Få innsikt i noen av de grunnleggende begrepene som er avgjørende for å navigere effektivt innen GRC-landskapet og forstå RISMAs syn på governance, risk og compliance.
Ordbok for GRC-begreper
Anneks A
Anneks A er en integrert del av ISO 27001-standarden og lister en rekke klassifiserte sikkerhetskontroller som organisasjoner skal bruke for å vise samsvar med standarden. Anneks A inneholder 93 kontroller delt opp i fire kategorier:
-
Organisatoriske
-
Menneskelige
-
Fysiske
-
Teknologiske
Basert på disse kontrollene utarbeides en Statement of Applicability (SoA), som nøye dokumenterer hvordan hver kontroll brukes, tilpasses eller utelates. Anneks A og SoA er derfor tett sammenkoblet.
Artikkel 13 - Informasjon til den registrerte
Artikkel 13 (GDPR) spesifiserer hvilken informasjon den personopplysningsansvarlige må gi når personopplysninger samles inn direkte fra den registrerte. Dette inkluderer blant annet:
-
Identitet og kontaktinformasjon til den personopplysningsansvarlige
-
Formål med behandlingen og rettslig grunnlag
-
Mottakere og eventuelle ytterligere formål
-
Lagringstid
-
Den registrertes rettigheter og muligheter for å klage
Informasjonen må gis aktivt til den registrerte og ikke bare gjøres tilgjengelig på en nettside. Dersom personopplysninger senere brukes til et nytt formål, må den registrerte informeres før behandlingen starter.
Artikkel 15 - Retten til innsyn
Artikkel 15 er en del av EUs personvernforordning (GDPR) og fokuserer på den registrertes rett til innsyn i sine egne personopplysninger. Retten til innsyn innebærer at den registrerte kan be om å få se de personopplysningene som en organisasjon behandler om dem, samt få informasjon om selve databehandlingsaktivitetene. Formålet med artikkel 15 er å skape åpenhet i databehandlingen og sikre større datakontroll for den registrerte.
Artikkel 16 - Retten til retting
Artikkel 16 (GDPR) gir den registrerte rett til å få personopplysninger rettet. Dette betyr at en person kan få feil informasjon korrigert og ufullstendig informasjon komplettert av den personopplysningsansvarlige. Organisasjonen må behandle forespørsler raskt og effektivt, og dersom informasjonen allerede er delt med tredjeparter, må disse informeres om rettelsene, med mindre dette er umulig eller krever uforholdsmessige ressurser.
Artikkel 17 - Retten til sletting
Artikkel 17 (GDPR) gir den registrerte rett til å få sine personopplysninger slettet under visse omstendigheter. Dette gjelder blant annet dersom opplysningene ikke lenger er nødvendige, samtykke trekkes tilbake, behandlingen er ulovlig, eller det foreligger en lovpålagt plikt til sletting.
Organisasjonen må handle uten unødig opphold, verifisere den registrertes identitet, informere tredjeparter og ta hensyn til unntak som ytringsfrihet, allment interesse eller rettslige krav.
Artikkel 18 - Retten til begrensning av behandling
Artikkel 18 (GDPR) gir den registrerte rett til å begrense behandlingen av sine personopplysninger slik at de ikke brukes til et bestemt formål. Denne retten gjelder i følgende situasjoner:
-
Det er tvil om informasjonen er korrekt
-
Behandlingen er ulovlig, men den registrerte ønsker ikke at opplysningene slettes
-
Organisasjonen trenger ikke lenger opplysningene, men den registrerte trenger dem for et rettskrav
-
Den registrerte har levert inn en innsigelse som fortsatt er under behandling
Artikkel 19 - Retten til melding ved endringer
Artikkel 19 (GDPR) krever at den personopplysningsansvarlige varsler alle mottakere av personopplysninger når disse rettes, slettes eller behandlingen begrenses, med mindre dette er umulig eller krever uforholdsmessig innsats. Den registrerte kan be om informasjon om hvem som er varslet.
Formålet er å sikre at alle mottakere oppdateres om endringer, fremme åpenhet og korrekt behandling. Organisasjoner må kunne identifisere mottakere, varsle dem effektivt og dokumentere prosessen for å overholde kravet.
