VAHTI-ordlista om risk-hantering i digital verk-samhetsmiljö

Terminologisk ordlista ·Gällande

Namn

VAHTI-riskienhallintasanasto digitaaliseen toimintaympäristöön
VAHTI-ordlista om risk-hantering i digital verk-samhetsmiljö
VAHTI glossary on risk management in the digital operating environment

Definition

Tässä sanastossa määritellään digitaalisen turvallisuuden ja riskienhallinnan keskeistä käsitteistöä. Sanastoa voidaan soveltaa kaikissa eri digitaalisen toimintaympäristön turvallisuuden näkökulmissa sekä useimmissa muissa riskienhallinnan kanssa risteävissä käyttötarkoituksissa. Sanasto pyrkii olemaan neutraali muun muassa näkökulman, teknologian, työkalujen ja käyttäjien suhteen, sillä se on tarkoitettu kaikkien käyttöön, ei vain julkiselle hallinnolle.

Sanasto ja aihetta avaavat materiaalit on tuotettu Digi- ja väestötietoviraston JUDO-hankkeessa osaksi VAHTI Hyvät Käytännöt -tukimateriaaleja.

Käsitteiden termejä ja määritelmiä on arvioitu asiantuntijaryhmän kanssa työpajoissa eri näkökulmista, minkä lisäksi useilta tahoilta on kerätty kirjallista palautetta, jotta sanasto vastaisi mahdollisimman hyvin eri sidosryhmien näkemyksiä ja tarpeita. Määrittelyssä huolehdittiin erityisesti yhteensopivuudesta ISO 31000-sarjan riskienhallinnan prosessin standardin kanssa, jolloin yhteentoimivuus toteutuu myös esimerkiksi ISO 27000-sarjan tietoturvallisuuden hallinnan standardin kanssa.

Tässä sanastossa huomautus sisältää useimmiten tietoa, jonka tarkoituksena on helpottaa määritelmän tulkitsemista ja käsitteen kontekstin hahmottamista. Lisäksi tässä sanastossa on huomautuksilla tuotu esiin eroja ja yhtäläisyyksiä muiden lähteiden määritelmiin. Etenkin monialaiset ja merkitykseltään abstraktit käsitteet ovat usein haastavia sanaston käyttäjälle, joten huomautuksilla on pyritty varmistamaan tiedon välittyminen tarkoitetulla tavalla. Sanaston syvällinen ymmärrys vaatii kuitenkin myös aihepiirin tuntemusta tai lisäkoulutusta.

Osana VAHTI Hyvät Käytännöt -tukimateriaaleja julkaistiin tämän sanaston sisällöstä esittelydokumentti "VAHTI-riskienhallintasanasto digitaaliseen toimintaympäristöön – esittely ja johdatusta riskiviestintään". Dokumentissa esitetään ohjaavaa ja täydentävää tietoa sanaston soveltamiseen käytännössä sekä prosesseissa, että viestinnässä. Tukimateriaalin on tarkoitus auttaa ymmärtämään, miten termit liittyvät toisiinsa ja mihin ne vaikuttavat. Ensimmäinen versio julkaistiin 9.6.2022. Korjattu versio 15.11.2022 suomeksi (https://www.dvv.fi/digiturvajulkaisut) ja ruotsiksi (https://dvv.fi/sv/publikationer-om-digital-sakerhet).
I denna ordlista definieras de centrala begreppen kring digital säkerhet och riskhantering. Ordlistan kan tillämpas i alla aspekter av säkerheten i den digitala verksamhetsmiljön samt för de flesta andra användnings-ändamål som tangerar riskhantering. Ordlistan strävar efter att vara neutral bland annat i fråga om perspektiv, teknik, verktyg och användare, eftersom den är avsedd för alla, inte bara för den offentliga förvaltningen.

Ordlistan och det material som beskriver ämnet har producerats inom ramen för projektet JUDO vid Myndigheten för digitalisering och befolkningsdata som en del av stödmaterialet VAHTI God Praxis.

