Begrepsliste

Denne begrepslisten inneholder beskrivelser og forklaringer av begreper som benyttes i dette veiledningsmateriellet. Den kan fungere som hjelp til bruken av veiledningen. Denne listen bør ikke benyttes som autoritativ kilde til definisjoner av begreper.

    ISO-terminologi

    Ettersom dette veiledningsmateriellet er basert på NS-ISO/IEC 27001, så benytter det ISOs risikostyringsterminologi for de grunnleggende begrepene innen risikostyring og informasjonssikkerhet.

    De fleste begrepene kan slås opp i ISO/IEC 27000 kapittel 3, «Terms and definitions». Dokumentet kan lastes ned gratis fra ISOs nettside for offentlig tilgjengelige standarder.

    Begreper som benyttes i ISO-standarder kan også søkes opp via deres «Online Browsing Platform».

    Ansvarsområde

    I dette veiledningsmateriellet er et ansvarsområde de mål, resultater, oppgaver, tjenester, IKT-systemer og lignende som en leder og dens organisatoriske enhet er ansvarlig for. Risikoer er hendelser med uønskede konsekvenser tilknyttet hele eller deler av ansvarsområdet. Lederen for et ansvarsområde kalles i veiledningsmateriellet for risikoeier eller systemeier fellessystem.

    Etableringsaktiviteter

    Etableringsaktiviteter er aktiviteter som gjennomføres for å bygge opp og etablere et sett med styringsaktiviteter. Etableringsaktiviteter gjennomføres når virksomhet første gang skal etablere systematisk internkontroll på informasjonssikkerhetsområdet, eller vesentlig forbedre arbeidet med styring av informasjonssikkerhet. Det er dermed sentrale støtteaktiviteter for etablering og forbedring av internkontrollen. Aktivitetene kan gjennomføres når virksomheten har identifisert mangler ved styringen av informasjonssikkerhet.

    Fagansvarlig informasjonssikkerhet

    Fagansvarlig informasjonssikkerhet sitt hovedansvar er å være en pådriver og støtte for informasjonssikkerhetarbeidet i virksomheten, samt å støtte både ledelsen og resten av virksomheten i dette arbeidet. Andre begreper som beskriver denne rollen, er for eksempel informasjonssikkerhetsansvarlig eller CISO.

    En av fagansvarlig informasjonssikkerhets viktigste oppgaver er å sørge for at kommunikasjonen mellom toppledelsen, øvrig linjeledelse og andre fagpersoner fungerer godt. Fagansvarlig fungerer også som en nøkkelressurs i virksomhetens kontinuerlige internkontrollarbeid på informasjonssikkerhetsområdet. Ansvaret for å planlegge og gjennomføre opplæring og bevisstgjøringsaktiviteter innen informasjonssikkerhet i virksomheten er det ofte fagansvarlig som har.

    Mer om rollen fagansvarlig informasjonssikkerhet finner du på våre kompetansebeskrivelser og på sidene våre om fire historier om styring av informasjonssikkerhet (Fridtjof Fagansvarlig).

    Fellessikring

    Fellessikring er et felles grunnleggende sikkerhetsnivå for oppgaver og tjenester på tvers av hele virksomheten.

    Les mer om fellessikring her:

    Om fellessikring og tilleggssikring

    Hendelser, informasjonssikkerhetsbrudd og avvik

    Hendelser er uønskede situasjoner som kan medføre eller kan ha medført et informasjonssikkerhetsbrudd. Når en hendelse har ført til et brudd på konfidensialitet, integritet eller tilgjengelighet er dette et informasjonssikkerhetsbrudd. Et avvik er et brudd på lov, retningslinjer, prosedyrer, eller svakheter ved styringsaktiviteter og/eller etablerte sikkerhetstiltak.

