Begrepsliste for informasjonssikkerhet

Her finner du begreper som benyttes i veiledningsmateriellet til internkontroll i praksis. Denne listen bør ikke benyttes som autoritativ kilde til definisjoner av begreper.

Opprettet: 20. desember 2021 Sist endret: 20. august 2025

    ISO-terminologi

    Ettersom veiledningsmateriellet til internkontroll i praksis er basert på NS-ISO/IEC 27001, så benyttes det ISO's risikostyringsterminologi for de grunnleggende begrepene innen risikostyring og informasjonssikkerhet.

    Du kan søke opp begreper som benyttes i ISO-standarder via deres «Online Browsing Platform».

    Ansvarsområde

    Alt en leder, og dens organisatoriske enhet, har har ansvar for - mål, oppgaver, tjenester og IKT-systemer.

    Risiko er hendelser som kan få uønskede konsekvenser for dette ansvarsområder.
    Lederen for området kaller vi her risikoeier (eller systemeier når det gjelder fellessystemer).

    Etableringsaktiviteter

    Oppgaver som hjelper virksomheten å etablere styringen av informasjonssikkerhet.

    De brukes når virksomheten skal:

    • Etablere systematisk internkontroll for første gang innenfor informasjonssikkerhet
    • Gjøre større forbedringer i arbeidet med informasjonssikkerhet
    • Rette opp mangler som er oppdaget i styringen av informasjonssikkerhet

    Fagansvarlig informasjonssikkerhet

    Har ansvar for å drive arbeidet med informasjonssikkerhet framover, og støtte både ledelsen og resten av virksomheten. Rollen omtales også som informasjonssikkerhetsansvarlig eller CISO.

    De viktigste oppgavene er å:

    🗣️ Sikre god kommunikasjon mellom toppledelsen, linjeledelsen og fagpersoner

    🔑 Være en nøkkelressurs i internkontrollen på informasjonssikkerhet

    🎓 Planlegge og gjennomføre opplæring og bevisstgjøring innen informasjonssikkerhet

    Les mer om rollen fagansvarlig informasjonssikkerhet på nettsiden kompetansebeskrivelser, og om fire historier om styring av informasjonssikkerhet (Fridtjof Fagansvarlig).

    Fellessikring

    Et felles grunnleggende sikkerhetsnivå for oppgaver og tjenester på tvers av hele virksomheten.

    Les mer om fellessikring her:

    Om fellessikring og tilleggssikring

    Hendelser, informasjonssikkerhetsbrudd og avvik

    Hendelser er uønskede situasjoner som kan medføre, eller kan ha medført et informasjonssikkerhetsbrudd.

    Når en hendelse har ført til et brudd på konfidensialitet, integritet eller tilgjengelighet er dette et informasjonssikkerhetsbrudd.

    Et avvik er et brudd på lov, retningslinjer, prosedyrer, eller svakheter ved styringsaktiviteter og/eller etablerte sikkerhetstiltak.

    Identifisering av oppgaver og informasjonstyper (verdivurdering)

    Å identifisere oppgaver, tjenester og hvordan informasjon behandles, gir virksomheten oversikt over det som er viktig for å nå målene sine.

    Digdir anbefaler å:

    ⚖️ Finne høyeste konsekvensnivå for oppgaver og system, basert på informasjonen som behandles.

    ⚖️ Bruke de konsekvensnivåene ledelsen har bestemt i risikovurderingen.

    Denne oversikten kalles ofte en verdivurdering.

    Gjennom kartleggingen oppdager virksomheten potensielle risikoområder som bør følges ekstra nøye opp i arbeidet med risikovurdering og håndtering.

    Informasjonssikkerhet

    I denne veiledningen betyr informasjonssikkerhet å styre risiko ved bruk av informasjonssystemer til å utføre oppgaver og levere tjenester. Det handler om å sikre all informasjonsbehandling som inngår i oppgaver og tjenester, eller støtter dem.

    📌 Hvorfor er det viktig?

    Informasjonsbehandling er en del av nesten alle oppgaver og tjenester i offentlig sektor – fra saksbehandling i et departement til vanntilførsel fra kommunale vannverk. Derfor er styring av informasjonssikkerhet en sentral del av risikostyringen i virksomheten. Informasjonssikkerhet for digitale tjenester er en del av dette.

    Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandling som inngår i oppgaver og tjenester, eller understøtter dem. Det betyr å sikre at informasjon i alle former:

    🔒 Ikke blir kjent for uvedkommende (konfidensialitet)

    🛡️ Ikke blir endret utilsiktet eller av uvedkommende (integritet)

    ⏱️ Er tilgjengelig ved behov (tilgjengelighet)

    Det gjelder både digitale data, maskinelt behandlede data, og data som ikke nødvendigvis skal leses og forstås av mennesker.

