Begrepsforståelse

Informasjonssikkerhet er et tema hvor det brukes mange begreper som forstås forskjellig av ulike fagområder. Det er også varierende begrepsbruk i ulike regelverk. Derfor gir vi her en beskrivelse av noen av de viktigste begrepene.

Informasjonssikkerhet

Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandling som inngår i oppgaver og tjenester eller understøtter dem. Det betyr å sikre at informasjon i alle former

  • ikke blir kjent for uvedkommende (konfidensialitet)
  • ikke blir endret utilsiktet eller av uvedkommende (integritet)
  • er tilgjengelig ved behov (tilgjengelighet)

Det inkluderer «digitale data» og data som kun brukes maskinelt, og som ikke nødvendigvis skal leses og forstås av mennesker. Det inkluderer å sikre informasjonssystemene som brukes – inkludert alle IKT-systemer, IKT-tjenester og IKT-komponenter som inngår i informasjonssystemene.

Digital sikkerhet, cybersikkerhet og IKT-sikkerhet

I mange sammenhenger benyttes digital sikkerhet, cybersikkerhet og IKT-sikkerhet synonymt med «informasjonssikkerhet» slik vi beskriver det her. I andre sammenhenger menes deler av det som inngår i beskrivelsen av «informasjonssikkerhet», og i noen sammenhenger inkluderer det ting som ikke inngår i beskrivelsen av «informasjonssikkerhet».

Det handler ofte bare om forskjellige perspektiver på det som stort sett er det samme.

Det kan være spesielt viktig å være bevisst på tilfeller

  • hvor bruken av disse begrepene begrenser seg til sikring av teknologien (inkludert styringsaktivitetene for ledelsesstyringen av dette)
  • hvor bruken av disse begrepene begrenser seg til sikkerhetstiltak for å sikre teknologien (uten ledelsesstyringen av dette)
  • hvor bruken av disse begrepene begrenser seg til beskyttelse mot menneskestyrte angrep

«Cybersikkerhet» er et begrep som har hatt økende bruk de siste årene. Eksempelvis benytter føderal forvaltning i USA ofte «cybersecurity» synonymt med det de tidligere brukte «information security» eller «information assurance» for. Det er tilfeller hvor dette begrepet benyttes til å inkludere forhold som ikke nødvendigvis innebærer informasjonssikkerhetsbrudd som beskrevet her, for eksempel mobbing via digitale kanaler eller å benytte sosiale medier til påvirkningsoperasjoner.

Vi kan forvente at flere forskjellige, og delvis overlappende, begreper vil bli benyttet i lang tid framover. Dersom det oppstår usikkerhet om hva som menes i dialog med andre, er det lurt å avklare hva som legges i begrepene som brukes.

Styringsaktiviteter og sikkerhetstiltak

Med «styringsaktiviteter» menes de lederstyrte aktivitetene som utgjør kjernen i styring og kontroll på informasjonssikkerhetsområdet. Det er blant annet snakk om aktiviteter for å vurdere og håndtere risiko. Det handler om å ta beslutninger, prioritere oppgaver, fordele ressurser og følge opp arbeidet – å styre dette området som en del av den helhetlige styringen av virksomheten.

Med «sikkerhetstiltak» menes de varige tiltakene som virksomheten etablerer og forvalter for å redusere risikoen for informasjonssikkerhetsbrudd. Dette er tiltak som velges og etableres ved gjennomføring av styringsaktivitetene «risikovurdering» og «risikohåndtering».

Man kan skille mellom tiltak som har som formål å forebygge uønskede hendelser, tiltak som skal oppdage og avdekke hendelser, og tiltak som skal benyttes i respons på hendelser som er under utvikling eller har funnet sted.

Det er vanlig å gruppere sikkerhetstiltak på mange forskjellige måter, bl.a. ved inndeling i

Styringsaktivitetene er svært like, og bygget over samme lest, uavhengig av hvilket område som styres (Informasjonssikkerhet, personvern, sikkerhetsstyring iht. sikkerhetsloven, ansattes helse iht. HMS-regelverk osv.). Sikkerhetstiltakene er i større grad rettet kun mot informasjonssikkerhetsområdet.

De som er kjent med ISO-standarder i 27000-serien vil kjenne igjen krav til styringsaktiviteter fra ISO/IEC 27001 (kapittel 4 til 10) og en katalog med sikkerhetstiltak i form av ISO/IEC 27002 (eller Annex A til ISO/IEC 27001).

Digitaliseringsdirektoratets veiledning for styring og kontroll på informasjonssikkerhetsområdet beskriver styringsaktivitetene. NSMs grunnprinsipper for IKT-sikkerhet inneholder en del av sikkerhetstiltakene en virksomhet kan ha behov for.

Risikostyring og internkontroll

Informasjonssikkerhetsarbeidet er i hovedsak en del av arbeidet med risiko knyttet til gjennomføringen av prosesser og leveranse av tjenester. Det handler om «operasjonell risiko» og håndtering av det som ligger innenfor virksomhetens kontroll.

Ved bruk av en risikobasert tilnærming til styring og kontroll er «risikostyring» og «internkontroll» i praksis det samme. Les mer om sammenhengen mellom risikostyring og internkontroll. 

Oppdatert: 18. mars 2022

Miniveileder om oppfølging av informasjonssikkerhet i styringsdialogen

Om veilederen

Hvem bør lese denne veilederen?

Hva kan du bruke veilederen til?

Hva og hvorfor er det viktig?

Risikostyring av informasjonssikkerhet

Sikre informasjonsbehandling

Konfidensialitet, integritet og tilgjengelighet

Hvorfor jobbe med informasjonssikkerhet?

Følger av utilstrekkelig informasjonssikkerhet

Hvordan bør virksomheten arbeide med styring og kontroll av informasjonssikkerhet?

Systematiske aktiviteter

Ledelsens styring og oppfølging

Helhetlig styring og kontroll

Hvilke krav gjelder på området?

Lover og forskrifter

Krav til informasjonssikkerhet

Oppfølging av informasjonssikkerhet

Hvordan bør informasjonssikkerhet følges opp i styringsdialogen?

Hvordan bør etatsstyrer gå fram?

Oppfølging på riktig nivå 

Særskilt oppfølging og dialog

Kompetanse om informasjonssikkerhet

Aktiviteter og tiltak

Mer informasjon og veiledning

Dialogverktøy

Begrepsforståelse

Informasjonssikkerhet

Digital sikkerhet, cybersikkerhet og IKT-sikkerhet

Styringsaktiviteter og sikkerhetstiltak

Risikostyring og internkontroll

Krav i regelverk

Økonomiregelverket

Bestemmelser om økonomistyring i staten 

Forvaltningsloven og eForvaltningsforskriften

Arkivloven

Sikkerhetsloven

Personopplysningsloven

Skriv ut / lag pdf av veileder

Fant du det du lette etter?

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord