Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

Ordlista

Alla definitioner är från MSB, ”Termbanken för informationssäkerhet”, om inte annat anges.

Chief Information Security Officer (CISO)
Roll med ansvar för att leda och samordna arbetet med informationssäkerhet i en organisation. CISO är informationssäkerhetssamordnare på högsta organisatoriska nivå. Se också avsnitt 2.4, Roller och funktioner på lärosäten.

Forskningsdata
Forskningsdata avser data som samlas in eller framställs inom ramen för vetenskaplig forskningsverksamhet. Det kan till exempel vara digitala texter, bilder, audiovisuella material, 3D-skanningar, observationsdata, resultat från experiment och andra typer av digitala objekt.[287] Statliga universitet och högskolor ansvarar för arkivbildning av sina allmänna handlingar. Här ingår forskningsinformation och forskningsdata.[288]

Forskningsämnesområde
Den högsta nivån i standarden för svensk indelning i forskningsämnen omfattar sex forskningsämnesområden: naturvetenskap, teknik, medicin och hälsovetenskap, lantbruksvetenskap och veterinärmedicin, samhällsvetenskap samt humaniora och konst. Under vart och ett av dessa sex forskningsämnesområden finns det på nästa nivå fem till elva forskningsämnesgrupper.[289]

Informationsklassning
Att klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få.[290]

Informationsmängd
En gruppering av information, exempelvis i form av dokument, en databas eller liknande, som innehåller flera informationstyper.

Informationssäkerhet
Bevarande av konfidentialitet, riktighet och tillgänglighet hos information.[291] Informationssäkerhet innefattar både organisatorisk säkerhet och teknisk säkerhet (se vidare Säkerhetsåtgärder).

Informationssäkerhetsincident
Enskild eller flera oönskade eller oväntade informationssäkerhetshändelser som har negativa konsekvenser för verksamheten och dess informationssäkerhet. Informationssäkerhetsincidenter kan samtidigt vara andra typer av incidenter såsom personuppgiftsincidenter.

Informationssäkerhetskultur
Gemensamma tanke-, beteende- och värderingsmönster som uppstår och utvecklas i ett socialt kollektiv genom kommunikativa processer, baserade på inre och yttre krav. Informationssäkerhetskulturen överförs till nya medlemmar och kan vara såväl bra som dålig eftersom begreppet inte är normativt.[292]

Informationstillgång
Information och informationsbehandlande resurser som är av värde för en organisation.

Informationstyp
En informationstyp är ett visst slag av information. En informationstyp kan finnas lokalt i en verksamhet eller vara spridd över hela organisationen, som exempelvis personuppgifter.[293]

Informationsägare
Befattningar som är ansvariga för att säkerställa att information skyddas på avsett sätt.[294]

Kollegialitet
Kollegialitet lägger stor vikt vid att ta tillvara medarbetarnas kunskap, erfarenhet och yrkesetik. Kollegialitet brukar därför förknippas med begreppet profession och är inte unikt för akademin. I en renodlad kollegial organisation inom akademin är kollegialt beslutsfattande och kollegiala ledarval (att kollegorna väljer sina ledare) viktiga grundprinciper, och de som inkluderas i kollegiet är de vetenskapligt kompetenta.[295]

Konfidentialitet
Konfidentialitet är egenskap hos informationstillgång som innebär att den inte tillgängliggörs eller avslöjas för obehöriga individer, objekt eller processer.

Ledningssystem för informationssäkerhet
Del av myndighetens övergripande ledningssystem, baserat på en metodik för verksamhetsrisk, som syftar till att upprätta, införa, driva, övervaka, granska, underhålla och utveckla organisationens informationssäkerhet.[296] Ledningssystemet omfattar organisationsstruktur, policyer, planeringsaktiviteter, ansvar, praxis, rutiner, processer och resurser.

Livscykelbedömning
Informationens värde och riskerna kan variera under hela informationens livscykel, från det att informationen skapas till att den gallras (eller långsiktigt bevaras). Informationssäkerheten blir därför i viss utsträckning viktig i alla stadier.[297]

Riktighet
Egenskap hos informationstillgång som innebär att den skyddas mot oönskad förändring.

Riskanalys
Process för att förstå riskens natur och för att avgöra risknivån.

Riskbedömning
Övergripande process som innefattar delprocesserna riskidentifiering, riskanalys och riskutvärdering.

Skyddsvärda data
Med skyddsvärda forskningsdata avses i den här granskningen i första hand sådana data som behöver skyddas på grund av sekretess eller dataskyddsreglering eller annan specialreglering. Det kan exempelvis röra stora mängder eller känsliga personuppgifter, företagshemligheter eller säkerhetskänslig verksamhet.[298]

Spårbarhet
Entydig härledning av utförda aktiviteter till en identifierad användare.

