Definitioner og begreber

En potentiel årsag til en hændelse, som, hvis den bliver aktuel, kan medføre en negativ konsekvens for organisationens informationssikkerhed, fx hackerangreb, hvor ondsindede aktører vil stjæle en organisations data.

En svaghed i sikkerhedsforanstaltningerne, som en trussel kan udnytte for at udgøre en risiko for organisationens informationssikkerhed, fx manglende sikkerhedsopdatering af et internt styresystem.

Den konsekvens, som en risiko medfører, hvis den materialiseres, fx hvordan omdømme eller økonomi kan blive påvirket, hvis organisationens data lækkes i forbindelse med et hackerangreb.

Med hvor stor sandsynlighed vil en given risiko materialiseres, fx hvor sandsynlig et hackerangreb vurderes at være. Vurderingen kan baseres på trusselsniveauer, som Styrelsen for Samfundssikkerhed løbende opdaterer.

En potentiel hændelse, som, hvis den indtræffer, vil have en negativ konsekvens for organisationens informationssikkerhed. En risiko indtræffer, når en trussel udnytter en sårbarhed, fx en hacker (trussel), der skaber sig adgang til interne it-systemer, fordi it-systemerne ikke er opdaterede (sårbarhed).

Et eller flere tiltag organisationen foretager sig for at reducere en risiko, fx automatiske sikkerhedsopdateringer.

Risikoen, når foranstaltningen er implementeret. Benævnes af nogle som netto- eller restrisiko.

Den risiko (kombination af sandsynlighed og konsekvens), som en ledelse vil acceptere, fx kan en ledelse vælge at acceptere en lav risiko for læk af data i forbindelse med et hackerangreb.

En proces, hvor organisationen forsøger at identificere relevante risici, som skal håndteres.

En proces, hvor organisationen forsøger at vurdere en potentiel risikos sandsynlighed og konsekvens.

En proces, hvor organisationen forsøger at finde relevante foranstaltninger, typisk med det formål at reducere en risikos sandsynlighed og/eller konsekvens.