    Identifisering av oppgaver og informasjonstyper (verdivurdering)

    Det å identifisere oppgaver og tjenester, og informasjonsbehandlingen i disse, innebærer å få en tilstrekkelig oversikt over informasjonsbehandlingen som er av vesentlig betydning for at virksomheten når sine målsetninger.

    Digitaliseringsdirektoratet anbefaler å finne høyeste konsekvensnivå for oppgaver og system ut fra informasjonen som behandles. Referanserammen er de konsekvensnivåene ledelsen har bestemt at virksomheten skal benytte i vurdering av risiko innen informasjonssikkerhet.

    Oversikten over oppgaver og tjenester og vurderingen av høyeste konsekvensnivå tilsvarer det som i mange sammenhenger omtales som «verdivurdering».

    Gjennom kartleggingen av virksomhetens informasjonsbehandling får man identifisert potensielle risikoområder som man bør være spesielt oppmerksom på i arbeidet med vurdering og håndtering av risiko.

    Begrepet «informasjonsverdier»

    Mange benytter begrepet «informasjonsverdi» som et samlebegrep som inkluderer både informasjon og tilhørende støtteverdier som IKT-system, digitale tjenester, datautstyr av ulike varianter mv. Støtteverdiene er «noe» som benyttes i behandlingen av informasjonen.

    Dette begrepet benyttes ikke i dette veiledningsmateriellet. Dette er en del av kartleggingen av oppgaver og tjenester, med tilhørende informasjonstyper, som gjennomføres i aktiviteten Ha oversikt og prioritere under Vurdere risiko.

    Informasjonssikkerhet

    I dette veiledningsmateriellet handler informasjonssikkerhet om å styre risiko ved bruk av informasjonssystemer til å utføre oppgaver og levere tjenester. Det handler om å sikre all informasjonsbehandling som inngår i oppgaver og tjenester, eller understøtter dem.

    Informasjonsbehandling er viktig i stort sett alle oppgaver og tjenester i offentlig forvaltning – fra saksbehandling i et departement til vanntilførsel fra kommunale vannverk. Styring av informasjonssikkerhet er derfor en viktig del av den risikobaserte styringen av en offentlig virksomhet. Informasjonssikkerhet for digitale tjenester er en del av dette.

    Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandling som inngår i oppgaver og tjenester eller understøtter dem. Det betyr å sikre at informasjon i alle former

    • ikke blir kjent for uvedkommende (konfidensialitet)
    • ikke blir endret utilsiktet eller av uvedkommende (integritet)
    • er tilgjengelig ved behov (tilgjengelighet)

    Det inkluderer «digitale data» og data som kun brukes maskinelt, og som ikke nødvendigvis skal leses og forstås av mennesker.

    Det handler om å sikre informasjonssystemene som brukes – inkludert alle IKT-systemer, IKT-tjenester og IKT-komponenter som inngår i informasjonssystemene.

    Disse definisjonene kan bidra til å forklare hva det handler om:

    • NIST IR 7298: The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability.
    • ISO/IEC 27000:2018: preservation of confidentiality, integrity and availability of information

    Digital sikkerhet, cybersikkerhet og IKT-sikkerhet

    I mange sammenhenger benyttes digital sikkerhet, cybersikkerhet og IKT-sikkerhet synonymt med «informasjonssikkerhet» slik vi beskriver det her. I andre sammenhenger menes deler av det som inngår i beskrivelsen av «informasjonssikkerhet», og i noen sammenhenger inkluderer det ting som ikke inngår i beskrivelsen av «informasjonssikkerhet».

    Det handler ofte bare om forskjellige perspektiver på det som stort sett er det samme.

