- Tillgänglighet. Att behöriga användare har tillgång till
de resurser de är behöriga till i rätt tid och omfattning.
- Riktighet. Att information inte obehörigt ändras eller
modifieras.
- Sekretess. Att endast behöriga användare kommer
åt information.
Omfattning
Talar
om standardens syfte och tillämpning.
Termer och definitioner
Förklarar
de begrepp som används.
Säkerhetspolicy
Ger
råd om hur en säkerhetspolicy bör skapas, hur den bör utformas, införas i en
organisation och utvärderas.
Organisatorisk
säkerhet
Här
ges riktlinjer för hur man kan organisera säkerhetsarbetet, hur rollerna kan
fördelas internt och hur beslutsgången bör vara. Externa specialisters roll,
avtal med utomstående om åtkomst av organisationens resurser och liknande
problem behandlas.
Klassificering
och styrning av tillgångar
I
detta kapitel får du råd om hur du bedömer vilka organisationens
informationstillgångar är och förtecknar dem. Syftet är att kunna identifiera
och värdera tillgångarna för att därmed kunna bestämma vilka åtgärder som är
lämpliga för att skydda dem.
Personal
och säkerhet
Syftet
med säkerhet i fråga om personal är att minimera risker för misstag, missbruk,
stöld, bedrägeri el dyl. Detta kan uppnås t.ex. genom att säkerhetsfrågor
beaktas vid rekrytering och vid anställnings upphörande, genom sekretessavtal
och befattningsbeskrivningar som bl a definierar ansvar, skyldigheter och
befogenheter. Utbildning och övning i informationssäkerhet är också områden som
tas upp i detta kapitel.
Fysisk
och miljörelaterad säkerhet
Du
får exempel på hur du kan förhindra obehörigt tillträde, skador och störningar.
Detta kan uppnås genom t.ex. stängsel, larm, passagekontroll och andra fysiska
åtgärder. Detta kapitel handlar också om skydd av utrustning och driftskydd av
t.ex. elförsörjning.
Styrning av
kommunikation och drift
Här handlar
det om drift av och säkerhetsrutiner för utrustning för informationsbehandling.
Exempel är datorutrustning och mjukvara för e-post och annan elektronisk
kommunikation. Vilka rutiner finns? Ansvarsfördelning? Hur följs incidenter upp
och hur undviks de i framtiden? Hur återställs system efter
avbrott?
Styrning av
åtkomst
Här får du
veta hur du kan gå igenom vilka krav som utifrån din verksamhet är viktiga att
ställa på kontroll av åtkomst av olika system.Vilka ska ha vilken behörighet?
Hur ska registrering och log hanteras? Åtkomst handlar både om fysiska åtgärder
som lösenord och inloggning och om avtal med och kunskap hos de
anställda.
Systemutveckling
och systemunderhåll
Säkerhet
ska byggas in i informationssystemen vid kravspecifikationen innan systemen
utvecklas eller upphandlas. Här finns exempel på olika säkerhetskrav som kan
ställas på systemen och även på hur underhållet av systemen kan bidra till
säkerheten.
Kontinuitetsplanering
för verksamheten
Detta
kapitel tar upp avbrott i verksamheten och vilka konsekvenser dessa kan få.
Planering för att verksamheten ska kunna fortgå kontinuerligt är en viktig del i
säkerhetsarbetet. Här måste du utgå från din egen verksamhet och vilka krav du
själv och omvärlden ställer på den. Hur långt avbrott klarar verksamheten? Hur
kan du förebygga avbrott och skapa en beredskap för händelser om de ändå
inträffar?
Efterlevnad
Här handlar
det om vilka rutiner du bör ha för att vara säker på att din verksamhet följer
lagar, föreskrifter, avtal och andra regler för verksamheten t.ex. upphovs-,
patent- och varumärkesrätt, personuppgiftslagen, fackliga avtal och
tjänsteavtal, säkerhetspolicy och andra interna säkerhetsregler samt
revisionskrav.