Informationsklassning är processen att kategorisera information baserat på dess känslighet och de konsekvenser som uppstår om den röjs, ändras eller blir otillgänglig. Klassningen avgör vilka skyddsåtgärder som krävs för hantering, lagring, överföring och radering av informationen.
Två parallella system i Sverige
I Sverige används två huvudsakliga ramverk för informationsklassning:
Säkerhetsskyddslagen: Information som rör Sveriges säkerhet (skyddsvärd information) klassificeras som kvalificerat hemlig, hemlig, konfidentiell eller begränsat hemlig.
MSB:s modell: Myndigheten för samhällsskydd och beredskap (MSB) har en bredare modell som klassificerar information utifrån konfidentialitet, riktighet och tillgänglighet – ofta med nivåer från 0 (ingen kravnivå) till 3 (allvarlig konsekvens).
Informationsklassning i praktiken
Organisationer bör klassificera all information – inte bara den som rör säkerhetsskydd. Klassningen styr vilka tekniska åtgärder som krävs: kryptering, åtkomstkontroll, DLP, backup-rutiner och fysisk säkerhet. ISO 27001 kräver att organisationer har en informationsklassningsprocess.