Cybersäkerhet, IT-säkerhet och informationssäkerhet används ofta synonymt, men i regelverk och praktiskt arbete har de skilda betydelser. Informationssäkerhet är det bredaste begreppet och omfattar all information oavsett form, IT-säkerhet handlar om skyddet av digital information och digitala system, och cybersäkerhet är den delmängd av IT-säkerheten som fokuserar på hot via internet och andra nätverk. Behöver ni en samlad struktur för det operativa arbetet kan ni utgå från ett incidenthanteringssystem.
Det här behöver du veta:
Informationssäkerhet skyddar all information oavsett form, IT-säkerhet skyddar digital information och digitala system, och cybersäkerhet skyddar specifikt mot hot via internet och andra nätverk.
Begreppen har vuxit fram i olika takt. Informationssäkerhet är ett gammalt begrepp som funnits sedan långt före datoriseringen, ursprungligen för att hantera fysiska arkiv, sekretessbelagda dokument och muntlig informationsdelning. IT-säkerhet växte fram med datoriseringen från 1970-talet och framåt, med fokus på säkerhet i informationssystem. Cybersäkerhet är ett yngre begrepp som etablerats särskilt under 2010-talet i takt med att internetbaserade hot blivit den dominerande angreppsvektorn.
I praktiken används begreppen idag delvis överlappande. Många organisationer talar om sin "cybersäkerhetsstrategi" när de menar hela informationssäkerhetsarbetet, vilket fungerar i kommunikation men inte i juridisk eller revisionsmässig granskning. När en tillsynsmyndighet ställer frågor är skillnaden styrande för vilka krav som gäller.
Informationssäkerhet är det bredaste begreppet, IT-säkerhet ligger inom informationssäkerheten och cybersäkerhet är i sin tur en delmängd av IT-säkerheten. Bygger du för informationssäkerhet, omfattas IT-säkerhet och cybersäkerhet naturligt.
Hierarkin kan illustreras som tre koncentriska cirklar:
Cirkelmodellen är förenklad. I praktiken har de tre områdena egna metoder, ramverk och kompetensprofiler. Men för en organisation som ska planera sitt arbete, är det bästa att utgå från det yttersta lagret. Då ligger även de inre lagren rätt.
Informationssäkerhet hanterar exempelvis tryckta personalakter och muntliga ledningsbeslut, IT-säkerhet hanterar bland annat servrar, klienter och åtkomststyrning, och cybersäkerhet hanterar direkta hot som phishing, ransomware och nätverksintrång.
Skillnaden blir tydlig om du listar vad respektive område typiskt täcker:
Informationssäkerhet
IT-säkerhet
Cybersäkerhet
Områdena överlappar i flera punkter, exempelvis behörighetshantering, som är kärnan i både IT-säkerhet och informationssäkerhet. Det är just överlappet som gör att organisationer ofta drar arbetet under ett samlat begrepp i den dagliga driften.
Skillnaden är styrande för vilka regelverk som omfattar er. Cybersäkerhetslagen reglerar främst it-relaterade hot, GDPR ställer krav på informationssäkerhet vid behandling av personuppgifter och säkerhetsskyddslagen omfattar all information som är av betydelse för Sveriges säkerhet.
De svenska regelverken använder begreppen på olika sätt:
För en samlad genomgång av alla regelverk som styr informationssäkerheten, se artikeln om lag om informationssäkerhet. För organisationer i NIS2:s tillämpningsområde är NIS2-tjänsten en naturlig utgångspunkt.
Du arbetar med alla 3 områden samtidigt genom att utgå från det bredaste begreppet, informationssäkerhet, och bygga ett ledningssystem som rymmer både IT-säkerhet och cybersäkerhet som naturliga delar.
Det vedertagna ramverket är ISO 27001, ledningssystemet för informationssäkerhet (LIS), som täcker både fysisk, digital och cyberrelaterad säkerhet. För en kort definition, se vad är ISO 27001.
I praktiken brukar arbetet organiseras så här:
För mindre organisationer ligger ofta flera av rollerna hos samma person, men ansvaret är detsamma. Är ni osäkra på var ni står idag kan ni börja med Draftits kostnadsfria GDPR-test för en snabb mognadsbedömning.
Tre situationer där en organisation behöver veta vilket begrepp som gäller:
Nej, men de ligger nära varandra. IT-säkerhet omfattar all säkerhet kring digital information och digitala system, även sådana som inte är uppkopplade mot internet. Cybersäkerhet är den delmängd som specifikt rör hot via internet och andra nätverk, ofta externa angrepp som phishing, ransomware och nätverksintrång. I praktiken används begreppen ibland synonymt, men i certifieringar och regelverk är skillnaden viktig.
Ja. En cybersäkerhetsstrategi täcker normalt bara skydd mot externa it-hot, inte fysisk säkerhet, organisatoriska rutiner, leverantörsuppföljning, säker hantering av papper eller offboarding av personal. En informationssäkerhetsstrategi är överordnad och rymmer cybersäkerheten som en av flera delar. För att uppfylla cybersäkerhetslagen, GDPR och ISO 27001 räcker det inte med enbart cybersäkerhetsperspektivet.
Använd informationssäkerhet som överbegrepp i policyn och låt IT-säkerhet och cybersäkerhet bli underrubriker eller delpolicys. Det matchar både hur ISO 27001 och svenska regelverk är strukturerade, och gör det enklare att visa fullständig täckning vid tillsyn. Att kalla allt för "cybersäkerhet" fungerar i kommunikation men kan skapa luckor i den juridiska och organisatoriska strukturen.
Nej. Dataskydd handlar specifikt om skydd av personuppgifter, vilket är en delmängd av informationssäkerheten. Allt dataskyddsarbete kräver god informationssäkerhet enligt art. 32 GDPR, men informationssäkerhet omfattar även information som inte är personuppgifter, exempelvis affärshemligheter, källkod och interna strategibeslut.
Ledningen har det övergripande ansvaret för informationssäkerheten och kan inte delegera bort det. Operativt ansvar fördelas typiskt mellan CISO eller informationssäkerhetsansvarig (helheten), IT-säkerhetsansvarig (digitala system), cybersäkerhetsfunktion eller SOC (externa hot) och dataskyddsombud (personuppgifter). I mindre organisationer ligger flera roller hos samma person, men ansvarsfördelningen ska ändå vara dokumenterad.
Ja. Stora kunder, särskilt offentlig sektor och verksamheter som omfattas av cybersäkerhetslagen, ställer ofta krav på dokumenterad informationssäkerhet inklusive ISO 27001-certifiering. Krav på enbart cybersäkerhet brukar dyka upp i tekniska bilagor, men huvudkravet i avtal är vanligen formulerat som informationssäkerhet. Skillnaden påverkar därför vilka dokument ni behöver kunna visa upp.