Publisert 18. November 2019 * 2 min lese

informasjonssikkerhetskontroller er tiltak for å redusere informasjonssikkerhetsrisikoer som brudd på informasjonssystemer, datatyveri og uautoriserte endringer i digital informasjon eller systemer. Disse sikkerhetskontrollene er ment å bidra til å beskytte tilgjengeligheten, konfidensialiteten og integriteten til data og nettverk, og implementeres vanligvis etter en risikovurdering av informasjonssikkerhet.Typer informasjonssikkerhetskontroller inkluderer sikkerhetspolicyer, prosedyrer, planer, enheter og programvare som er ment å styrke cybersikkerheten. Det er tre kategorier av informasjonssikkerhetskontroller:

• Forebyggende sikkerhetskontroller, utformet for å forhindre cybersikkerhetshendelser
• Detektivsikkerhetskontroller, med sikte på å oppdage forsøk på cybersikkerhetsbrudd («hendelse») eller vellykket brudd («hendelse») mens det pågår, og varsle cybersikkerhetspersonell

• Sikkerhetskontroller kommer i form av:

• Tilgangskontroller inkludert restriksjoner på fysisk tilgang som sikkerhetsvakter ved inngangspartier, låser og gjerder
• Prosedyremessige kontroller som opplæring i bevissthet om sikkerhet, opplæring i samsvar med sikkerhetsrammekrav og planer og prosedyrer for hendelsesrespons
• Tekniske kontroller slik som multi-faktor brukerautentisering ved innlogging (innlogging) og logiske tilgangskontroller, antivirusprogramvare, brannmurer
• compliance kontroller som personvernlover og cyber sikkerhetsrammer og standarder.

de mest brukte informasjonssikkerhetsrammer og standarder inkluderer:

• National Institute Of Standards and Technology (NIST) Spesiell Publikasjon 800-53, Sikkerhet Og Personvernkontroller For Føderale Informasjonssystemer og Organisasjoner. Dette dokumentet viser sikkerhetskrav som er nyttige ikke bare for føderale byråer, men for alle organisasjoners risikostyringsprogrammer for informasjonssikkerhet.
• Den Internasjonale Organisasjonen FOR Standardisering (ISO) standard ISO 27001, Informasjonssikkerhetsstyring, som gir veiledning om informasjonsteknologisikkerhet og datasikkerhet.
• Payment Card Industry Data Security Standard (PCI DSS), som fastsetter sikkerhetskrav og sikkerhetskontroller for beskyttelse av sensitive data knyttet til personlig kredittkort-og betalingskortinformasjon
• Health Insurance Portability And Accountability Act (HIPAA), en føderal lov som regulerer informasjonssikkerhet og personvernbeskyttelse for personlig helseinformasjon

rammeverk og standarder er systemer som, når de følges, hjelper en enhet til konsekvent å administrere informasjonssikkerhetskontroller for alle deres systemer, nettverk og enheter, inkludert konfigurasjonsadministrasjon, fysisk sikkerhet, personellsikkerhet, nettverkssikkerhet og informasjonssikkerhetssystemer. De definerer hva som utgjør god cybersikkerhetspraksis og gir en struktur som enheter kan bruke til å administrere sine informasjonssikkerhetskontroller.