KLASSA Användarforum 18/9

Frågor

Svar

Tidigare webbinarium kom frågan om det var tillsvidareanställda eller alla, även timvikarier, uppdragstagare, politiker etc?

Avgifterna är beräknade utifrån SKR:s novemberstatistik över antal anställningar. Samtliga medarbetare i organisationen har rätt att skapa konto om organisationen köper en KLASSA-licens. Vi kommer inte att göra skillnad på anställningsformer.

Hur länge kommer det rabatterade priset gälla?

Det rabatterade priset gäller tills vidare, det finns i dagsläget ingen sluttid beslutad.

hur vet man vem som i kommunen får denna information?

SKR har som ambition att skicka ut informationen till de personer som finns upptagna som “huvudadministatörer” för er KLASSA. Säkerställ att det är rätt personer som finns i den listan.

Vem gör migreringen till KLASSA 5.0?

SKR har ställt krav på ett verktyg för migrering med en knapptryckning för att förenkla processen för migreringen, men migreringen behöver ändå styras och kontrolleras.

Därför resonerar vi utifrån att drift (SKR/Regent) ansvarar för flytten, snarare än att varje organisation själva migrerar fritt.

Menar ni att avgiften baseras på alla anställda i kommunen eller bara antalet som ska använda KLASSA?

Avgifterna är beräknade utifrån SKR:s novemberstatistik över antal anställningar. Samtliga medarbetare i organisationen har rätt att skapa konto om organisationen köper en KLASSA-licens. Vi kommer inte att göra skillnad på anställningsformer.

Kommer handlingsplanen anpassas lite efter hur man svarar på frågorna? För just nu känns det övermäktigt att gå igenom allt, och allt är inte heller relevant.

Ja, i och med KLASSA:s nya flödestänk kommer det att resultera i att de krav som kommer fram blir mer relevanta och därmed färre.

Jag bygger på din fråga. Kommer handlingsplanen reducera de delarna som redan uppfylls så att den blir tydligare och enklare att hantera?

Den nya funktionen i KLASSA 5.0 med “vägvalsflöden” har tillkommit av just den här orsaken.

Kan man gallra inaktiva användare i systemet automatiskt?

Ja, det är tanken.

Hur ser ni på riskmodulen och on-preem kontra molnlagring?

KLASSA är inte en molntjänst. KLASSA 4.0 är produktionssatt i, och KLASSA 5.0 kommer produktionssättas i, SKR:s säkra miljö.

Riskmodulen kommer finnas tillgänglig för organisationer i SKR:s produktionssatta KLASSA 5.0.

Vid genomförande av klassning, kan man ha mallar där de frågor som är organisationsövergripande inte behöver gås igenom vid varje tillfälle? Frågor som rör organisation och inte informationshanteringen/systemet som klassas.

Vi kommer inte att ha några mallar, men vi tror att den nya flödesstrategin gör att antalet krav blir mer relevanta och att mallar därför inte kommer att behövas.

Syftet med vägvalsflöden i KLASSA 5.0 är att det inte ska behövas några mallar.

Norrbottens kommuner har samma verksamhetssystem inom vård och omsorg, kan man göra en gemensam verksamhetsklassning på det med alla kommuner?

Det är möjligt att organisera flera juridiska organisationer i samma organisationsträd i KLASSA 5.0.

Finns tanken att analysobjekt kan vara verksamhetsprocesser?

Ja, analysobjektet i KLASSA 5.0 kan egentligen vad som helst. Processer, informationstillgångar, system, informationsbehandlingsresurser o.s.v.

Kommer de historiska klassningarna att flyttas över, dvs klassningar från version 3?

Vi kommer endast att flytta över klassningar från den senaste katalogversionen.

Kommer dessa kravkataloger uppdateras allt eftersom?

Kravkataloger och och flöden kommer dynamiskt att uppdateras utifrån behov.

Hur länge kommer KLASSA 4.0 leva?

KLASSA 4.0 kommer att vara produktionssatt i tre månader efter att KLASSA 5.0 är produktionssatt, för att säkerställa migreringen för organisationerna och SKR/Regent.

Då bör man klassa om klassa, till den nya versionen? Samt riskanalys på migreringen?

Man kan skapa nya klassningar i KLASSA 5.0.

Beroende på hur organisationen är uppsatt kommer den nya klassningen antingen att följa version 4, version 5 eller er egen version.

Men man behöver inte göra en ny riskanalys på överföringen? Att man tar höjd för informationstapp, jag misstror såklart inte ert arbete men det ska göras vid förändringar.

KLASSA spelar en viktig roll i en organisations informationssäkerhetsarbete och borde vara en naturlig del i riskhanteringsarbetet, självklart också som ett objekt att göra riskanalys kring.

SKR anser att det är klokt att användarorganisationen gör en riskanalys vid övergången från KLASSA 4.0 till KLASSA 5.0.

Kommer "standardurvalet" som vi har satt på central nivå kring frågor inför klassning för verksamheterna att följa med till KLASSA 5.0? Eller behöver vi göra ett nytt urval?

