Informasjonssikkerhet - en forutsetning for å nå virksomhetens mål
God informasjonssikkerhet er en forutsetning for god virksomhetsstyring og vellykket digitalisering. En offentlig virksomhet arbeider med informasjonssikkerhet for å utføre sine oppgaver og levere sine tjenester på en god måte – for å nå sine mål og ivareta lovpålagte forpliktelser.
Hva handler informasjonssikkerhet om?
Informasjon behandles i et samspill mellom mennesker, prosesser og teknologi. Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandling som inngår i oppgaver og tjenester.
Det handler om å sikre informasjonssystemene som benyttes – inkludert digitale tjenester, IKT-systemer og komponenter som inngår i IKT-systemer.
Det handler om å tilrettelegge arbeidsoppgaver (prosesser) slik at det er enkelt for mennesker å utføre oppgavene sine med god sikkerhet.
Det handler om å sikre tilstrekkelig kompetanse hos de som utfører oppgaver for virksomheten og å jobbe for en kultur som understøtter arbeidet med informasjonssikkerhet.
Det er vanlig å si at det handler om å sikre at informasjon i alle former:
- ikke blir kjent for uvedkommende (konfidensialitet)
- ikke blir endret utilsiktet eller av uvedkommende (integritet)
- er tilgjengelig ved behov (tilgjengelighet)
Brudd på et eller flere av disse punktene er et brudd på informasjonssikkerheten.
Hva innebærer det for virksomheten?
Brudd på informasjonssikkerhet i oppgaver og tjenester kan få følger for tjenestenivå, økonomi og ansatte. Det kan også få konsekvenser utenfor virksomheten din – for innbyggere, andre virksomheter, samfunnsfunksjoner eller nasjonale sikkerhetsinteresser.
Det er leder av en virksomhet som har ansvaret for å styre virksomheten. Dette inkluderer å styre risiko forbundet med virksomhetens oppgaver og tjenester, noe som inkluderer arbeidet med informasjonssikkerhet.
Digital sikkerhet handler om å styre risikoen i oppgaver og tjenester som er avhengige av digital teknologi og digitale tjenester. Dette gjelder stort sett alle oppgaver og tjenester i en offentlig virksomhet.
Hvilken betydning har informasjonssikkerhet for din virksomhets oppgaver og tjenester?
Digital sikkerhet, cybersikkerhet og IKT-sikkerhet
Du kan stort sett gå ut fra at digital sikkerhet, cybersikkerhet og IKT-sikkerhet inngår i, eller er det samme som, det vi omtaler som informasjonssikkerhet på disse nettsidene.
Informasjonssikkerhet er et tema hvor det brukes mange begreper som forstås litt forskjellig på ulike fagområder. Det er også varierende begrepsbruk i ulike regelverk. I dialog med andre er det lurt å avklare hva som legges i begrepene man benytter.
Digital sikkerhet, cybersikkerhet og IKT-sikkerhet benyttes ofte synonymt med informasjonssikkerhet. Det er ofte snakk om det samme sett fra forskjellige perspektiver.
Cybersikkerhet er et begrep som har økt i bruk de siste årene. Eksempelvis benytter deler av føderal forvaltning i USA ofte «cybersecurity» synonymt med «information assurance» eller «information security». Begrepet benyttes noen ganger om forhold som ikke nødvendigvis innebærer informasjonssikkerhetsbrudd slik vi beskriver det her, som for eksempel mobbing via digitale kanaler eller bruk av sosiale medier til påvirkningsoperasjoner.
Lov om nasjonal sikkerhet (sikkerhetsloven) har ulike bestemmelser for informasjonssikkerhet og informasjonssystemsikkerhet. Begge deler er innenfor det vi her beskriver som informasjonssikkerhet. Loven har også bestemmelse om objekter og infrastruktur, som i noen tilfeller kan være av betydning for informasjonsbehandling og informasjonssikkerhet.
Vær spesielt oppmerksom på tilfeller hvor innholdet i begrepene begrenses til å omfatte
-
sikkerhetstiltak for å sikre teknologien
-
beskyttelse mot menneskestyrte angrep