Webbläsaren som du använder stöds inte av denna webbplats. Alla versioner av Internet Explorer stöds inte längre, av oss eller Microsoft (läs mer här: * https://www.microsoft.com/en-us/microsoft-365/windows/end-of-ie-support).

Var god och använd en modern webbläsare för att ta del av denna webbplats, som t.ex. nyaste versioner av Edge, Chrome, Firefox eller Safari osv.

Informationssäkerhet

Längre ned på den här sidan hittar du en ordlista med ord och termer.
Gå direkt till ordlistan för informationssäkerhet

Varför behövs informationssäkerhet?

För att kunna utföra ditt arbete och uppdrag som medarbetare, forskare eller student både producerar du och har tillgång till stora mängder information och data nödvändiga för just din roll. Den behöver vara korrekt och tillgänglig när du behöver den. Om universitetets informationssäkerhet brister, kan du få problem eller förseningar i ditt dagliga arbete. Men konsekvenserna kan bli större än så.

  • Vi kan få stora förseningar i forskning och undervisning
  • Vi riskerar felaktiga forskningsresultat
  • Vi riskerar viten p.g.a. lagbrott mot exempelvis Dataskyddsförordningen
  • Vi riskerar kränkningar mot den personliga integriteten hos enskilda
  • Forskning kan gå miste om finansiering och externa samarbeten
  • Vi riskerar ett skadat förtroende för universitetet  

Därför behövs ett systematiskt och riskbaserat informationssäkerhetsarbete, både på ledningsnivå och som en naturlig del i våra dagliga rutiner.

Kurser i informationssäkerhet

Här hittar du kurser som vänder sig till dig som är anställd eller affilierad vid Lunds universitet. De ska vara ett stöd för säkrare hantering av data och information i ditt dagliga arbete.

Vissa säkerhetsåtgärder som efterfrågas i kurserna finns ännu inte på plats vid Lunds universitet.

LUISA i Kompetensportalen på Medarbetarwebben  (cirka 15 minuter)

DISA på MSB:s webbplats (cirka 25 minuter)

Vill du lära dig mer?

"Tänk säkert" på MSB:s webbplats

Ledningssystem för informationssäkerhet

Arbete pågår med att etablera nya arbetssätt och regelverk för informationssäkerhet, allt enligt den första av rektor beslutade och resurssatta handlingsplanen för 2021–2023.  Utgångspunkt är omvärlds- och verksamhetsanalyser samt krav från bl.a. Myndigheten för samhällsskydd och beredskap. Allt syftar till att säkerställa att universitetets kritiska informationstillgångar ges ett adekvat, relevant och kontinuerligt skydd.

Det första styrdokumentet för informationssäkerhet vid universitetet är Ledningssystem för informationssäkerhet (LIS) och beslutades av rektor våren 2022.  I detta och kommande styrdokument samt stödjande resurser beskrivs universitetets processer för riskbaserat informationssäkerhetsarbete. Där ingår bl. a. omvärldsanalys, verksamhetsanalys, riskanalyser, informationsklassning, anvisningar för olika säkerhetsåtgärder samt framtagande av handlingsplaner.

Ledningssystem för informationssäkerhet har beslutats av rektor (Informationssäkerhetsbloggen)

Ansvar

Medarbetare och studenter

  • Du ansvarar för att hantera information och data på ett säkert sätt.
  • Du lagrar dina dokument säkert.
  • Du låser din dator och förvarar den på ett stöldsäkert sätt.
  • Du talar inte heller högt om känslig information på tåget.
  • Skydd av information omfattar både digital, skriven och talad information.

Ledningen

Ytterst ansvarig för informationssäkerheten är styrelsen och rektor. Rektor fattar beslut om universitetets styrande dokument och ledningssystem för informationssäkerhet. Där beskrivs hur arbetet ska bedrivas och risker hanteras vid universitetet. Roller och ansvar ska vara tydliga, t ex vilka som kan ta riskbeslut, äger olika typer av information, ska införa och förvalta tekniska IT-säkerhetsåtgärder samt säkerhet i våra lokaler. Ledningen ska regelbundet följa upp arbetet med informationssäkerhet vid det som kallas Ledningens genomgång.

CISO - Chief Information Security Officer

En oberoende roll med uppgift att utveckla och förvalta informationssäkerhetsarbetet, t.ex. kravställa, samordna, stödja, utbilda samt följa upp efterlevnad. CISO ska bistå ledningen med regelbundna rapporter, rekommendationer och beslutsunderlag.

CISO-funktionens uppgift innebär regelbunden samverkan med bland andra informationsriskägare, systemförvaltare, jurister, DSO/dataskyddsombud, IT-funktioner, säkerhetsavdelning, byggnadsfunktioner, arkivfunktion, projektkontor och externa myndigheter. 

Vilka lagrum gäller

Hur informationssäkerhetsarbetet vid universitetet ska bedrivas och andra krav är beslutade av Myndigheten för Samhällsskydd och beredskap. 

MSBFS 2020:6 Föreskrifter om informationssäkerhet för statliga myndigheter

MSBFS 2020:7 Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter

Läs mer på medarbetarwebben om MSBs uppdaterade och nya föreskrifter som publicerades i oktober 2020.

Därtill finns ytterligare 20+ lagrum som direkt eller indirekt ställer krav på att det finns ett systematiskt och riskbaserat informationssäkerhetsarbete.

Ordlistan för informationssäkerhet

I den här ordlistan hittar du förklaringar för termer och definitioner inom informationssäkerhet. Ordlistan gäller inom ramen för universitetets informationssäkerhetsarbete, styrande dokument (ledningssystem) samt annan dokumentation och kommunikation.

A / B / C / D / E

 

A

Administratör (IT-system)

En användare som har högre eller andra rättigheter än en vanlig användare, t.ex. systemadministratör, säkerhetsadministratör.

Analysobjekt

En informationstillgång som ska analyseras.

Användare (IT, information)

En person som nyttjar information eller en tjänst.

Användarnamn

Ett användarnamn är det som en användare anger tillsammans med ett lösenord för att identifiera sig (logga in) och för att få tillgång till en IT-resurs som ett datornät, ett system, ett datorprogram eller en webbsida.

Arbetssätt

En ordning för hur en uppgift utförs i organisationen, varför och av vem. Arbetssättet bör vara medvetet valt av organisationen och finnas beskrivet i styrande dokument och ska tillämpas i alla relevanta situationer. Tillämpningen och resultatet av arbetssättet bör följas upp och utvärderas regelbundet. Slutligen bör arbetssättet leda till att den specifika uppgiften utförs på samma sätt i hela organisationen, det vill säga att det finns en organisationsgemensam modell för arbetsuppgiften.

