Dataklassifikation

Dataklassifikation er processen med at kategorisere data efter følsomhed, værdi og kritikalitet. Formålet er at sikre, at hvert stykke data får det rette beskyttelsesniveau, og at medarbejderne ved, hvordan forskellige datatyper skal håndteres.

Tilbage til ordbog

Hvad er dataklassifikation?

Dataklassifikation handler om at tildele data et niveau baseret på, hvor følsomme de er, og hvilken skade det ville forårsage, hvis de blev kompromitteret. Uden klassifikation behandler organisationer ofte alle data ens, hvilket enten fører til overbeskyttelse (dyrt og besværligt) eller underbeskyttelse (risikabelt).

Klassifikation danner grundlag for en række andre sikkerhedsforanstaltninger. Adgangskontrol bygger på klassifikation for at afgøre, hvem der må se hvad. DLP-løsninger bruger klassifikation til at forhindre, at følsomme data forlader organisationen. Og datamaskering anvendes typisk på data, der er klassificeret som fortrolige eller strengt fortrolige.

En effektiv klassifikation kræver både tekniske værktøjer og klare politikker. Medarbejdere skal vide, hvad de forskellige niveauer betyder, og hvordan de mærker og håndterer data i dagligdagen.

Klassifikationsniveauer

De fleste organisationer bruger tre til fire niveauer. Her er en typisk model:

Offentlig: Data der frit kan deles eksternt. Eksempler: pressemeddelelser, offentlige prislister, marketingmaterialer.
Intern: Data der kun er beregnet til medarbejdere. Eksempler: interne procedurer, organisationsdiagrammer, mødereferater.
Fortrolig: Data hvor uautoriseret adgang kan skade organisationen. Eksempler: kundedata, finansielle rapporter, kontrakter.
Strengt fortrolig: Data hvor kompromittering kan have alvorlige konsekvenser. Eksempler: følsomme persondata, forretningshemmeligheder, kryptografiske nøgler.

Hvert niveau bør have tilknyttede håndteringsregler: hvem der har adgang, hvordan data opbevares, om kryptering er påkrævet, og hvilke regler der gælder for sletning.

Implementering i praksis

En god implementering af dataklassifikation følger disse trin:

Definér niveauer og regler: Fastlæg klassifikationsniveauer, der passer til organisationens risikoprofil. Beskriv håndteringsregler for hvert niveau.
Kortlæg data: Identificer, hvor data befinder sig, hvem der ejer dem, og hvor følsomme de er. Det hænger tæt sammen med identitetsstyring og privilegeret adgangsstyring.
Mærk data: Anvend labels eller tags, enten manuelt eller automatisk. Automatiserede værktøjer kan scanne filer, databaser og e-mails for at foreslå klassifikation.
Håndhæv regler: Brug DLP til at forhindre lækage af klassificerede data. Konfigurér adgangskontrol baseret på klassifikationsniveau.
Træn medarbejdere: Sikkerhedsbevidsthed er afgørende. Medarbejdere skal forstå, hvorfor klassifikation er vigtig, og hvordan de gør det korrekt.

Overvåg løbende med SIEM-systemer for at opdage, om klassificerede data håndteres forkert, og justér politikker baseret på erfaringer.

Regulativer og standarder

GDPR kræver, at organisationer implementerer passende tekniske og organisatoriske foranstaltninger baseret på risiko. Dataklassifikation er i praksis en forudsætning for at kunne vurdere risiko og vælge det rette beskyttelsesniveau.

ISO 27001 behandler klassifikation eksplicit i Annex A, kontrol A.5.12–A.5.13, som kræver en klassifikationspolitik og tilhørende mærkningsordning. Det er en central del af ethvert ISMS.

NIS2 forventer, at væsentlige og vigtige enheder har overblik over deres kritiske data og systemer. DORA stiller lignende krav til finansielle institutioners dataaktiver. CIS 18 adresserer databeskyttelse i kontrol 3, som specifikt handler om databeskyttelse og klassifikation.

Ofte stillede spørgsmål om dataklassifikation

Hvad er de typiske klassifikationsniveauer?

De fleste organisationer bruger tre til fire niveauer: Offentlig (ingen risiko ved deling), Intern (kun for medarbejdere), Fortrolig (begrænset adgang) og Strengt fortrolig (kun specifikt autoriserede personer). Navnene varierer, men princippet er det samme.

Kræver GDPR dataklassifikation?

GDPR nævner ikke dataklassifikation direkte, men kræver passende tekniske og organisatoriske foranstaltninger baseret på risiko. I praksis er dataklassifikation en forudsætning for at vurdere risiko og vælge rette beskyttelsesniveau.

Hvordan kommer man i gang med dataklassifikation?

Start med at definere klassifikationsniveauer og tilhørende håndteringsregler. Kortlæg derefter dine vigtigste datakilder og tildel niveauer. Brug tekniske værktøjer til automatisk klassifikation, og træn medarbejderne i at mærke data korrekt.

Kan dataklassifikation automatiseres?

Ja, mange DLP-værktøjer og datasikkerhedsplatforme kan automatisk scanne og klassificere data baseret på indhold, metadata og kontekst. Automatisering reducerer risikoen for fejl og gør det muligt at håndtere store datamængder.