Artikkel 20 - Retten til dataportabilitet
Artikkel 20 er en del av EUs personvernforordning (GDPR) og omhandler den registrertes rett til dataportabilitet. Retten innebærer at den registrerte har rett til å motta en kopi av de personopplysningene som vedkommende selv har gitt til organisasjonen. Opplysningene skal gis i et vanlig brukt og maskinlesbart format.
Samtidig gir artikkel 20 den registrerte muligheten til å be om at disse opplysningene overføres direkte til en annen behandlingsansvarlig uten hinder – forutsatt at det er teknisk mulig.
Artikkel 21 - Retten til innsigelse
Artikkel 21 (GDPR) gir den registrerte rett til å motsette seg behandling av personopplysninger under visse omstendigheter. Den registrerte kan motsette seg behandling basert på legitim interesse eller allment interesse, mot profilering og direkte markedsføring (hvor retten er ubetinget). Når en innsigelse fremsettes, må den personopplysningsansvarlige vurdere om behandlingen kan fortsette basert på tvingende legitime grunner som veier tyngre enn den registrertes interesser. Samtidig må den registrerte tydelig informeres om retten til å motsette seg ved første kontaktpunkt.
Artikkel 22 - Retten til å ikke være gjenstand for automatiserte avgjørelser
Artikkel 22 (GDPR) har som mål å beskytte individer mot automatiserte beslutninger som har juridiske eller betydelige konsekvenser, uten menneskelig inngripen.
Artikkel 30 - Føre register over behandlingen
Artikkel 30 er en del av EUs personvernforordning (GDPR) og bygger videre på forordningens fokus på ansvarlighet. Artikkelen fastsetter kravet om at den behandlingsansvarlige skal føre et register over organisasjonens behandlingsaktiviteter. Samtidig skal en databehandler føre en oversikt over de behandlingsaktivitetene de utfører på oppdrag av den behandlingsansvarlige.
Artikkel 32 - Behandlingssikkerhet
Artikkel 32 er en del av EUs personvernforordning (GDPR) og fokuserer på sikkerheten ved behandling av personopplysninger både hos den behandlingsansvarlige og databehandlerne. Den pålegger organisasjoner å implementere tekniske og organisatoriske sikkerhetstiltak som er tilpasset risikoen ved databehandlingen.
Samtidig spesifiserer artikkelen at personopplysninger kun skal behandles av autorisert personell i henhold til instruksjoner fra den behandlingsansvarlige, databehandleren eller i samsvar med nasjonal eller EU-lovgivning. Formålet er å sikre et høyt nivå av sikkerhet og beskyttelse for personopplysninger.
CER
CIS18
CIS18, eller Centre for Internet Security sine 18 kontroller, er et rammeverk med 18 sikkerhetskontroller som har som mål å forbedre cybersikkerheten for organisasjoner globalt. Kontrollene gir veiledning for å identifisere, prioritere og implementere sikkerhetstiltak for å beskytte data og systemer mot cybertrusler.
Compliance
Compliance, eller etterlevelse på norsk, beskriver prosessen med å overholde gjeldende lovgivning, standarder og krav for organisasjonen – for eksempel bransjespesifikke standarder, GDPR og etiske retningslinjer.
Hensikten med compliance er å sikre at organisasjonen unngår brudd på disse reglene, noe som støtter høyere kvalitetsstandarder, bygger tillit hos interessenter og øker åpenheten i virksomheten. Compliance er en dynamisk prosess som krever kontinuerlig oppmerksomhet og tilpasning til nye regler eller endrede forretningsforhold.
Compliance excellence
Compliance excellence er en organisasjons evne til konsekvent å overholde lover og regler. Det forener risikostyring og compliance i en enkelt strategi, noe som gjør det lettere å navigere i komplekse regelverk som NIS2 og DORA gjennom en fleksibel og skalerbar tilnærming.
Målet er å skape en kultur der compliance ikke er en byrde, men en integrert del av virksomheten. Det handler om å bygge tillit, redusere risikoer og styrke motstandskraft. Compliance excellence baseres på proaktive prosesser, automatisering, kontinuerlig overvåkning og klart eierskap, som gjør at organisasjonen raskt kan tilpasse seg nye krav og endringer i risikobildet.
COSO - Committee of Sponsoring Organizations of the Treadway Commission
COSO er et internasjonalt anerkjent rammeverk som er utviklet for å skape en strukturert metode for å vurdere og forbedre intern kontroll og risikostyring innen organisasjoner.
Rammeverket ble etablert av Committee of Sponsoring Organizations (COSO) og er strukturert rundt fem nøkkelkomponenter: kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåking.