Assurans

En tilltro till att ett systems eller en produkts säkerhetsfunktioner uppfyller specificerade säkerhetskrav.

Auktorisation

Fastställande av åtkomsträttigheter för en användare till olika systemresurser.

Autenticitet

Äkthet

Autentisering

En kontroll av en användares eller ett systems identitet för att säkerställa att hen/den verkligen är den hen/den utger sig för att vara.

Autentiseringsutrustning

Utrustning som används vid autentisering av en användare utöver användarnamn och lösenord, exempelvis smartkort, USB-donglar, dosor med engångskoder eller liknande. När flera former av information krävs för att styrka användarens identitet kallas det för fler- eller multifaktorautentisering.

Avbrottsfri kraft

Även kallad avbrottsfri ström eller reservkraft. Strömförsörjning som även fungerar vid avbrott i elnätet. Det kan röra sig som strömförsörjning via UPS (batteri) eller dieselaggregat.

Avslutningssamtal

Även avgångssamtal, ett samtal mellan närmaste chef och en anställd som ska avsluta sin anställning. Under samtalet påminns den anställde om sekretess och passerkort och eventuell utrustning (exempelvis datorer surfplattor, mobiler,  skrivare, instrument) som den anställde har lånat under sin anställning samt utskrifter, anteckningar med känslig information som ska återlämnas.

B

Backup

Se säkerhetskopia under "S".

Bakgrundskontroll

En undersökning där syftet är att:

  • validera information (erfarenheter, meriter etcetera) som lämnats av den som ska undersökas
  • beroende på tjänst undersöka om det finns några identifierbara riskfaktorer som bör följas upp innan en anställning.

Undersökningen görs genom att inhämta information från öppna källor.

Behandling (av information)

En åtgärd eller kombination av åtgärder beträffande information, oberoende av om de utförs automatiserat eller inte, så som insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Notera att dataskyddslagstiftningen är tillämplig på all helt eller delvis automatiserad behandling av personuppgifter samt på manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i ett register.

Behörighet

Den hierarki av rättigheter i ett datorsystem som är knutna till arbetsuppgifter, befattningar och roller. Behörighet är knuten till identitet, så behörighetskontroll sker efter att användarens identitet har kontrollerats (autentiserats).

Botnet

Ett logiskt nät av datorer som smittats av sabotageprogram som gör det möjligt för utomstående att fjärrstyra dem i syfte att sabotera eller utnyttja dem för egen vinning.

Brandvägg

En nätverkskomponent som enligt given konfiguration begränsar och övervakar trafik mellan nätverk.

C

Cybersäkerhet

En delmängd av informationssäkerhet där cybersäkerhet bara handlar om digital information. Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk samt hot från externa antagonister. Noteras bör att när vi talar om digital information är det en mix av information och bärare – medan när vi klassar information så är det inte mediet som klassas utan bara informationsinnehållet.

Cyberrymden

Den del av informationsmiljön som består av de sammanlänkade och av varandra beroende IT-infrastrukturer, som möjliggör kommunikation av data och information. Den inkluderar internet, intranät, telekommunikationssystem, IT-system samt inbyggda processorer och styrenheter.

Cyberrymden ses som den gemensamma tekniska infrastrukturen men inte som information per se.

D

Dataskyddsförordningen

Alla verksamheter som hanterar personuppgifter måste följa dataskyddsförordningen. Det innebär bland annat att verksamheten behöver följa de grundläggande principerna, se till att behandlingen har en rättslig grund och informera de registrerade om hur deras personuppgifter hanteras. (från engelska: General Data Protection Regulation GDPR)

Dataskyddslagen

Den svenska nationella kompletteringen till EU:s dataskyddsförordning.

Dataskyddsombud

Den roll och funktion som kontrollerar att Lunds universitet efterlever Dataskyddsförordningen.

Datorhall

Även kallad serverhall. En lokal avsedd och utformad för IT-drift, där en större mängd IT-utrustning i form av servrar och system etcetera förvaras.

Dekryptering

Omvandling av en kryptotext, en oläslig text, till en läslig klartext med hjälp av ett kryptosystem och en krypteringsnyckel.

Driftsäkerhet

Handlar om att säkerställa att informationshanterande resurser fungerar på ett korrekt och säkert sätt enligt de krav som ställts av organisationen.

DoS-attack, DDoS-attack

Denial of Service attack (Eng.) (överbelastningsattack, tillgänglighetsattack) är en typ av sabotage där någon överbelastar en server eller router genom att sända enorma mängder felaktiga datapaket så att den till slut kraschar.

Distributed Denial of Service Attack (Eng.) är en distribuerad överbelastningsattack där anropen sker från många olika datorer, ofta fjärrstyrda via maskar, virus eller trojaner som infekterat dessa datorer utan ägarnas vetskap.

E

E-legitimation

Elektronisk legitimationshandling som används för säker identifiering på Internet, t.ex. e-legitimation, elektronisk legitimation, e-leg, eID, BankID.

Elektronisk signering, digital signering

En signatur är resultatet av en matematisk beräkning som validerar äktheten och integriteten hos ett meddelande eller ett program och som läggs till meddelandet eller programmet.

EU:s Dataskyddsförordning

Den svenska översättningen av General Data Protection Regulation (GDPR).

F / G / H 

F

Fax

Fax (förkortning av telefax) är en maskin som läser av ett papper som förs in i maskinen och med hjälp av elektriska signaler via telenätet skickar över informationen till en annan fax som tar emot och skriver ut informationen på papper. Informationen som läses av hos avsändaren, skickas och skrivs ut hos mottagaren kan vara handskriven eller maskinskriven text, ett fotografi eller en handritad bild. Det går även att skicka fax från en dator antingen via ett faxmodem som kopplas mellan datorn och telenätet eller via mejl som skickas till en faxtjänst som är ansluten till telenätet. Fax används väldigt sällan idag, den har ersatts av mejl på de flesta ställen.

Federerad identitet

En användaridentitet som kan användas inom olika organisationer, eftersom man har enats om hur man ska hantera identiteter över organisationsgränserna. En användare som autentiserat sig hos en organisation kan med automatik bli autentiserad hos en annan organisation som ingår i federationen. Resultatet kan bli en samlad inloggning (engelsk term: singel sign-on) som överskrider organisationsgränserna.

Flerfaktorautentisering

Även kallad multifaktorautentisering, autentisering av en användare med krav på två eller flera former av information som styrker användarens identitet utöver användarnamn och lösenord, exempelvis smartkort, BankID, USB-donglar, dosor med engångskoder eller liknande.

Forensisk analys

Forensisk analys utförs i samband med en incident där eventuell raderad information återskapas och bevismaterial samlas ihop samt analyseras.

