Begrepsliste

Dette er en foreløpig begrepsliste. Listen vil bli oppdatert gjennom nye versjoner av veiledningsmateriellet.

Vi viser også til DFØs forklaring på ord og begreper innenfor det statlige økonomireglementet og veiledere fra DFØ
 

Innhold

 

Aktører for uønskede villede handlinger

«Uønskede villede handlinger» brukes i vår sammenheng som begrep på handlinger utført med intensjon for å skape det vi oppfatter som en informasjonssikkerhetsrisiko. Målet kan være å få uautorisert tilgang til eller endring av informasjon, eller hindre autorisert tilgang til informasjon og IKT-system. Les mer

ALARP-prinsippet

ALARP-prinsippet er et alternativ til et rent kost/nytte-prinsipp ved valg av tiltak i risikohåndteringen. ALARP-prinsippet innebærer en omvendt bevisbyrde.

Etter ALARP-prinsippet skal identifiserte tiltak velges med mindre det er et urimelig misforhold mellom kostnader/ulemper og nytte. For større risikoer kreves det da normalt en dokumentasjon av misforholdet. Les mer

Ansvarsområde

I dette veiledningsmateriellet er et ansvarsområde de mål, resultater, oppgaver, tjenester, IKT-systemer og lignende som en leder og dens organisatoriske enhet er ansvarlig for. Risikoer er hendelser med uønskede konsekvenser tilknyttet hele eller deler av ansvarsområdet. Lederen for et ansvarsområde kalles i veiledningsmateriellet for risikoeier eller systemeier fellessystem.  Les mer

Ansvarsprinsippet

Ansvarsprinsippet innebærer at den organisatoriske enhet som har ansvar for et fagområde i en normalsituasjon, også har ansvaret for å håndtere ekstraordinære hendelser på området.

    Arbeidsoppgave

    Begrepet arbeidsoppgaver benyttes her om det som utføres i en virksomhet for å nå et mål. I andre sammenhenger skilles det av og til mellom arbeidsoppgaver og tjenester. Vi gjør ikke dette skillet her. Slike tjenester inngår i vår sammenheng i begrepet arbeidsoppgaver.

    Arbeidsprosess

    Begrepet arbeidsprosess er i vår sammenheng det samme som begrepet arbeidsoppgave.

    Avvik

    Avvik er brudd på, eller svakheter ved, interkontrollaktiviteter og/eller etablerte sikkerhetstiltak. Et avvik er også en uønsket hendelse.

    Basere seg på (uttrykk i eForvaltningsforskriftens §15)

    Det fremgår av eForvaltningsforskriften § 15 at alle forvaltningsorganer skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Uttrykket «basere seg på» gir handlingsrom for skjønnsmessig bruk av standardene tilpasset egne behov og egen virksomhetsstyring. Samtidig må virksomhetene ta på alvor den erfaring som ligger bak de råd som i standardene kan være formulert som krav. Les mer

    Estimere

    Begrepet estimere kobles av mange til matematiske eller statistiske beregninger av anslag. I vår sammenheng brukes begrepet om skjønnsmessige anslag basert på et bredere kunnskapsgrunnlag.

    Etableringsaktiviteter

    Etableringsaktiviteter er aktiviteter som bør gjennomføres når en virksomhet første gang skal etablere systematisk internkontroll på informasjonssikkerhetsområdet. De kan også være aktuelle ved behov for oppdatering eller vesentlig forbedring av ulike deler i det grunnleggende arbeidet.

    Evalueringer

    Evaluering er et begrep som benyttes både på

    • overordnet nivå om en større omfattende datainnsamling, analyse og vurdering
    • detaljert nivå om et av de siste trinnene i enkelte metoder for spesifikke vurderinger, analyser e.l.

