offentliggjort 18. November 2019 * 2 min læs

Informationssikkerhedskontrol er foranstaltninger, der træffes for at reducere informationssikkerhedsrisici såsom brud på informationssystemer, datatyveri og uautoriserede ændringer af digitale oplysninger eller systemer. Disse sikkerhedskontroller er beregnet til at hjælpe med at beskytte tilgængeligheden, fortroligheden og integriteten af data og netværk og implementeres typisk efter en risikovurdering af informationssikkerhed.typer af informationssikkerhedskontrol omfatter sikkerhedspolitikker, procedurer, planer, enheder og programmer, der skal styrke cybersikkerheden. Der er tre kategorier af informationssikkerhedskontrol:

• forebyggende sikkerhedskontrol, designet til at forhindre cybersikkerhedshændelser
• Detektivsikkerhedskontrol, der sigter mod at opdage et cybersikkerhedsbrudforsøg (“begivenhed”) eller vellykket brud (“hændelse”), mens det er i gang, og advare cybersikkerhedspersonale
• korrigerende sikkerhedskontroller, der bruges efter en cybersikkerhedshændelse for at hjælpe med at minimere datatab og skade på systemet eller netværket og gendanne kritiske forretningssystemer og processer så hurtigt som muligt (“modstandsdygtighed”)

sikkerhedskontrol kommer i form af:

• adgangskontrol inklusive begrænsninger for fysisk adgang såsom sikkerhedsvagter ved bygningsindgange, låse og perimeterhegn
• Procedurekontrol såsom uddannelse i sikkerhedsbevidsthed, træning i overholdelse af sikkerhedsrammer og hændelsesresponsplaner og procedurer
• tekniske kontroller såsom multifaktorbrugergodkendelse ved login (login) og logiske adgangskontroller, antivirusprogrammer, brandvægge
• compliance kontroller såsom privatlivslovgivning og Cyber sikkerhedsrammer og standarder.

de mest anvendte informationssikkerhedsrammer og standarder inkluderer:

• National Institute of Standards and Technology (NIST) Special Publication 800-53, sikkerhed og privatlivskontrol for føderale informationssystemer og organisationer. Dette dokument viser sikkerhedskrav, der ikke kun er nyttige for føderale agenturer, men for alle organisationers risikostyringsprogrammer for informationssikkerhed.
• Den Internationale Organisation for standardisering (ISO) standard ISO 27001, informationssikkerhedsstyring, som giver vejledning om informationsteknologisikkerhed og computersikkerhed.
• Betalingskortindustriens Datasikkerhedsstandard (PCI DSS), der fastlægger sikkerhedskrav og sikkerhedskontroller til beskyttelse af følsomme data forbundet med personlige kreditkort-og betalingskortoplysninger
• Health Insurance Portability and Accountability Act (HIPAA), en føderal lov, der regulerer informationssikkerhed og beskyttelse af privatlivets fred for personlige sundhedsoplysninger

rammer og standarder er systemer, der, når de følges, hjælper en enhed til konsekvent at styre informationssikkerhedskontrol til alle deres systemer, netværk og enheder, herunder konfigurationsstyring, fysisk sikkerhed, personalesikkerhed, netværkssikkerhed og informationssikkerhedssystemer. De definerer, hvad der udgør god cybersikkerhedspraksis og giver en struktur, som enheder kan bruge til at styre deres informationssikkerhedskontrol.