Funktionsbrevlåda

Ett konto som är kopplat till en:

  • funktion, till exempel ansvarig [at] organisationen [dot] se (ansvarig[at]organisationen[dot]se), där mejladressen är intakt även om personen som innehar tjänsten byts ut
  • verksamhet där flera användare delar på kontot exempelvis inom IT- eller HR-support eller liknande där tillgängligheten är viktigare än personberoendet.

Fysisk säkerhet

Implementation och upprätthållande av säkerhetsåtgärder som tillsammans upptäcker, försvårar, skyddar och hanterar obehörig fysisk åtkomst till informationstillgångar.

Förvaltningsobjekt (se även analysobjekt)

Ett eller flera IT-system som förvaltas gemensamt, och som omfattar såväl applikation som IT-teknik. När det gäller förvaltning av IT-infrastruktur består förvaltningsobjektet oftast enbart av IT-teknik. Förvaltningsobjekt, IT-system och system har samma betydelse i detta sammanhang.

Ett annat förvaltningsobjekt kan vara en fastighet eller en process.

Förvaltningsorganisation

En grupp människor som under organiserade former sköter förvaltningen av ett specifikt förvaltningsobjekt.

Förvaltningsplan

Årligt styrdokument för förvaltningen av ett specifikt förvaltningsobjekt.

G

Gapanalys

Identifiering av skillnaden mellan befintliga, införda säkerhetsåtgärder och identifierat behov av säkerhetsåtgärder dvs. skyddsnivån. 

Grundskydd

En grundnivå med olika säkerhetsåtgärder som verksamheten har beslutat att införa. Grundskyddet kan t.ex. bestå av krav på utbildning innan en viss information får hanteras, bakgrundskontroll före anställning eller att ett IT-system måste ha infört vissa tekniska säkerhetsåtgärder om inte informationsklassningen och riskbedömningen kommer fram till att en lägre nivå är tillräcklig.

H

Hoax

En lögn, en falsk varning eller uppmaning som ser ut att vara sann.

Hot

Något som orsakar eller bidrar till att orsaka att en incident inträffar.

  • Oavsiktligt hot: existerar trots att illasinnad avsikt saknas.
  • Avsiktligt hot: syftar till att skada verksamheten.
  • Inre hot: orsakas av individer inom organisationen.
  • Yttre hot: har sitt ursprung utanför organisationen.

Hotbild

Hot som bedöms förekomma mot en viss verksamhet och dess tillgångar och resurser.

I / J

I

Identifiering

Att knyta en person med uppgiven identitetsbeteckning (namn, personnummer eller liknande) till en på förhand registrerad identitet. I de flesta fall förutsätts någon form av identitetskontroll (autentisering).

Identitet

Unik beteckning för en viss entitet (person, process, fysisk enhet eller liknande) i ett visst system.

Identitetskapning

När någon använder en annan persons identitetsuppgifter eller inloggningsuppgifter (användarnamn och lösenord) på ett sätt som medför skada eller olägenhet för den drabbade.

Information

Kunskap gällande objekt, såsom fakta, händelser, saker, processer eller idéer, inklusive begrepp, som i ett givet samman­­hang har en bestämd mening.

Informationshanterande resurs

Hanterar, lagrar eller kommunicerar information.  Exempelvis: medarbetare, lokaler och byggnader, datorer, telefoner, IT-system och -infrastruktur, tekniska anläggningar och utrustningar, instrument. Andra typer av informationshanterande resurser kan vara processer, aktiviteter eller rutiner, exempelvis för upphandling och avtal, rekrytering och projekt. Se även IT-resurser.

Informationsklassning

Att genom konsekvensanalys värdera sin information utifrån aspekterna konfidentialitet, riktighet och tillgänglighet (samt spårbarhet). Denna klassning ska göras av, alternativt godkännas av beslutade informationsrisksägare.

Informationsmodell

En grafisk beskrivning av de informationsobjekt en viss verksamhet behöver och hur de relaterar till varandra.

Informationsmängd

En gruppering av information som innehåller flera informationstyper t.ex. i form av ett dokument eller en databas. 

Informationsriskägare

Ansvarar för informationstillgångar och beslutar om informationshantering inom ramen för befintlig lagstiftning och interna regelverk. Informationsriskägare är ansvariga för att den egna informationen klassas och har ett tillräckligt skydd genom riskbedömning och genom att ställa krav på hanteringen av informationen. Ägaren har även mandat att fatta beslut om riskacceptans.

Informationssystem

Applikationer, tjänster eller andra komponenter som hanterar digital information. I begreppet ingår också nätverk och infrastruktur. Ref. MSB:s definition i MSBFS2020:7

Informationssäkerhet

Bevarande av konfidentialitet, riktighet och tillgänglighet (och spårbarhet) hos information. Informationssäkerhet är en kombination av administrativ och teknisk säkerhet, där fysisk säkerhet och IT-säkerhet ingår i den tekniska säkerheten.

Informationssäkerhetsincident

En enskild eller en serie oönskade eller oväntade informationssäkerhetshändelser vilka med stor sannolikhet kan äventyra informationssäkerheten eller har påverkat informationssäkerheten negativt.

Informationssäkerhetskrav

De ”vad”-krav som respektive ägare och förvaltare av informationsbärare ska ta ställning till, för uppfyllande av krav för ett enskilt objekt. Status för kravuppfyllnad/regelefterlevnad ligger till grund för handlingsplan om vad som bör åtgärdas.

Informationstillgångar

All skyddsvärd information som verksamheten hanterar inklusive de resurser som behandlar informationen genom att ta emot, lagra, bearbeta, visa eller kommunicera den.

Informationstyp

Ett visst slag av information t.ex. personuppgifter, forskningsdata, ritningar, källkod etcetera.

Integritet

Okränkbarhet med förmåga att upprätthålla sitt värde genom skydd mot oönskad förändring, påverkan eller insyn. Kan avse såväl ett tekniskt system (systemintegritet) som en person (personlig integritet).

Intern information

Information som kan leda till måttlig skada på antingen anseende, varumärke, forskning, undervisning och/eller förvaltning i händelse av att den kommer i orätta händer ska klassas som intern information.

Intern information kan normalt spridas internt inom universitetet förutsatt att mottagaren är verksam inom universitetet och har skrivit på en sekretessförbindelse. Om intern information delas med en extern aktör ska det finnas ett tydligt syfte med detta, en sekretessförbindelse ska vara påskriven.

Intern information kräver ett skydd mot obehörig och oavsiktlig åtkomst samt mot kvalificerade angrepp för att komma åt informationen.

Interoperabilitet

Förmåga och möjlighet hos system, organisationer eller verksamhetsprocesser att fungera tillsammans och kunna kommunicera med varandra genom att överenskomna regler följs.

