Begrepp Flashcards

1
Q

Konsekvens

A

Betydelse: Utfall från en händelse som påverkar målen

Anmärkningar:

1) En händelse kan leda till en rad konsekvenser
2) En konsekvens kan vara viss eller oviss och är inom informationssäkerhetsområdet vanligtvis negativt.
3) Konsekvenser kan beskrivas “kvalitativt” eller “kvantitativt”.
4) Initiala konsekvenser kan eskalera genom att effekter tillkommer efterhand.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Kontroll

A

Betydelse: Alternativ säkerhetsåtgärd för att förändra “risker”

Anmärkningar:

1) Kontroller för informationssäkerhet omfattar alla processer, policys, rutiner, riktlinjer förhållningssätt, organisatoriska strukturer, vilka kan vara administrativa, teknisk och av lednings- eller legal karaktär som förändrar risken.
2) Kontroller ger inte alltid den avsedda eller förväntade förändrande effekten.
3) Kontroll används också som en synonym för skyddsåtgärd eller motåtgärd.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Händelse

A

Betydelse: Förekomst eller förändring av särskilda omständigheter

Anmärkningar:

1) En händelse kan ha en eller flera förekomster och kan ha flera orsaker.
2) En händelse kan bestå i att inget inträffar.
3) En händelse kan ibland refereras till som en “incident” eller “olycka”.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Extern kontext

A

Betydelse: Extern miljö i vilken organisationen försöker uppnå sina mål

Anmärkningar(Extern miljö kan omfatta):

1) Kulturell, social, politisk, legal, reglerande, finansiell, teknisk, ekonomisk, naturlig och konkurrerande omgivning, både internationell och nationell, regional eller lokal.
2) Viktiga drivkrafter och trender som påverkar organisationens mål,
3) Relationer med, och uppfattningar och värderingar hos, externa intressenter.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Intern kontext

A

Betydelse: Intern miljö i vilken organisationen försöker uppnå sina mål

Anmärkningar(intern miljö kan omfatta):

1) Styrning, organisatorisk struktur, roller och ansvarsfördelning.
2) Policyer, mål och befintliga strategier för att uppnå dem
3) Förmågor, i termer av resurser och kunskap(d.v.s. kapital, tid, personal, processer, system och tekniker)
4) Informationssystem, informationsflöden och beslutsprocesser(både formella och informella)
5) Relationer med, och uppfattningar och värderingarhos interna intressenter
6) Organisationens kultur,
7) Standarder, riktlinjer och modeller antagna av organisationen
8) Utformning och omfattning av avtalsbundna relationer

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Risknivå

A

Betydelse: Storlek på en risk eller kombination av risker, uttryckt i termer av en kombination av konsekvenser och deras sannolikhet.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Sannolikhet

A

Betydelse: Chans att något inträffar

Anmärkningar
1) I rikshanteringsterminologi används order “sannolikhet” för att benämna chansen att något inträffar, oavsett om det definieras, mäts eller avgörs objektivt eller subjektivt, kvalitativt eller kvantitativt och beskriv i generella termer eller matematiska(såsom en sannolikhet eller frekvens över en given tidsperiod).

2) Den engelska termen “likelihood” har i vissa språk ingen direkt motsvarighet, istället används då vanligen motsvarigheten till termen “probability”. I engelskan tolkas dock “probability” som en matematisk term. Därför används termen “likelihood” inom riskhanteringsterminologin med den vidare tolkning som “probability” har i många språk utöver engelskan.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Kvarstående risk

A

Betydelse: Risk som kvarstår efter riskbehandling

Anmärkningar:

1) Kvarstående risk kan inkludera oidentifierad risk.
2) Kvarstående risk benämns också ibland “bibehållen risk”.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Risk

A

Betydelse: Osäkerhetens effekt på mål

Anmärkningar:

1) En effekt är en avvikelse från det förväntade - positivt och/eller negativt.
2) Mål kan ha olika aspekter (såsom ekonomi, hälsa och säkerhet eller miljömål) och kan gälla på olika nivåer (såsom strategisk-, organisatorisk-, projekt-, produkt eller processnivå)
3) Risker karaktäriseras ofta genom hänvisning till potentiella händelser och konsekvenser, eller genom en kombination av dessa.
4) Risker uttrycks ofta i termer av en kombination av en händelses konsekvenser (inklusive ändrade omständigheter) och därtill relaterad sannolikhet för förekomst.
5) Osäkerhet är det tillstånd, även partiellt, av bristande information som relaterar till förståelse för eller kunskap om en händelse, dess konsekvenser eller sannolikhet.
6) Informationssäkerhetsrisk innebär möjligheten att ett givet hot utnyttjar sårbarheten hos en informationstillgång eller en grupp av informationstillgångar och därigenom orsakar organisation skada.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Riskanalys

A

Betydelse: Process för att förstå riskens natur och för att avgöra risknivån

Anmärkningar:

1) Riskanalys utgör grunden för riskutvärdering och för beslut om riskbehandling.
2) Riskanalys inkluderar riskuppskattning.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Riskbedömning

A

Betydelse: Övergripande process för riskidentifiering, riskanalys och riskutvärdering

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Riskkommunikation och konsultation

A

Betydelse: Kontinuerliga och iterativa processer som en organisation genomför för att tillhandahålla, dela eller inhämta information och för att föra en dialog med intressenter med avseende på hantering av risker

Anmärkningar:

1) Informationen kan relatera till förekomst, karaktär, typ, sannolikhet, betydelse, utvärdering, acceptans och behandling av risker.
2) Konsultation är en tvåvägsprocess för välgrundat informationsutbyte mellan organisationen och dess intressenter i en fråga. Innan beslut fattas eller inriktning avgörs i den frågan.

3) Konsultation är:
- En process som inverkar på ett beslut genom inflytande snarare än genom makt
- Ett underlag för beslutsfattande, inte gemensamt beslutsfattande

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Riskkriteria

A

Betydelse: Referensförhållanden mot vilka betydelsen av en risk utvärderas

Anmärkningar:

1) Riskkriterier baseras på organisationen mål samt dess externa och interna kontext.
2) Riskkriterier kan härledas från standarder, lagar, policyer och andra krav.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Riskutvärdering

A

Betydelse: Process för att jämföra resultaten från riskanalysen med riskkriterierna för att avgöra om risken och/eller dess storlek är acceptabel eller godtagbar.

Anmärkningar
1) Riskutvärdering underlättar vid beslut om riskbehandling

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Riskidentifiering

A

Betydelse: Process för att upptäcka, kartlägga/kanna igen och beskriva risker

Anmärkningar:

1) Riskidentifiering omfattar identifiering av riskkällor och händelser samt orsaker och potentiella konsekvenser av desamma.
2) Riskidentifiering kan omfatta historiska data, teoretiska analyser, synpunkter, expertutlåtanden och intressenters behov.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Riskhantering

A

Betydelse: Samordnade aktiviteter för att styra och leda en organisation med avseende på risk.

Anmärkningar:
1) I sammanhanget för denna internationella standard används termen “process” för att övergripande beskriva riskhantering. Processelementen inom riskhanteringsprocessen benämns “aktiviteter”.

17
Q

Riskbehandling

A

Betydelse: Process för att förändra risker

Anmärkningar

1) Riskbehandling kan omfatta att:
- Undvika risken genom beslut om att inte inleda eller försätta med den aktivitet som ger upphov till risken
- Ta eller öka risken för att kunna tillvarata en möjlighet
- Eliminera riskkällan
- Förändra sannolikheten
- Förändra konsekvenserna
- Dela risktagandet med annan part eller parter (inklusive avtal och riskfinansiering)
- Behålla risker genom välgrundade beslut.
2) Riskbehandling som behandlar negativa konsekvenser benämns ibland “riskminskning”, “riskeliminering”, “riskförebyggande” och “riskreducering”.
3) Riskbehandling kan skapa nya risker eller förändra befintliga risker.

18
Q

Intressent

A

Betydelse: Person eller organisation som kan påverka, påverkas av eller anse sig bli påverkad av ett beslut eller en aktivitet

Anmärkningar:
1) En beslutsfattare kan vara en intressent.

19
Q

Riskhanteringsprocessen

A

Betydelse: Riskhanteringsprocessen analyserar vad som kan hända, och vilka de möjliga konsekvenserna kan vara, innan beslut fattas om vad som bör göras, och när, för att reducera riskerna till en acceptabel nivå.