Hagfræði upplýsingaöryggis að ofan er ljóst að fyrirtæki og stofnanir búa við sívaxandi óvissu og standa æ oftar frammi fyrir því að taka áhættu af ein- hverju tagi. Öryggisviðbúnaður og ráð- stafanir eru mörgum ofarlega í huga, ekki síst eftir árásirnar 11. september 2001, en Ahituv4 hefur fært rök fyrir því að hinn efnahagslegi raunveruleiki muni leiða til þess að viðskiptageirinn muni slaka á ör- yggisviðbúnaði. Hugtakið ásættanleg áhætta skiptir lykilhlutverki þegar taka þarf ákvörðun við óvissuaðstæður, hvort sem um er að ræða markaðsmál, þróunar- mál, fjármál, starfsmannamál, fram- leiðslumál eða upplýsingakerfi. En hvað er þá ásættanleg áhætta? Hún fer eftir því hversu áhættusækinn viðkomandi er, hverjar afleiðingarnar eru, nálægð þeirra og hvaða líkur séu á þeim. Astralskir sér- fræðingar5 hafa sýnt fram á hlutverk áhættustjómunar og stöðugra umbóta í góðum stjómunarháttum fyrirtækja og stofnana. Þeir leggja áherslu á hæfilega blöndu af formlegu eftirliti sem byggir á vantrausti og innbyggðu eftirliti sem byggir á heildarsýn, trausti, samskiptum, námi og að nýta hæfileika til að ná mark- miðum. Efnahagslegur raun- veruleiki mun leiða til slökunar á öryggis- viðbúnaði Fræðin um stjórnun upplýsingaöryggis Skortur á upplýsingaöryggi veldur því að trúnaðarupplýsingar leka út, upplýsingar spillast eða þær eru ótiltækar. Samkvæmt skilgreiningum staðla snýst upplýsingaör- yggi um varðveislu leyndar (trúnaðar), réttleika og tiltækileika (aðgengi) upplýs- inga. Stjómkerfi upplýsingaöryggis er sá hluti heildarstjórnkerfisins sem byggist á rekstraráhættunálgun og er ætlaður til að koma upp, innleiða, starfrækja, vakta, rýna, viðhalda og bæta upplýsingaöryggi. Stjórnun upplýsingaöryggis snýst því um að stjórna árangri og gæðum á sviði ör- yggis upplýsinga, þannig að viðunandi vernd upplýsinga sé til staðar miðað við aðstæður og aðföng. Næsta mynd sýnir hvernig mismunandi kröfur um upplýsingaöryggi togast á. Þeg- ar togað er í eina átt stækkar kakan þeirn megin, en hún getur urn leið minnkað hinumegin. T.d. fara aðgengi og trúnaður illa saman og er kostnaðarsamt að tryggja hvorutveggja samtímis. Skipulag og rekstrarárangursþörf fyrirtækja gerir kröf- ur til allra þátta upplýsingaöryggis, að- gengis, réttleika og leyndar. Persónur sem em skráðar gera kröfur um réttleika per- sónuupplýsinga og leynd viðkvæmra per- sónuupplýsinga og em þær kröfur studdar með persónuverndarlögum. Almenningur gerir kröfur um aðgengi að upplýsingum um fyrirtækið/stofnunina og em þær kröf- ur til opinbera geirans studdar af stjórn- sýslulögum og upplýsingalögum. Eins og sjá má geta öryggissjónarmið stjórnenda, eigenda, almennings og annarra hags- munaaðila stangast verulega á. Þessi átök mismunandi sjónarmiða skýra það að þrátt fyrir miklar framfarir í upplýsingatækni og aukið aðgengi að allskonar upplýsing- um þarf fólk enn sem fyrr að leggja mikið á sig til að fá áreiðanlegar upplýsingar, jafnvel kaupa þær, en þeir sem vilja halda upplýsingum leyndum verða að leggja í meiri vinnu en áður til að tryggja þá leynd. Runólfur Smári6 hefur dregið fram fjór- ar víddir greiningar á stefnumótun. Greina má upplýsingaöryggi út frá þessum fjór- um víddum. Tilvistarvíddin lýsir því hvaða sjónarmið ráða þegar tekin er áhætta með upplýsingar. Ef t.d. sjónarmið eigenda ráða eingöngu þá skiptir rekstrar- árangur öllu og þá er lögð áhersla á rétt- leika, aðgengi og leynd rekstrarupplýs- inga, á kostnað persónuvemdar og ytri upplýsingaveitu. Ferilvíddin lýsir hugsun, tilurð og innleiðingu upplýsingaöryggis- stefnu. Hefðbundnar aðferðir við áhættu- mat og stjómun upplýsingaöryggis byggja Tölvumál 25

Qupperneq 1
Qupperneq 2
Qupperneq 3
Qupperneq 4
Qupperneq 5
Qupperneq 6
Qupperneq 7
Qupperneq 8
Qupperneq 9
Qupperneq 10
Qupperneq 11
Qupperneq 12
Qupperneq 13
Qupperneq 14
Qupperneq 15
Qupperneq 16
Qupperneq 17
Qupperneq 18
Qupperneq 19
Qupperneq 20
Qupperneq 21
Qupperneq 22
Qupperneq 23
Qupperneq 24
Qupperneq 25
Qupperneq 26
Qupperneq 27
Qupperneq 28
Qupperneq 29
Qupperneq 30
Qupperneq 31
Qupperneq 32
Qupperneq 33
Qupperneq 34
Qupperneq 35
Qupperneq 36
Qupperneq 37
Qupperneq 38
Qupperneq 39
Qupperneq 40
Qupperneq 41
Qupperneq 42
Qupperneq 43
Qupperneq 44