CSDDD - Corporate Sustainability Due Diligence Directive
CSDDD er en forkortelse for Corporate Sustainability Due Diligence Directive, og det er et direktiv fra EU som stiller krav til organisasjoner om å gjennomføre due diligence innen områdene miljø og menneskerettigheter.
I praksis betyr dette at organisasjoner som omfattes av direktivet må gjennomføre due diligence-prosesser knyttet til sine aktiviteter og verdikjeder for å identifisere, forebygge og redusere negative effekter på menneskerettigheter og miljø. Direktivet har som mål å tvinge enkelte selskaper til å ta ansvar for sin påvirkning på omverdenen gjennom reelle lovkrav i stedet for gjennom anbefalinger.
CSR - Corporate social responsibility
CSR, som står for Corporate Social Responsibility, beskriver organisasjoners innsats for å integrere sosiale og miljømessige hensyn i deres daglige virksomhet. Gjennom en tydelig definert CSR-strategi setter en organisasjon mål og iverksetter tiltak som bidrar positivt til samfunnet og miljøet. Denne strategien er ikke bare avgjørende for å nå bærekraftsmål, men spiller også en viktig rolle i å forbedre selskapets omdømme og langsiktige suksess.
CSRD - Corporate Sustainability Reporting Directive
CSRD står for Corporate Sustainability Reporting Directive og er et EU-direktiv som stiller en rekke krav til bedrifters bærekraftsrapportering. Målet med direktivet er å standardisere rapporteringsprosessene og forbedre åpenheten innen bærekraft over hele Europa. Dette vil gjøre det enklere for investorer, leverandører og kunder å forstå og vurdere en organisasjons bærekraftsarbeid.
Cyber resilience
Cyber resilience handler om en organisasjons evne til å tåle, absorbere, tilpasse seg og raskt komme seg etter sikkerhetshendelser, enten de skyldes cyberangrep, tekniske feil eller menneskelige feil.
Det er en strategisk disiplin som knytter sammen IT-sikkerhet, risikostyring og virksomhet, med mål om å beskytte drift, kundetillit og organisasjonens omdømme.
Databehandleravtal
En databehandleravtale er en juridisk kontrakt mellom en behandlingsansvarlig og en databehandler som fastsetter vilkår og bestemmelser for behandling av personopplysninger. Avtalen er utformet for å sikre at begge parter forstår sine respektive roller og ansvar i forbindelse med behandling av personopplysninger, og at de overholder gjeldende personvernlovgivning.
Dataetikk
Dataetikk fokuserer på ansvarlig og reflektert innsamling, behandling og bruk av data. I tillegg til å bidra til overholdelse av lovgivningen innebærer dataetikk en dyp respekt for individets data, anerkjenner deres verdi og sikrer deres beskyttelse. Dette prinsippet bør ikke bare være en juridisk forpliktelse, men også integreres som en kjerneverdi i selskapets kultur, fra ledelsen til hver enkelt medarbeider.
Dataminimering
Dataminimering er en prinsipp innenfor GDPR som innebærer at personopplysninger kun skal samles inn og behandles når det er nødvendig for et spesifikt formål. I henhold til GDPR artikkel 5(1)(c) skal data være relevante og begrenset til det som kreves for å oppnå målet, og organisasjoner må unngå å samle inn unødvendige opplysninger.
Data governance
Data governance er en strategisk og operativ disiplin for å kontrollere og håndtere organisasjonens dataressurser. Målet er å maksimere dataverdien og sikre at data brukes effektivt og ansvarlig. Den omfatter den samlede kontrollen over tilgjengelighet, brukervennlighet, integritet og sikkerhet for data som brukes i en organisasjon.
DORA - Digital Operational Resilience Act
DORA, Digital Operational Resilience Act, er en EU-forordning med formål om å styrke den digitale operative motstandskraften innen finanssektoren og leverandører av informasjons- og kommunikasjonsteknologi (IKT-tjenester).
Forordningen fokuserer på beskyttelse av finanssektorens kritiske infrastruktur gjennom krav til grundig leverandørstyring og regelmessige trusselbaserte evalueringer, som sikrer forbedret beskyttelse av informasjonssystemene.
Dobbel vesentlighet
Dobbel vesentlighet (Double Materiality) er prinsippet om at organisasjoner ikke bare påvirker miljøet og samfunnet (impact materiality), men også at bærekraftsrisikoer kan ha økonomisk betydning for organisasjonen (financial materiality).