Intrång

Att utan tillstånd skaffa sig tillgång till informa­tion i datorer eller att utan tillstånd ändra, ta bort eller lägga till informa­tion.  

Intrångsdetekteringssystem

Även intrångsupptäcktssystem (eng. Intrusion detection system), ett system som upptäcker försök till intrång i ett nätverk.

IT-attack

Även kallad IT-angrepp eller cyberattack, attack via Internet där kriminella nyttjar sårbarheter eller information för att få obehörig åtkomst till servrar och/eller datorer i syfte att komma över, radera eller kryptera information. I det senare fallet används gisslanprogram.

IT-infrastruktur

IT-infrastruktur består av hårdvara (servrar, mobila enheter, stationära datorer) och mjukvara antingen på plats eller i molnet samt nätverk som behövs för att driva IT-system.

IT-resurs

Avser all hårdvara, mjukvara, sammanlänkade system eller delsystem av utrustning som används för att behandla, hantera, komma åt eller lagra elektronisk information.

IT-system/ informationssystem

Ett system för insamling, lagring, bearbetning och spridning av information för ett visst ändamål. Ärver klassning från informationsinnehållet. Systemperspektivet hjälper till att hitta ägarskap. Fokus är dock på informationen som hanteras i systemet. Uppsättning av applikationer, tjänster, informationsteknologiska tillgångar och andra informationshanterings-komponenter

IT-systemförvaltare/ IT-systemägare

Verksamhetsspecialist, ansvarar på daglig basis för funktionaliteten och säkerhetsnivån i systemet.

IT-systemförvaltning

De aktiviteter som görs för att hantera ett system i drift, så att det effektivt bidrar till att uppfylla verksamhetens mål.  En systemförvaltningsmodell är ett ramverk som beskriver hur ett förvaltningsarbete kan utföras och organiseras. Modellen ger en normgivande bild av de aktiviteter som utförs för att styra, administrera, utföra förändringsarbeten och stödja användandet av ett förvaltningsobjekt.

IT-säkerhet

IT-relaterade tekniska säkerhetsåtgärder med avsikt  att upprätthålla informationssäkerhet dvs. med förmåga att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid såväl kommunikation som lagring och bearbetning av data. 

K / L / M / N / O

K

Kapacitetshantering

Syftet med kapacitetshantering är att säkerställa att informationshanterande resurser är tillräckliga för att möte organisationens krav på ett kostnadseffektivt sätt.

Kommunikationssäkerhet

Implementation och upprätthållandet av säkerhetsåtgärder som skyddar mot obehörig åtkomst till information som överförs via nätverk.

Konfidentialitet

Egenskapen att information inte tillgängliggörs eller avslöjas för obehöriga individer, enheter eller processer. Not: Konfidentialitet medför inte automatiskt sekretess, även om det kan finnas en koppling. Därför ska begreppen konfidentialitet och sekretess hållas åtskilda. Sekretess är enbart en benämning på den del av informationen som sorterar under OSL (Offentlighets- och sekretesslagen).

Konfidentiell information

Information som kan leda till stor skada på antingen anseende/varumärke, forskning, undervisning och/eller förvaltning i händelse av att den kommer i orätta händer ska klassas som konfidentiell.

Konfidentiell information kräver särskild behörighet inom verksamheten och ett starkt skydd mot obehörig och oavsiktlig åtkomst samt mot kvalificerade angrepp för att komma åt informationen.

Konsekvens

Resultat av en händelse med negativ inverkan.

Konsekvensnivå

Avser nivån som gäller utifrån de tre olika perspektiven –konfidentialitet, riktighet och tillgänglighet. Normalt utgår vi från en modell med fyra nivåer, där 0 är lägst och 3 är högst. 3 används bara i speciella omständigheter. 0 representerar få eller inga större negativa konsekvenser på verksamhet eller omvärld.

Kontinuitetshantering

Förmågan och beredskapen att hantera avbrott i verksamheten, att minska skador pga. avbrott samt att sörja för att kontinuitet i verksamhetens kritiska processer ligger på en accepterad lägsta nivå.

Korskopplingsrum

Även kallad kommunikationsrum och förkortas KK-rum. En rum där kommunikationsutrustning som switchar, routrar, brandväggar, fiberanslutningar och nätverk kopplas samman. 

Krisorganisation

En utsedd ledningsnära grupp inom organisationen som aktiveras i samband med en kris där gruppen har en tydlig rollfördelning, uttalat ansvar och mandat. Krisorganisationen ska inneha kunskap, resurser och befogenheter för att kunna lösa de problem som är orsaken till krisen.

Krisplan

Beskriver hur en organisation ska hantera en kris utifrån olika tänkbara situationer som kan drabba organisationen.

Kryptering

Omvandling av klartext till en, för obehöriga, oläslig kryptotext med hjälp av ett kryptosystem och en krypteringsnyckel.

Krypteringsalgoritm

En matematisk procedur som används vid kryptering och dekryptering av meddelanden. Den bygger på att bokstäver i ett meddelande behandlas som numeriska tecken och byts ut och flyttas om enligt ett matematiskt mönster.

Kryptosystem

En utrustning eller ett program som innehåller en krypteringsalgoritm som används för kryptering och dekryptering av meddelanden och funktionalitet för att autentisera avsändaren av ett meddelande samt funktionalitet för att generera och hantera krypteringsnycklar.

Kryptotext

Text som krypterats. Motsats är klartext.

L

Ledningssystem för informationssäkerhet (LIS)

System (inte IT-system) för att fastställa en organisationsprocess för styrning och ledning av informationssäkerhetsarbetet. Det omfattar bl.a. grundprinciper för ledning av arbetet, hur ställa upp mål samt strategier för att uppnå dessa mål, organisation, resurser samt tekniska respektive administrativa säkerhetsåtgärder. LIS:et är ett stöd för hur informationssäkerhetsarbetet styrs av ledningen i verksamheter.

En central del i ett ledningssystem är ledningens uttalade stöd. Översta nivån är den policy som styrelsen antar för informationssäkerhetsarbetet. I styrdokument, riktlinjer och liknande kan sedan den högsta ledningen ge vägledning till chefer och övriga medarbetare.

Ref: Standard SS-ISO/IEC 27001:2017 som fastställer krav som en organisation behöver uppfylla när det gäller ledningssystem för informationssäkerhet.

Logg

Förteckning över händelser, samt olika attribut kopplade till dessa, noterade i den ordning de inträffar.

Logiskt gränssnitt

Del av en tjänstebeskrivning som beskriver gränsytor som ska implementeras av producent och konsument i form av anrop, meddelanden och sekvenser. Jämför tekniskt gränssnitt.