    Det handler om å sikre informasjonssystemene som brukes – inkludert alle IKT-systemer, IKT-tjenester og IKT-komponenter som inngår i informasjonssystemene.

    Disse definisjonene kan bidra til å forklare hva det handler om:

    • NIST IR 7298: The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability.
    • ISO/IEC 27000:2018: preservation of confidentiality, integrity and availability of information

    Digital sikkerhet, cybersikkerhet og IKT-sikkerhet

    I mange sammenhenger benyttes digital sikkerhet, cybersikkerhet og IKT-sikkerhet synonymt med «informasjonssikkerhet» slik vi beskriver det her. I andre sammenhenger menes deler av det som inngår i beskrivelsen av «informasjonssikkerhet», og i noen sammenhenger inkluderer det ting som ikke inngår i beskrivelsen av «informasjonssikkerhet».

    Det handler ofte bare om forskjellige perspektiver på det som stort sett er det samme.

    Det kan være spesielt viktig å være bevisst på tilfeller

    • hvor bruken av disse begrepene begrenser seg til å sikre teknologien som benyttes
    • hvor bruken av disse begrepene begrenser seg til beskyttelse mot menneskestyrte angrep

    «Cybersikkerhet» er et begrep som har hatt økende bruk de siste årene. Eksempelvis benytter føderal forvaltning i USA ofte «cybersecurity» der de tidligere brukte «information security» eller «information assurance». Det er tilfeller hvor dette begrepet benyttes til å inkludere forhold som ikke nødvendigvis innebærer informasjonssikkerhetsbrudd som beskrevet her, for eksempel mobbing via digitale kanaler eller å benytte sosiale medier til påvirkningsoperasjoner.

    Vi kan forvente at flere forskjellige, og delvis overlappende, begreper vil bli benyttet i lang tid framover. Dersom det oppstår usikkerhet om hva som menes i dialog med andre, er det lurt å avklare hva som legges i begrepene som brukes.

    Internkontroll – styring og kontroll – styringssystem – risikostyring

    Internkontroll gjelder den interne styringen og kontrollen i virksomheten. Dette til forskjell fra departementenes styring av statlige virksomheter, kommunestyrets styring av administrasjonen gjennom administrasjonssjefen (kommunedirektøren) og bystyrets styring av byrådet i kommuner med parlamentarisk styreform.

    Formålet er å oppnå tilstrekkelig styring og kontroll i arbeidet for å nå virksomhetens mål på en kostnadseffektiv måte og å etterleve lover og regler.

    Internkontrollmålsetningene kan oppsummeres som:

    • Målrettet og effektiv drift
    • Pålitelig rapportering
    • Overholdelse av lover og regler

    Begrepet internkontroll benyttes litt ulikt i ulike fagmiljø. Det går i hovedsak på omfang av begrepet. Dette veiledningsmateriellet benytter en vid forståelse av begrepet internkontroll – jf. parentesen (styring og kontroll) som benyttes i eForvaltningsforskriftens § 15.

    Slik begrepet internkontroll forstås og brukes i dette veiledningsmateriellet består internkontrollen av både styrende element som utforming av mål, strategier og føringer innenfor virksomhetens ansvarsområde, styringsaktiviteter (internkontrollens prosesser), samt spesifikke tiltak som etablereres inn mot det den har primærfokus på - i vår sammenheng informasjonssikkerhet.

    Dette gir et samsvar mellom begrepet "internkontroll på informasjonssikkerhetsområdet" og begrepet "styringssystem for informasjonssikkerhet".

    eForvaltningsforskriftens § 15 og dette veiledningsmateriellet synliggjør med sin begrepsbruk at styring og kontroll med informasjonssikkerheten ikke skiller seg prinsipielt fra styring og kontroll med andre deler av virksomhetens områder. Dette understøtter også helhetlig virksomhetsstyring på tvers av fagområder.

    De fleste regelverk som inneholder føringer for arbeidet med informasjonssikkerhet legger opp til risikobasert innretning. Det betyr at man tar utgangspunkt i risiko når man skal finne ut hva man har behov for å gjøre for å nå målsetninger.

    Regelverk legger ofte ansvaret for å finne ut hva virksomheten har behov for til den enkelte virksomhet. Det er ofte bestemmelser om at man skal ta utgangspunkt i risiko, eller det stilles eksplisitt krav om å benytte risikostyring basert på internasjonal standard. Det er også ofte krav om at arbeidet skal være integrert i virksomhetsstyringen, og ansvaret legges til virksomhetens leder.

