Vad är informationsklassning inom ISO 27001?

Informationsklassning är att dela in företagets information baserat på hur känslig och kritisk den är. Det handlar om att förstå vilken information som behöver högst skydd och vilken som kan hanteras mer öppet.

För företag som arbetar med ISO 27001 är informationsklassning en grundläggande säkerhetsåtgärd. Den hjälper er att skydda rätt information på rätt sätt – varken mer eller mindre än vad som behövs.

Varför informationsklassning är viktigt

Tänk på hur olika typer av information påverkar ert företag om den hamnar i fel händer:

Personaldata med personnummer och löneuppgifter – Om dessa läcker riskerar ni GDPR-böter och medarbetare som tappar förtroendet.

Kundregister med kontaktuppgifter – Mindre känsligt än personaldata, men fortfarande värdefullt för konkurrenter och skadligt om det missbrukas.

Publika pressmeddelanden – Ingen skada alls om dessa sprids, eftersom de är avsedda för allmänheten.

Utan informationsklassning behandlar många företag all information lika. Det leder till två problem:

1. Överdriven säkerhet – Ni lägger resurser på att skydda information som inte behöver det
2. Undermålig säkerhet – Känslig information får inte det skydd den kräver

Informationsklassning löser detta genom att ge varje typ av information rätt skyddsnivå.

Vad ISO 27001 kräver

ISO 27001:2022 Bilaga A kontroll 5.12 (Classification of information) anger att organisationer måste klassificera information baserat på:

• Konfidentialitet – Hur känslig är informationen? Vad händer om obehöriga får tillgång?
• Integritet – Hur kritiskt är det att informationen är korrekt och oförändrad?
• Tillgänglighet – Hur snabbt måste informationen vara tillgänglig för verksamheten?

Standarden kräver också att ni:

• Skapar tydliga klassningsnivåer anpassade efter er verksamhet
• Dokumenterar vilka regler som gäller för varje nivå
• Utbildar personal så de förstår systemet
• Regelbundet ser över och uppdaterar klassningen

Vanliga klassningssystem

Det finns flera etablerade system för informationsklassning. Valet beror på er verksamhet, bransch och eventuella lagkrav.

Svenska system

SIS och MSB använder 5-gradiga skalor:

1. Publik information – Ingen skada om den sprids
2. Intern information – Mindre skada, främst internt
3. Konfidentiell information – Betydande skada på verksamheten
4. Strikt konfidentiell information – Allvarlig påverkan på verksamheten
5. Kvalificerad hemlig information – Avgörande för företaget, kan hota överlevnaden

Dessa system passar svenska företag bra och lagstiftning. De ger också bra flexibilitet när ni behöver justera skyddsnivåer.

Internationella system

USA, Storbritannien, Tyskland och Frankrike har egna klassningsstandarder. Norge, Danmark och Finland använder liknande 5-gradiga system som Sverige.

Rekommendation för svenska företag: Använd ett 5-gradigt system som SIS eller MSB. De är mer nyanserade än 3-gradiga system och lättare att översätta till andra länders klassificeringar när ni samarbetar internationellt.

Så här fungerar informationsklassning i praktiken

Låt oss ta ett konkret exempel från ett svenskt tillverkningsföretag:

Produktionsrecept

Bedömning:

• Konfidentialitet: Nivå 4 (konkurrenter skulle tjäna enormt på att få tillgång)
• Integritet: Nivå 5 (fel i receptet stoppar produktionen)
• Tillgänglighet: Nivå 4 (produktionen står still utan tillgång)

Övergripande klassning: Nivå 5 (högsta av de tre)

Säkerhetsåtgärder som följer:

• Kryptering vid lagring och överföring
• Tvåfaktorsautentisering för åtkomst
• Detaljerad åtkomstloggning
• Backup var 6:e timme
• Begränsad åtkomst endast för godkända produktionschefer

Internt nyhetsbrev

Bedömning:

• Konfidentialitet: Nivå 1 (publiceras internt, ingen skada om det läcker)
• Integritet: Nivå 2 (mindre viktigt om ändringar görs)
• Tillgänglighet: Nivå 2 (kan vänta några dagar)

Övergripande klassning: Nivå 2

Säkerhetsåtgärder som följer:

• Standardåtkomst via inloggning
• Daglig backup
• Ingen kryptering nödvändig

Skillnaden i säkerhetsåtgärder är enorm – och helt rimlig utifrån informationens värde för verksamheten.

Kopplingen till riskhantering

Informationsklassning är startpunkten för er riskhantering inom informationssäkerhet.

När ni vet vilken information som är mest kritisk kan ni:

1. Prioritera riskbedömningar – Börja med den information som har högst klassning
2. Välja passande säkerhetsåtgärder – Nivå 5-information får starkare skydd än nivå 2
3. Fördela resurser effektivt – Lägg budgeten där den gör mest nytta

Utan informationsklassning blir riskbedömningen gissningsarbete. Med klassning får ni en faktabaserad grund att stå på.

