Gå direkt till huvudinnehåll
Researchdata.se

Informationssäkerhet

Informationssäkerhet kan beskrivas som de tekniska, fysiska och administrativa säkerhetsåtgärder som vidtas för att bevara informationens konfidentialitet, riktighet och tillgänglighet. Digital informationssäkerhet kan jämföras med säkerheten på den fysiska arkivlokalen där man förvarar analog information.

De flesta lärosäten har tagit fram riktlinjer kring informationssäkerhet som utgår från konsekvenserna av om information skulle spridas till obehöriga, förvanskas eller inte gå att komma åt. Utifrån en bedömning av vad konsekvenserna skulle bli, och hur skyddad informationen därför behöver vara, kan man sedan vidta lämpliga säkerhetsåtgärder, till exempel lagring med rätt säkerhetsnivå, åtkomstkontroller och regler för dataöverföring.  

Informationssäkerhet måste tidigt vara en del av din projektplanering. Hur informationen i projektets data behöver skyddas påverkar hur mycket tid och resurser som krävs för att bygga upp eller få tillgång till tillräckligt säkra system och rutiner. I vissa fall kan du behöva ta fram en särskild lösning tillsammans med ditt lärosätes säkerhets- och IT-avdelningar.

Läs mer om informationssäkerhet hos Myndigheten för samhällsskydd och beredskapÖppnas i en ny tabb.

Informationsklassning

För att kunna upprätta nödvändigt och tillräckligt skydd behöver det göras en utvärdering av materialets skyddsnivå. Det görs genom en så kallad informationsklassning av materialet. Att klassa den information som hanteras underlättar bedömningen av vilka elektroniska hjälpmedel eller tjänster som kan användas. De allra flesta lärosäten och andra organisationer har rutiner för klassificering av information som är baserade på ISO-standarder för informationssäkerhet i serien ISO/IEC 27000. 

Utgångspunkten för informationsklassning är att värdera information utifrån vilka konsekvenser otillräckligt skydd skulle kunna få för informationens konfidentialitet, riktighet och tillgänglighet.

Konfidentialitet handlar om att informationen endast ska vara tillgänglig för behöriga. Konfidentialitet graderas i olika steg: information som kan delas öppet har lägsta konfidentialitet, information med särskilda sekretesskrav har högsta konfidentialitet.

Riktighet handlar om att informationen inte ska förvanskas, av någon obehörig eller av misstag.

Tillgänglighet utgår från att information ska kunna utnyttjas så som man behöver, när man behöver det. Det är sällan så att oåtkomlighet till forskningsdata har någon större påverkan på arbetet men i vissa situationer, till exempel under fältarbete, kan det vara högst nödvändigt att se till att information finns tillgänglig vid en specifik tid och plats.

Konsekvensbedömningen görs utifrån verksamhetens specifika kriterier. Konsekvenserna kan vara till exempel ”inga/försumbara”, ”måttliga”, ”betydande” eller ”allvarliga”, beroende på vilken effekt en spridning, förvanskning eller brist på åtkomst kan få för organisationer eller enstaka individer.  

Personuppgiftsbehandling inom forskning ska alltid anmälas till organisationens personuppgiftsombud. Läs mer om forskning på data med personuppgifter i SND:s Praktisk handbok för data med personuppgifterÖppnas i en ny tabb.

Säkerhetsåtgärder

Informationssäkerheten stärks genom säkerhetsåtgärder i tre olika miljöer:  

  • De tekniska miljöerna: lagringslösningar har en lämplig säkerhetsnivå och skyddas av brandväggar, det finns rutiner och riktlinjer kring säkerhetskopiering, kryptering och för dataöverföring.
  • De fysiska miljöerna: rummen där datorer och hårddiskar finns har lämpligt skydd, eller materialet förvaras i värdeskåp med tillräcklig klassificering.
  • De administrativa miljöerna: informationsägaren har kontroll över vem som har tillträde till de fysiska miljöerna och vem som har rättighet att läsa och skriva i systemen.

Din organisation bör ha riktlinjer för vilka tekniska lösningar eller tjänster som kan användas för information med olika klassningar, där vikten oftast läggs på att skydda informationens konfidentialitet.  

Det kan till exempel finnas regler som tillåter att data med låg klassning lagras på lokala hårddiskar eller i molntjänster, men att data med högre klassning måste lagras på servrar i skyddade eller till och med på fristående nätverk.  

Det bör också finnas riktlinjer som reglerar dataöverföring. Data med låg säkerhetsklassning kan lätt skickas via email eller delas via en molntjänst, medan data med högre säkerhetsklassning måste skyddas med kryptering vid elektronisk överföring eller vid lagring på ett flyttbart medium.

För data med högre säkerhetsklassning finns ofta säkrare system för behörighets- och åtkomstkontroll. En lagringslösning med låg säkerhetsklass skyddas ofta med användarnamn och lösenord, medan säkrare lagring kan kräva multifaktor- eller biometrisk autentisering.

Sida skapad:|Uppdaterad: