Dette er en foreløpig begrepsliste. Listen vil bli oppdatert gjennom nye versjoner av veiledningsmateriellet.
Vi viser også til DFØs forklaring på ord og begreper innenfor det statlige økonomireglementet og veiledere fra DFØ
Innhold
Aktører for uønskede villede handlinger
«Uønskede villede handlinger» brukes i vår sammenheng som begrep på handlinger utført med intensjon for å skape det vi oppfatter som en informasjonssikkerhetsrisiko. Målet kan være å få uautorisert tilgang til eller endring av informasjon, eller hindre autorisert tilgang til informasjon og IKT-system. Les mer
ALARP-prinsippet
ALARP-prinsippet er et alternativ til et rent kost/nytte-prinsipp ved valg av tiltak i risikohåndteringen. ALARP-prinsippet innebærer en omvendt bevisbyrde.
Etter ALARP-prinsippet skal identifiserte tiltak velges med mindre det er et urimelig misforhold mellom kostnader/ulemper og nytte. For større risikoer kreves det da normalt en dokumentasjon av misforholdet. Les mer
Ansvarsområde
I dette veiledningsmateriellet er et ansvarsområde de mål, resultater, oppgaver, tjenester, IKT-systemer og lignende som en leder og dens organisatoriske enhet er ansvarlig for. Risikoer er hendelser med uønskede konsekvenser tilknyttet hele eller deler av ansvarsområdet. Lederen for et ansvarsområde kalles i veiledningsmateriellet for risikoeier eller systemeier fellessystem. Les mer
Ansvarsprinsippet
Ansvarsprinsippet innebærer at den organisatoriske enhet som har ansvar for et fagområde i en normalsituasjon, også har ansvaret for å håndtere ekstraordinære hendelser på området.
Arbeidsoppgave
Begrepet arbeidsoppgaver benyttes her om det som utføres i en virksomhet for å nå et mål. I andre sammenhenger skilles det av og til mellom arbeidsoppgaver og tjenester. Vi gjør ikke dette skillet her. Slike tjenester inngår i vår sammenheng i begrepet arbeidsoppgaver.
Arbeidsprosess
Begrepet arbeidsprosess er i vår sammenheng det samme som begrepet arbeidsoppgave.
Avvik
Avvik er brudd på, eller svakheter ved, interkontrollaktiviteter og/eller etablerte sikkerhetstiltak. Et avvik er også en uønsket hendelse.
Basere seg på (uttrykk i eForvaltningsforskriftens §15)
Det fremgår av eForvaltningsforskriften § 15 at alle forvaltningsorganer skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Uttrykket «basere seg på» gir handlingsrom for skjønnsmessig bruk av standardene tilpasset egne behov og egen virksomhetsstyring. Samtidig må virksomhetene ta på alvor den erfaring som ligger bak de råd som i standardene kan være formulert som krav. Les mer
Estimere
Begrepet estimere kobles av mange til matematiske eller statistiske beregninger av anslag. I vår sammenheng brukes begrepet om skjønnsmessige anslag basert på et bredere kunnskapsgrunnlag.
Etableringsaktiviteter
Etableringsaktiviteter er aktiviteter som bør gjennomføres når en virksomhet første gang skal etablere systematisk internkontroll på informasjonssikkerhetsområdet. De kan også være aktuelle ved behov for oppdatering eller vesentlig forbedring av ulike deler i det grunnleggende arbeidet.
Evalueringer
Evaluering er et begrep som benyttes både på
- overordnet nivå om en større omfattende datainnsamling, analyse og vurdering
- detaljert nivå om et av de siste trinnene i enkelte metoder for spesifikke vurderinger, analyser e.l.
