Begrepp Flashcards
Konsekvens
Betydelse: Utfall från en händelse som påverkar målen
Anmärkningar:
1) En händelse kan leda till en rad konsekvenser
2) En konsekvens kan vara viss eller oviss och är inom informationssäkerhetsområdet vanligtvis negativt.
3) Konsekvenser kan beskrivas “kvalitativt” eller “kvantitativt”.
4) Initiala konsekvenser kan eskalera genom att effekter tillkommer efterhand.
Kontroll
Betydelse: Alternativ säkerhetsåtgärd för att förändra “risker”
Anmärkningar:
1) Kontroller för informationssäkerhet omfattar alla processer, policys, rutiner, riktlinjer förhållningssätt, organisatoriska strukturer, vilka kan vara administrativa, teknisk och av lednings- eller legal karaktär som förändrar risken.
2) Kontroller ger inte alltid den avsedda eller förväntade förändrande effekten.
3) Kontroll används också som en synonym för skyddsåtgärd eller motåtgärd.
Händelse
Betydelse: Förekomst eller förändring av särskilda omständigheter
Anmärkningar:
1) En händelse kan ha en eller flera förekomster och kan ha flera orsaker.
2) En händelse kan bestå i att inget inträffar.
3) En händelse kan ibland refereras till som en “incident” eller “olycka”.
Extern kontext
Betydelse: Extern miljö i vilken organisationen försöker uppnå sina mål
Anmärkningar(Extern miljö kan omfatta):
1) Kulturell, social, politisk, legal, reglerande, finansiell, teknisk, ekonomisk, naturlig och konkurrerande omgivning, både internationell och nationell, regional eller lokal.
2) Viktiga drivkrafter och trender som påverkar organisationens mål,
3) Relationer med, och uppfattningar och värderingar hos, externa intressenter.
Intern kontext
Betydelse: Intern miljö i vilken organisationen försöker uppnå sina mål
Anmärkningar(intern miljö kan omfatta):
1) Styrning, organisatorisk struktur, roller och ansvarsfördelning.
2) Policyer, mål och befintliga strategier för att uppnå dem
3) Förmågor, i termer av resurser och kunskap(d.v.s. kapital, tid, personal, processer, system och tekniker)
4) Informationssystem, informationsflöden och beslutsprocesser(både formella och informella)
5) Relationer med, och uppfattningar och värderingarhos interna intressenter
6) Organisationens kultur,
7) Standarder, riktlinjer och modeller antagna av organisationen
8) Utformning och omfattning av avtalsbundna relationer
Risknivå
Betydelse: Storlek på en risk eller kombination av risker, uttryckt i termer av en kombination av konsekvenser och deras sannolikhet.
Sannolikhet
Betydelse: Chans att något inträffar
Anmärkningar
1) I rikshanteringsterminologi används order “sannolikhet” för att benämna chansen att något inträffar, oavsett om det definieras, mäts eller avgörs objektivt eller subjektivt, kvalitativt eller kvantitativt och beskriv i generella termer eller matematiska(såsom en sannolikhet eller frekvens över en given tidsperiod).
2) Den engelska termen “likelihood” har i vissa språk ingen direkt motsvarighet, istället används då vanligen motsvarigheten till termen “probability”. I engelskan tolkas dock “probability” som en matematisk term. Därför används termen “likelihood” inom riskhanteringsterminologin med den vidare tolkning som “probability” har i många språk utöver engelskan.
Kvarstående risk
Betydelse: Risk som kvarstår efter riskbehandling
Anmärkningar:
1) Kvarstående risk kan inkludera oidentifierad risk.
2) Kvarstående risk benämns också ibland “bibehållen risk”.
Risk
Betydelse: Osäkerhetens effekt på mål
Anmärkningar:
1) En effekt är en avvikelse från det förväntade - positivt och/eller negativt.
2) Mål kan ha olika aspekter (såsom ekonomi, hälsa och säkerhet eller miljömål) och kan gälla på olika nivåer (såsom strategisk-, organisatorisk-, projekt-, produkt eller processnivå)
3) Risker karaktäriseras ofta genom hänvisning till potentiella händelser och konsekvenser, eller genom en kombination av dessa.
4) Risker uttrycks ofta i termer av en kombination av en händelses konsekvenser (inklusive ändrade omständigheter) och därtill relaterad sannolikhet för förekomst.
5) Osäkerhet är det tillstånd, även partiellt, av bristande information som relaterar till förståelse för eller kunskap om en händelse, dess konsekvenser eller sannolikhet.
6) Informationssäkerhetsrisk innebär möjligheten att ett givet hot utnyttjar sårbarheten hos en informationstillgång eller en grupp av informationstillgångar och därigenom orsakar organisation skada.
Riskanalys
Betydelse: Process för att förstå riskens natur och för att avgöra risknivån
Anmärkningar:
1) Riskanalys utgör grunden för riskutvärdering och för beslut om riskbehandling.
2) Riskanalys inkluderar riskuppskattning.
Riskbedömning
Betydelse: Övergripande process för riskidentifiering, riskanalys och riskutvärdering
Riskkommunikation och konsultation
Betydelse: Kontinuerliga och iterativa processer som en organisation genomför för att tillhandahålla, dela eller inhämta information och för att föra en dialog med intressenter med avseende på hantering av risker
Anmärkningar:
1) Informationen kan relatera till förekomst, karaktär, typ, sannolikhet, betydelse, utvärdering, acceptans och behandling av risker.
2) Konsultation är en tvåvägsprocess för välgrundat informationsutbyte mellan organisationen och dess intressenter i en fråga. Innan beslut fattas eller inriktning avgörs i den frågan.
3) Konsultation är:
- En process som inverkar på ett beslut genom inflytande snarare än genom makt
- Ett underlag för beslutsfattande, inte gemensamt beslutsfattande
Riskkriteria
Betydelse: Referensförhållanden mot vilka betydelsen av en risk utvärderas
Anmärkningar:
1) Riskkriterier baseras på organisationen mål samt dess externa och interna kontext.
2) Riskkriterier kan härledas från standarder, lagar, policyer och andra krav.
Riskutvärdering
Betydelse: Process för att jämföra resultaten från riskanalysen med riskkriterierna för att avgöra om risken och/eller dess storlek är acceptabel eller godtagbar.
Anmärkningar
1) Riskutvärdering underlättar vid beslut om riskbehandling
Riskidentifiering
Betydelse: Process för att upptäcka, kartlägga/kanna igen och beskriva risker
Anmärkningar:
1) Riskidentifiering omfattar identifiering av riskkällor och händelser samt orsaker och potentiella konsekvenser av desamma.
2) Riskidentifiering kan omfatta historiska data, teoretiska analyser, synpunkter, expertutlåtanden och intressenters behov.