Vanliga misstag att undvika

Överklassificering

Vissa företag klassificerar nästan all information som "konfidentiell" eller högre. Det leder till:

• Frustration hos medarbetare som inte kan göra sitt jobb effektivt
• Slöseri med säkerhetsresurser
• Minskad efterlevnad eftersom reglerna känns orimliga

Lösning: Var ärliga med vilken information som verkligen är känslig. Publik information ska klassas som publik.

Underklassificering

Andra företag klassificerar för lågt för att "förenkla". Det leder till:

• Otillräckligt skydd för kritisk information
• Ökad risk för säkerhetsincidenter
• Svårigheter att uppfylla GDPR och andra lagkrav

Lösning: Tänk igenom vad som händer om informationen läcker, ändras eller blir otillgänglig.

Glömma att uppdatera klassningen

Information förändras över tid. Produktionsreceptet som var topphemligheten förra året kanske inte är lika kritiskt nu när produkten är utfasad.

Lösning: Gör det regelbundet – se över klassningen minst årligen.

Olika klassningar mellan avdelningar

När HR klassificerar personaldata som nivå 3 men ekonomi klassificerar samma data som nivå 4 uppstår förvirring och säkerhetsrisker.

Lösning: Skapa en tydlig policy som gäller hela organisationen och utbilda alla som klassificerar information.

Koppling till andra ISO 27001-krav

Informationsklassning stöder flera andra kontroller i ISO 27001:

Bilaga A 5.9 – Inventering av tillgångarNi måste veta vilken information ni har innan ni kan klassificera den.

Bilaga A 5.10 – Godtagbar användning av informationKlassningen avgör vilka regler som gäller för hur information får användas.

Bilaga A 5.13 – Märkning av informationMärk information enligt sin klassning där det passar (t.ex. "Konfidentiellt" i sidfoten).

Bilaga A 8.12 – Förebyggande åtgärder mot dataläckageInformation med hög klassning behöver starkare skydd mot läckage.

Hur AmpliFlow stöder informationsklassning

Vid ISO 27001-implementeringsprojekt sätter våra konsulter upp en anpassad informationsklassningsmatris som utgångspunkt för er verksamhet. Beroende på projektnivå (mini, midi eller maxi) får ni olika nivåer av stöd att anpassa klassningssystemet till just era behov.

Denna mall hjälper er att:

• Registrera all information
• Klassificera varje del enligt konfidentialitet, integritet och tillgänglighet
• Dokumentera säkerhetsåtgärder för varje klassningsnivå
• Tilldela ägare och ansvariga
• Schemalägga regelbundna granskningar
• Spåra ändringar över tid

Praktiska steg för att komma igång

Om ni ska införa informationsklassning i er organisation, följ dessa steg:

1. Välj klassningssystem

Bestäm om ni ska använda SIS, MSB eller ett annat system. För svenska företag rekommenderar vi ett 5-gradigt system.

2. Definiera klassningsnivåer

Skriv tydliga beskrivningar för varje nivå som passar er verksamhet:

• Vad betyder nivå 1-5 i er kontext?
• Vilka konsekvenser har ett säkerhetsbrott på varje nivå?
• Vilka säkerhetsåtgärder krävs för varje nivå?

3. Inventera information

Lista all viktig information:

• Databaser
• Dokumentsamlingar
• System och applikationer
• Fysiska arkiv

4. Klassificera informationen

För varje del, bedöm:

• Konfidentialitet (1-5)
• Integritet (1-5)
• Tillgänglighet (1-5)

Den högsta nivån blir den övergripande klassningen.

5. Dokumentera och kommunicera

• Skapa en policy för informationsklassning
• Utbilda personal i systemet
• Märk information enligt klassning där det behövs
• Informera om vilka säkerhetsåtgärder som gäller

6. Sätt in säkerhetsåtgärder

Se till att åtgärderna matchar klassningsnivåerna:

• Åtkomstkontroller
• Kryptering
• Backup-frekvens
• Loggning

7. Följ upp och uppdatera

• Granska klassningen minst årligen
• Uppdatera när verksamheten förändras
• Mät efterlevnad och åtgärda avvikelser

Informationsklassning som grund för säkerhetsarbetet

Informationsklassning är inte ett byråkratiskt moment – det är grunden för effektivt informationssäkerhetsarbete.

När ni vet vilken information som är mest värdefull och känslig kan ni:

• Fördela säkerhetsbudgeten där den gör störst nytta
• Ge medarbetare tydliga riktlinjer för hur information ska hanteras
• Uppfylla lagkrav som GDPR och ISO 27001
• Visa ledning och kunder att ni tar informationssäkerhet på allvar

För företag som arbetar med ISO 27001 är informationsklassning obligatoriskt enligt Bilaga A kontroll 5.12. Men även om ni inte certifierar er är det ett kraftfullt verktyg för att skydda det viktigaste för er verksamhet.

Börja med att identifiera er mest kritiska information och klassificera den. Bygg sedan ut systemet steg för steg. Med rätt struktur och verktyg behöver det inte vara komplicerat.

Relaterade artiklar:

• ISO 27001: En översikt för icke-tekniska ledare
• Vad är riskhantering?