Hva begrepet betyr er dermed avhengig av konteksten det brukes i. I denne sammenhengen snakker vi om evalueringer på et overordnet nivå. Les mer
Fagansvarlig internkontroll og/eller informasjonssikkerhet
Fagansvarlig internkontroll er en ansatt som støtter ledelsen og tilrettelegger for en enhetlig og helhetlig tilnærming i arbeidet med internkontroll. Funksjonen vil ofte naturlig være plassert i stab til ledelsen. Les mer
Farekilder
Begrepet farekilder brukes i vår sammenheng om årsaken til ulykker, uhell og uaktsomhet. Farekilder kan være årsaker til hendelser som skaper det vi oppfatter som en informasjonssikkerhetsrisiko. Les mer
Felles analyse av eksterne krav
Felles analyse av eksterne krav er en systematisk gjentakende aktivitet. Les mer
Felles informasjonssystem
Et felles informasjonssystem er et informasjonssystem som benyttes av arbeidsoppgavene til flere oppgaveeiere. Det kan være både manuelt og digitalt, eller en kombinasjon. Det kan også være satt sammen av en rekke delsystem eller digitale tjenester.
Felles kartlegging
Et godt startpunkt for alt risikovurderingsarbeid innen informasjonssikkerhet er å kartlegge vesentlig informasjon som behandles og hvilke IKT-systemer og digitale tjenester som behandler denne informasjonen.
Felles tiltaksleverandør
En tiltaksleverandør er ansvarlig for visse sikkerhetstiltak. Dette vil normalt inkludere utforming, iverksetting og vedlikehold av sikkerhetstiltakene.
Felles tiltaksleverandører er ansvarlige for sikkerhetstiltak til en rekke ulike risikoeiere og systemeiere. Typiske felles tiltaksleverandører er IKT-drift, systemleverandører, bygningsansvarlig og personalseksjon. Les mer
Fellessikring
Et felles grunnleggende sikkerhetsnivå for sentrale områder i en virksomhet.
Se også Godt å vite – Risikohåndtering – Fellessikring og tilleggssikring
Fellessystem
Et fellessystem er et informasjonssystem som benyttes i arbeidsoppgaver eid av flere oppgaveeiere. Mange potensielle konsekvenser og dermed risikoer ved bruk av systemet kan dermed tilhøre andre oppgaveeiere enn den som er systemeier. Les mer
Foranalyse
Foranalyse er en del av den systematisk gjentakende aktiviteten Få oversikt og prioritere som er forklart under hovedaktiviteten Risikovurdering.
Forventet og potensielt konsekvensnivå
Med forventet konsekvensnivå mener vi det mest trolige konsekvensnivået ved brudd på konfidensialitet, integritet eller tilgjengelighet. Med potensielt konsekvensnivå mener vi det verste realistiske konsekvensnivået ved slike brudd. Les mer
Gjennomføre risikovurdering
En delaktivitet av hovedaktiviteten Risikovurdering.
Hendelsesbank
En hendelsesbank er en samling av typiske hendelser som kan skape brudd på konfidensialitet, integritet eller tilgjengelighet. Hendelsene vil ofte være sammensatte scenarier. Formålet med en hendelsesbank er at den skal fungere som støtte i arbeidet med å identifisere relevante hendelser. Det finnes ingen kjente hendelsesbanker pr i dag. De kan imidlertid etableres innenfor virksomheter. Difi har arbeidet med et utkast, og vil vurdere senere om de skal etablere et grunnlag som andre kan benytte eller tilpasse.
Hendelser
Informasjonssikkerhetsbrudd er faktiske brudd på konfidensialitet, integritet eller tilgjengelighet. Avvik er brudd på fastlagte retningslinjer, prosedyrer o.l. Hendelser er uønskede situasjoner som kan medføre eller kan ha medført et informasjonssikkerhetsbrudd. Dette ved en streng begrepsdeling. Les mer
Håndteringsansvarlig
Begrepet håndteringansvarlig brukes her om de personene som har fått i oppdrag av en risikoeier å planlegge og følge opp den samlede gjennomføringen eller etableringen av et sett av godkjente tiltak. Dette som en del av håndteringen av et sett av risikoer eller eksterne krav.
