Back أمن المعلومات Arabic Seguridá de la información AST İnformasiya təhlükəsizliyi Azerbaijani Информационна сигурност Bulgarian তথ্য নিরাপত্তা Bengali/Bangla Seguretat de la informació Catalan Informační bezpečnost Czech Informationssikkerhed Danish Informationssicherheit German Ασφάλεια πληροφοριακών συστημάτων Greek
Uitleg: De tekst bevat (verwijzingen naar) verouderde termen, wetten, normen en regelingen.
Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Men doet dit door het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een (organisatieafhankelijke) risicoanalyse of een wettelijke verplichting. In Nederland valt hierbij te denken aan de Algemene verordening gegevensbescherming (AVG), de Telecommunicatiewet en andere vigerende wet- en regelgeving. Ten aanzien van beursgenoteerde ondernemingen in de Verenigde Staten moet worden gedacht aan de Sarbanes-Oxley wetgeving. Voor privacybescherming in de Amerikaanse gezondheidssector is bijvoorbeeld de Health Insurance Portability and Accountability Act (HIPAA) maatgevend.
Op basis van een risicoanalyse wordt het gewenste niveau van beveiliging bepaald. Daarbij wordt in de regel een BIV-klasse beschikbaarheid, integriteit (=betrouwbaarheid) en vertrouwelijkheid (=exclusiviteit) bepaald, vaak uitgebreid met een indicatie voor controleerbaarheid (het belang om achteraf toegang en transacties te kunnen verifiëren). De Engelse term die wordt gehanteerd is de CIA Triad: confidentiality, integrity en availability.
- Beschikbaarheid bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitvalstijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid. Zie ook Business Continuity Management.
- Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties.
- Vertrouwelijkheid of exclusiviteit is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken.
- Toerekenbaarheid geeft de garanties dat bij een transactie waarin twee partijen betrokken zijn aantoonbaar is dat beide partijen deel hebben genomen aan de transactie; bijvoorbeeld een verzender kan aantonen dat de ontvanger ontvangen heeft en de ontvanger kan aantonen wie de verzender was.