    Hva begrepet betyr er dermed avhengig av konteksten det brukes i. I denne sammenhengen snakker vi om evalueringer på et overordnet nivå. Les mer

    Fagansvarlig internkontroll og/eller informasjonssikkerhet

    Fagansvarlig internkontroll er en ansatt som støtter ledelsen og tilrettelegger for en enhetlig og helhetlig tilnærming i arbeidet med internkontroll. Funksjonen vil ofte naturlig være plassert i stab til ledelsen. Les mer

    Farekilder

    Begrepet farekilder brukes i vår sammenheng om årsaken til ulykker, uhell og uaktsomhet. Farekilder kan være årsaker til hendelser som skaper det vi oppfatter som en informasjonssikkerhetsrisiko. Les mer

    Felles analyse av eksterne krav

    Felles analyse av eksterne krav er en systematisk gjentakende aktivitet. Les mer

    Felles informasjonssystem

    Et felles informasjonssystem er et informasjonssystem som benyttes av arbeidsoppgavene til flere oppgaveeiere. Det kan være både manuelt og digitalt, eller en kombinasjon. Det kan også være satt sammen av en rekke delsystem eller digitale tjenester. 

    Felles kartlegging

    Et godt startpunkt for alt risikovurderingsarbeid innen informasjonssikkerhet er å kartlegge vesentlig informasjon som behandles og hvilke IKT-systemer og digitale tjenester som behandler denne informasjonen.

    Felles tiltaksleverandør

    En tiltaksleverandør er ansvarlig for visse sikkerhetstiltak. Dette vil normalt inkludere utforming, iverksetting og vedlikehold av sikkerhetstiltakene.

    Felles tiltaksleverandører er ansvarlige for sikkerhetstiltak til en rekke ulike risikoeiere og systemeiere. Typiske felles tiltaksleverandører er IKT-drift, systemleverandører, bygningsansvarlig og personalseksjon. Les mer

    Fellessikring

    Et felles grunnleggende sikkerhetsnivå for sentrale områder i en virksomhet.

    Se også Godt å vite – Risikohåndtering – Fellessikring og tilleggssikring

    Fellessystem

    Et fellessystem er et informasjonssystem som benyttes i arbeidsoppgaver eid av flere oppgaveeiere. Mange potensielle konsekvenser og dermed risikoer ved bruk av systemet kan dermed tilhøre andre oppgaveeiere enn den som er systemeier. Les mer

    Foranalyse

    Foranalyse er en del av den systematisk gjentakende aktiviteten Få oversikt og prioritere som er forklart under hovedaktiviteten Risikovurdering.

    Forventet og potensielt konsekvensnivå

    Med forventet konsekvensnivå mener vi det mest trolige konsekvensnivået ved brudd på konfidensialitet, integritet eller tilgjengelighet. Med potensielt konsekvensnivå mener vi det verste realistiske konsekvensnivået ved slike brudd. Les mer

    Gjennomføre risikovurdering

    En delaktivitet av hovedaktiviteten Risikovurdering.

    Hendelsesbank

    En hendelsesbank er en samling av typiske hendelser som kan skape brudd på konfidensialitet, integritet eller tilgjengelighet. Hendelsene vil ofte være sammensatte scenarier. Formålet med en hendelsesbank er at den skal fungere som støtte i arbeidet med å identifisere relevante hendelser. Det finnes ingen kjente hendelsesbanker pr i dag. De kan imidlertid etableres innenfor virksomheter. Difi har arbeidet med et utkast, og vil vurdere senere om de skal etablere et grunnlag som andre kan benytte eller tilpasse.

    Hendelser

    Informasjonssikkerhetsbrudd er faktiske brudd på konfidensialitet, integritet eller tilgjengelighet. Avvik er brudd på fastlagte retningslinjer, prosedyrer o.l. Hendelser er uønskede situasjoner som kan medføre eller kan ha medført et informasjonssikkerhetsbrudd. Dette ved en streng begrepsdeling. Les mer

    Håndteringsansvarlig

    Begrepet håndteringansvarlig brukes her om de personene som har fått i oppdrag av en risikoeier å planlegge og følge opp den samlede gjennomføringen eller etableringen av et sett av godkjente tiltak. Dette som en del av håndteringen av et sett av risikoer eller eksterne krav.