LUCAT

Universitetets centrala person- och adresskatalog, via systemet styrs också behörigheter till olika IT-tjänster och system (t.ex. mejl, det trådlösa nätverket Eduroam, access till byggnader etc.) som verksamma vid universitetet behöver ha tillgång till.

Lösenord

Kombination av tecken som tillsammans med användarnamn anges för att verifiera en användaridentitet.

M

Malware

Se skadliga program.

Mask

Program som mångfaldigar sig själv i ett distribuerat system och fyller alla minnesutrymmen i drabbade datorer med kopior av sig själv tills både datorer och nätverk blir överbelastade och slutar att fungera. En mask förstör ingenting.

Metadata

Beskriver innehållet och/eller strukturen för en viss datasamling ur något perspektiv.  

Mobil enhet

Med mobila enheter avses bärbar utrustning som till exempel laptoppar, surfplattor, mobiltelefoner, USB-minnen, diktafoner/fickminnen, externa hårddiskar och CD/DVD/Blueray-skivor.

Molntjänst

Tjänst som till­handa­hålls via Internet från ett nätverk av servrar. Det krävs inget speciellt operativsystem eller program förutom en webbläsare, inte gjord för någon speciell kund. Antal användare kan enkelt ökas eller minskas och kundens information lagras på tjänsteleverantörens server.

Multifaktorautentisering

Se Flerfaktorautentisering.

O

Obehörig åtkomst

Åtkomst av system, resurs eller annat objekt i strid med behörighetsregler.

Oförnekbarhet

Hinder för avsändaren av ett elektroniskt meddelande att förneka att han/hon är avsändaren och för mottagaren att förneka att han/hon har tagit emot samma meddelande. (Eng: non-repudiation)

Omvärldsanalys

Omvärldsanalysen är en del av riskprocessen där syftet är att identifiera allt som ligger utanför verksamhetens direkta kontroll men som påverkar eller påverkas av organisationens informationssäkerhet. Resultatet användas för att utforma informationssäkerheten så att verksamheten lever upp till de rättsliga krav som gäller genom att koppla vissa säkerhetsåtgärder till en viss typ av information och använda den i samband med informationsklassning.      

Outsourcing

Utkontraktering av någon del av intern verksamhet, process eller IT-relaterad tjänst som tidigare utfördes internt, till en extern leverantör.

OWASP

Open Worldwide Application Security Project, en global ideell organisation som jobbar för att förbättra mjukvarusäkerhet, främst i webbapplikationer. 

P / Q / R /

P

Personuppgifter

All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet (3 kategorier):

  1. Ordinära personuppgifter. Exempel på ordinära personuppgifter är namn, adress, telefonnummer, mejladress. Det är personuppgifter som inte ingår i kategori 2 eller 3.
  2. Känsliga personuppgifter. Vad som utgör känsliga personuppgifter är reglerat i lag. Det är uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som används för att entydigt identifiera en person.
  3. Extra skyddsvärda personuppgifter. Exempel på extra skyddsvärda personuppgifter är personnummer och värderande uppgifter om en person, exempelvis uppgifter från utvecklingssamtal eller uppgifter om resultat från personlighetstester. Det är personuppgifter som bedömts mer skyddsvärda än ordinära personuppgifter men som inte ingår i kategori 2.

Personuppgiftsansvarig

Den organisation som är ansvarig för hanteringen av personuppgifter. Med få undantag är Lunds universitet alltid personuppgiftsansvarig.

Personuppgiftsbiträde

Den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde med personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige.

Personuppgiftsincident

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring, eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Phis​hing, nätfiske

Attack som via mejl försöker locka mottagaren att besöka en till synes äkta webbsida (för t.ex. en bank eller kreditkortsföretag) och där uppmanas att uppge inloggningsinformation eller andra känsliga uppgifter.

PIN-kod

Förkortning av engelskans Personal Identification Number, som är ett numeriskt lösenord.

Policy

Övergripande avsikt och viljeinriktning formellt uttryckt av ledningen.

Priviligierad åtkomst

Utökade åtkomsträttigheter som ges till en viss roll eller grupp av användare inom en organisation som vanliga användare inte har. Åtkomsträttigheterna används vid förvaltning av informationsbehandlande resurser (exempelvis lokaler eller IT-system).

Privilegierade användare

Användare som har priviligierad åtkomst.

Process

Ett eller flera arbetssteg, som logiskt hänger samman och som medverkar till att ett resultat kan levereras.

Publik information

Information som inte leder till någon skada på anseende, varumärke, forskning, undervisning och/eller förvaltning i händelse av att den kommer i orätta händer ska klassas som publik. Publik information har inga krav på åtkomstbegränsning utan kan spridas fritt. Ibland krävs dock både granskning och beslut för att öppen information ska publiceras, till exempel på extern webbplats som www.lu.se och medarbetarwebben.lu.se.

R

Ransomware

Även utpressningsprogram, utpressningsvirus, gisslanprogram, gisslanvirus eller kryptovirus. Skadlig kod som krypterar hela eller delar av innehållet i systemet. Det kan vara kryptering av viss typ av filer (crypto ransomware) eller att alla filer krypteras och att datorn inte kan startas upp (locker ransomware). Angriparen begär en lösensumma för att lämna ut det lösenord som låser upp krypteringen.

Regelbaserad access

Användarens behörighet till resurser och information i ett nätverk eller ett system styrs av förutbestämda regler, exempelvis en systemadministratör som endast får titta på information som krävs för att lösa ett fel i ett system.

Registerkontroll

En del av en mer omfattande säkerhetsprövning som görs innan en person deltar i säkerhetskänslig verksamhet. Registerkontrollen omfattar till exempel uppgifter från belastningsregistret, näringsförbudsregistret etcetera.

Registrerad

Den person vars personuppgifter du samlar in och/eller hanterar.

Reservkraft

Se avbrottsfri kraft.

Riktighet

Egenskapen att skydda exaktheten och fullständigheten för tillgångar.

Risk

En systematisk sammanvägning av förväntad sannolikhet för och konsekvens av att en oönskad händelse inträffar till följd av ett visst hot, kopplat till en definierad verksamhet, en specifik skyddsvärd tillgång och en specifik konsekvensskala.

Organisationen identifierar vilka risker som finns (ibland används termen bruttorisk) och bedömer effekten av att risken inträffar (sannolikhet x konsekvens). Därefter identifieras och utvärderas existerande kontroller/åtgärder för att bedöma kvarvarande risk (ibland används termen nettorisk). En handlingsplan upprättas för att begränsa de nettorisker som man bedömer ligger för högt, trots implementerade kontroller/åtgärder. Efter att brutto- och nettorisker har identifierats behöver verksamheten fatta beslut om vilka aktuella risknivåer som kan accepteras eller om motverkande kontroller behöver stärkas. (Detta moment ingår och beskrivs i sin helhet i metodiken för riskhantering avseende informationssäkerhet).