    Det kan være spesielt viktig å være bevisst på tilfeller

    • hvor bruken av disse begrepene begrenser seg til å sikre teknologien som benyttes
    • hvor bruken av disse begrepene begrenser seg til beskyttelse mot menneskestyrte angrep

    «Cybersikkerhet» er et begrep som har hatt økende bruk de siste årene. Eksempelvis benytter føderal forvaltning i USA ofte «cybersecurity» der de tidligere brukte «information security» eller «information assurance». Det er tilfeller hvor dette begrepet benyttes til å inkludere forhold som ikke nødvendigvis innebærer informasjonssikkerhetsbrudd som beskrevet her, for eksempel mobbing via digitale kanaler eller å benytte sosiale medier til påvirkningsoperasjoner.

    Vi kan forvente at flere forskjellige, og delvis overlappende, begreper vil bli benyttet i lang tid framover. Dersom det oppstår usikkerhet om hva som menes i dialog med andre, er det lurt å avklare hva som legges i begrepene som brukes.

    Internkontroll – styring og kontroll – styringssystem – risikostyring

    Internkontroll gjelder den interne styringen og kontrollen i virksomheten. Dette til forskjell fra departementenes styring av statlige virksomheter, kommunestyrets styring av administrasjonen gjennom administrasjonssjefen (kommunedirektøren) og bystyrets styring av byrådet i kommuner med parlamentarisk styreform.

    Formålet er å oppnå tilstrekkelig styring og kontroll i arbeidet for å nå virksomhetens mål på en kostnadseffektiv måte og å etterleve lover og regler.

    Internkontrollmålsetningene kan oppsummeres som:

    • Målrettet og effektiv drift
    • Pålitelig rapportering
    • Overholdelse av lover og regler

    Begrepet internkontroll benyttes litt ulikt i ulike fagmiljø. Det går i hovedsak på omfang av begrepet. Dette veiledningsmateriellet benytter en vid forståelse av begrepet internkontroll – jf. parentesen (styring og kontroll) som benyttes i eForvaltningsforskriftens § 15.

    Slik begrepet internkontroll forstås og brukes i dette veiledningsmateriellet består internkontrollen av både styrende element som utforming av mål, strategier og føringer innenfor virksomhetens ansvarsområde, styringsaktiviteter (internkontrollens prosesser), samt spesifikke tiltak som etablereres inn mot det den har primærfokus på - i vår sammenheng informasjonssikkerhet.

    Dette gir et samsvar mellom begrepet "internkontroll på informasjonssikkerhetsområdet" og begrepet "styringssystem for informasjonssikkerhet".

    eForvaltningsforskriftens § 15 og dette veiledningsmateriellet synliggjør med sin begrepsbruk at styring og kontroll med informasjonssikkerheten ikke skiller seg prinsipielt fra styring og kontroll med andre deler av virksomhetens områder. Dette understøtter også helhetlig virksomhetsstyring på tvers av fagområder.

    De fleste regelverk som inneholder føringer for arbeidet med informasjonssikkerhet legger opp til risikobasert innretning. Det betyr at man tar utgangspunkt i risiko når man skal finne ut hva man har behov for å gjøre for å nå målsetninger.

    Regelverk legger ofte ansvaret for å finne ut hva virksomheten har behov for til den enkelte virksomhet. Det er ofte bestemmelser om at man skal ta utgangspunkt i risiko, eller det stilles eksplisitt krav om å benytte risikostyring basert på internasjonal standard. Det er også ofte krav om at arbeidet skal være integrert i virksomhetsstyringen, og ansvaret legges til virksomhetens leder.

    Med tanke på informasjonssikkerhet som en del av styringen av en virksomhet, så handler det om at man benytter risikostyring som verktøy for å nå virksomhetens mål på en kostnadseffektiv måte.

    Vi kan derfor se på informasjonssikkerhetsarbeidet som en del av arbeidet med risiko knyttet til gjennomføring av virksomhetens oppgaver og leveranse av tjenester. Det er snakk om «operasjonell risiko», og håndtering av det som er innenfor virksomhetens kontrollspenn.

