Hvorfor klassificere information?
Alle informationer er ikke lige beskyttelsesværdige. At behandle alt ens — enten med maksimal eller minimal beskyttelse — er ineffektivt og dyrt. Informationsklassificering giver proportionalitet: rigtig beskyttelse til de rigtige data.
Grundtanken: Hvis du ikke ved, hvad du har, kan du ikke beskytte det rigtigt. Klassificering er første skridt mod bevidst informationshåndtering.
CIA-modellen
De tre beskyttelsesværdier:
| Værdi | Spørgsmål | Eksempel på påvirkning |
|---|---|---|
| Fortrolighed | Hvad sker der, hvis uautoriserede ser dette? | Omdømmeskade, konkurrencetab, GDPR-bøder |
| Integritet | Hvad sker der, hvis informationen ændres? | Forkerte beslutninger, økonomisk tab, farlige produkter |
| Tilgængelighed | Hvad sker der, hvis vi ikke kan få adgang til dette? | Driftsstop, missede deadlines, kundepåvirkning |
Vurder alle tre separat. Information kan have høj fortrolighed men lave tilgængelighedskrav (arkivdata), eller høj tilgængelighed men lav fortrolighed (offentlig hjemmeside).
Klassificeringsniveauer
Information, der er beregnet til offentligheden. Ingen skade, hvis den spredes. Eksempel: Pressemeddelelser, markedsføring, offentlig hjemmeside.
Hverdagsinformation til intern brug. Begrænset skade ved lækage. Eksempel: Intern kommunikation, rutiner, mødekalendere.
Følsom information, der kræver beskyttelse. Betydelig skade ved lækage. Eksempel: Kundedata, forretningsplaner, personoplysninger, kontrakter.
Mest beskyttelsesværdig information. Alvorlig skade ved lækage. Eksempel: Forretningshemmeligheder, følsomme personoplysninger, strategiske planer.
Beskyttelsesforanstaltninger per niveau
| Niveau | Adgang | Lagring | Overførsel | Destruktion |
|---|---|---|---|---|
| Åben | Alle | Ingen krav | Ingen krav | Ingen krav |
| Intern | Ansatte | Grundbeskyttelse | Normal | Normal |
| Fortrolig | Need-to-know | Kryptering | Sikker kanal | Sikker |
| Strengt fortrolig | Strengt begrænset | Stærk kryptering | End-to-end | Verificeret destruktion |
Klassificeringsprocessen
- Identificer informationsaktiver Inventarisér, hvilken information der findes. Systemer, databaser, dokumenter, e-mail, cloud-tjenester. Hvor lagres hvad? Hvem skaber og bruger det?
- Udpeg informationsejere Hver informationskategori har brug for en ejer — den, der forstår forretningsværdien. Ofte afdelingschef eller procesejer, ikke IT.
- Vurder CIA-værdier Informationsejeren vurderer: Hvad sker der ved bristende fortrolighed? Integritet? Tilgængelighed? Brug konsekvenskategorier for konsistens.
- Tildel klassificeringsniveau Baseret på CIA-vurderingen vælges niveau. Højeste enkelte værdi bestemmer. Høj fortrolighed + lav integritet = Fortrolig.
- Definer håndteringsregler Hvilke beskyttelsesforanstaltninger gælder for hvert niveau? Dokumentér i politik. Alle skal vide, hvordan det respektive niveau skal håndteres.
- Implementer mærkning Mærk information med klassificering. I dokumenter, systemer, e-mail. Gør det synligt, hvad der gælder.
- Uddann og følg op Medarbejdere skal forstå systemet. Hvad betyder niveauerne? Hvordan skal de handle? Følg op på compliance.
