Publicerad: 30 november 2015

Klassning av information och informationssäkerhet

En oerhört viktig del i processen är arbetet med klassning av information och informationssäkerhet. Det görs när processbilden är kartlagd, behoven specificerade och man vet någorlunda vilken information som kommer flöda i systemen och vilka andra system som eventuellt påverkas till exempel via integrationer.

Föregående: It-arkitektur - Nästa: Avtal

Att göra en workshop kring informationssäkerhet innebär att tydliggöra vilken information som finns i systemet, allt från personuppgifter till fritextskrivande, och vilka krav verksamheten har på informationen. Man diskuterar också olika risker och tänkbara hot, vad det innebär om obehöriga kommer åt informationen och så vidare.

Allting dokumenteras för att sedan användas i såväl kravställning som internt. Det här kallas informationssäkerhetsklassificering och risk- och sårbarhetsanalys och innebär att verksamheten beslutar vilket värde informationen i systemet har. SKL har tagit fram en mall att använda för dokumentation i det arbetet.

Workshop om informationssäkerhet

Projektledaren bjuder in till en workshop för att göra en informationssäkerhetsklassning och risk- och sårbarhetsanalys.

Deltagare på mötet ska vara:

  • systemförvaltare
  • informationsägare (någon som på relativt hög nivå kan besluta om vägval och avgränsningar)
  • användare av systemet
  • it-arkitekt
  • informationssäkerhetsansvarig
  • jurist eller personuppgiftsombud

Under mötet, som informationssäkerhetsansvarig leder tillsammans med projektledaren, går man igenom vilken information som kommer att finnas i systemet, vilka lagrum man har att förhålla sig till och hur viktigt det är för verksamheten att informationen kan garanteras utifrån dessa perspektiv: 

  • Riktighet – vikten av tillförlitlig, korrekt, fullständig information
  • Konfidentialitet–  vikten av åtkomstbegränsning, insynskydd
  • Spårbarhet  – vikten av att kunna spåra olika händelser i systemem
  • Tillgänglighet– vikten av tillgång till informationen inom önskad tid

Det handlar alltså om att genom informationssäkerhetsklassificeringen avgöra vilken nivå av säkerhet informationen behöver ha. Det finns fyra nivåer, där nivå 1 innebär ringa skada för verksamheten om det finns brister i till exempel informationens riktighet. Om man bedömer att verksamheten skulle drabbas av allvarlig eller katastrofal skada vid brister i informationen blir klassningen Nivå 4.

Varje kategori, riktighet, konfidentialitet, spårbarhet och tillgänglighet, bedöms separat. Klassificeringen resulterar i olika krav på it-systemet när det gäller inloggning och behörighetsstyrning med mera. Krav som ska vara med i förfrågningsunderlaget. .

Risk- och sårbarhetsanalys

Nästa steg i arbetet med informationssäkerhet är att göra en risk- och sårbarhetsanalys.

Utifrån informationsklassningen fortsätter man diskussionen kring vilka eventuella hot och risker man ser, hur sannolikt det är att de inträffar och vilken konsekvens det skulle kunna få för verksamheten. 

Resultatet

När arbetet med informationsklassning och risk- och sårbarhetsanalys är klart omsätts det till ett antal krav så att informationen i systemet skyddas på det sätt som behövs. Åtgärder som kan behöva vidtas internt, oavsett upphandlingen, tydliggörs också i det här arbetet. Det kan röra allt från interna processer som behöver ses över till interna avtal mellan verksamhet och IT. Ett arbete för bland annat systemförvaltaren att ta tag i.

Men det viktigaste i det här sammanhangat är att hitta de krav som ska finnas med i kravställningen och som ska riktas till leverantören. Dessa krav behöver formuleras i nära samarbete mellan informationssäkerhetssamordnaren och it-arkitekten så att de blir anpassade till den it-miljö som finns i kommunen.

För att förenkla informationsklassning av system och förbättra stöd för löpande systemförvaltning och kravställning vid upphandling har SKL tagit fram webbverktyget KLASSA. Via KLASSA kan du få ut handlingsplaner avseende informationssäkerhetsarbete för systemet, men också konkreta krav inför upphandling av systemet.

Verktyget KLASSA

Mittköpings informationsflöde och systemberoenden

SKL om informationssäkerhet

Informationssakerhet.se

Tips

Dela gärna upp workshopen i två delar, eftersom det tenderar att ta tid att diskutera informationsflödet. Hänvisa i kravställningsunderlaget till att arbetet är gjort. Se bland annat kravställningsunderlaget för kravlistan kring informationssäkerhet och Mittköpings klassificeringsdokumentation för att se vilka avgränsningar och vägval Mittköping valt. Valen påverkar säkerhetskraven.

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!

Sidfot