Riskacceptans

Ett av flera sätt att hantera en risk. I detta fall innebär det att inget görs åt risken t.ex. för att påverkan är minimal, åtgärderna för kostsamma eller för att risken inte går att åtgärda för att den uteslutande beror på externa händelser. Det kallas även för att behålla risken. Mandat att fatta beslut har informationsriskägaren.

Riskanalys

Process som identifierar hot mot verksamheten och uppskattar storleken hos relaterade risker.

Riskaptit

Nivå av risk som en verksamhet anser vara acceptabel innan den sätter in motåtgärder för att till exempel begränsa, överföra eller eliminera risken.

Riskbedömning

Övergripande process för riskidentifiering, riskanalys och riskutvärdering.

Riskbegränsning

Ett av flera sätt att hantera en risk. Begränsningen uppnås genom att t.ex. skadeförebyggande eller skadebegränsande åtgärder sätts in.  

Riskdelning/risköverföring

Ett av flera sätt att hantera en risk. Betyder att risken överförs till en eller flera andra intressenter som är mer kapabla eller villiga att ta sig an risken, alternativt kan en försäkring tecknas (försäkringen tar då hand om konsekvensen).

OBS! Ansvaret för en risk kan aldrig överföras till någon annan.

Riskeliminering

Ett av flera sätt att hantera en risk. I detta fall innebär det att risken helt tas bort, d.v.s. att den elimineras.

Riskhantering

Samordnade aktiviteter för att bedöma (identifiera, analysera och utvärdera) och behandla risker. Vid behandling av risker skapas förebyggande åtgärder för att reducera risken.

Två huvudmetoder används:

  1. Riskreducering genom att skapa en förebyggande åtgärd. Här kan kostnad beräknas, typ anges, vem som är ansvarig för åtgärden, koppling till andra risker som denna åtgärd reducerar, samt tidsram.
  2. Riskreducering genom att koppla till en säkerhetsåtgärd. Åtgärden väljs ur en för organisationen beslutad mängd säkerhetsåtgärder. 

När risken har hanterats finns möjlighet att göra en ny riskbedömning efter att planerade åtgärder är införda. Detta kallas ibland nettorisk och den ursprungliga bedömningen bruttorisk.

Riskidentifiering

Process för att upptäcka, kartlägga/känna igen och beskriva risker.

Riskmatris

Riskmatrisken är ett visuellt hjälpmedel som hjälper till i riskhanteringen.

För varje hot bedöms konsekvensen i händelse av att hotet inträffar utifrån en fastställd konsekvensskala (y-axel) och sannolikheten att hotet inträffar bedöms på motsvarande sätt med hjälp av sannolikhetsskalan (x-axel). När konsekvensen och sannolikheten är bestämda, kan hotet plottas ut i riskmatrisen. 

Riskutvärdering

Process för att jämföra resultaten från riskanalysen med riskkriterierna för att avgöra om risken och/eller dess storlek är acceptabel.

Riskägare

Person som ansvarar för och har befogenhet att hantera en risk.

Rollbaserad access

Användarens behörighet i ett nätverk eller system styrs av rollen hen har inom organisationen.

Rootkit

Se skadliga program.

Router

Utrustning som kopplar samman olika nätverk genom att läsa nätverkstrafik och bedöma vilken trafik som ska till vilket nät. För att veta vart inkommande nätverkstrafik ska skickas använder routern en routingtabell som listar var olika datorer och nätverk finns.

RPO

Eng. Recovery point objective (RPO), den längsta tid som verksamheten kan acceptera förlust av information vid en incident eller helt enkelt längsta tiden mellan två backuper.

RTO

Eng. Recovery time objective (RTO), längsta tillåtna tiden för återställning efter ett avbrott.

S

Sabotageprogram

En överordnad term för oönskade datorprogram, framför allt virus, maskar, trojaner, spökprogram, tangentloggare (Eng. key-logger) och hybrider.

Samlad inloggning

En metod för att hantera användare med hänsyn till autentisering och auktorisering, så att dessa användare endast behöver logga in en enda gång på flera lösenordskyddade program eller webbsidor under en arbetsdag för att nå de system som är anpassade till tjänsten. (Engelska: single sign-on (SSO).

SDL

Microsoft Security Development Lifecycle (SDL), är ett ramverk som stödjer utveckling av säker mjukvara och som används internt på Microsoft.

Segmentering av nätverk

Uppdelning av nätverk i mindre delnätverk där varje del utgör ett eget nätverkssegment med så begränsad kontakt med andra segment som det bara är möjligt.

Sekretessbelagd uppgift

Ett förbud att röja en uppgift, vare sig det sker muntligt, genom utlämnande av en allmän handling eller på något annat sätt. En sekretessreglerad uppgift för vilken sekretess gäller i ett enskilt fall, enligt OSL, Offentlighets- och Sekretesslagen.

Sekretessfilter

Sekretessfilter/sekretesskydd är en tunn plastskiva som sätts framför externa skärmar eller skärmar till bärbara datorer, surfplattor och mobiltelefoner. Genom så kallad microlouver-teknik blockerar plastskivan inblickar från sidorna. Skärmen ser mörklagd ut från vissa vinklar, medan användaren som sitter rakt framför skärmen har en klar och tydlig bild.

Sekretessförbindelse

En sekretessförbindelse (även kallat sekretessavtal) är ett juridiskt kontrakt där två eller fler parter förbinder sig att inte avslöja information om det som avtalet gäller. Syftet är att skydda känslig information vars spridning skulle få negativa konsekvenser för delar eller hela verksamheten. 

Skadliga program

Med skadliga program (Eng. Malware) menas alla typer av oönskade datorprogram som till exempel virus, trojaner, maskar, spökprogram (Eng. rootkits), gisslanprogram (Eng. ransomware) och spionprogram. Programmen använder sårbarheter i tjänster, andra program och system för att kunna installeras på datorer, surfplattor eller mobiltelefoner och senare spridas vidare till andra enheter i ett nätverk. Målet för dessa program är antingen att ställa till skada eller orsaka störningar i någon annans dator eller IT-system, kartlägga användarens beteende, samla in information, nyttja datorns beräknings- och nätverkskapacitet för att generera kryptovaluta, kryptera viktig information på datorn och sedan pressa offret på pengar eller attackera andra mål (datorer eller IT-system).

Skalskydd

Skalskydd är ett komplett yttre skydd av en byggnad eller en lokal som hindrar obehöriga att ta sig in. Skalskyddet består av väggar, tak, dörrar, fönster och lås, men kan även omfatta larm med olika sensorer och kameraövervakning.

