Informaciona bezbednost, ponekad skraćena na InfoSec, je praksa zaštite informacija ublažavanjem informacionih rizika. To je dio upravljanja informacijskim rizikom. To obično uključuje sprečavanje ili smanjenje vjerovatnoće neovlaštenog/neprikladnog pristupa podacima, ili nezakonitu upotrebu, otkrivanje, ometanje, brisanje, korupciju, modifikaciju, inspekciju, snimanje ili obezvređivanje informacija. Takođe uključuje radnje koje imaju za cilj smanjenje štetnih uticaja takvih incidenata. Zaštićene informacije mogu imati bilo koji oblik, npr. elektronski ili fizički, materijalni (npr. papirologija) ili nematerijalni (npr. znanje). Primarni fokus informacione sigurnosti je uravnotežena zaštita povjerljivosti, integriteta i dostupnosti podataka uz zadržavanje fokusa na efikasnu implementaciju politike, a sve bez ometanja produktivnosti organizacije. Ovo se uglavnom postiže kroz strukturirani proces upravljanja rizikom koji uključuje:
- identificiranje informacija i povezanih sredstava, plus potencijalne prijetnje, ranjivosti i uticaji;
- procjena rizika;
- odlučivanje kako se baviti ili tretirati rizike, tj. da ih izbjegne, ublaži, podijeli ili prihvati;
- kada je potrebno smanjenje rizika, odabir ili dizajniranje odgovarajućih sigurnosnih kontrola i njihovo sprovođenje;
- praćenje aktivnosti, prilagođavanje po potrebi za rješavanje bilo kakvih problema, promjena i mogućnosti poboljšanja;
Kako bi standardizirali ovu disciplinu, profesionalci sarađuju kako bi ponudili smjernice, politike i industrijske standarde o lozinkama, antivirusnom softveru, firewall-u, softveru za šifriranje, pravnoj odgovornosti, svijesti o sigurnosti i obuci, itd. Ova standardizacija može biti dodatno vođena širokim spektrom zakona i propisa koji utiču na način na koji se podacima pristupa, obrađuje, pohranjuje, prenosi i uništava. Međutim, implementacija standarda i smjernica unutar entiteta može imati ograničen učinak ako se ne usvoji kultura stalnog poboljšanja.
