Informationssäkerhet kan definieras så
här: Informationssäkerhet är en samling av åtgärder
som man vidtar i ett företag eller i en organisation för att
skydda information och informationssystem.
Man kan ringa in säkerhetsarbetet utifrån några grundläggande
frågor:
- Var ska skyddsåtgärder sättas in?
- Vilka objekt ska skyddas?
- Vilken effekt får skyddsåtgärderna?
Svaren på frågorna hjälper oss att förstå
vad säkerhetsarbete är. Vi tar dem i tur och ordning. Var
ska skyddsåtgärder sättas in? De ställen som är
aktuella för åtgärder är:
- Maskinvara
- Programvara
- Lokaler
Dessutom kan det finnas anledning att se över organisationen och
kontakterna med omvärlden. Vilka objekt ska skyddas? Vi kan dela
upp objekten på följande vis:
- Kapital
- Funktioner
- Data
- Datakvalitet
Kapitalskydd innebär att man skyddar mot fysiska skador på:
- Datorer med kringutrustning.
- Lagringsmedier.
- Lokaler.
Funktionsskydd innebär att man utvecklar skydd mot bristande tillgänglighet
och tillförlitlighet i:
- Program.
- Datorer med kringutrustning.
- Lagringsmedier.
- Rutiner.
Dataskydd är skydd mot:
- Ändring av data.
- Förlust av data.
- Avslöjande av data.
Datakvalitetsskydd är skydd mot:
- Ändringar av system, program eller data.
- Dålig basdata och misstolkningar.
Vilken effekt får skyddsåtgärderna?
Det går att peka ut en rad effekter som följder av vidtagna
skyddsåtgärder:
- Störningar förebyggs, begränsas och rapporteras.
- Informationen som ändras eller skadas kan återställas
i ursprungligt skick.
- Tryggheten för företaget eller organisationen ökar
liksom för eventuella kunder.
En faktor som man i stor utsträckning bortser ifrån i företag
och organisationer är utbildningens och motivationens betydelse
för ett fungerande säkerhetssystem. Välutbildad personal
är rustad att hantera en rad störningar som kan inträffa
i informationssystemet. Om personalen dessutom trivs med sitt arbete
och känner en stark arbetsmotivation, befrämjas förmodligen
säkerhetsarbetet. Ramar för en säkerhetspolitik
Lagar och bestämmelser
Det finns lagar och bestämmelser som ytterst lägger ramarna
för informationshanteringen i samhället. De grundläggande
lagarna är:
Förordningarna för tryckfrihet och yttrandefrihet har anpassats
till vårt datasamhälle. Det som tidigare kallades Allmän
handling har bytts ut mot Allmänna uppgifter för att även
omfatta uppgifter som endast finns i maskinläsbar form. Uppgifter
som finns hos myndigheter behöver alltsåinte finnas utskrivna
i ett fysiskt dokument för att vara allmänna, utan kan finnas
i en databas eller på till exempel en webbsida.
Datalagen från 1973, vars viktigaste uppgift var att skydda den
personliga integriteten, ersattes 1998 av Personuppgiftslagen (PUL).
Den är en anpassning till EU:s bestämmelser beträffande
skydd av personuppgifter, och hur dessa får flöda mellan
medlemsländerna.
Dessutom finns det myndigheter som har ett övergripande ansvar
för informationssäkerheten inom vissa områden:
- Finansinspektionen.
- Försäkringsinspektionen.
- Statskontoret (rådgivande organ åt offentliga myndigheter
och företag i säkerhets- och sekretessfrågor).
- Datainspektionen (kontrollerar att Personuppgiftslagen efterföljs).