Information är en central tillgång för Mittuniversitetet och behöver därför ett rimligt och kostnadseffektivt skydd. Informationssäkerhet har till syfte att skydda information mot hot som riskerar informationens konfidentialitet, tillgänglighet och riktighet.
Information kan förvaras och lagras på olika sätt, t.ex. kan den finnas i en dator, på ett papper eller i huvudet på en medarbetare. Den kan också anta olika former, så som illustrerande bilder, systemuppbyggnad, materiella ting, eller ett mail.
Eftersom information både kan lagras och illustreras på olika sätt, kan den också hotas på olika sätt: forskningsmateriel kan läcka, ett system kan sluta fungera och en mobil enhet med viktig information kan tappas bort. Att arbeta systematiskt med informationssäkerhet innebär att man:
identifierar och klassificerar informationstillgångar (vilka tillgångar finns? vilka krav och förväntningar finns på tillgångarna? vilken konsekvensnivå blir det om kraven inte uppfylls?)
identifierar hot mot informationstillgångar
genomför riskanalyser på identifierade hot
beslutar om rimlig säkerhetsåtgärd
All information är mer eller mindre skyddsvärd, men det gäller att använda våra resurser effektivt, och skapa en balans mellan implementerade säkerhetsåtgärder och värdet på informationen. Beroende på vilket resultat (sannolikhet och konsekvens) som visas i riskanalysen, fattas beslut på hur en risk behandlas.
IT-säkerhet och informationssäkerhet förväxlas ofta, och här betonas att det inte är samma sak. IT-säkerhet är en metod som kan väljas för att behandla en risk (efter genomförd riskanalys) och på så sätt skydda information. Informationssäkerheten däremot, omfattar mer än bara IT-säkerhet, t.ex. administrativa rutiner, säkerhet i våra arkiv, behöriga medarbetare och tystnadsplikt.
Myndigheten för samhällsskydd och beredskap (MSB), styr i föreskriften MSBFS 2009:10 hur informationssäkerhet ska hanteras vid svenska myndigheter. Detta arbete ska ske enligt ISO standarderna 27001:2006 och 27002:2005.
Information i dess olika former ses idag som en viktig resurs för att samhället ska kunna fungera. Men informationshantering i olika former tillgodoser inte bara våra behov – den skapar också beroenden och risker. För att undvika störningar och kunna hantera kriser behövs ett ändamålsenligt förebyggande arbete med informationssäkerhet i hela samhället.
Informationssäkerhet innebär att man säkerställer att rätt information finns tillgänglig till rätt person i rätt tid.
Konfidentialitet
egenskapen att information inte tillgängliggörs eller avslöjas till en obehörig individ, enhet eller process.
Tillgänglighet
egenskapen att information ska vara åtkomlig och användbar vid begäran av en behörig individ, enhet eller process.
Riktighet
egenskapen att skydda exaktheten och fullständigheten gällande informationstillgångar.
Myndigheten för samhällsskydd och beredskap, MSB, föreskriver i 4§ Föreskrifter (MSBFS 2009:10) om statliga myndigheters informationssäkerhet att en myndighet ska klassificera sin information med utgångspunkt i krav på:
- Konfidentialitet - egenskapen att information inte tillgängliggörs eller avslöjas till obehöriga individer, enheter, eller processer
- Riktighet - egenskapen att skydda exaktheten och fullständigheten gällande tillgångar
- Tillgänglighet - egenskapen att vara åtkomlig och användbar vid begäran av en behörig enhet
Vad kan du som privatperson tänka på?
Skapa ett säkert lösenord
Skydda dig mot identitetsstöld
Läs mer på dinsäkerhet.se