IKT-driftsleder
IKT-driftsleder er et begrep vi i dette veiledningsmateriellet benytter for den som er ansvarlig for virksomhetens IKT-utstyr og IKT-drift. Les mer
IKT-system og systemforvaltning
«IKT-system» er et fellesbegrep vi i dette veiledningsmateriellet benytter på IKT-system og digitale tjenester som er anskaffet eller utviklet for å direkte understøtte arbeidsoppgaver i virksomheten eller som virksomheten har ansvaret for. Les mer
IKT-utstyr og IKT-drift
«IKT-utstyr» er et fellesbegrep vi i dette veiledningsmateriellet benytter på bakenforliggende utstyr og infrastruktur som IKT-systemene er avhengig av. Les mer
Informasjonssikkerhet
Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandlingen. Det betyr å sikre at informasjon i alle former
- ikke blir kjent for uvedkommende (konfidensialitet)
- ikke blir endret utilsiktet eller av uvedkommende (integritet)
- er tilgjengelig ved behov (tilgjengelighet)
Det betyr å sikre informasjonssystemene som benyttes for å behandle informasjon – inkludert sikkerhet i alle IKT-systemer, IKT-tjenester og IKT-komponenter som inngår i systemene.
Informasjonssikkerhetsansvarlig
Informasjonssikkerhetsansvarlig er et begrep som i dette veiledningsmateriellet benyttes på den som har fått hovedansvaret for å støtte virksomhetsledelsen i informasjonssikkerhetsspørsmål, herunder være en pådriver og tilrettelegger for en god etablering og gjennomføring av internkontrollarbeidet innen informasjonssikkerhet i hele virksomheten. Les mer
Informasjonssikkerhetsbrudd
Informasjonssikkerhetsbrudd er brudd på konfidensialitet, integritet og/eller tilgjengelighet. Bruddet kan ha store, små eller ingen konsekvenser.
Informasjonssikkerhetshendelser
Informasjonssikkerhetshendelser er uønskede hendelser som har oppstått og som kan medføre eller har medført brudd på konfidensialitet, integritet eller tilgjengelighet på virksomhetens informasjon.
Informasjonssystem
Et informasjonssystem er et system for innsamling, lagring, behandling, overføring og presentasjon av informasjon.
Informasjonsverdi
Informasjonsverdi, eller bare verdi i en informasjonssikkerhetssammenheng, er et samlebegrep. Begrepet inkluderer både informasjon og tilhørende støtteverdier som IKT-system, digitale tjenester, datautstyr av ulike varianter mv. Støtteverdiene er «noe» som benyttes i behandlingen av informasjonen. Les mer
Integritet
Intensjon
Intensjon brukes i dette veiledningsmateriellet om kombinasjonen av motivasjon og vilje bak tilsiktede handlinger. Graden av intensjon hos relevante aktører påvirker sannsynligheten for en tilsiktet handling. Både motivasjon, vilje og dermed intensjon kan i en analyse – og kommunikasjonssammenheng graderes i ulike nivå.
