Informationssäkerhet handlar om att skydda sin information och bevara informationens tillgänglighet, riktighet, konfidentialitet samt spårbarhet. Fysisk säkerhet inom informationssäkerhet innebär att skydda sina informationstillgångar mot fysiska hot. Fysiska hot kan orsakas av exempelvis strömförsörjning, naturkatastrofer och mänsklig åverkan. Problemet med fysisk säkerhet är att den oftast är förbisedd och att den inte anses lika viktig. Det finns flera standarder och riktlinjer med rekommendationer om vad som bör ses över inom informationssäkerhet och däribland just fysisk säkerhet.

Informationssäkerhet innebär att skydda informationstillgångar avseende tillgänglighet, konfidentialitet, integritet och spårbarhet. För att hantera informationssäkerhet inom en verksamhet kan ett LIS (ledningssystem för informationssäkerhet) införas. MSB (Myndigheten för samhällskydd och beredskap) förvaltar ett metodstöd för att införa ett LIS och i detta metodstöd finns en gapanalys med inriktning mot informationssäkerhet. Denna gapanalys syftar till att kartlägga det nuvarande läget för informationssäkerhet inom organisationer för att jämföra detta mot den befintliga standarden ISO/IEC 27002. Problemet med denna gapanalys är att den är generiskt utformad för att passa de flesta organisationer och därför görs en undersökning för att undersöka hur denna gapanalys kan anpassas samt förbättras mot kommunal verksamhet.

Denna uppsats frågeställning ämnar ta reda på hur det rådande informationssäkerhetsarbetet på tre olika svenska kommuner ser ut när de anskaffar sig nya informationssystem. För att analysera om det rådande informationssäkerhetsarbetet kan anses tillräckligt så kommer författarna att använda sig av ett ramverk baserat på SIS-ISO/IEC 27001:2014, SIS-ISO/IEC 27002:2013 samt myndigheten för samhällskydd och beredskaps publikation Vägledning - informationssäkerhet iupphandling. Genom att utföra intervjuer med respektive kommuns informationssäkerhetsansvariga samt genom att ta del av deras styrdokument så har en slutsats varit möjlig att dras. Slutsatsen som dras är att det informationssäkerhetsarbetet som utförs på dessa kommuner är i vissa fall bristfälligt trots att det finns många delar som utförs väl..

Informationssäkerhet handlar om att skydda viktig information oavsett format för att garantera dess konfidentialitet, integritet och tillgänglighet. Syftet med studien är att undersöka hur informationssäkerhet hanteras av kommuner, med fokus på den administrativa verksamheten. Metoden som används är en kvalitativ studie baserad på intervjuer som har genomförts i ett urval av Skaraborgs kommuner. Resultaten visar att kommunerna har ett tillräckligt skydd för flera områden men också att det finns områden med brister främst relaterade till rutiner, efterlevnad och utbildning där kommunerna med fördel kan arbeta efter tillgängliga standarder. Som en del av arbetet presenteras även ett antal förbättringsförslag bland annat relaterade till utbildning av användare och ansvariga, som kan användas av kommunerna.