KLASSA 5.0 baseras till stor del på de nya vägvalsflödena. Det behöver göras en avstämning vad som är ert standardurval och vad som de nya vägvalsflödena valt att adressera organisationsövergripande resp. verksamhetsnära.

Finns det en demoversion - så att man får känna på 5.0 innan man tar ett beslut (testversion)?

SKR planerar för att släppa kortare demonstrationsvideos under oktober.

Finns det någon möjlighet att ni demar den nya KLASSA?

SKR planerar för att släppa kortare demonstrationsvideos under oktober.

kommer det erbjudas användarutbildning för 5.0?

SKR erbjuder idag utbildningar i KLASSA och det kommer vi att fortsätta med.

På Adda:s hemsida finns mer information om kommande utbildningstillfällen, https://www.adda.se/utbildningar/utbildningskatalog/effektiv-och-saker-informationsklassning-med-klassa/

Samtliga utbildningstillfällen avser KLASSA 5.0.

Kan man säga att kravmallarna som begränsat antal frågor hittills ersätts med styrning i KLASSA så att utifrån de svar man lämnat begränsas frågorna till de som är adekvata?

Ja, det stämmer. Tanken med de nya flödena är att de krav som genereras kommer vara mer relevanta, och därför blir mallar redundanta.

Kan man vid klassningen ange andra (t.ex. branschspecifika) lagar som information. Även lagar som inte ligger med i kravkatalogen i KLASSA.

Organisationen kan skapa egna kravkataloger med era specifika krav.

Sedan kan ni göra egna flöden som pekar ut vilka som gäller för just denna informationstillgång.

Jag måste dubbelkolla kan man använda KLASSA 5.0 som en registerförteckning enl GDPR

I det vägvalsflöden som skapats för GDPR kommer information som ligger till grund för en registerförteckning att samlas in. Således finns möjligheten för det i KLASSA 5.0.

kan man ha mallar för PUB-avtal och datadelningsavtal i systemet som kopplas till säkerhetskraven?

Det möjliggörs genom länkar, d.v.s. organisationen kan själv peka ut var dessa mallar finns.

Planering av åtgärder, och automatiska påminnelser per mail kring åtgärder, är det något som kommer finnas?

Ja, den funktionaliteten finns redan idag i KLASSA 4.0, men kommer att utökas och också tydliggöras i och med införandet av “Min sida”.

Kommer det som Ted efterfrågar finnas som ex årshjul, där flera funktioner tex kan taggas in eller planeras in? så att man får en överblick över åtgärder?

Idag visas åtgärder som en lista.

Vilka åtgärder du ser beror på dina rättigheter – om du är ägare av en uppföljning kommer den att synas.

HSA id?  Är den federationen tilltänkt?

Ineras IdP återfinns idag inte i Sweden Connect, Sambi eller Skolfederation och skulle således inte möjliggöra för åtkomst till KLASSA 5.0.

SKR tar med sig frågan om att sätta upp en bilateral relation mellan KLASSA 5.0 och Ineras IdP.

Som e-ID som är utfärdade av SaaS, fungerar det? Kanske en dum fråga?

Användarorganisationen bestämmer själv vad som är tillräcklig nivå på e-legitimeringen inför åtkomst till KLASSA.

närmare bestämt wizepass

Användarorganisationen bestämmer själv vad som är tillräcklig nivå på e-legitimeringen inför åtkomst till KLASSA.

Om vi väljer att själva drifta KLASSA, kan vi välja vilken inloggningsmetod vi vill då? Dvs inte behöver gå med i federation?

När ni driftar en on-prem-lösning använder ni er egen IDP eller den IdP ni har som köpt tjänst för konsumtion av e-legitimationer eller motsvarande.

Användarorganisationen bestämmer själv vad som är tillräcklig nivå på e-legitimeringen inför åtkomst till KLASSA.

Kan man byta driftform under resans gång?

Ja, det är fullt möjligt att byta driftform under tiden för avtalstiden.

Finns planer på API?  Koppling till andra ledningssystem

SKR önskar få in fler och tydligare önskemål på API:er. Vad vill ni att de ska kunna hantera?

Hur mycket statistik och rapporter kan man få ut ur klassa?

SKR planerar att utveckla en rapportmodul till KLASSA 5.0, som innebär att olika rapporter och statistik kan genereras i KLASSA.

Finns det någon mer tidsplan för en koncernlicens?

Koncernlicens är under utformning och vi ber att få återkomma inom kort angående detta, men senast mitten av oktober i samband med att avtalsförslag skickas ut.

När man klassar, så kan tre olika frågor vara samma frågor fast från olika krav (NIS, GDPR och ISO 27000), har ni kopplat samman dessa krav, för att undvika många "klassningar"?

Syftet med vägvalsflöden är just att underlätta detta. En fråga som ställs i ett NIS2-flöde, som också återkommer i ett GDPR-flöde, är då redan besvarad.

Kan man skapa behörighetsstyrning som avskiljer dotterbolags användning?

Ja, rättigheter kan tilldelas antingen till en enskild underorganisation eller till hela organisationen.

Dvs. kan man skapa koncernanvändning och dotterbolagsanvändning i 5.0?

Ja