    Ved bruk av en risikobasert tilnærming til styring og kontroll er «risikostyring» og «internkontroll» i praksis det samme. https://dfo.no/fagomrader/risikostyring/sammenhengen-mellom-risikostyring-og-internkontroll

    Prosessleder

    Prosessleder er et begrep som brukes om den personen som skal lede gjennomføringen av ulike prosesser i informasjonssikkerhetsarbeidet, eksempelvis identifisering av oppgaver og informasjonstyper eller gjennomføring av risikovurderinger.

    Prosessleder kan i tillegg til å være overordnet ansvarlig for gjennomføringen av en gitt prosess, også være en faglig bidragsyter.

    Risikoeier

    Risikoeiere er ofte linjeledere eller operativt ansvarlige med et særlig ansvar for arbeidsoppgaver og tjenester i virksomheten. De er ansvarlig for å ha tilstrekkelig oversikt over sitt ansvarsområde slik at arbeidet med vurdering og håndtering av risiko gjøres på en effektiv måte. De bør da også eie risikoer innen eget ansvarsområde. Risikoeier kan også måtte løfte problemstillinger i linjen, dersom for eksempel risikonivået er høyere enn hva risikoeier har fullmakt til å håndtere, eller fordi kostnaden knyttet til håndtering av en risiko er for høy.

    Ansvaret som risikoeier for operative risikoer, vil normalt bli delegert til laveste ledernivå. Det gjelder både kjerneoppgaver, de man gjør for å nå virksomhetens primære mål, og støtteoppgaver, typisk administrative oppgaver.

    Risikoeier bør selv være systemeier for systemer som kun understøtter egne oppgaver og tjenester. Dette bør være en del av en risikoeier sitt samlede ansvarsområde.

    Sikkerhetstiltak

    Innen informasjonssikkerhet er det svært viktig å etablere og forvalte varige tiltak som reduserer risiko, slik at virksomheten kan utføre sine oppgaver og levere tjenester på en god måte. Slike varige tiltak reduserer risiko ved å redusere konsekvenser av uønskede hendelser eller sannsynligheten for at de inntreffer. Det er disse varige tiltakene vi som regel omtaler som sikkerhetstiltak.

    Les mer om sikkerhetstiltak her:

    Om sikkerhetstiltak

    Styringsaktiviteter

    Med «styringsaktiviteter» menes de lederstyrte aktivitetene som utgjør kjernen i styring og kontroll på informasjonssikkerhetsområdet:

    • ledelsens styring og oppfølging
    • risikovurdering
    • risikohåndtering
    • overvåking og hendelseshåndtering
    • måling, evaluering og revisjon
    • kompetanse og kulturutvikling
    • kommunikasjon

    Det handler om å ta beslutninger, prioritere oppgaver, fordele ressurser og følge opp arbeidet – å styre dette området som en del av den helhetlige styringen av virksomheten.

    Styringsaktivitetene er svært like, og bygget over samme lest, uavhengig av hvilket område som styres (Informasjonssikkerhet, personvern, sikkerhetsstyring i henhold til sikkerhetsloven, ansattes helse i henhold til HMS-regelverk og så videre)

    Tiltaksleverandør

    En tiltaksleverandør er ansvarlig for sikkerhetstiltak. Dette vil normalt inkludere utforming, iverksetting og vedlikehold av sikkerhetstiltakene.

    Tiltaksleverandører kan være både interne og eksterne. Tiltakene de leverer har ofte flere formål enn informasjonssikkerhet. De kan også dekke behov innen HMS, personvern og så videre.

    Felles tiltaksleverandører er ansvarlige for sikkerhetstiltak til flere ulike risikoeiere og systemeiere, gjerne på tvers av alle virksomhetens oppgaver og tjenester. Typiske felles tiltaksleverandører er IKT-drift, bygningsansvarlig, personalenhet eller tjenesteleverandører.

    En risikoeier eller systemeier kan også være tiltaksleverandør for egne oppgaver og tjenester eller informasjonssystem.