Begreppens termer och definitioner har utvärderats i workshoppar tillsammans med en expertgrupp ur olika synvinklar. Dessutom har man från flera håll samlat in skriftlig respons för att ordlistan så väl som möjligt ska motsvara olika intressentgruppers synsätt och behov. I definitionen säkerställdes i synnerhet kompatibiliteten med standarden för riskhanteringsprocessen i ISO 31000-serien, varvid interoperabiliteten förverkligas också till exempel med standarden för hantering av informationssäkerhet i ISO 27000-serien.

I denna ordlista innehåller anmärkningen oftast information som gör det lättare att tolka definitionen och uppfatta begreppets kontext. Dessutom har anmärkningarna i denna ordlista lyft fram skillnader och likheter jämfört med definitioner i andra källor. I synnerhet branschövergripande begrepp som är abstrakta till sin betydelse är ofta besvärliga för dem som använder ordlistor. Därför har ett syfte med anmärkningarna varit att säkerställa att informationen förmedlas på avsett sätt. En djup förståelse av terminologin kräver dock också kännedom om ämnesområdet eller tilläggsutbildning.

Som en del av stödmaterialet Vahti God Praxis publiceras presentationsdokumenten ”VAHTI-ordlista om risk-hantering i digital verk-samhetsmiljö – presentation och introduktion till riskkommunikation”. I dokumentet ges vägledande och kompletterande information om hur ordlistan tillämpas i praktiken, både i processer och inom kommunikation. Syftet med stödmaterialet är att hjälpa till att förstå hur termerna anknyter till varandra och vad de påverkar. Första version publicerades 9.6.2022. Fixad version 15.11.2022 på finska (https://dvv.fi/digiturvajulkaisut) och på svenska (https://dvv.fi/sv/publikationer-om-digital-sakerhet).
This glossary defines the key concepts of digital security and risk management. The terminology can be applied in all different security aspects of the digital operating environment, as well as in most other uses that intersect with risk management. The vocabulary aims to be neutral regarding perspective, technology, tools and users, among other things, as it is intended for use by everyone, not just public administration.

The vocabulary and the materials that expand on the topic have been produced by Digital and Population Data Services Agency in the JUDO-project as part of the VAHTI Good Practice support materials.

The terms and definitions of the concepts have been evaluated with a group of experts in workshops from different perspectives, in addition to which written feedback has been collected from several parties, so that the vocabulary corresponds as well as possible to the views and needs of different stakeholders. In the definitions, special care was taken to ensure compatibility with the ISO 31000 series risk management process standard, in which case interoperability is also realized with, for example, the ISO 27000 series information security management standard.

In this glossary, a note often contains information intended to facilitate the interpretation of the definition and the understanding of the context of the concept. In addition, in this glossary, differences and similarities with definitions from other sources have been highlighted. In particular, concepts that are multidisciplinary and abstract in meaning are often challenging for the glossary user, so the notes have been used to ensure that meaning is conveyed in the intended way. However, a deep understanding of the terminology also requires knowledge of the subject area or additional training.

As part of VAHTI Good Practice support materials a document was made to expand on the concepts of this glossary, "VAHTI-riskienhallintasanasto digitaaliseen toimintaympäristöön – esittely ja johdatusta riskiviestintään" [available in Finnish and Swedish]. The document presents guiding and supplementary information for applying the vocabulary in practice, both in processes and in communication. The purpose of the support material is to help you understand how the terms are related to each other and what they affect. First version was published 9.6.2022. Revised version 15.11.2022 in Finnish (https://www.dvv.fi/digiturvajulkaisut) and Swedish (https://dvv.fi/sv/publikationer-om-digital-sakerhet).

