publicerad November 18, 2019 * 2 min läs

informationssäkerhetskontroller är åtgärder som vidtas för att minska informationssäkerhetsrisker som brott mot informationssystem, datastöld och obehöriga ändringar av digital information eller system. Dessa säkerhetskontroller är avsedda att bidra till att skydda tillgängligheten, konfidentialiteten och integriteten hos data och nätverk, och implementeras vanligtvis efter en riskbedömning av informationssäkerhet.

typer av informationssäkerhetskontroller inkluderar säkerhetspolicyer, procedurer, planer, enheter och programvara som syftar till att stärka cybersäkerheten. Det finns tre kategorier av informationssäkerhetskontroller:

• förebyggande säkerhetskontroller, utformade för att förhindra cybersäkerhetsincidenter
• Detektivsäkerhetskontroller, som syftar till att upptäcka ett cybersäkerhetsbrott (”händelse”) eller framgångsrikt brott (”incident”) medan det pågår och varnar cybersäkerhetspersonal
• korrigerande säkerhetskontroller, som används efter en cybersäkerhetsincident för att minimera dataförlust och skador på systemet eller nätverket och återställa kritiska affärssystem och processer så snabbt som möjligt (”resilience”)

säkerhetskontroller kommer i form av:

• Åtkomstkontroller inklusive begränsningar av fysisk åtkomst, såsom säkerhetsvakter vid byggnadsingångar, lås och omkretsstängsel
• Procedurkontroller som säkerhetsmedvetenhetsutbildning, säkerhetsramverkets efterlevnadsutbildning och incidentresponsplaner och procedurer
• tekniska kontroller som som multi-faktor användarautentisering vid inloggning (inloggning) och logiska åtkomstkontroller, antivirusprogram, brandväggar
• efterlevnadskontroller som sekretesslagar och Cyber säkerhetsramar och standarder.

de mest använda informationssäkerhetsramarna och standarderna inkluderar:

• National Institute of Standards and Technology (NIST) Specialpublikation 800-53, säkerhets-och integritetskontroller för federala informationssystem och organisationer. Detta dokument listar säkerhetskrav som är användbara inte bara för federala myndigheter utan för alla organisationers informationssäkerhetsriskhanteringsprogram.
• den internationella organisationen för standardisering (ISO) standard ISO 27001, Information Security Management, som ger vägledning om informationsteknik säkerhet och datasäkerhet.
• Payment Card Industry data Security Standard (PCI DSS), som fastställer säkerhetskrav och säkerhetskontroller för skydd av känsliga uppgifter i samband med personliga kreditkort och betalkortsinformation
• Health Insurance Portability and Accountability Act (HIPAA), en federal lag som reglerar informationssäkerhet och integritetsskydd för personlig hälsoinformation

ramverk och standarder är system som, när de följs, hjälper en enhet att konsekvent hantera informationssäkerhetskontroller för alla deras system, nätverk och enheter, inklusive konfigurationshantering, fysisk säkerhet, personalsäkerhet, nätverkssäkerhet och informationssäkerhetssystem. De definierar vad som utgör god cybersäkerhetspraxis och ger en struktur som enheter kan använda för att hantera sina informationssäkerhetskontroller.