Corporate Sustainability Reporting Directive (CSRD) krever at virksomheter integrerer prinsippet om dobbel vesentlighet i sin rapportering for å gi et transparent og pålitelig innblikk i hvordan deres aktiviteter påvirker miljø og samfunn – samt hvilke bærekraftsrisikoer de står overfor.
DPIA - Data Protection Impact Assessment
DPIA står for Data Protection Impact Assessment og er et krav i henhold til EUs personvernforordning (GDPR). Det er en prosess som hjelper organisasjoner med å identifisere og redusere personvernrisikoer som kan påvirke en registrert persons privatliv.
DPO - Personvernombud
DPO er en forkortelse for det engelske Data Protection Officer, som på norsk kalles personvernombud. Det er personvernombudets rolle å gi råd og overvåke at den behandlingsansvarlige følger reglene i personvernforordningen (GDPR).
Mens alle offentlige myndigheter er pålagt å ha et personvernombud, er private virksomheter kun forpliktet til å utpeke et dersom de oppfyller spesifikke vilkår knyttet til behandlingen av personopplysninger.
EBA
EBA – eller Den europeiske banktilsynsmyndigheten – er et EU-organ som har som oppgave å sikre en enhetlig regulering og tilsyn med banksektoren i EUs medlemsland. Hensikten er å fremme finansiell stabilitet og effektivitet.
EIOPA
EIOPA – eller Den europeiske tilsynsmyndigheten for forsikring og tjenestepensjon – er et EU-organ med oppdrag å beskytte allmennhetens interesser ved å bidra til stabilitet og effektivitet i det finansielle systemet for EUs økonomi, borgere og virksomheter. Dette skjer gjennom regulering og tilsynspraksis.
ESG - Environmental, Social and Governance
ESG, som står for Environmental (miljø), Social (sosialt ansvar) og Governance (virksomhetsstyring), representerer en tilnærming der organisasjoner vurderer og forbedrer sitt bærekraftsarbeid innenfor disse tre kjerneområdene. Denne metoden brukes blant annet i forbindelse med CSRD, og gjør det mulig for organisasjoner å kvantifisere og kommunisere sitt bærekraftige bidrag og sin påvirkning innen miljø, sosialt ansvar og god selskapsstyring.
ESG-rapportering
En ESG-rapport gir en detaljert og transparent oversikt over en organisasjons resultater innen miljømessige, sosiale og styringsrelaterte aspekter. Den muliggjør sammenligning og evaluering av bærekraftsinitiativer på tvers av selskaper og sektorer.
Gjennom rapporten presenteres organisasjonens kjerneverdier, kultur og bærekraftsstrategi, noe som gir interessenter innsikt i håndteringen av ESG-relaterte risikoer og muligheter.
ESRS - The European Sustainability Reporting Standards
ESRS, eller European Sustainability Reporting Standards, utviklet av EFRAG, fastsetter rammene for hvordan selskaper skal rapportere om sine bærekraftsinnsats. Disse omfatter 12 standarder innen miljø, sosialt ansvar og god selskapsstyring, og inkluderer krav om å beskrive strategi, mål og verdikjeder i forbindelse med de tverrgående områdene, samt å definere vesentlighet.
Totalt omfatter de 12 ESRS-standardene:
-
Generelle prinsipper og overordnede rapporteringskrav
-
Spesifikke rapporteringskrav med fokus på 10 ESG-områder
EU AI Act
EU AI Act (Artificial Intelligence Act) er en forordning som skal sikre at kunstig intelligens utvikles og brukes på en sikker, etisk måte og med respekt for individers rettigheter. Forordningen tar en risikobasert tilnærming. AI-loven gjelder for alle som utvikler, leverer eller bruker AI i EU, og trådte i kraft i juli 2024, med gradvis implementering frem til 2026. Organisasjoner må kartlegge sine AI-systemer, dokumentere etterlevelse, informere brukere og overvåke leverandører.
EU Green Deal
EU Green Deal er en rekke initiativer som har som mål å redusere de nåværende karbonutslippene med 55 % innen 2030 (sammenlignet med 1990-nivået), og senere oppnå klimanøytralitet. Formålet med den europeiske grønne given er å øke den effektive bruken av ressurser ved å overgå til en ren, sirkulær økonomi, samt å stoppe klimaendringene, snu tapet av biologisk mangfold og redusere forurensning.