Mærkning i praksis
Dokumentmærkning:
- Sidehoved/sidefod med klassificeringsniveau
- Forside til følsomme dokumenter
- Filnavnskonvention (f.eks. FORT_rapport.docx)
E-mail-mærkning:
- Emnefeltet: [FORTROLIGT]
- Signaturbanner
- Automatisk mærkning i e-mail-klient
Systemmærkning:
- Metadata i dokumenthåndteringssystem
- Etiketter i SharePoint/Teams
- DLP-integration (Data Loss Prevention)
Fysisk mærkning:
- Etiketter på ringbind og mapper
- Skiltning i rum med følsom information
- Aflåselige skabe til fortroligt materiale
Kobling til GDPR
Personoplysninger kræver særlig opmærksomhed ved klassificering:
| Personoplysningstype | Typisk klassificering | Begrundelse |
|---|---|---|
| Navn, e-mail (almindelige) | Fortrolig | Personoplysninger, GDPR gælder |
| CPR-nummer | Strengt fortrolig | Følsomt, misbrusrisiko |
| Helbredsoplysninger | Strengt fortrolig | Særlig kategori ifølge GDPR |
| Fagforeningsmedlemskab | Strengt fortrolig | Særlig kategori ifølge GDPR |
| Offentlige kontaktoplysninger | Åben | Beregnet til spredning |
Kobling til NIS2
NIS2-relevans:
NIS2-loven kræver “passende tekniske og organisatoriske foranstaltninger” baseret på risiko. Informationsklassificering er grundlæggende for at:
- Prioritere beskyttelse — Fokusere ressourcer på kritisk information
- Definere hændelseskategorier — Hvad er “væsentligt”?
- Leverandørkrav — Hvilken information må deles eksternt?
- Kontinuitetsplanlægning — Hvad skal gendannes først?
Artikel 21-krav, der berører klassificering:
- Risikohåndtering (kræver forståelse af, hvad der er beskyttelsesværdigt)
- Adgangskontrol (baseres på informationens følsomhed)
- Kryptering (afhængig af klassificering)
Center for Cybersikkerhed (CFCS) og relevante sektormyndigheder fører tilsyn med overholdelsen af NIS2-loven.
Almindelige faldgruber
Alt bliver "fortroligt" for sikkerheds skyld. Resultatet: Ingen tager klassificeringen alvorligt, systemet udhules.
IT bestemmer klassificering uden forretningsinput. De forstår ikke forretningsværdien — kun teknologien.
Klassificering foretages én gang og opdateres aldrig. Ny information havner i limbo.
Syv niveauer med 20 attributter. Ingen forstår, ingen følger. Keep it simple.
Klassificering findes på papiret, men intet sker. Samme beskyttelse for alt alligevel.
Fokus på internt, men data i Dropbox, Google Drive, Slack klassificeres ikke.
Automatisering
Manuel klassificering skalerer dårligt. Moderne værktøjer kan hjælpe:
| Funktion | Beskrivelse |
|---|---|
| Automatisk opdagelse | Skanne systemer efter CPR-numre, kreditkort, nøgleord |
| Foreslå klassificering | AI-baserede forslag ud fra indhold |
| Mærkning | Automatisk etiket i dokumenter og e-mail |
| DLP | Forhindre, at fortrolige data sendes forkert |
| Rapportering | Overblik over klassificeret data |
Implementeringstips
Start enkelt:
- Tre-fire niveauer er nok
- Fokuser på ny information først
- Pilotafdeling før organisation
- Iterer baseret på feedback
Forankr:
- Ledelsebeslutning — politik kræves
- Informationsejerskab — udpeg ansvarlige
- Uddannelse — alle skal forstå
- Opfølgning — mål compliance
Teknisk støtte:
- Dokumentskabeloner med mærkning
- E-mail-klassificering
- DLP til overvågning
- Integrerede værktøjer
Sådan kan Securapilot hjælpe
Securapilot understøtter informationsklassificering:
- Aktivregister — Inventarisér og klassificer aktiver
- CIA-vurdering — Struktureret vurdering af beskyttelsesværdier
- Klassificeringspolitik — Skabeloner og vejledning
- Kobling til risiko — Se, hvordan klassificering påvirker risikobilledet
- Rapportering — Overblik over klassificeret information
Book en demo og se, hvordan vi støtter jeres klassificeringsarbejde.
Ofte stillede spørgsmål
Hvor mange klassificeringsniveauer er nødvendige?
3-4 niveauer er tilstrækkeligt for de fleste organisationer. Flere niveauer skaber kompleksitet uden tilsvarende nytte. Almindeligt: Åbne, Interne, Fortrolige, Strengt fortrolige.
Hvem bestemmer klassificeringen?
Informationsejeren klassificerer. Det er den person eller funktion, som er ansvarlig for informationen fra et forretningsperspektiv, ikke IT. IT implementerer beskyttelsen.
Skal vi klassificere alt?
I praksis fokuserer man på information, der skabes og håndteres aktivt. Arkiveret data kan klassificeres efterfølgende ved behov. Start med det mest kritiske.
Hvad sker der, hvis man klassificerer forkert?
Overklassificering fører til unødvendige omkostninger og hindringer. Underklassificering indebærer risiko. Det er bedre at starte forsigtigt og justere end slet ikke at klassificere.