Skydd

Effekt av handlingar, rutiner och tekniska arrangemang som syftar till att minska sårbarheten. Motsats till sårbarhet.

Skyddsnivå

Ett antal säkerhetsåtgärder som ger tillräckligt skydd för information som klassats till en viss konsekvensnivå. Skyddsnivån underlättar för verksamheten att veta vilka säkerhetsåtgärder som ska användas och redan är godkända, i stället för att själv behöva föreslå nya lämpliga säkerhetsåtgärder.

Skyddsvärde

En verksamhets olika värden (tillgångar) mot vilka det kan riktas risker. Det kan vara information, material, renommé, byggnader, beställningar, nyckelpersoner, beroenden, instrument osv.

Sniffer

Anordning eller program som samlar in data som skickas över ett nätverk.

Social engineering

Manipulering genom att använda olika sociala knep för att skapa förtroende och senare tillgång till känslig eller hemlig information.

Spam

Massutskick av oönskade, inte efterfrågade mejl eller textmeddelanden (SMS), ofta med kommersiellt budskap och utan mottagarens samtycke. Skräppost.

Spegling

Spegling innebär att man löpande skapar en identisk kopia av en hårddisk, server eller ett system och den data som finns där samt att man därmed ser till att kopian är aktuell. Spegling är främst en lösning på tillgänglighet då man hela tiden har en identisk kopia av ett system, medan en backup är en lösning på riktighet.

Termen spegling kan också användas för hårdvara där man då syftar på att alla komponenter är dubblerade för att öka driftsäkerheten.

Spionprogram

Ett spionprogram som körs på en dator utan användarens godkännande, och där samlar och vidarebefordrar information (användaruppgifter, lösenord, besökta webbsidor etc) till annan part. (Eng. spyware)

Spårbarhet

Möjlighet att entydigt kunna härleda utförda aktiviteter i systemet till en identifierad användare vid en viss tidpunkt.

Spökprogram

Ett spökprogram ger angripare möjlighet att ta över en dator eller ett nätverk genom att programmet installeras på ett sätt som inte går att upptäcka för datorns ägare och sedan samlas användarnamn och lösenord in. De insamlade uppgifterna skickas sedan till angriparen via datorns Internetanslutning. När programmet har hittat inloggningsuppgifter till en systemadministratör kan angriparen ta över nätverket (Eng. Rootkit)

SSDF

NIST (National Institute of Standards and Technology) Secure Software Development Framework, ett ramverk för utveckling av säker mjukvara. Ramverket är oberoende av teknologi, plattform, programmeringsspråk, utvecklings verktyg etcetera.

Switch

En switch är som ett grenuttag för nätverk och används för att koppla samman flera nätverksenheter med varandra och ge dem möjlighet att kommunicera med varandra.

Systemadministratör

En person som ansvarar för både administration och drift av ett eller flera IT-system.

Systemförvaltare

Systemförvaltaren arbetar på uppdrag av systemägaren med förvaltning av systemet. Systemförvaltaren arbetar utifrån de mål och aktiviteter som definierats i beslutade planer och inom de ramar som tilldelats för perioden. Systemförvaltaren ska genomföra aktiviteter för att samla in krav och behov från verksamheten och rapportera dessa till systemägaren. Systemförvaltaren leder arbetet i förvaltningsgrupp och referensgrupper.

Systemrättighet

Användares rätt att utföra olika handlingar på en dator eller i ett nätverk. Rättigheterna gäller sådant som att köra, installera och radera program, hämta, läsa, ändra och lägga till information, ändra inställningar, komma åt, använda och sprida information över nätverket och över Internet.

Systemägare

Som systemägare utses normalt den person som är verksamhetsansvarig (dekan, prefekt/motsv.) för att automatiskt få en koppling mellan verksamhetens nytta och krav på systemet. Systemägaren har det övergripande ansvaret för visioner och ramar och ska ansvara för att systemet stöttar verksamheten och dess processer på ett ändamålsenligt sätt. Systemägaren ska säkerställa de resursmässiga förutsättningarna och fatta beslut inom systemets budget. Vidare ska systemägaren ansvara för att initiera utvecklingsprojekt. Systemägaren ansvarar för att informationssystemet lever upp till ställda informationssäkerhetskrav. Dessa krav ställs genom utsedd/a informationsrisksägares klassning av den information som systemet används för.

Sårbarhet

Svaghet eller avsaknad av något som skulle kunna förhindra att en incident inträffar, och oönskad konsekvens av en incident. Sårbarhet gäller en tillgång eller grupp av tillgångar, vilka kan utnyttjas av ett eller flera hot.

Säkerhet

Eng. Security - egenskap eller tillstånd som innebär skydd mot risk för oönskad insyn, förlust eller påverkan. Oftast i samband med medvetna försök att utnyttja eventuella svagheter/sårbarheter.

Eng. Safety – egenskap eller tillstånd som innebär skydd mot skada för liv och lem (personsäkerhet).

Säkerhetskopia

Även backup, en kopia av en informationsmängd som skapats för att kunna utnyttjas vid förlust av hela eller delar av den ursprungliga informationsmängden. Se även spegling.

Säkerhetsloggning

Registrering av händelser på servrar, i nätverk, applikationer eller tjänster som är av betydelse för säkerheten till exempel i samband med utredning av incidenter.

Säkerhetsprövning

En kontroll av en person innan hen får tillgång till verksamhet eller information som har eller kan få påverkan på rikets säkerhet. Syftet är att kartlägga om personen kan antas vara lojal mot det som ska skyddas och i övrigt är pålitlig ur säkerhetssynpunkt. Säkerhetsprövningen administreras av säkerhetskyddschefen (LU Byggnad).

Säkerhetsskydd

(Ref: Säkerhetsskyddslagen)

Med säkerhetsskydd avses:

  • skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet,
  • skydd i andra fall av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör rikets säkerhet, och
  • skydd mot terroristbrott enligt 2 § lagen om straff för terroristbrott (terrorism), även om brotten inte hotar rikets säkerhet.

Säkerhetsåtgärd

En identifierad uppsättning åtgärder för att möta en organisations risker. En säkerhetsåtgärd kan vara organisatorisk (roller, ansvar, mandat), administrativ (styrdokument som policyer, riktlinjer, anvisningar), fysisk (lås, larm, dörrar, fönster) eller teknisk (antivirus, loggar, säkerhetskopiering).

Säker utvecklingsmiljö

Denna miljö omfattar alla delar som är involverade i systemutveckling och integration som medarbetare, teknik och processer. 

Säkra områden

Inom informationssäkerhet menas främst korskopplingsrum, dator-/serverhallar, kontorsutrymmen och arkiv eller liknande som används för kommunikationsutrustning (fiberanslutningar, switchar, routrar, brandväggar etcetera), datorer/servrar eller där skyddsvärd information hanteras av människor.  