EUs taksonomi for miljømæssig bæredygtighed
EUs taksonomi er en del av EUs klimastrategi med målet om å oppnå klimanøytralitet innen 2050. Den introduserer et enhetlig klassifiseringssystem som definerer hvilke økonomiske aktiviteter som anses som bærekraftige. Dette skaper en standardisert tilnærming for å definere bærekraft, noe som gjør det lettere for selskaper å vise og kommunisere sine bærekraftsinnsatser.
Etterlevelseskultur
Etterlevelseskultur handler om å integrere compliance i organisasjonens kjerne, slik at det blir en naturlig del av den daglige driften. Det handler ikke bare om prosesser, men om å bygge en felles tankegang der alle handler ansvarlig og etisk, uavhengig av situasjonen.
Når compliance blir en del av kulturen, styrker det organisasjonens evne til å minimere risiko og sikre bærekraftig og effektiv overholdelse av lover og standarder. En sterk compliance-kultur danner grunnlaget for fullstendig overholdelse.
Finansiell vesentlighet
Finansiell vesentlighet refererer til de aspektene av en organisasjons virksomhet som har en betydelig påvirkning på de økonomiske resultatene. Det kan omfatte et bredt spekter av faktorer, fra operasjonelle og juridiske risikoer til miljømessige og sosiale konsekvenser.
Finansielle kontroller
Finansielle kontroller er sikkerhetsmekanismer som etableres for å sikre effektiv, sterk og pålitelig finansiell rapportering, samtidig som risikoen for vesentlige feil minimeres. De er relevante for både store og små virksomheter, og det finnes flere grunner til å ha et effektivt kontrollmiljø og sterke arbeidsverktøy innen dette området.
FNs bærekraftsmål (SDG)
FNs bærekraftsmål (SDG) består av 17 spesifikke mål og 169 delmål. De forplikter de 193 medlemslandene til å bekjempe fattigdom og sult, redusere ulikhet, sikre utdanning, helse, anstendig arbeid og bærekraftig vekst.
Målet er å erkjenne at sosial, økonomisk og miljømessig utvikling, fred, sikkerhet og internasjonalt samarbeid er tett sammenkoblet.
Gap-analyse
Gap-analyse er en systematisk vurdering som sammenligner en organisasjons nåværende tilstand med ønsket fremtidig tilstand for å identifisere forskjellene mellom de to. Formålet er å avdekke hvor organisasjonen mangler ressurser, prosesser og kompetanser for å nå sine mål, og hvilke tiltak som må gjennomføres for å lukke gapene.
I compliance-sammenheng kan en gap-analyse identifisere forskjeller mellom gjeldende krav og organisasjonens nåværende praksis. Den kan fremheve områder der kontroller eller aktiviteter mangler, samtidig som den gir grunnlag for prioritering av tiltak slik at organisasjonen kan sikre etterlevelse av lover og interne regler.
GDPR - General Data Protection Regulation
GDPR står for General Data Protection Regulation og er den europeiske personvernforordningen. GDPR styrker individers rettigheter over deres personopplysninger og pålegger organisasjoner ansvar for sikker behandling og beskyttelse av data. Organisasjoner er forpliktet til å oppfylle spesifikke krav til personvern og demonstrere etterlevelse ved å dokumentere at deres interne rutiner og policyer er i samsvar med GDPRs krav.
Governance
Governance, eller corporate governance, refererer til de regler, strukturer, prosesser og retningslinjer som er grunnleggende for et selskaps drift og ledelse. Det omfatter prinsipper for etikk, risikostyring, regelefterlevelse og effektiv forvaltning, med målet om å sikre ansvarlig beslutningstaking, ansvarlighet og transparens innen organisasjonen.
GRC - Governance, Risk, and Compliance
GRC står for Governance, Risk og Compliance og representerer en helhetlig tilnærming for å lede og koordinere styring, risikostyring og etterlevelse innen en organisasjon. Det handler om å sette mål, utvikle strategi og fatte beslutninger (styring), vurdere potensielle risikoer (risiko) og sikre etterlevelse av lovgivning (compliance), alt for å beskytte organisasjonens integritet og fremme optimal drift.