    IKT-driftsleder

    IKT-driftsleder er et begrep vi i dette veiledningsmateriellet benytter for den som er ansvarlig for virksomhetens IKT-utstyr og IKT-drift. Les mer

    IKT-system og systemforvaltning

    «IKT-system» er et fellesbegrep vi i dette veiledningsmateriellet benytter på IKT-system og digitale tjenester som er anskaffet eller utviklet for å direkte understøtte arbeidsoppgaver i virksomheten eller som virksomheten har ansvaret for. Les mer

    IKT-utstyr og IKT-drift

    «IKT-utstyr» er et fellesbegrep vi i dette veiledningsmateriellet benytter på bakenforliggende utstyr og infrastruktur som IKT-systemene er avhengig av. Les mer

    Informasjonssikkerhet

    Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandlingen. Det betyr å sikre at informasjon i alle former

    • ikke blir kjent for uvedkommende (konfidensialitet)
    • ikke blir endret utilsiktet eller av uvedkommende (integritet)
    • er tilgjengelig ved behov (tilgjengelighet)

    Det betyr å sikre informasjonssystemene som benyttes for å behandle informasjon – inkludert sikkerhet i alle IKT-systemer, IKT-tjenester og IKT-komponenter som inngår i systemene.

    Les mer

    Informasjonssikkerhetsansvarlig

    Informasjonssikkerhetsansvarlig er et begrep som i dette veiledningsmateriellet benyttes på den som har fått hovedansvaret for å støtte virksomhetsledelsen i informasjonssikkerhetsspørsmål, herunder være en pådriver og tilrettelegger for en god etablering og gjennomføring av internkontrollarbeidet innen informasjonssikkerhet i hele virksomheten. Les mer

    Informasjonssikkerhetsbrudd

    Informasjonssikkerhetsbrudd er brudd på konfidensialitet, integritet og/eller tilgjengelighet. Bruddet kan ha store, små eller ingen konsekvenser. 

    Informasjonssikkerhetshendelser

    Informasjonssikkerhetshendelser er uønskede hendelser som har oppstått og som kan medføre eller har medført brudd på konfidensialitet, integritet eller tilgjengelighet på virksomhetens informasjon.

    Informasjonssystem

    Et informasjonssystem er et system for innsamling, lagring, behandling, overføring og presentasjon av informasjon.

    Informasjonsverdi

    Informasjonsverdi, eller bare verdi i en informasjonssikkerhetssammenheng, er et samlebegrep. Begrepet inkluderer både informasjon og tilhørende støtteverdier som IKT-system, digitale tjenester, datautstyr av ulike varianter mv. Støtteverdiene er «noe» som benyttes i behandlingen av informasjonen. Les mer

    Integritet

    Se "Informasjonssikkerhet"

    Intensjon

    Intensjon brukes i dette veiledningsmateriellet om kombinasjonen av motivasjon og vilje bak tilsiktede handlinger. Graden av intensjon hos relevante aktører påvirker sannsynligheten for en tilsiktet handling. Både motivasjon, vilje og dermed intensjon kan i en analyse – og kommunikasjonssammenheng graderes i ulike nivå.

    Internkontroll

    Internkontroll gjelder den interne styringen og kontrollen i virksomheten. Dette til forskjell fra departementenes styring av statlige virksomheter, kommunestyrets styring av administrasjonen gjennom administrasjonssjefen (rådmannen) og bystyrets styring av byrådet i kommuner med parlamentarisk styreform. Les mer

    Internkontrollmålsettingene

    De målene som har spesielt fokus i enhver internkontroll er:

    • Målrettet og effektiv drift
    • Pålitelig rapportering
    • Overholdelse av lover og regler

    Se også "Internkontroll"

    Internrevisjon

    Internrevisjonen er «tredjelinjeforsvaret» i virksomhetens helhetlige internkontroll. Den organiseres og fungerer som en selvstendig og uavhengig del av virksomheten øvrige styringslinjer. Funn og anbefalinger rapporteres normalt til virksomhetens styre. Les mer

    Kartlegging av informasjonsverdier (verdivurdering)

    En kartlegging av informasjonsverdier (også kalt verdivurdering) innebærer å få en tilstrekkelig oversikt over informasjonsverdier som er omfattet av spesielt regelverk for informasjonssikkerhet eller som er av så vesentlig betydning for virksomhetens mål for informasjonssikkerhet at de bør omfattes av risikovurderinger. Les mer