Internkontroll
Internkontroll gjelder den interne styringen og kontrollen i virksomheten. Dette til forskjell fra departementenes styring av statlige virksomheter, kommunestyrets styring av administrasjonen gjennom administrasjonssjefen (rådmannen) og bystyrets styring av byrådet i kommuner med parlamentarisk styreform. Les mer
Internkontrollmålsettingene
De målene som har spesielt fokus i enhver internkontroll er:
- Målrettet og effektiv drift
- Pålitelig rapportering
- Overholdelse av lover og regler
Se også "Internkontroll"
Internrevisjon
Internrevisjonen er «tredjelinjeforsvaret» i virksomhetens helhetlige internkontroll. Den organiseres og fungerer som en selvstendig og uavhengig del av virksomheten øvrige styringslinjer. Funn og anbefalinger rapporteres normalt til virksomhetens styre. Les mer
Kartlegging av informasjonsverdier (verdivurdering)
En kartlegging av informasjonsverdier (også kalt verdivurdering) innebærer å få en tilstrekkelig oversikt over informasjonsverdier som er omfattet av spesielt regelverk for informasjonssikkerhet eller som er av så vesentlig betydning for virksomhetens mål for informasjonssikkerhet at de bør omfattes av risikovurderinger. Les mer
Kjerneprosesser, støtteprosesser og styringsprosesser
For å nå virksomhetens mål må de som arbeider der og det utstyret som benyttes utføre noen aktiviteter. Aktiviteter rettet direkte mot formålet med virksomhetens eksistens, kalles ofte kjerneprosesser. Aktiviteter som understøtter disse, kalles ofte støtteprosesser. For å styre kjerne- og støtteprosesser slik at virksomhetens mål blir nådd, etableres det som ofte kalles styringsprosesser. Les mer
Konfidensialitet
Kost-/nytte-prinsippet
Kost-/nytte-prinsippet benyttes ved valg av tiltak i risikohåndtering. Kost-/nytte-prinsippet innebærer at identifiserte tiltak skal velges dersom nytten er større enn kostnaden. Les mer
KPI
Se "Styringsparametere"
Kunnskapsstyrke
Kunnskapsstyrke er et uttrykk for hvor god bakgrunnskunnskap man har når man vurderer en risiko og estimerer potensiell konsekvens og tilhørende sannsynlighet. Det kan være hensiktsmessig å gradere kunnskapsstyrken i kategoriene svak, medium og sterk. Nivået man setter på kunnskapsstyrken bør samsvare med den usikkerhet man har rundt sannsynlighetsestimatet eller sannsynlighetsestimatene.
Ledelsen
Med ledelsen menes toppledelsen i det som her forstås som virksomheten.
Ledelsens styring og oppfølging
Ledelsens styring og oppfølging er en hovedaktivitet hvor virksomhetsledelsen legger grunnlaget for styring og kontroll.
Likhetsprinsippet
Likhetsprinsippet innebærer at den organisasjon man opererer med under kriser, bør ligne mest mulig på den organisasjonen man har til daglig. Begrunnelsen er at så vel individer som organisasjoner fungerer best, ikke minst under press, når de kan løse sine arbeidsoppgaver i henhold til kjente prosedyrer og regelverk.
Måling
Måling er innhenting av data. Dette kan gjøres gjennom ulike teknikker. Testing er systematisk måling opp mot et forventet eller ønsket mål.
Nærhetsprinsippet
Nærhetsprinsippet tilsier at kriser skal håndteres på et lavest mulig organisatorisk nivå. Her legger man til grunn at de som står nærmest til å hjelpe, normalt vil yte den raskeste og mest målrettede assistansen.
Objektet i risikovurderinger
Objektet i risikovurderinger er det risikovurderingen rettes mot. Objektet beskrives av omfang og avgrensninger i mandatet for risikovurderingen.
Oppgave- og systemeier
En oppgaveeier er en leder med ansvaret for utføringen av en arbeidsoppgave. Arbeidsoppgaven kan utføres av en eller flere ansatte. Alternative begreper som mange benytter er prosesseier og arbeidsprosess. En systemeier er en leder med ansvaret for utvikling, forvaltning og drift av et informasjonssystem. Oppgaveeier vil normalt være systemeier for alle system som kun benyttes i de arbeidsoppgaver han eier. Les mer
Planlegge risikovurdering
En delaktivitet av hovedaktiviteten Risikovurdering. For å få god kvalitet på gjennomføringen av mer omfattende risikovurderinger bør man alltid planlegge godt før selve arbeidet starter. Planleggingen bør skje i samarbeid mellom den ansvarlige risikoeier og den som pekes ut som prosessleder for konkrete risikovurderinger. Les mer
Prosessleder
Prosessleder er et begrep som brukes om den personen som skal lede gjennomføringen av et arbeid der flere deltar.
Prosessleders viktigste rolle er å sikre en god gjennomføringsprosess tilpasset både det som konkret skal gjøres og kompetansen til de som deltar i arbeidet.
Prosessleder kan også delta som innholdsmessig eller faglig bidragsyter i arbeidet, men det er eventuelt en tilleggsrolle til det å være prosessleder.
