Informationssäkerhet

Från Sydarkiveras Wiki

Gräva.png

Denna sida är under konstruktion!
Denna sida kan innehålla fel, dåliga formuleringar eller sakna material.
Våra duktiga wikiredaktörer arbetar med att slutföra materialet så fort som möjligt!

Dataskydd.png

Vad är informationssäkerhet?

Information är en av organisationens viktigaste resurser. En del av vår information är värdefull, och i vissa fall livsviktig, både för organisationer och för den enskilda människan. Går sådan informationen förlorad eller är felaktig kan det få katastrofala följder. Informationssäkerhet handlar om att ha kontroll över informationen, värdera den i förhållande till verksamhetens behov/externa krav, skydda sina tillgångar och hantera myndighetens information på ett säkert sätt.

De handlar också om att ställa krav på tekniska åtgärder (it-säkerhet).Ett vanligt problem är att man förväxlar informations- respektive it-säkerhet. Det innebär att fokus är riktat internt och på enskilda system trots att informationen ofta hanteras på en mängd olika bärare och ofta i flera versioner.

Varför arbeta med informationssäkerhet?

Det är informationsägaren som ansvarar för att informationssäkerheten är tillräcklig i förhållande till den information man hanterar. Informationsägare är ofta den verksamhetsansvarige vars verksamhet har skapat informationen, fattat beslut om den eller tagit över ansvaret för den. Ägarskapet kan förändras över tid.

Informationssäkerhetsarbetet handlar om att förhindra att information läcker ut, förvanskas eller förstörs. Det handlar också om att som göra information lättillgänglig när det den behövs. Begreppet omfattar information tryckt på papper, lagrad elektroniskt, som överförs per e-post eller vanlig post, visas på film eller yttras i en konversation.

Genom ett systematiskt arbete med informationssäkerhet kan organisationer öka kvaliteten i och förtroendet för sin verksamhet. Medarbetarna är en stor tillgång i säkerhetsarbetet. Utgångspunkten bör vara att medarbetare vill göra rätt, men för att kunna göra det måste arbetsgivaren ge tydlig och uppdaterad information, gärna inriktad på olika målgrupper. Arbetsgivaren måste tala om vad som gäller, vara tydlig med vilka verktyg som ska användas, vad medarbetaren särskilt ska tänka på. Det gäller också att vara tydlig med hur och var medarbetaren ska höra av sig för att få support eller meddela risker.

Informationssäkerhet kan delas upp i flera delar:

  • Fysiskt skydd - till exempel skalskydd i form av larm, lås och en säker byggnad.
  • Tekniskt skydd - till exempel brandväggar och kryptering.
  • Administrativt regelverk - policys, riktlinjer och annan styrning av hur informationen ska hanteras av användarna.

En klar och tydlig struktur och väl anpassade rutiner för informationshantering minskar säkerhetsriskerna. Genom att ha tydliga interna rutiner och följa en standard minskar risken för att organisationen missar något viktigt eller att ett misstag begås. I praktiken handlar det om allt från att han bra rutiner för att sätta behörigheter i sina olika verksamhetssystem och att skydda sina lösenord till att låsa sin dator, sitt dokumentskåp eller sin arkivlokal. Dåliga rutiner ökar risken för driftstopp, att skadlig kod tar sig in i organisationens verksamhetssystem eller att känsliga personuppgifter läcker ut.

Informationsklassning

Informationsklassning innebär att organisationen utreder konsekvenserna om informationen kommer i orätta händer, inte är korrekt, tillgänglig eller spårbar. Informationsklassning är en del i det administrativa arbetet med informationssäkerhet och utgör underlag för att bedöma hur information ska hanteras och behandlas. För att kunna bedöma rätt skyddsnivå för sin information måste man veta vilken information som är skyddsvärd och varför den är det.

Myndigheternas informationstillgångar ska klassificeras så att de kan skyddas i enlighet med verksamhetens krav och även legala krav. De ska också klassificeras utifrån hur stor betydelse informationen har för verksamheten och hur känslig den är för den enskildes personliga integritet. Aspekterna riktighet, tillgänglighet, spårbarhet och konfidentialitet (sekretess) är centrala i klassningsarbetet. Resultatet av klassningen vägleder sedan det fortsatta arbetet med att specificera vilka organisatoriska regler och tekniska åtgärder som behöver vidtas för att kunna skydda informationstillgångar och eventuellt även verksamhetssystemen.

När klassificeringen är genomförd ska varje typ av information ha fått en informationssäkerhetsklassning. Beroende på hur informationen har klassats kan den betraktas som öppen, känslig, mycket känslig/konfidentiell eller hemlig. Klassningen ligger sedan till grund för på vilket sätt information får hanteras, förvaras och tillgängliggöras.


Frågetecken.png

Läs mer på sidan:


Mer om informationssäkerhet

Här är en kort film från Myndigheten för Samhällsskydd och Beredskap, MSB om informationssäkerhet.

Vill du läsa mer om informationssäkerhet?


Handboken

Verksamhetsområden

Arkivorganisation

Arkivleveranser

Arkivredovisning

Arkivinspektion / Tillsyn

Dataskydd

Digitisering och digitalisering

Hålla ordning

Hantera och förvara

Hemliga handlingar

Insyn och åtkomst

Systemförvaltning

Verktyg och mjukvara

External testbed / Extern testbädd

VerkSAM Arkivredovisning