    Med tanke på informasjonssikkerhet som en del av styringen av en virksomhet, så handler det om at man benytter risikostyring som verktøy for å nå virksomhetens mål på en kostnadseffektiv måte.

    Vi kan derfor se på informasjonssikkerhetsarbeidet som en del av arbeidet med risiko knyttet til gjennomføring av virksomhetens oppgaver og leveranse av tjenester. Det er snakk om «operasjonell risiko», og håndtering av det som er innenfor virksomhetens kontrollspenn.

    Ved bruk av en risikobasert tilnærming til styring og kontroll er «risikostyring» og «internkontroll» i praksis det samme. https://dfo.no/fagomrader/risikostyring/sammenhengen-mellom-risikostyring-og-internkontroll

    Prosessleder

    Personen som skal lede gjennomføringen av ulike prosesser i informasjonssikkerhetsarbeidet, eksempelvis identifisering av oppgaver og informasjonstyper eller gjennomføring av risikovurderinger.

    Prosessleder kan i tillegg til å være overordnet ansvarlig for gjennomføringen av en gitt prosess, også være en faglig bidragsyter.

    Risikoeier

    Ofte linjeledere eller operativt ansvarlige med et særlig ansvar for arbeidsoppgaver og tjenester i virksomheten. De er ansvarlig for å ha tilstrekkelig oversikt over sitt ansvarsområde slik at arbeidet med vurdering og håndtering av risiko gjøres på en effektiv måte. De bør da også eie risikoer innen eget ansvarsområde. Risikoeier kan også måtte løfte problemstillinger i linjen, dersom for eksempel risikonivået er høyere enn hva risikoeier har fullmakt til å håndtere, eller fordi kostnaden knyttet til håndtering av en risiko er for høy.

    Ansvaret som risikoeier for operative risikoer, vil normalt bli delegert til laveste ledernivå. Det gjelder både kjerneoppgaver, de man gjør for å nå virksomhetens primære mål, og støtteoppgaver, typisk administrative oppgaver.

    Risikoeier bør selv være systemeier for systemer som kun understøtter egne oppgaver og tjenester. Dette bør være en del av en risikoeier sitt samlede ansvarsområde.

    Sikkerhetstiltak

    Innen informasjonssikkerhet er det svært viktig å etablere og forvalte varige tiltak som reduserer risiko, slik at virksomheten kan utføre sine oppgaver og levere tjenester på en god måte. Slike varige tiltak reduserer risiko ved å redusere konsekvenser av uønskede hendelser eller sannsynligheten for at de inntreffer. Det er disse varige tiltakene vi som regel omtaler som sikkerhetstiltak.

    Les mer om sikkerhetstiltak her:

    Om sikkerhetstiltak

    Styringsaktiviteter

    De lederstyrte aktivitetene som utgjør kjernen i styring og kontroll på informasjonssikkerhetsområdet:

    • ledelsens styring og oppfølging
    • risikovurdering
    • risikohåndtering
    • overvåking og hendelseshåndtering
    • måling, evaluering og revisjon
    • kompetanse og kulturutvikling
    • kommunikasjon

    Det handler om å ta beslutninger, prioritere oppgaver, fordele ressurser og følge opp arbeidet – å styre dette området som en del av den helhetlige styringen av virksomheten.

    Styringsaktivitetene er svært like, og bygget over samme lest, uavhengig av hvilket område som styres (Informasjonssikkerhet, personvern, sikkerhetsstyring i henhold til sikkerhetsloven, ansattes helse i henhold til HMS-regelverk og så videre)

    Tiltaksleverandør

    En tiltaksleverandør er ansvarlig for sikkerhetstiltak. Dette vil normalt inkludere utforming, iverksetting og vedlikehold av sikkerhetstiltakene.

    Tiltaksleverandører kan være både interne og eksterne. Tiltakene de leverer har ofte flere formål enn informasjonssikkerhet. De kan også dekke behov innen HMS, personvern og så videre.

    Felles tiltaksleverandører er ansvarlige for sikkerhetstiltak til flere ulike risikoeiere og systemeiere, gjerne på tvers av alle virksomhetens oppgaver og tjenester. Typiske felles tiltaksleverandører er IKT-drift, bygningsansvarlig, personalenhet eller tjenesteleverandører.

    En risikoeier eller systemeier kan også være tiltaksleverandør for egne oppgaver og tjenester eller informasjonssystem.