Vägledning för att klassa information

Med hjälp av den här vägledningen kan ni klassa er information och era resurser för att få fram åtgärder som behövs för att skydda informationen.

1. Välj ut den information/det system som ni ska klassa

När behöver vi göra en informationsklassning? 

Informationsklassning bör ligga till grund för val av lämpliga skyddsåtgärder vid dessa tillfällen:

  • Inför personuppgiftsbehandlingar
  • Bedömning av hur forskningsmaterial/data ska hanteras och därmed skyddas
  • Nulägesbedömning och/eller riskanalys av ett informationssystem
  • Anskaffning, nyutveckling eller förändring av IT‑system eller infrastruktur, t.ex. datalagringstjänster
  • Fastställande av säkerhetsdesign av ett informationssystem
  • Förändringar av rättsliga krav
  • Nytillkommen information i verksamheten
  • Fastställande av hanteringsregler av information, t.ex. med avseende på krav på kryptering av e-post, regler för kommunikation via mobiltelefon, etc.

2. Klassa informationen utifrån konfidentialitet, riktighet och tillgänglighet

Konfidentialitet

Ta fram klassningsvärdet i tabellen. Börja med fråga 1 och svara ja eller nej. Svarar ni nej får ni klassningvärdet 0, svarar ni ja behöver ni gå vidare till fråga 2, osv.

Fråga Svar Ja (på någon av frågorna) Svar Nej
1. Är informationen att betrakta som konfidentiell, dvs den får inte komma i orätta händer eller på annat sätt röjas? Fortsätt till fråga 2. Klass 0.

Informationen är att betrakta som publik.

2. Är informationen av värde för Umu (ekonomiskt värde eller förtroende)?

Innehåller informationen integritetskänsliga personuppgifter?

Kan informationen beläggas med sekretess?

Fortsätt till fråga 3. Klass 1.

Informationen är skyddsvärd. Grundläggande skyddsnivå krävs.

3. Innehåller informationen känsliga personuppgifter?

Innehåller informationen särskilt skyddsvärt forskningsmaterial?

Finns krav på säkerhetsskydd (säkerhetsskyddslagen 2018:585)

Klass 3.

Informationen har högt skyddsvärde. Hög skyddsnivå krävs.

Klass 2.

Informationen har betydande skyddsvärde. Utökad skyddsnivå krävs.

Exempel på information

Klass 0: Text som publiceras publikt på Umu:s webb.

Klass 1: Information innehåller personuppgifter och försiktighet gäller vid spridning, delning, publicering. 

Klass 2: Sekretessbelagd information. Integritetskänsliga personuppgifter. Annan värdefull information som forskningsmaterial/data/dokumentation, tillträdesloggar.

Klass 3: Känsliga personuppgifter, lösenord, kryptonycklar, brandväggsregler, eller särskilt skyddsvärt forskningsmaterial, lagöverträdelser, PDA (produkter med dubbla användningsområden).

Möjliga konsekvenser av brister

Klass 0: Inga konsekvenser

Klass 1: Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners, uttryck i sociala medier. Lindrig förtroendeskada.

Klass 2: Betydande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje, uttryck i sociala medier. Riks - och lokalmedia. Betydande förtroendeskada hos samarbetspartners och allmänhet.

Klass 3: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartner, uttryck i sociala medier. Drev i riks- och lokalmedia. Allvarlig förtroendeskada hos samarbetspartners och allmänhet.

Riktighet

Ta fram klassningsvärdet i tabellen. Börja med fråga 1 och svara ja eller nej. Svarar ni nej får ni klassningvärdet 0, svarar ni ja behöver ni gå vidare till fråga 2, osv.

Fråga Svar Ja (på någon av frågorna) Svar Nej

1. Kan oriktig information medföra skada?

Har det betydelse om informationen manipulerats och det inte upptäcks?

Fortsätt till fråga 2.

Klass 0. 

Informationen är att betrakta som publik - ingen skyddsnivå krävs.

2. Kan oriktig information orsaka omfattande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada för Umu eller annan organisation? Forstätt till fråga 3. 

Klass 1.

Informationen är skyddsvärd - Grundläggande skyddsnivå krävs.

3. Kan oriktig information medföra skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer, eller mycket allvarlig skada för Umu eller annan organisation?

Klass 3.

Informationen har högt skyddsvärde - Hög skyddsnivå krävs.

Klass 2. 

Informationen har betydande skyddsvärde - Utökad skyddsnivå krävs. 

Exempel på information

Klass 1: Allmän information till externa användare, intern/extern kommunikation via e-post

Klass 2: Forskningsmaterial, studentuppgifter grund - och forskarutbildning, personalärenden, loggar

Klass 3: Särskilt känslig forskningsmaterial/data/dokumentation, lösenord, kryptonycklar, brandväggsregler

Riktighet, möjliga konsekvenser av brister

Klass 0: Inga konsekvenser

Klass 1: Måttligt obehag eller begränsad ekonomisk förlust enskild individ, eller begränsad skada på egen eller annan organisation

Klass 2: Betydande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada på egen eller annan organisation.

Klass 3: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer. Kan medföra skada på liv eller hälsa för enskilda personer.

Tillgänglighet

Ta fram klassningsvärdet i tabellen. Börja med fråga 1 och svara ja eller nej. Svarar ni nej får ni klassningvärdet 0, svarar ni ja behöver ni gå vidare till fråga 2, osv.

Fråga Svar Ja (på någon av frågorna) Svar Nej
1. Ingen tillgång till informationen - medför det negativ påverkan på verksamheten? Fortsätt till fråga 2.

Klass 0.

Informationen är att betrakta som publik - ingen skyddsnivå krävs.

2. Krävs stora omprioriteringar i verksamheten? Fortsätt till fråga 3. 

Klass 1.

Informationen är skyddsvärd - grundläggande skyddsnivå krävs.

3. Finns krav på fullständig redundans?

Kan förlust av data ge mycket höga återställningskostnader i tid och pengar?

Klass 3.

informationen har högt skyddsvärde - hög skyddsnivå krävs.

Klass 2. 

Informationen har betydande skyddsvärde - utökad skyddsnivå krävs.

Exempel på information

Klass 1: Personalärenden, ekonomidata, lönelistor, loggar

Klass 2: Universitetets diarium

Klass 3: Nationella system, till exempel Ladok

Möjliga konsekvenser av brister

Klass 0: Inga konsekvenser

Klass 1: Måttlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Enstaka missnöjda samarbetspartners. Måttliga produktionsbortfall.

Klass 2: Betytande negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Begränsat missnöje. Stort produktionsbortfall.

Klass 3: Allvarlig negativ påverkan på egen eller annan organisation och dess tillgångar eller enskild individ. Flertalet missnöjda samarbetspartners. Mycket stort produktionsbortfall.

 

Chatarina Wiklund
2021-06-11