URI

https://iri.suomi.fi/terminology/digiriski/

Hör till följande informationsområden

Generella informations- ja förvaltningstjänster, Säkerhet, Rättssäkerhet

Ordlistans språk

finska FI, svenska SV, engelska EN

Ordlistans typ

Terminologisk ordlista

Ta kontakt

digiturva@dvv.fi

Innehållsansvarig är

Myndigheten för digitalisering och befolkningsdata

Skapad

Redigerad

Gå direkt till sökresultater.

Ordlistans begrepp

Inga begränsningar

preliminär bedömningInga innehållsproducenter

BegreppGällande

bedömning som görs i början av bedömningsprocessen för att få en grov överblick

digital verksamhetsmiljöInga innehållsproducenter

BegreppGällande

verksamhetsmiljö som består av ett eller flera digitala informationssystem

digital säkerhetInga innehållsproducenter

BegreppGällande

målbild där man kan lita på den digitala verksamhetsmiljön och där verksamheten är säker och kontrollerad, även vid störningar

risk för den digitala verksamhetenInga innehållsproducenter

BegreppGällande

risk som påverkar den digitala verksamhetsmiljön, riktas mot den digitala verksamhetsmiljön eller beror på den

framförhållningInga innehållsproducenter

BegreppGällande

bedömning av förändringstrender i organisationen och verksamhetsmiljön samt utredning av förutsättningarna för potentiella utvecklingsförlopp

osäkerhetInga innehållsproducenter

BegreppGällande

brist på information om en kommande incidens karaktär eller tidpunkt

sårbarhetInga innehållsproducenter

BegreppGällande

brist, fel eller tillvägagångssätt som ökar risken för hot mot säkerheten

svaghetInga innehållsproducenter

BegreppGällande

oönskad eller skadlig egenskap i organisationens verksamhet eller egendom med hänsyn till organisationens mål

attackens avsedda målInga innehållsproducenter

BegreppGällande

det mål som attacken syftar till att påverka

attackInga innehållsproducenter

BegreppGällande

handling eller verksamhet genom vilken man strävar efter att skada eller obehörigen använda ett objekt eller genom vilken man förhindrar att målet för ett objekt uppnås

störningInga innehållsproducenter

BegreppGällande

oväntad eller oönskad incidens som stör systemets funktion, verksamheten för systemets användare eller verksamheten hos någon som är oberoende av dessa

kontinuitetshanteringInga innehållsproducenter

BegreppGällande

en organisationsprocess genom vilken man identifierar de risker som är centrala för verksamheten, bedömer deras konsekvenser för organisationen och dess aktörsnätverk samt skapar ett verksamhetssätt för hanteringen av störningssituationer och verksamhetens kontinuitet under alla förhållanden

kvarstående riskInga innehållsproducenter

BegreppGällande

återstående risk efter riskhanteringen

bedömningsnivåInga innehållsproducenter

BegreppGällande

nivå ur vars synvinkel risken granskas

överförd riskInga innehållsproducenter

BegreppGällande

indirekt risk som överförts från ett annat objekt

kontrollInga innehållsproducenter

BegreppGällande

åtgärd genom vilken man strävar efter att ändra eller bevara en risk

koordineringsnivåInga innehållsproducenter

BegreppGällande

beslutsnivån i organisationen, på vilken beslut om organisering av enskilda affärsområden och enheter fattas med beaktande av de strategiska besluten

kritiskhetInga innehållsproducenter

BegreppGällande

nödvändighet för att uppnå målen eller undvika särskilt skadliga följder

kumulativ riskInga innehållsproducenter

BegreppGällande

risk vars storlek består av samverkan mellan flera riskfaktorer

cybersäkerhetInga innehållsproducenter

BegreppGällande

målbild där de hot och risker som cyberverksamhetsmiljön medför för samhällets vitala funktioner eller andra funktioner som är beroende av cyberverksamhetsmiljön är under kontroll, även om det uppkommer störningar

