Den som jobbar med it-anskaffningar eller it-projekt kommer i kontakt med en rad olika begrepp. Här ska det handla om informationssäkerhet.
ISO 27000-familjen
Med största sannolikhet har din organisation personer som jobbar med informationssäkerhet och med största sannolikhet är de personerna skolade i principerna från ISO 27000-serien.
Det är en familj av standarder för ledningssystem för informationssäkerhet.
Egenskaper hos information
Ett ledningssystem för informationssäkerhet fokuserar på tre egenskaper hos information. De egenskaperna brukar kallas KRT efter informationens konfidentialitet, riktighet och tillgänglighet – KRT.
Konfidentialitet betyder att endast behöriga kan ta del av informationen.
Riktighet betyder att informationen hålls korrekt och fullständig.
Tillgänglighet betyder att informationen går att ta del av när den behövs.
Det är alltså informationssäkerhet, åtminstone enligt ISO 27000, alltså informationens KRT, konfidentialitet, riktighet och tillgänglighet.
Klassning av information inom informationssäkerhet
Arbete med informationssäkerhet brukar involvera klassning. Det betyder att en organisation tar en informationsmängd och bedömer hur viktigt det är att just den informationsmängden hålls konfidentiell, riktig och tillgänglig.
Ofta används en skala mellan 1-4. En informationsmängd kan till exempel klassas K1, R4, T3.
Enkelt uttryckt betyder då K1 att informationen kan spridas fritt. Den behöver alltså inte vara konfidentiell.
R4 betyder att det är extremt viktigt att informationen hålls riktig, det vill säga att den inte manipuleras eller skadas.
T3 betyder att det i alla fall är mycket viktigt att informationen finns tillgänglig på begäran.
Utifrån denna klassning så dimensionerar sedan organisationen sina åtgärder. Ju högre klassning desto skarpare säkerhetsåtgärder.
It-säkerhet
Här kan vi också nämna it-säkerhet eller it-säkerhetsåtgärder. De är tekniska och är ofta en komponent i att uppnå informationssäkerhet.
En it-säkerhetsspecialist kan till exempel undersöka hur en krypteringsalgoritm har implementerats, så att information hålls konfidentiell och riktig. Eller granska hur it-arkitektur är uppbyggd för att vara tillräckligt robust så att information förblir tillgänglig när den behövs.
Stort mått av självbestämmande
En tumregel inom informationssäkerhet är att den egna organisationen har ett ganska stort mått av självbestämmande. En organisation kan till exempel hantera en risk på olika sätt:
- undanröja risken helt,
- minska sannolikheten att risken inträffar,
- försöka mildra konsekvenserna om risken inträffar,
- försäkra sig mot risken, eller
- acceptera risken.
En organisation avgör också själv vilka siffror en informationsmängd ska klassas till, vad de olika nivåerna av klassning betyder och vilka säkerhetsåtgärder som ska användas för att möta klassningen.
Därför är informationssäkerhet viktigt
Informationssäkerhet är viktigt – i den mån det är viktigt att information hålls konfidentiell, riktig och tillgänglig när det behövs.
Men det är inte heller så att användning av molntjänster börjar och slutar med informationssäkerhet.
Lyfter vi in personuppgiftsbehandling så tillkommer en rad principer, skyldigheter och rättigheter för individer. Dessa har inte alltid så mycket att göra med just informationssäkerhet. Det handlar dessutom om specifika lagstadgade skyldigheter, så en organisation styr inte själv på samma sätt vad den måste säkerställa.
Jut dataskydd, som reglerar personuppgiftsbehandling, ska det handla om i nästa avsnitt.
Har du frågor om molntjänster och digitalisering?
Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.