Restrisiko
Restrisiko er et begrep for risiko etter at det er gjennomført planlagte risikoreduserende tiltak.
Retningslinje
En retningslinje gir klare føringer for noe. Det kan være krav til hva som skal gjøres i gitte situasjoner, konkrete krav til mer detaljerte rutiner og prosedyrer som retningslinjene krever utarbeidet, konkrete krav til kombinasjoner av tekniske tiltak og tilhørende rutiner for oppfølging, vedlikehold og rapportering, mv. Les mer
Revisjon
Generelt handler revisjon om å etterprøve en virksomhets aktiviteter, for å bedømme om utførelsen av disse er i tråd med lover og regler og virksomhetens interne føringer. Revisjonen skal være risikobasert både i valg av hva som skal revideres og i innretning på de enkelte revisjoner.
Revisjon kan grovt sett deles i to; intern og ekstern revisjon. Les mer
Risiko
Risiko blir oftest uttrykt som kombinasjonen av konsekvens og tilhørende sannsynlighet ved hendelser som kan påvirke måloppnåelse. Det har frem til nylig vært vanlig å bare fokusere på negative konsekvenser, dvs. at virksomheten ikke når målet. De fleste metoder og verktøy for risikovurdering har denne tilnærmingen. Les mer
Risikoeier
Begrepet risikoeier brukes om alle ledere med ansvar for arbeidsoppgaver og tjenester rundt om i virksomheten. De er ansvarlig for utføring av arbeidet og de mål som skal nås. De bør da også eie – og være ansvarlig for å identifisere, vurdere og håndtere – risikoer innen eget ansvarsområde. Les mer
Risikohåndtering
Risikohåndtering er en hovedaktivitet der man tar stilling til hvordan risiko skal håndteres.
Risikostyring
Risikostyring er et sett av aktiviteter for å styre og kontrollere risiko. De kalles ofte «risikostyringsprosessen», men aktivitetene er ikke nødvendigvis sekvensielle. De ulike aktivitetene kan i hovedsak være foranlediget av hvilken som helst av de andre aktivitetene. Les mer
Risikovurdering
Samvirkeprinsippet
Samvirkeprinsippet stiller krav til at ulike organisatoriske enheter har et selvstendig ansvar for å sikre best mulig samvirke med andre relevante aktører, organisatoriske enheter og virksomheter i arbeid med forebygging, beredskap og krisehåndtering.
Scenarier
Scenarier er i denne sammenheng hendelsesforløp. Beskrivelsen vil ofte inkludere en trussel, en eller flere sårbarheter og en informasjonsverdi eller en konsekvens tilknyttet en informasjonsverdi.
Sikkerhetsnivå
Et sett av sikkerhetstiltak. Kan være definert, navngitt og dokumentert.
Eks: Fellessikring
Strategi
Begrepet «strategi» kan bety litt ulike ting avhengig av kontekst. I en utviklingssammenheng brukes det om en overordnet plan for å nå et mål. I andre sammenhenger brukes begrepet om sentrale valg. Les mer
Styringsparametere
Styringsparameter er resultat av alle typer målinger eller kvalitative vurderinger som brukes i styringen av virksomheten på ulike nivåer. Styringsparametere beskriver direkte eller indirekte i hvilken grad virksomheten når sine overordnede mål i en gitt periode (eksempelvis et budsjettår). Les mer
Styringsprosesser
Se "Kjerneprosesser, støtteprosesser og styringsprosesser"
Styringssystem for informasjonssikkerhet
Betegnelse brukt i fagmiljø innen informasjonssikkerhet for det sett av prosesser, tiltak mv. som må etableres og fungere for at en virksomhet skal ha tilstrekkelig intern styring og kontroll på informasjonssikkerhetsområdet. Se også "internkontroll".
Støtteprosesser
Se "Kjerneprosesser, støtteprosesser og styringsprosesser"
Støttemetoder
Begrepet støttemetode brukes om avgrensede metoder eller teknikker som kan benyttes underveis i risikovurderinger og i arbeidet med å identifisere tiltak for å redusere risiko. Typiske eksempler er prosesskartlegging, hendelsestreanalyse og feiltreanalyse.