hanteringsnivåInga innehållsproducenter

BegreppGällande

nivå som risken hanteras på

transparens inom riskhanteringInga innehållsproducenter

BegreppGällande

att göra riskhanteringsbedömning möjlig för intressentgrupper och interna aktörer så att information om riskhanteringen förmedlas till de delar som förmedlingen av informationen i sig inte medför betydande risker

möjlighetInga innehållsproducenter

BegreppGällande

incidens eller utvecklingsförlopp som eventuellt orsakas av riskens effekter och som kan utnyttjas för att främja målen

organisationskontextInga innehållsproducenter

BegreppGällande

den organisation eller del av den vars perspektiv granskningen görs utifrån

deltagande i riskhanteringInga innehållsproducenter

BegreppGällande

göra det möjligt för intressentgrupper att delta i organisationens riskhantering och uppmuntra till detta

avvikelseInga innehållsproducenter

BegreppGällande

skillnaden mellan det undersökta objektet och det önskade eller sedvanliga

kommunikation och informationsutbyte om riskerInga innehållsproducenter

BegreppGällande

kontinuerliga och återkommande processer med vilka organisationen ger, distribuerar eller skaffar information och för en dialog inom organisationen och med sina intressentgrupper om riskhantering och risker

riskInga innehållsproducenter

BegreppGällande

osäkerhetens inverkan på målen

riskanalys [resultat]Inga innehållsproducenter

BegreppGällande

resultatet av analysen av risker

riskbedömning [resultat]Inga innehållsproducenter

BegreppGällande

resultatet av bedömningen av risken

analys av risker [aktivitet]Inga innehållsproducenter

BegreppGällande

utredning av olika riskernas natur som behövs vid bedömning av risker eller riskhantering

bedömning av risker [aktivitet]Inga innehållsproducenter

BegreppGällande

utredning av sannolikheten för att riskerna realiseras och deras eventuella inverkan

riskbedömningsprocessInga innehållsproducenter

BegreppGällande

en process som omfattar identifiering av risker, riskanalys och riskbedömning

verktyg för riskbedömningsprocessenInga innehållsproducenter

BegreppGällande

riskhanteringsverktyg som styr genomförandet av delar av riskbedömningsprocessen på ett konsekvent sätt enligt vissa modeller eller metoder

klassificering av riskerInga innehållsproducenter

BegreppGällande

grupperingar för effektiv riskbedömning och riskhantering som gör det möjligt att betrakta likartade eller till samma ansvarsområde hörande risker eller delar av dem som en helhet

riskuppföljningInga innehållsproducenter

BegreppGällande

utredning av riskers status och trender

lägesbild över riskerInga innehållsproducenter

BegreppGällande

sammanställd beskrivning av resultaten av riskuppföljningen

riskhanteringens ramarInga innehållsproducenter

BegreppGällande

organisering av riskhanteringen, ansvarsfördelning och preciserad verksamhetsmodell som inom ramen för ledningssystemet gör det möjligt att genomföra riskhanteringsprinciperna i organisationens processer

uppföljning av riskhanteringenInga innehållsproducenter

BegreppGällande

uppföljning av läget hos riskhanteringsprocessen och därmed sammanhängande funktioner

lägesbild över riskhanteringenInga innehållsproducenter

BegreppGällande

sammanställd beskrivning av resultaten av uppföljningen av riskhanteringen

riskhanteringssystemInga innehållsproducenter

BegreppGällande

ett hanteringssystem som omfattar riskhanteringspolitiker och mål för riskhanteringen samt processer och eventuella riskhanteringsverktyg med vilka dessa mål uppnås

uppföljning av riskhanteringssystemetInga innehållsproducenter

BegreppGällande

observation av sätten att tillämpa riskhanteringssystemet och dess omfattning samt dess förändringshistoria

lägesbild över riskhanteringssystemetInga innehållsproducenter

BegreppGällande

sammanställd beskrivning av resultaten av uppföljningen av riskhanteringssystemet

