Her gengives afsnit 0.1 og 0.2 i DS 484 standardens indledende kap. 0.
Information er et aktiv, der i lighed med øvrige virksomhedsaktiver er væsentlig for virksomhedens forretningsaktiviteter og derfor skal beskyttes på passende vis. Dette er specielt vigtigt med den øgede digitale informationsudveksling, som har medført en forøgelse af både trusler og sårbarheder, jf. eksempelvis OECD Guidelines.
Information kan eksistere i mange former. Det kan være skrevet på papir, lagret elektronisk, transmitteret via kabler eller gennem luften, ligge på en film eller være fremført i en konversation. Uanset formen skal information beskyttes i henhold til dens betydning for virksomheden.
Informationssikkerhed defineres som den samlede mængde af beskyttelsesforanstaltninger, der skal sikre virksomhedens daglige drift, minimere skader, samt beskytte virksomhedens investeringer og sikre grundlaget for nye forretningsmuligheder.
Informationssikkerhed opnås ved at implementere, overvåge, revurdere og løbende ajourføre et passende sæt af beskyttelsesforanstaltninger bestående af politikker, praksis, procedurer, organisatoriske tiltag og system- eller maskintekniske funktioner.
Information og informationsbehandlingsprocesser, -systemer og -netværk er væsentlige virksomhedsaktiver. At definere, etablere og vedligeholde en passende informationssikkerhed kan være afgørende for virksomhedens konkurrencedygtighed, rentabilitet, omdømme og efterlevelse af gældende lovgivning.
Virksomhederne udsættes for en bred vifte af trusler spændende fra svindel, industrispionage, sabotage og terror til ildebrand og oversvømmelse. Trusler som skadevoldende programmer (virus m.m.), uautoriseret indtrængen og blokering af transmissionsforbindelser bliver mere og mere almindelige og mere og mere sofistikerede.
Informationssikkerhed er væsentlig både for den offentlige og den private sektor og for at beskytte kritisk infrastruktur. En troværdig informationssikkerhed er en afgørende forudsætning for digital forvaltning og e-handel. Samtidigt giver det øgede antal adgangsmuligheder, hjemmearbejdspladser og private brugere en øget sårbarhed, da det ikke længere er muligt at forlade sig på traditionelle, centrale sikringsforanstaltninger.
Mange informationssystemer er ikke konstrueret med et forsvarligt sikkerhedsniveau. Det er derfor begrænset, hvor meget sikkerhed der kan opnås med en ren teknisk indsats. Den fornødne sikkerhed må følgelig etableres ved hjælp af organisatoriske og ledelsesmæssige foranstaltninger. Etablering af disse foranstaltninger kræver omhyggelig og detaljeret planlægning.
Implementeringen af en optimal informationssikkerhed kræver som minimum en aktiv medvirken fra alle i virksomheden. Herudover kan det også kræve medvirken fra leverandører, samarbejdspartnere, kunder og andre eksterne interessenter. Det kan endvidere være påkrævet at søge yderligere ekstern bistand.
Denne side er bilag 2 til publikationen "Erfaringer fra implementeringen af DS 484".
Version nr. 1.0 af 01-05-2009
© IT- og Telestyrelsen 2009