    Kjerneprosesser, støtteprosesser og styringsprosesser

    For å nå virksomhetens mål må de som arbeider der og det utstyret som benyttes utføre noen aktiviteter. Aktiviteter rettet direkte mot formålet med virksomhetens eksistens, kalles ofte kjerneprosesser. Aktiviteter som understøtter disse, kalles ofte støtteprosesser. For å styre kjerne- og støtteprosesser slik at virksomhetens mål blir nådd, etableres det som ofte kalles styringsprosesser. Les mer

    Konfidensialitet

    Se "Informasjonssikkerhet"

    Kost-/nytte-prinsippet

    Kost-/nytte-prinsippet benyttes ved valg av tiltak i risikohåndtering. Kost-/nytte-prinsippet innebærer at identifiserte tiltak skal velges dersom nytten er større enn kostnaden. Les mer

    KPI

    Se "Styringsparametere"

    Kunnskapsstyrke

    Kunnskapsstyrke er et uttrykk for hvor god bakgrunnskunnskap man har når man vurderer en risiko og estimerer potensiell konsekvens og tilhørende sannsynlighet. Det kan være hensiktsmessig å gradere kunnskapsstyrken i kategoriene svak, medium og sterk. Nivået man setter på kunnskapsstyrken bør samsvare med den usikkerhet man har rundt sannsynlighetsestimatet eller sannsynlighetsestimatene.

    Ledelsen

    Med ledelsen menes toppledelsen i det som her forstås som virksomheten.

    Ledelsens styring og oppfølging

    Ledelsens styring og oppfølging er en hovedaktivitet hvor virksomhetsledelsen legger grunnlaget for styring og kontroll.

    Likhetsprinsippet

    Likhetsprinsippet innebærer at den organisasjon man opererer med under kriser, bør ligne mest mulig på den organisasjonen man har til daglig. Begrunnelsen er at så vel individer som organisasjoner fungerer best, ikke minst under press, når de kan løse sine arbeidsoppgaver i henhold til kjente prosedyrer og regelverk.

    Måling

    Måling er innhenting av data. Dette kan gjøres gjennom ulike teknikker. Testing er systematisk måling opp mot et forventet eller ønsket mål.

    Nærhetsprinsippet

    Nærhetsprinsippet tilsier at kriser skal håndteres på et lavest mulig organisatorisk nivå. Her legger man til grunn at de som står nærmest til å hjelpe, normalt vil yte den raskeste og mest målrettede assistansen.

    Objektet i risikovurderinger

    Objektet i risikovurderinger er det risikovurderingen rettes mot. Objektet beskrives av omfang og avgrensninger i mandatet for risikovurderingen.

    Oppgave- og systemeier

    En oppgaveeier er en leder med ansvaret for utføringen av en arbeidsoppgave. Arbeidsoppgaven kan utføres av en eller flere ansatte. Alternative begreper som mange benytter er prosesseier og arbeidsprosess. En systemeier er en leder med ansvaret for utvikling, forvaltning og drift av et informasjonssystem. Oppgaveeier vil normalt være systemeier for alle system som kun benyttes i de arbeidsoppgaver han eier. Les mer

    Planlegge risikovurdering

    En delaktivitet av hovedaktiviteten Risikovurdering. For å få god kvalitet på gjennomføringen av mer omfattende risikovurderinger bør man alltid planlegge godt før selve arbeidet starter. Planleggingen bør skje i samarbeid mellom den ansvarlige risikoeier og den som pekes ut som prosessleder for konkrete risikovurderinger. Les mer

    Prosessleder

    Prosessleder er et begrep som brukes om den personen som skal lede gjennomføringen av et arbeid der flere deltar.

    Prosessleders viktigste rolle er å sikre en god gjennomføringsprosess tilpasset både det som konkret skal gjøres og kompetansen til de som deltar i arbeidet.

    Prosessleder kan også delta som innholdsmessig eller faglig bidragsyter i arbeidet, men det er eventuelt en tilleggsrolle til det å være prosessleder.