Säkerhetskänslig verksamhet
Säkerhetskänslig verksamhet är sådan verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Uttrycket Sveriges säkerhet tar sikte på sådant som är av grundläggande betydelse för Sverige, som försvaret, det demokratiska statsskicket, rättsväsendet och samhällsviktig verksamhet som är av betydelse ur ett nationellt perspektiv.[299]

Säkerhetsskydd
Säkerhetsskydd handlar om att skydda den information och de verksamheter som är av betydelse för Sveriges säkerhet mot spioneri, sabotage, terroristbrott och vissa andra hot. Det handlar även om att skydda verksamhet som omfattas av ett för Sverige förpliktigande internationellt åtagande om säkerhetsskydd. Utöver att skydda verksamhet och säkerhetsskyddsklassificerade uppgifter handlar säkerhetsskydd även om att skydda anläggningar, objekt, system, egendom och andra tillgångar som kan vara skyddsvärden av betydelse för Sveriges säkerhet. Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, eller som skulle ha omfattats av den lagen om den varit tillämplig i den aktuella verksamheten.[300]

Säkerhetsskyddsåtgärder
Arbetet med säkerhetsskydd börjar med en säkerhetsskyddsanalys. I den utreder verksamheten vad som ska skyddas, mot vad och vilka åtgärder som behöver göras. Säkerhetsskyddsåtgärder kan delas in i tre huvudområden: personalsäkerhet, fysisk säkerhet och informationssäkerhet.[301]

Säkerhetsåtgärder
För att skydda information krävs säkerhetsåtgärder, det vill säga åtgärder för att möta en organisations risker. Säkerhetsåtgärder för informationssäkerhet omfattar åtgärder inom det organisatoriska, personrelaterade, tekniska och fysiska säkerhetsområdet. Åtgärderna kan verka förebyggande, upptäckande eller korrigerande. Inom det organisatoriska området återfinns exempelvis policyer och riktlinjer, interna rutiner och instruktioner, roll- och ansvarsfördelning, ledningens ansvar samt hantering av informationssäkerhetsincidenter. Personrelaterade åtgärder inbegriper bland annat bakgrundskontroll samt medvetenhet och utbildning inom informationssäkerhet. Tekniska säkerhetsåtgärder avser bland annat åtkomsträttigheter, säkerhetskopiering av information, inloggning, brandväggar, kryptering och antivirusskydd. Med fysiska säkerhetsåtgärder avses exempelvis fysiskt skalskydd och tillträde, arbete i säkrade utrymmen och placering och skydd av utrustning.[302]

Tillgänglighet
Innebär i informationssäkerhetssammanhang att en informationstillgång är åtkomlig och användbar inom förväntad tid och omfattning.

  • [287] Vetenskapsrådet, Indikatorer för öppen tillgång till forskningsdata, 1 mars 2023, s. 4.
  • [288] SUHF, Rekommendation om tillämpning av regelverk angående gallring och bevarande av forskningsinformation. Antagen av SUHF:s styrelse 2022-04-26.
  • [289] SCB, ”Standard för svensk indelning av forskningsämnen”, hämtad 2022-11-09.
  • [290] 6 § 1 MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
  • [291] 3 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
  • [292] Hallberg m.fl., Informationssäkerhet och organisationskultur, 2017, s. 19–20.
  • [293] MSB, ”Vägledning, Klassning av information”, hämtad 2023-10-30.
  • [294] 5 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6) jämte tillhörande allmänna råd.
  • [295] SOU 2015:92, s. 127 ff.
  • [296] 3 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
  • [297] Svenska institutet för standarder, Svensk standard SS-ISO/IEC 27002:2022, Informationsteknik – Säkerhetstekniker – Riktlinjer för informationssäkerhetsåtgärder (ISO/IEC 27002:2022, IDT), utgåva 3, s. viii.
  • [298] Riksrevisionens definition, se även avsnitt 1.1.
  • [299] Säkerhetspolisen, ”Om säkerhetsskydd”, hämtad 2023-11-12.
  • [300] Säkerhetspolisen, mejl med synpunkter på rapportutkast från Riksrevisionen, 2023-10-26.
  • [301] Säkerhetspolisen, ”Säkerhetsskyddsåtgärder”, hämtad 2023-11-12.
  • [302] Svenska institutet för standarder, Svensk standard SS-ISO/IEC 27002:2022, Informationsteknik – Säkerhetstekniker – Riktlinjer för informationssäkerhetsåtgärder (ISO/IEC 27002:2022, IDT), utgåva 3.

Uppdaterad: 05 december 2023

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?