svenska english

Klassificering av informationstillgångar

Vanliga frågor kring klassificering:

  • Vad är det vi ska skydda och varför?
  • Vem äger tillgången?
  • Var finns informationen så att vi kan bedöma skyddet?
  • Borde vi inte ha en förteckning/register oavsett krav (GDPR/DSF, SSL, kontraktkrav, m.m.)?

Vad är klassificering av informationstillgångar i ett säkerhetsarbete

Man sätter värden på informationstillgångar för att få ett skyddsvärde. Värderingen utgår från informationssäkerhet och är i regel att tre aspekter värderas var för sig: konfidentialitet, riktighet och tillgänglighet, ofta kallat CIA (Confidentiality, Integrity, Availability) men kan även ibland omfatta aspekten spårbarhet.

Utifrån vilka aspekter man vill ha med och värderingsskalor utformar man ett klassificeringssystem där man sedan bedömer/värderar informationstillgångar.

Vad för typer av informationstillgångar man klassificeras är i regel informationstyper eller informationsmängder men kan även omfatta processer och resurser.

klassificering
Bilden visar sammanhanget för klassificering av olika tillgångar

Informationstyper/mängder – är i regel den information som man använder i verksamheten för att kunna uppnå ett resultat i någon form. Verksamheten kan vara hela eller uppdelad på olika funktioner/avdelningar osv. Ett processtänk är bra men inte nödvändigt för att dela in klassificeringen av informationstyper.

Processer – Kan man också bedöma och den klassificeringen kan skilja sig åt om man till exempel vill göra värderingen av personuppgiftsbehandlingar eller för att bedöm kritiska processer ur ett kontinuitetsperspektiv. Detta ger då att andra aspekter från ett processperspektiv (Laglig grund, kritisk tid osv.) Vilket kan vara lämpligt ur ett GDPR och kontinuitets perspektiv så att man får en samlad bild.

Resurser – Vad man sedan bedömt som skyddsvärt kan sedan skyddas beroende på vilka resurser som hanterar informationen. Dessa resurser och vilket skyddsvärde de har beror följaktligen på vad de används till. Själva skyddsåtgärderna skiljer sig åt beroende på om resurserna är mänskliga, digitala eller fysiska. Även leverantörer kan ses som resurser.

Sammanfattningsvis så kan man säga att ett klassificeringssystem som omfattar alla tre typerna av informationstillgångar ovan ger de bästa förutsättningarna för att få nytta och styrning i sitt informationssäkerhetsarbete. (Att bara se på resurser såsom ett IT-system ger i dagens värld inte så mycket då man har samma information i många olika system/tjänster.)

Veriscan syn på klassificering:

  • Det primära syftet med informationsklassificering är att hantera informationssäkerheten på ett effektivt sätt i enlighet med ISO/IEC 27001 och ISO/IEC 27002.
  • Veriscan har metoder och verktyg för informationsklassificering som ger kunden en klassificering som ligger i linje med organisationens krav och möjliggör styrning av informationssäkerhet på lång sikt genom att koppla ihop informationsklassificering med skydd och risk.

Veriscan stödjer klassificering:

  • Stöd vid att identifiera och klassificera processer, information och resurser
  • Kan genomföras med stöd av verktyget Veriscan vIC
  • Utformning av metoder, normskala, modeller, skyddsprofiler etcetera kan ingå
  • Kunden kan efter uppdraget själv ta över förvaltningen av sitt tillgångsregister via licens av Veriscan vIC (eller om kunden har en egen lösning)

Kontakt

Kontakta Veriscan för mer information.
Email: info@veriscan.se

Copyright © — Veriscan Security Sweden AB. All rights reserved.
Privacy Policy