    Restrisiko

    Restrisiko er et begrep for risiko etter at det er gjennomført planlagte risikoreduserende tiltak.

    Retningslinje

    En retningslinje gir klare føringer for noe. Det kan være krav til hva som skal gjøres i gitte situasjoner, konkrete krav til mer detaljerte rutiner og prosedyrer som retningslinjene krever utarbeidet, konkrete krav til kombinasjoner av tekniske tiltak og tilhørende rutiner for oppfølging, vedlikehold og rapportering, mv. Les mer

    Revisjon

    Generelt handler revisjon om å etterprøve en virksomhets aktiviteter, for å bedømme om utførelsen av disse er i tråd med lover og regler og virksomhetens interne føringer. Revisjonen skal være risikobasert både i valg av hva som skal revideres og i innretning på de enkelte revisjoner.

    Revisjon kan grovt sett deles i to; intern og ekstern revisjon. Les mer

    Risiko

    Risiko blir oftest uttrykt som kombinasjonen av konsekvens og tilhørende sannsynlighet ved hendelser som kan påvirke måloppnåelse. Det har frem til nylig vært vanlig å bare fokusere på negative konsekvenser, dvs. at virksomheten ikke når målet. De fleste metoder og verktøy for risikovurdering har denne tilnærmingen. Les mer

    Risikoeier

    Begrepet risikoeier brukes om alle ledere med ansvar for arbeidsoppgaver og tjenester rundt om i virksomheten. De er ansvarlig for utføring av arbeidet og de mål som skal nås. De bør da også eie – og være ansvarlig for å identifisere, vurdere og håndtere – risikoer innen eget ansvarsområde.  Les mer

    Risikohåndtering

    Risikohåndtering er en hovedaktivitet der man tar stilling til hvordan risiko skal håndteres. 

    Risikostyring

    Risikostyring er et sett av aktiviteter for å styre og kontrollere risiko. De kalles ofte «risikostyringsprosessen», men aktivitetene er ikke nødvendigvis sekvensielle. De ulike aktivitetene kan i hovedsak være foranlediget av hvilken som helst av de andre aktivitetene. Les mer

    Risikovurdering

    Se Risikovurdering

    Samvirkeprinsippet

    Samvirkeprinsippet stiller krav til at ulike organisatoriske enheter har et selvstendig ansvar for å sikre best mulig samvirke med andre relevante aktører, organisatoriske enheter og virksomheter i arbeid med forebygging, beredskap og krisehåndtering.

    Scenarier

    Scenarier er i denne sammenheng hendelsesforløp. Beskrivelsen vil ofte inkludere en trussel, en eller flere sårbarheter og en informasjonsverdi eller en konsekvens tilknyttet en informasjonsverdi.

    Sikkerhetsnivå

    Et sett av sikkerhetstiltak. Kan være definert, navngitt og dokumentert.

    Eks: Fellessikring

    Strategi

    Begrepet «strategi» kan bety litt ulike ting avhengig av kontekst. I en utviklingssammenheng brukes det om en overordnet plan for å nå et mål. I andre sammenhenger brukes begrepet om sentrale valg. Les mer

    Styringsparametere

    Styringsparameter er resultat av alle typer målinger eller kvalitative vurderinger som brukes i styringen av virksomheten på ulike nivåer. Styringsparametere beskriver direkte eller indirekte i hvilken grad virksomheten når sine overordnede mål i en gitt periode (eksempelvis et budsjettår). Les mer

    Styringsprosesser

    Se "Kjerneprosesser, støtteprosesser og styringsprosesser"

    Styringssystem for informasjonssikkerhet

    Betegnelse brukt i fagmiljø innen informasjonssikkerhet for det sett av prosesser, tiltak mv. som må etableres og fungere for at en virksomhet skal ha tilstrekkelig intern styring og kontroll på informasjonssikkerhetsområdet. Se også "internkontroll".

    Støtteprosesser

    Se "Kjerneprosesser, støtteprosesser og styringsprosesser"

    Støttemetoder

    Begrepet støttemetode brukes om avgrensede metoder eller teknikker som kan benyttes underveis i risikovurderinger og i arbeidet med å identifisere tiltak for å redusere risiko. Typiske eksempler er prosesskartlegging, hendelsestreanalyse og feiltreanalyse.

