Stjórnun upplýsingaöryggis - námskeið hjá Staðlaráði

Birt á Moggablogginu 2.4.2007 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd

Þar sem persónuvernd og upplýsingaöryggi eru mínar ær og kýr, þá langar mig að vekja athygli á því að Staðlaráð Íslands heldur reglulega námskeið um þá tvo staðla sem fjalla um þessi mál (sjá nánar hér um næsta námskeið).  Þetta eru staðlarnir ÍST ISO/IEC 27001 Upplýsingatækni - Stjórnkerfi upplýsingaöryggis - Kröfur og ÍST ISO/IEC 17799 Upplýsingatækni - Starfsvenjur fyrir stjórnun upplýsingaöryggis.  Báðir þessir staðlar komu í uppfærðri útgáfu á síðasta ári.

Það er tvær ástæður fyrir því að ég vil vekja athygli á þessu.  Önnur er mjög sjálfhverf, en þannig vill til að ég er leiðbeinandi á þessum námskeiðum.  Hin er, að mínu viti hafa mjög margir mjög gott af því að kynna sér efni þessara staðla vegna starfa sinna.  Ástæðan er einföld.  Nær allir rekstraraðilar, hvort sem er á hinum svo kallaða almenna markaðir eða hinum opinbera vinna með mikið magn af viðkvæmum upplýsingum.  Hluti af þessum upplýsingum er á rafrænu formi, en mjög mikið magn er ennþá á pappír að ógleymdum þeim upplýsingum sem fólk býr yfir.  Hafi menn ekki leitt hugann að því hvernig er best að verja þessar upplýsingar fyrir tjóni og óleyfilegum aðgangi, þá eru mestar líkur á því að menn séu ekki búnir undir áföll eða uppákomur. 

Stjórnun upplýsingaöryggis snýst í stórum dráttum um að tryggja þrennt: leynd/trúnað, réttleika/nákvæmni og tiltækileika/aðgengi.  Leynd eða trúnaður snýst um að þeir einir eigi að hafa aðgang að upplýsingum sem til þess hafa heimild.  Réttleiki/nákvæmni snýst um að upplýsingum sé haldið réttum í gegnum vinnsluferlið og á vörslutíma.  En tiltækileiki/aðgengi snýst um að þeir sem hafa til þess heimild hafi aðgang að upplýsingunum þegar þeir þess þurfa.  Það má því segja að stjórnun upplýsingaöryggis snúist um að þeir, sem til þess hafa heimild, eigi að hafa aðgang að réttum og nákvæmum upplýsingum þegar þeir þurfa á því að halda.

Þetta eru skýr og skilmerkileg markmið.  Staðlarnir ISO 27001 og ISO 17799 eiga einmitt að aðstoða ábyrgðaraðila upplýsinganna að ná þessum markmiðum.  Þeir þykja báðir mjög góðir til síns brúks, þó svo að þeir séu ekki alfullkomnir.  Þeir þykja a.m.k. það góðir að Persónuvernd, Fjármálaeftirlit og fjarskiptalög (eða greinargerð með frumvarpinu) vísa öll til staðlanna sem tækja eða tóla sem hægt er að nota til uppfylla kröfur um upplýsingaöryggi og persónuvernd.  Það hlýtur því að vera full ástæða fyrir aðila sem þurfa að uppfylla persónuverndarlög og reglur, leiðbeinandi tilmæli FME og ákvæði um öryggi í fjarskiptum að kynna sér efni þeirra nánar.