Informationssäkerhet
Information är en central tillgång för Mittuniversitetet och behöver därför ett rimligt och kostnadseffektivt skydd. Informationssäkerhet har till syfte att skydda information mot hot som riskerar informationens konfidentialitet, tillgänglighet och riktighet.
Information kan förvaras och lagras på olika sätt, t.ex. kan den finnas i en dator, på ett papper eller i huvudet på en medarbetare. Den kan också anta olika former, så som illustrerande bilder, systemuppbyggnad, materiella ting, eller ett mail.
Eftersom information både kan lagras och illustreras på olika sätt, kan den också hotas på olika sätt: forskningsmateriel kan läcka, ett system kan sluta fungera och en mobil enhet med viktig information kan tappas bort.
Att arbeta systematiskt med informationssäkerhet innebär att man:
- identifierar och klassificerar informationstillgångar (vilka tillgångar finns? vilka krav och förväntningar finns på tillgångarna? vilken konsekvensnivå blir det om kraven inte uppfylls?)
- identifierar hot mot informationstillgångar
- genomför riskanalyser på identifierade hot
- beslutar om rimlig säkerhetsåtgärd
All information är mer eller mindre skyddsvärd, men det gäller att använda våra resurser effektivt, och skapa en balans mellan implementerade säkerhetsåtgärder och värdet på informationen. Beroende på vilket resultat (sannolikhet och konsekvens) som visas i riskanalysen, fattas beslut på hur en risk behandlas.
IT-säkerhet och informationssäkerhet förväxlas ofta, och här betonas att det inte är samma sak. IT-säkerhet är en metod som kan väljas för att behandla en risk (efter genomförd riskanalys) och på så sätt skydda information. Informationssäkerheten däremot, omfattar mer än bara IT-säkerhet, t.ex. administrativa rutiner, säkerhet i våra arkiv, behöriga medarbetare och tystnadsplikt.
Myndigheten för samhällsskydd och beredskap (MSB), styr i föreskriften MSBFS 2009:10 hur informationssäkerhet ska hanteras vid svenska myndigheter. Detta arbete ska ske enligt ISO standarderna 27001:2006 och 27002:2005.