    Se også Godt å vite – Risikovurdering - Støttemetoder

    Systematiske aktiviteter

    Systematiske aktiviteter er det løpende arbeidet i virksomheten for å ha tilstrekkelig styring og kontroll over tid. Disse aktivitetene gjennomføres systematisk til faste tidspunkt eller ut fra behov. 

    Systemeier

    En systemeier er en leder som er ansvarlig for å utvikle, forvalte og drifte et informasjonssystem. Dette vil ofte i større eller noen grad være basert på IKT. Systemeier benytter ofte en utpekt systemforvalter som operativt ansvarlig for de oppgaver systemeier har ansvaret for. Les mer

    Systemeier fellessystem

    En systemeier fellessystem er ansvarlige for å utvikle, forvalte og drifte et informasjonssystem som benyttes av flere risikoeiere i virksomheten. Les mer

    Systemforvalter

    Systemforvalter er et begrep vi i dette veiledningsmateriellet benytter om den person systemeier har pekt ut som operativt ansvarlig for et informasjonssystem på vegne av systemeier. Les mer

    Taktisk oppdeling og gruppering

    En delaktivitet av hovedaktiviteten Risikovurdering. Les mer

    Tilgjengelighet

    Se "Informasjonssikkerhet"

    Tilleggssikring

    Tillegg til fellessikringen. Sikkerhetstiltak som etableres for bestemte oppgaver eller systemer som har spesielle behov.

    Tiltak

    Dette veiledningsmateriellet benytter begrepet tiltak på alt som gjøres både for å redusere risikoer på det som er i fokus, i vårt tilfelle informasjonssikkerhet, og det som gjøres for å gjøre internkontrollprosessene bedre. Les mer

    Tiltaksleverandører

    En tiltaksleverandør er ansvarlig for visse sikkerhetstiltak. Dette vil normalt inkludere utforming, iverksetting og vedlikehold av sikkerhetstiltakene.

    Felles tiltaksleverandører er ansvarlige for sikkerhetstiltak til en rekke ulike risikoeiere og systemeiere. Typiske felles tiltaksleverandører er IKT-drift, systemleverandører, bygningsansvarlig og personalseksjon. Les mer

    Trusler eller trusselkilder

    Begrepet trusler brukes her som synonym til trusselkilder. Begrepet benyttes om både aktører for villede handlinger og farekilder.

    Undersøkelser

    Undersøkelser er vurderinger av en tilstand, for eksempel hvordan tiltak eller grupper av tiltak fungerer, eller om de fungerer som forventet. Slike undersøkelser kan benytte både formell testing og andre, mindre systematiske målinger. Undersøkelser gjennomføres ved hjelp av kvantitative og kvalitative metoder. De kvantitative kalles ofte målinger.

    Utløsende hendelser

    En utløsende hendelse er første del i en hendelsessekvens som medfører et informasjonssikkerhetsbrudd – dvs. et brudd på konfidensialitet, integritet eller tilgjengelighet på informasjon.

    Uønskede hendelser

    Uønskede hendelser innen informasjonssikkerhet, er situasjoner som kan medføre, eller har medført, et informasjonssikkerhetsbrudd.

    Verdivurdering

    Verdivurdering er et alternativt navn på «kartlegging av informasjonsverdier».

    Virksomhet

    eForvaltningsforskriftens krav til internkontroll i § 15 gjelder forvaltningsorgan. Dette kan være organisatoriske enheter på ulikt nivå i stat og kommune avhengig av hvordan statlige sektorer og kommuner har organisert seg. Les mer

    Virksomhetsledelsens gjennomgang

    Virksomhetsledelsens gjennomgang er en systematisk aktivitet som er forklart under hovedaktiviteten Ledelsens styring og oppfølging.

    Vurdere behov for risikovurderinger

    Vurdere behov for risikovurderinger er en del av den systematiske aktiviteten Få oversikt og prioritere, som er forklart under hovedaktiviteten RisikovurderingLes mer