Með sífellt öflugri hugbúnaði og vélabúnaði, vaxandi notkun, nettengingum og ekki síst almennum aðgangi að Netinu eykst þörfin fyrir að tryggja öryggi gagna og búnaðar. Á sama tíma hefur orðið gríðarleg þróun í öryggismálum upplýsingakerfa sem m.a. má sjá af útkomu fjölmargra nýrra alþjóðlegra staðla á þessu sviði. Jafnframt hafa kröfur löggjafans á þessu sviði aukist, ekki síst varðandi meðferð persónuupplýsinga.

Meginþættir í öryggi upplýsinga
Upplýsingar eru verðmætar eignir og þurfa því viðeigandi vernd. Þær geta verið í margs konar formi, t.d. prentaðar eða ritaðar á pappír, geymdar með rafrænum hætti, birtar á filmu eða látnar í ljós í mæltu máli. Ávallt ætti að vernda upplýsingar á viðeigandi hátt óháð þeim leiðum sem farnar eru til að nýta þær eða geyma.

Upplýsingaöryggi felur í sér að upplýsingar eru verndaðar fyrir margs konar ógnum í því skyni að tryggja samfelldan rekstur, lágmarka tjón og hámarka árangur. Upplýsingaöryggi má líta á sem leið til að varðveita:

• Leynd (e. confidentiality), þ.e. tryggingu þess að upplýsingar séu aðeins aðgengilegar þeim sem hafa heimild. Vernda þarf viðkvæmar upplýsingar fyrir óleyfilegri birtingu, aðgangi eða hlerun.
• Réttleika (e. integrity), þ.e. að viðhalda nákvæmni og heilleika upplýsinga og vinnsluaðferða. Tryggja þarf að upplýsingar séu réttar og óskemmdar og að hugbúnaður vinni rétt.
• Tiltækileika (e. availability), þ.e. trygging þess að upplýsingar og þjónusta séu aðgengilegar fyrir notendur með aðgangsheimild, þegar þeirra er þörf.

Innleiðing upplýsingaöryggis felur í sér nokkra þætti svo sem áhættumat, gerð skipulagshandbóka, gerð áætlana um samfelldan rekstur og stefnumóturn.

Upplýsingaöryggi er einnig varðveisla á öðrum eiginleikum s.s. rekjanleika upplýsinga, áreiðanleika, óhrekjanleika og ábyrgð.

Með því að innleiða staðla um upplýsingaöryggi er leitast við að tryggja alla ofangreinda þætti með úttekt og endurskoðun á vinnutilhögun viðkomandi fyrirtækis eða stofnunar.

Viðfangsefni alþjóðlegu öryggisstaðlanna ISO 27002 og ISO 27001 eru ekki einungis upplýsingakerfin sjálf heldur einnig öll vinna og búnaður sem þeim tengist. Þannig þarf m.a. að skilgreina hvernig umgengni notenda við upplýsingar og kerfi er háttað og setja niður vinnureglur þar að lútandi.