Se også Godt å vite – Risikovurdering - Støttemetoder
Systematiske aktiviteter
Systematiske aktiviteter er det løpende arbeidet i virksomheten for å ha tilstrekkelig styring og kontroll over tid. Disse aktivitetene gjennomføres systematisk til faste tidspunkt eller ut fra behov.
Systemeier
En systemeier er en leder som er ansvarlig for å utvikle, forvalte og drifte et informasjonssystem. Dette vil ofte i større eller noen grad være basert på IKT. Systemeier benytter ofte en utpekt systemforvalter som operativt ansvarlig for de oppgaver systemeier har ansvaret for. Les mer
Systemeier fellessystem
En systemeier fellessystem er ansvarlige for å utvikle, forvalte og drifte et informasjonssystem som benyttes av flere risikoeiere i virksomheten. Les mer
Systemforvalter
Systemforvalter er et begrep vi i dette veiledningsmateriellet benytter om den person systemeier har pekt ut som operativt ansvarlig for et informasjonssystem på vegne av systemeier. Les mer
Taktisk oppdeling og gruppering
En delaktivitet av hovedaktiviteten Risikovurdering. Les mer
Tilgjengelighet
Tilleggssikring
Tillegg til fellessikringen. Sikkerhetstiltak som etableres for bestemte oppgaver eller systemer som har spesielle behov.
Tiltak
Dette veiledningsmateriellet benytter begrepet tiltak på alt som gjøres både for å redusere risikoer på det som er i fokus, i vårt tilfelle informasjonssikkerhet, og det som gjøres for å gjøre internkontrollprosessene bedre. Les mer
Tiltaksleverandører
En tiltaksleverandør er ansvarlig for visse sikkerhetstiltak. Dette vil normalt inkludere utforming, iverksetting og vedlikehold av sikkerhetstiltakene.
Felles tiltaksleverandører er ansvarlige for sikkerhetstiltak til en rekke ulike risikoeiere og systemeiere. Typiske felles tiltaksleverandører er IKT-drift, systemleverandører, bygningsansvarlig og personalseksjon. Les mer
Trusler eller trusselkilder
Begrepet trusler brukes her som synonym til trusselkilder. Begrepet benyttes om både aktører for villede handlinger og farekilder.
Undersøkelser
Undersøkelser er vurderinger av en tilstand, for eksempel hvordan tiltak eller grupper av tiltak fungerer, eller om de fungerer som forventet. Slike undersøkelser kan benytte både formell testing og andre, mindre systematiske målinger. Undersøkelser gjennomføres ved hjelp av kvantitative og kvalitative metoder. De kvantitative kalles ofte målinger.
Utløsende hendelser
En utløsende hendelse er første del i en hendelsessekvens som medfører et informasjonssikkerhetsbrudd – dvs. et brudd på konfidensialitet, integritet eller tilgjengelighet på informasjon.
Uønskede hendelser
Uønskede hendelser innen informasjonssikkerhet, er situasjoner som kan medføre, eller har medført, et informasjonssikkerhetsbrudd.
Verdivurdering
Verdivurdering er et alternativt navn på «kartlegging av informasjonsverdier».
Virksomhet
eForvaltningsforskriftens krav til internkontroll i § 15 gjelder forvaltningsorgan. Dette kan være organisatoriske enheter på ulikt nivå i stat og kommune avhengig av hvordan statlige sektorer og kommuner har organisert seg. Les mer
Virksomhetsledelsens gjennomgang
Virksomhetsledelsens gjennomgang er en systematisk aktivitet som er forklart under hovedaktiviteten Ledelsens styring og oppfølging.
Vurdere behov for risikovurderinger
Vurdere behov for risikovurderinger er en del av den systematiske aktiviteten Få oversikt og prioritere, som er forklart under hovedaktiviteten Risikovurdering. Les mer