Informationssäkerhet
Informationssäkerhet eller infosäk är de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs. För en organisation kan det handla om att skydda information mot en uppsättning hot för att säkerställa verksamhetens kontinuitet (exempelvis genom att säkerställa tillgång till källkod till verksamhetskritiskprogramvara), minimera verksamhetsrisken och maximera avkastningen på investeringar och affärsmöjligheter.
Informationen som ska skyddas kan vara tryckt på papper, vara lagrad elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation.
Möjliga säkerhetsåtgärder är att införa en viss policy, rutin, process, organisationsstruktur eller olika mjuk- och hårdvarufunktioner. Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka, granska och förbättra dessa åtgärder för att säkerställa att organisationens säkerhets- och verksamhetsmål uppnås.[1]
Som stöd för arbete med informationssäkerhet finns standarderna i ISO/IEC serien som utgår från bland annat CIA-triaden[2] eller -tringeln för info
Vad är informationssäkerhet?
En förutsättning för att detta ska vara möjligt är att alla känner till vad som är skyddsvärt och hur skyddsvärt det är, eftersom det är först då som informationen kan tas om hand och skyddas på rätt sätt. En metod för att identifiera skyddsvärden är därför helt nödvändig.
Informationsklassificering
Genom informationsklassificering bedömer man informationens skyddsvärde utifrån de tre grundläggande principerna för informationssäkerhet:
- Konfidentialitet
- Riktighet
- Tillgänglighet
Det handlar om att analysera vilka konsekvenserna skulle bli om informationen är tillgänglig för obehöriga, förvanskas genom manipulation eller inte är tillgänglig när den behövs. Man skulle kunna säga att informationsklassificering handlar om att göra en skadebedömning i förväg.
Precision i säkerhetsarbetet
När skyddsvärdet är känt kan man planera sina skyddsåtgärder. Det är viktigt att ha hög precision i det här arbetet, vilket innebär att skyddet ska vara tillräckligt bra, det vill säga vare sig för svagt eller för krångligt eller kostsamt. Inte överskydd, inte underskydd utan rätt skydd.
Hotbild
För att kunna skydda informationen på rätt sätt bör du, förutom a
Vad är informationssäkerhet?
Informationssäkerhet handlar i grund och botten om att säkra upp skyddsvärd information.
Med skyddsvärd information menar man helt enkelt värdefull information. Information som du varken vill förlora, eller låta dina konkurrenter eller allmänheten få ta del av. I de allra flesta fall handlar det om ritningar, personuppgifter, strategier och planer som antingen ägs av din organisation eller som du fått till dig av en leverantör eller underleverantör.
När man pratar om informationssäkerhet brukar man ofta utgå ifrån en välkänd vägledande princip, den så kallade CIA triaden. Triaden består av tre delar som tillsammans utgör en bas och utgångspunkt för hur information kan skyddas.
CIA står för konfidentialitet (confidentiality), riktighet (integrity) och tillgänglighet (availability). Det finns också andra varianter på översättningen men principen är densamma.
Konfidentialitet innebär att man ser till att skydda sin information från att avslöjas eller spridas till andra obehöriga personer. Här rör det sig om att dels skydda sina informationstillgångar från yttre hot som kan komma i form av cyberattacker, men även skydda internt och förhindr
Vad ingår i informationssäkerhet?
Informationssäkerhet innebär att skydda information utifrån krav på dess konfidentialitet, riktighet och tillgänglighet. Det gäller såväl hos enskilda som hos organisationer, både i näringslivet och i offentlig verksamhet. Informationssäkerhet omfattar därför hela samhället.
Vilka är de tre principerna för god informationssäkerhet?
Informationssäkerhet utgörs av tre aspekter; att informationstillgångar ska vara konfidentiell, riktig och tillgänglig (se Figur 1).
Vad är informationssäkerhetspolicy?
Policyn uttrycker ledningens övergripande viljeinriktning. När det gäller informationssäkerhet kan policyn kallas för informationssäkerhetspolicy eller för säkerhetspolicy om den gäller allt säkerhetsarbete. Under policyn finns styrdokument som innehåller bindande regler, så kallade ”ska-regler”.
Hur arbetar man med informationssäkerhet?
Arbetet med informationssäkerhet omfattar att införa och förvalta administrativa regelverk så som policys och riktlinjer, tekniskt skydd med bland annat brandväggar och kryptering samt fysiskt skydd med till exempel skal- och brandskydd.
Vad är Informationsklassning?
Informationsklassning är en
.