T / U / V / W/ X / Y

T

Tangentloggare

Ett program eller en hårdvara som i smyg registrerar alla knapptryckningar på en dator. Används för att samla in användaruppgifter och lösenord och vilka webbsidor som har besökts. Det kan vara ett program eller en liten skarvkoppling som kopplas mellan datorn och tangentbordet (Eng. keylogger).

Teknisk anläggning

En teknisk anläggning används för produktion, distribution, omvandling eller hantering av exempelvis elektricitet, teletrafik, datatrafik, värme, kyla, vatten och avlopp.

Tekniskt gränssnitt

Del av en tjänstebeskrivning som beskriver teknikval för olika implementationer i form av exempelvis protokoll och standarder.

Tillgänglighet

Egenskapen att vara åtkomlig och användbar vid begäran av en behörig enhet, t.ex. användare.

Tillgänglighetsförlust

Övergång till ett tillstånd hos ett system där det inte i erforderlig utsträckning eller inom önskad tid kan leverera önskade tjänster.

Tillsynsmyndighet

En myndighet som ser till att verksamheter använder sina resurser och pengar på rätt sätt, att lagar och regler efterföljs, och att lagar och regler påverkas så att verksamheter kan bli bättre. De ger råd inom ett specifikt ansvarsområde samt tar emot och undersöker rapporter om missförhållanden inom verksamheter.

Tjänst

Paketerad service eller lösning som erbjuds för att tillgodose ett behov.

Tjänstemeddelande

Den information som förmedlas mellan deltagare i en tjänsteinteraktion.

Tjänstekatalog

En logisk plats för att söka, hitta, ge åtkomst till, publicera, administrera och lagra beskrivningar av tjänster.

Trojan

Ett program som utger sig för att vara till nytta eller nöje, men är en skadlig programkod.

Tvåfaktors-/ flerfaktorsautentisering

Identitetskontroll genom två (eller flera) av faktorerna – något man har, något man vet och något man är (exempelvis kort, lösenord, biometri). Var för sig är informationen om kort, lösenord eller biometri oanvändbar i inloggningssyfte men två av dem tillsammans ger autentisering.

U

Upphandlingskrav

Upphandlingskrav avseende informationssäkerhet utifrån de ”vad”-krav som fastställts baserade på informationsklassning och kravanalys.

Utkontrakterad utveckling

En organisation sluter avtal med en leverantör där leverantören sköter utveckling av exempelvis system, tjänster, program eller applikationer åt organisationen.

Utkontraktering

En organisation sluter avtal med en leverantör där leverantören sköter delar av verksamheten för organisationen. (Eng. outsourcing).

Uttalande om tillämplighet

En rapport som innehåller det samlade resultatet från omvärlds-, verksamhet-, risk- och gapanalysen och som visar nuvarande informationssäkerhetsstatus, de åtgärder som ska tillämpas, motivering för att de skall tillämpas, deras status, om de fungerar på ett tillfredställande sätt för att säkerställa en god informationssäkerhet. (Eng. Statement of Applicability (SoA).

V

Verksamhetsanalys

Verksamhetsanalysen är en del av riskprocessen, där syftet är att identifiera väsentliga informationstillgångar, kartlägga interna intressenters behov, förväntningar och förutsättningar.  Hänsyn ska sedan tas i samband med utformning och klassning av informationstillgångar.

Virus

Illasinnad kod som sprider sig genom att lägga en kopia av sig själv utan en användares inblandning inuti andra program, värdprogram, på sådant sätt att koden körs då värdprogrammet körs.

VPN-tunnel

VPN är en förkortning för virtuellt privat nätverk. En VPN-tunnel är en krypterad anslutning mellan en användare och en VPN-server. VPN-servern i sin tur hanterar kommunikationen mellan VPN-användaren och ett lokalt/internt nätverk. VPN-tunnlar används främst över öppna nätverk (Internet) där man vill hålla kommunikationen och vilka som kommunicerar med varandra hemligt. 

W

Wiki

En webbsida där alla användare fritt kan lägga till, ändra eller ta bort information via sin webbläsare. Tanken är att fel och vandalisering rättas till av seriösa användare.

Z / Å / Ä / Ö

Å

Återställningsförmåga

Att inom en viss tid efter en allvarlig störning eller ett avbrott återhämta och återställa kritiska funktioner till en acceptabel nivå, till exempel IT-system.

Återställningsplan

Den tas fram för att säkerställa hur man återställer verksamhetskritiska system och andra resurser till normalläge efter ett avbrott eller större störning.

Åtgärd/säkerhetsåtgärd

Handling, procedur eller tekniskt arrangemang som genom att minska sårbarheten möter ett identifierat hot. Exempel på typer av säkerhetsåtgärder:

  • Organisatorisk: att man fördelar ansvar, roller och mandat i organisationen så att informationen skyddas mot felaktig hantering (vem gör vad för att undvika att saker hamnar mellan stolarna).
  • Administrativ: att man skapar styrdokument, rutiner eller liknande samt genomför utbildningar som stöd för säker informationshantering.
  • Fysisk: att ha lås, larm, dörrar, fönster och motsvarande som skyddar information och informationssystem mot obehörig fysisk åtkomst.
  • Teknisk: att olika IT-lösningar används för att skydda informationen, till exempel antivirus, behörighetssystem, säkerhetsloggning och säkerhetskopiering.

Åtkomsträttigheter

Den behörighet som en användare har i form av att söka, läsa, skapa, skriva, radera och utföra i ett program, system eller nätverk.

Ä

Ändringshantering

Ett systematiskt sätt att hantera ändringar i IT-system, tjänster, applikationer eller program under hela livscykeln från början till slut med målet att minimera risken för organisationen.

Ö

Överföring till tredje land (Ref. IMY, GDPR)

Överföring av personuppgifter till tredje land är när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området. Detta sker vid universitetet, till exempel när:

  • vi skickar dokument som innehåller personuppgifter via mejl till någon i ett land utanför EU/EES.
  • vi anlitar ett personuppgiftbiträde i ett land utanför EU/EES.
  • vi ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
  • vi lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.
  • vi lagrar personuppgifter, till exempel på en server, i ett land utanför EU/EES.

Överspänningsskydd

Används mellan utrustningen som ska skyddas och elnätet. Skyddar mot plötsliga överspänningar till exempel vid åskväder som annars kan leda till att datorer, servrar eller annan känslig utrustning går sönder. 

Kontakt

Vid frågor om Informationssäkerhet.

Fredrik Bexell
CISO,
Chief Information Security Officer
informationssakerhet [at] lu [dot] se