riskhanteringens principerInga innehållsproducenter

BegreppGällande

riskhanteringsmål och en allmän verksamhetsmodell som inom ramen för ledningssystemet stöder skapandet och bevarandet av organisationens värde

riskhanteringspolitikInga innehållsproducenter

BegreppGällande

organisationsspecifik beskrivning av riskhanteringsprinciperna och de centrala ramarna för riskhanteringen

riskhanteringsverktygInga innehållsproducenter

BegreppGällande

programvara, blankett eller annat hjälpmedel som leder till att någon del av riskhanteringen genomförs konsekvent enligt vissa modeller eller metoder

riskkriterierInga innehållsproducenter

BegreppGällande

grunder för en enhetlig bedömning av riskernas betydelse

riskuppfattningInga innehållsproducenter

BegreppGällande

människans eller organisationens uppfattning om hurdan en risk är

riskens livscykelInga innehållsproducenter

BegreppGällande

riskens skeden från uppkomsten av hotet till riskidentifiering och vidare ända tills risken eventuellt upphör

hot som undviker riskens gränsvärdenInga innehållsproducenter

BegreppGällande

en attack eller annat hot som försöker undvika motåtgärder genom att hålla sig under de gränsvärden som använts vid riskbedömningen

VAHTI-ordlista om risk-hantering i digital verk-samhetsmiljö

Ordlistans uppgifter och funktioner

Avgränsa sökresultaten

Ordlistans begrepp

preliminär bedömningInga innehållsproducenter

digital verksamhetsmiljöInga innehållsproducenter

digital säkerhetInga innehållsproducenter

risk för den digitala verksamhetenInga innehållsproducenter

framförhållningInga innehållsproducenter

osäkerhetInga innehållsproducenter

sårbarhetInga innehållsproducenter

svaghetInga innehållsproducenter

attackens avsedda målInga innehållsproducenter

attackInga innehållsproducenter

störningInga innehållsproducenter

kontinuitetshanteringInga innehållsproducenter

kvarstående riskInga innehållsproducenter

bedömningsnivåInga innehållsproducenter

överförd riskInga innehållsproducenter

kontrollInga innehållsproducenter

koordineringsnivåInga innehållsproducenter

kritiskhetInga innehållsproducenter

kumulativ riskInga innehållsproducenter

cybersäkerhetInga innehållsproducenter

hanteringsnivåInga innehållsproducenter

transparens inom riskhanteringInga innehållsproducenter

möjlighetInga innehållsproducenter

organisationskontextInga innehållsproducenter

deltagande i riskhanteringInga innehållsproducenter

avvikelseInga innehållsproducenter

kommunikation och informationsutbyte om riskerInga innehållsproducenter

riskInga innehållsproducenter

riskanalys [resultat]Inga innehållsproducenter

riskbedömning [resultat]Inga innehållsproducenter

analys av risker [aktivitet]Inga innehållsproducenter

bedömning av risker [aktivitet]Inga innehållsproducenter

riskbedömningsprocessInga innehållsproducenter

verktyg för riskbedömningsprocessenInga innehållsproducenter

klassificering av riskerInga innehållsproducenter

riskuppföljningInga innehållsproducenter

lägesbild över riskerInga innehållsproducenter

riskhanteringens ramarInga innehållsproducenter

uppföljning av riskhanteringenInga innehållsproducenter

lägesbild över riskhanteringenInga innehållsproducenter

riskhanteringssystemInga innehållsproducenter

uppföljning av riskhanteringssystemetInga innehållsproducenter

lägesbild över riskhanteringssystemetInga innehållsproducenter

riskhanteringens principerInga innehållsproducenter

riskhanteringspolitikInga innehållsproducenter

riskhanteringsverktygInga innehållsproducenter

riskkriterierInga innehållsproducenter

riskuppfattningInga innehållsproducenter

riskens livscykelInga innehållsproducenter

hot som undviker riskens gränsvärdenInga innehållsproducenter