Leita í fréttum mbl.is

2.4.2007 | 17:01

Stjórnun upplýsingaöryggis - námskeið hjá Staðlaráði

Þar sem persónuvernd og upplýsingaöryggi eru mínar ær og kýr, þá langar mig að vekja athygli á því að Staðlaráð Íslands heldur reglulega námskeið um þá tvo staðla sem fjalla um þessi mál (sjá nánar hér um næsta námskeið).  Þetta eru staðlarnir ÍST ISO/IEC 27001 Upplýsingatækni - Stjórnkerfi upplýsingaöryggis - Kröfur og ÍST ISO/IEC 17799 Upplýsingatækni - Starfsvenjur fyrir stjórnun upplýsingaöryggis.  Báðir þessir staðlar komu í uppfærðri útgáfu á síðasta ári.

Það er tvær ástæður fyrir því að ég vil vekja athygli á þessu.  Önnur er mjög sjálfhverf, en þannig vill til að ég er leiðbeinandi á þessum námskeiðum.  Hin er, að mínu viti hafa mjög margir mjög gott af því að kynna sér efni þessara staðla vegna starfa sinna.  Ástæðan er einföld.  Nær allir rekstraraðilar, hvort sem er á hinum svo kallaða almenna markaðir eða hinum opinbera vinna með mikið magn af viðkvæmum upplýsingum.  Hluti af þessum upplýsingum er á rafrænu formi, en mjög mikið magn er ennþá á pappír að ógleymdum þeim upplýsingum sem fólk býr yfir.  Hafi menn ekki leitt hugann að því hvernig er best að verja þessar upplýsingar fyrir tjóni og óleyfilegum aðgangi, þá eru mestar líkur á því að menn séu ekki búnir undir áföll eða uppákomur. 

Stjórnun upplýsingaöryggis snýst í stórum dráttum um að tryggja þrennt: leynd/trúnað, réttleika/nákvæmni og tiltækileika/aðgengi.  Leynd eða trúnaður snýst um að þeir einir eigi að hafa aðgang að upplýsingum sem til þess hafa heimild.  Réttleiki/nákvæmni snýst um að upplýsingum sé haldið réttum í gegnum vinnsluferlið og á vörslutíma.  En tiltækileiki/aðgengi snýst um að þeir sem hafa til þess heimild hafi aðgang að upplýsingunum þegar þeir þess þurfa.  Það má því segja að stjórnun upplýsingaöryggis snúist um að þeir, sem til þess hafa heimild, eigi að hafa aðgang að réttum og nákvæmum upplýsingum þegar þeir þurfa á því að halda.

Þetta eru skýr og skilmerkileg markmið.  Staðlarnir ISO 27001 og ISO 17799 eiga einmitt að aðstoða ábyrgðaraðila upplýsinganna að ná þessum markmiðum.  Þeir þykja báðir mjög góðir til síns brúks, þó svo að þeir séu ekki alfullkomnir.  Þeir þykja a.m.k. það góðir að Persónuvernd, Fjármálaeftirlit og fjarskiptalög (eða greinargerð með frumvarpinu) vísa öll til staðlanna sem tækja eða tóla sem hægt er að nota til uppfylla kröfur um upplýsingaöryggi og persónuvernd.  Það hlýtur því að vera full ástæða fyrir aðila sem þurfa að uppfylla persónuverndarlög og reglur, leiðbeinandi tilmæli FME og ákvæði um öryggi í fjarskiptum að kynna sér efni þeirra nánar.


Flokkur: Upplýsingaöryggi | Breytt 14.12.2007 kl. 14:27 |

« Síðasta færsla | Næsta færsla »

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (23.11.): 2
  • Sl. sólarhring: 9
  • Sl. viku: 45
  • Frá upphafi: 1680033

Annað

  • Innlit í dag: 2
  • Innlit sl. viku: 39
  • Gestir í dag: 2
  • IP-tölur í dag: 2

Uppfært á 3 mín. fresti.
Skýringar

Nóv. 2024
S M Þ M F F L
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband