Informationssäkerhet

Från Sydarkiveras Wiki

Dataskydd.png

Information är en av organisationens viktigaste resurser. En del av vår information är värdefull, och i vissa fall livsviktig, både för organisationer och för den enskilda människan. Går sådan informationen förlorad eller är felaktig kan det få katastrofala följder. Informationssäkerhet handlar alltså om att skydda sina tillgångar och om hur vi hanterar myndighetens information på ett säkert sätt. Genom ett systematiskt arbete med informationssäkerhet kan organisationer öka kvaliteten i och förtroendet för sin verksamhet.

Informationssäkerhetsarbetet handlar om att förhindra att information läcker ut, förvanskas eller förstörs. Det handlar också om att som göra information lättillgänglig när det den behövs. Begreppet omfattar information tryckt på papper, lagrad elektroniskt, som överförs per e-post eller vanlig post, visas på film eller yttras i en konversation.

Det är informationsägaren som ansvarar för att informationssäkerheten är tillräcklig i förhållande till den information man hanterar. Informationsägare är ofta den verksamhetsansvarige vars verksamhet har skapat informationen, fattat beslut om den eller tagit över ansvaret för den. Ägarskapet kan förändras över tid.

Informationssäkerhet kan delas upp i flera delar:

  • Fysiskt skydd - till exempel skalskydd i form av larm, lås och en säker byggnad.
  • Tekniskt skydd - till exempel brandväggar och kryptering.
  • Administrativt regelverk - policys, riktlinjer och annan styrning av hur informationen ska hanteras av användarna.

En klar och tydlig struktur och väl anpassade rutiner för informationshantering minskar säkerhetsriskerna. Genom att ha tydliga interna rutiner och följa en standard minskar risken för att organisationen missar något viktigt eller att ett misstag begås. I praktiken handlar det om allt från att han bra rutiner för att sätta behörigheter i sina olika verksamhetssystem och att skydda sina lösenord till att låsa sin dator, sitt dokumentskåp eller sin arkivlokal. Dåliga rutiner ökar risken för driftstopp, att skadlig kod tar sig in i organisationens verksamhetssystem eller att känsliga personuppgifter läcker ut.

Informationsklassning

Informationsklassning innebär att organisationen utreder konsekvenserna om informationen kommer i orätta händer, inte är korrekt, tillgänglig eller spårbar. Informationsklassning är en del i det administrativa arbetet med informationssäkerhet och utgör underlag för att bedöma hur information ska hanteras och behandlas. För att kunna bedöma rätt skyddsnivå för sin information måste man veta vilken information som är skyddsvärd och varför den är det.

Myndigheternas informationstillgångar ska klassificeras så att de kan skyddas i enlighet med verksamhetens krav och även legala krav. De ska också klassificeras utifrån hur stor betydelse informationen har för verksamheten och hur känslig den är för den enskildes personliga integritet. Aspekterna riktighet, tillgänglighet, spårbarhet och konfidentialitet (sekretess) är centrala i klassningsarbetet. Resultatet av klassningen vägleder sedan det fortsatta arbetet med att specificera vilka organisatoriska regler och tekniska åtgärder som behöver vidtas för att kunna skydda informationstillgångar och eventuellt även verksamhetssystemen.

När klassificeringen är genomförd ska varje typ av information ha fått en informationssäkerhetsklassning. Beroende på hur informationen har klassats kan den betraktas som öppen, känslig, mycket känslig/konfidentiell eller hemlig. Klassningen ligger sedan till grund för på vilket sätt information får hanteras, förvaras och tillgängliggöras.

Mer om informationssäkerhet

Här är en kort film från Myndigheten för Samhällsskydd och Beredskap, MSB om informationssäkerhet.

Vill du läsa mer om informationssäkerhet?

Rubriker i handboken

Ansvar och roller

Arkivleveranser

Arkivredovisning

Arkiv och tillsyn

Bolag

Dataskydd

Digitisering och digitalisering

Förvara och vårda

Hemliga handlingar

Informationssäkerhet

Insyn

Systemförvaltning

Verksamhetsspecifikt

Verktyg

Extern testbädd (External testbed)

VerkSAM Arkivredovisning