Ulike perspektiver gir ulikt fokus

«Helheten» er ikke den samme fra en virksomhet til en annen. Ulike målsetninger og forpliktelser påvirker hva som oppleves som viktigst. For å arbeide godt helhetlig må virksomheten forstå hvordan dette påvirker de vurderingene som gjøres.

Opprettet: 21. januar 2021 Sist endret: 21. august 2025

Informasjonssikkerhet er viktig for informasjonsbehandling og måloppnåelse. Derfor gir mange regelverk føringer for arbeidet med informasjonssikkerhet. Ulike myndighetsorganer og veiledningsaktører gir råd, veiledning, anbefalinger og føringer med utgangspunkt i sine ansvarsområder og ulike regelverk. Regelverkene har forskjellig formål og innretning, og dette påvirker hva virksomheten retter oppmerksomheten mot - og hvordan veiledningen utformes.

    Ulik forståelse av risiko

    Årsaker til og konsekvenser av hendelser 🧩

    Et informasjonssikkerhetsbrudd oppstår når en hendelse fører til brudd på konfidensialitet, integritet og/eller tilgjengelighet til informasjon eller informasjonsbehandlingen. Årsaker kan være tilsiktede handlinger, uaktsomhet, uhell og ulykker, eller naturhendelser. Slike hendelser kan gi konsekvenser for blant annet leveranser, virksomhetens økonomi, personvern, liv og helse, eller nasjonal sikkerhet.

    Sløyfediagram som viser årsaker til sikkerhetsbrudd på venstre side, sikkerhetsbrudd i midten, og mulige konsekvenskategorier på høyre side.

    Når en virksomhet arbeider helhetlig med informasjonssikkerhet, bør alle årsaker til og alle konsekvenskategorier vurderes. Dette kan bli omfangsrikt, så det er ofte nødvendig å prioritere hva som er viktigst å fokusere på, avhengig av oppgaver, informasjonstyper og betydningen informasjonsbehandlingen har for oppgavene.

    Hvem får et sikkerhetsbrudd konsekvenser for? 👥

    Et informasjonssikkerhetsbrudd kan få konsekvenser på flere nivåer.En hendelse som rammer mennesker, en IT-komponent, eller et IKT system, kan påvirke informasjonssystemet de inngår i. Svikt i informasjonssystemer kan igjen ramme oppgaver og tjenester, og dermed virksomhetens måloppnåelse. Dette kan også få følger utenfor virksomheten – enten for innbyggere, andre virksomheter, samfunnet eller nasjonale sikkerhetsinteresser.

    Det er viktig at ledelsen forstår risiko knyttet til informasjonssikkerhet – hva kan få konsekvenser for oppgaver og tjenester, måloppnåelse og videre utenfor virksomheten. Ledelsen må både ivareta virksomhetens egne interesser, og oppfylle lovpålagte plikter for å ivareta andres interesser.

    Fremstilling av hvordan hendelser kan få konsekvenser på ulike nivåer, fra informasjonssystem på nederste nivå, via oppgaver og tjenester og måloppnåelse til innbyggere, virksomheter og samfunnet på øverste nivå.

    Behandling av ulike informasjonstyper

    Et annet element som påvirker hvordan man arbeider med informasjonssikkerhet, er hva slags informasjon – eller hvilke informasjonstyper – som behandles.

    I en virksomhets ulike oppgaver vil man behandle forskjellig informasjon. Noen oppgaver vil innebære behandling av personopplysninger, kanskje også særlige kategorier av personopplysninger, andre vil behandle virksomhetskritisk informasjon, og andre igjen skjermingsverdig informasjon.

    Konseptuell visualisering av forholdet mellom informasjonssikkerhet og personvern, der det er en overlapp der konfidensialitet, integritet, tilgjengelighet og robusthet av personopplysninger skal sikres

    Hvilke informasjonstyper som behandles vil påvirke hvordan man må arbeide for å sikre informasjonsbehandlingen, og hvilke regelverk som skal etterleves.

    Arbeidet med informasjonssikkerhet og personvern overlapper når man skal sikre konfidensialitet, integritet og tilgjengelighet av personopplysninger virksomheten behandler.

    Konseptuell visualisering av forholdet mellom informasjonssikkerhet og sikkerhetsstyring, der sikkerhetsstyring etter sikkerhetsloven delvis overlapper med arbeid med informasjonssikkerhet. Tekstbokser beskriver at arbeidet med informasjonssikkerhet består av aktiviteter for styring og kontroll, og sikkerhetstiltak etter behov, og at det for sikkerhetsstyring i tillegg trengs å ivareta særkrav i lovverket, og ha sikkerhetstiltak iht forskrift.

    På samme måte overlapper arbeidet med informasjonssikkerhet og sikkerhetsstyring etter sikkerhetsloven når man har informasjon eller informasjonssystemer som er skjermingsverdige og derfor skal sikres.

    Perspektiver på informasjonssikkerhet

    Virksomhetsstyring
    Generelt arbeid med informasjonssikkerhet
    Skjermingsverdige verdier etter sikkerhetsloven
    Behandling av personopplysninger

    Informasjonssikkerhetsområdet er stort, og det er mange ulike roller og mange ulike typer kompetanse som er involvert. Å ivareta informasjonssikkerhet i styringen av en virksomhet krever et annet perspektiv og annen kompetanse enn å beskytte nettverksteknologi mot menneskestyrte angrep. Kostnadseffektiv forvaltning av sikkerhetstiltak på tvers av alle oppgaver og tjenester krever et annet perspektiv og annen kompetanse enn å ha ansvaret for gjennomføring av identitetskontroll og bakgrunnssjekk ved ansettelser. Det er noen som skal styre risiko for de oppgavene og tjenestene de har ansvaret for (inkludert informasjonssikkerhet), andre som har ansvaret for å støtte dem i dette arbeidet, og atter andre som skal etablere og forvalte spesifikke sikkerhetstiltak (f.eks. innen adgangskontroll eller tekniske tiltak innen IT). Den sistnevnte gruppen er i dag i økende grad utenfor virksomhetens egen organisasjon, og har ansvaret for sikkerhetstiltak som en del av tjenesteleveranser til virksomheten.