor, loggar

Klass 3: Universitetets diarium

Klass 4: Nationella system, till exempel Ladok

Chatarina Wiklund
2022-12-13