GRC-modning
GRC-modning (Governance, Risk og Compliance-modning) refererer til en organisasjons evne til å effektivt håndtere og integrere styring, risikostyring og etterlevelse i sine prosesser. Det handler om hvor godt en organisasjon har utviklet sine metoder og systemer for å sikre at disse områdene er strukturerte, konsistente og i samsvar med relevante regler og retningslinjer.
GRC-strategi
En GRC-strategi er en enhetlig og integrert tilnærming til Governance, Risk og Compliance i en organisasjon. Den sikrer at organisasjonen styrer beslutninger, håndterer risikoer og overholder lover og interne regler på en koordinert og effektiv måte.
Uten en enhetlig strategi opererer disse funksjonene ofte isolert og ineffektivt. GRC-strategien harmoniserer disse områdene og gir en helhetlig oversikt, som gjør at organisasjonen kan handle mer proaktivt og målrettet.
Hendelseshåndtering
Hendelseshåndtering er en kritisk prosess som innebærer en strukturert tilnærming for å identifisere, rapportere, vurdere, håndtere og lære av hendelser innen en organisasjon. Denne prosessen inkluderer å etablere klare retningslinjer og policyer som sikrer et raskt og effektivt svar på hendelser for å minimere skader, driftsstopp og styrke sikkerhetstiltakene.
Informasjonsregister
DORA Informasjonsregister er et obligatorisk register over IKT-tjenesteleverandører som finansielle organisasjoner under DORA må opprette og vedlikeholde. Registeret dokumenterer kontraktsavtaler og viser hvordan leverandørenes tjenester støtter organisasjonens kritiske funksjoner.
Formålet er å gi både organisasjonen og regulatorer en klar oversikt over avhengigheter og risiko knyttet til IKT-tjenesteleverandører.
Informasjonssikkerhet
Informasjonssikkerhet handler om å beskytte informasjon mot uautorisert tilgang, endring eller sletting, enten det er bevisst eller utilsiktet. Det innebærer verktøy og prosesser relatert til fysisk sikkerhet, datakryptering, nettverk, systemer, testing og revisjon.
Målet er å sikre konfidensialitet, integritet og tilgjengelighet for informasjonen.
Internkontroller
Internkontroller implementeres for å sikre effektiv drift, pålitelig rapportering, etterlevelse og beskyttelse av eiendeler. Formålet er å håndtere risiko, forebygge feil og bygge tillit til organisasjonens aktiviteter.
Kontroller kan deles inn i ulike typer:
-
Preventive kontroller: tilgangsstyring, segregasjon av oppgaver og autorisasjoner som forhindrer feil eller misbruk før det skjer.
-
Detektive kontroller: avstemminger, loggkontroller eller manuelle kontroller som identifiserer feil eller uregelmessigheter etter at de har skjedd.
-
Automatiserte kontroller: øker driftens pålitelighet og reduserer risikoen for menneskelige feil.
-
Manuelle kontroller: gir fleksibilitet og tillater nyanserte vurderinger, men krever ofte flere ressurser.
IKT-tjenester
IKT (ICT – Information and Communication Technology) omfatter alle teknologiske løsninger og tjenester som muliggjør digital behandling, overføring og deling av informasjon. IKT-tjenester er grunnlaget for digital drift, og feil kan få alvorlige konsekvenser for virksomhetens funksjonalitet og sikkerhet.
ISAE 3000
En ISAE 3000-erklæring er en revisjonsrapport som dokumenterer at en organisasjon har implementert nødvendige prosedyrer og kontroller for å overholde personvernforordningen og dens krav til sikkerhetstiltak.
ISAE 3402
ISAE 3402 er en internasjonal standard som benyttes ved revisjon av IT-forholdene i en organisasjon. Rapporten fungerer som dokumentasjon på at organisasjonen overholder gjeldende lovkrav innen IT-sikkerhet og generelt viser god IT-praksis.
ISMS - Information Security Management System
ISMS, eller Information Security Management System, er en strukturert tilnærming for håndtering av informasjonssikkerhet som integrerer prosesser, teknologi og personell for å beskytte organisasjonens informasjon gjennom effektiv risikostyring.
ISO 27001 kan med fordel brukes som utgangspunkt for arbeidet med informasjonssikkerhet. Selv om standarden ikke spesifiserer konkrete sikkerhetstiltak, gir den et rammeverk for beste praksis for å sikre data både internt og eksternt.
ISO-standard
ISO-standarder er internasjonale standarder som gir organisasjoner et praktisk rammeverk for ulike områder, inkludert økonomi, sosialt ansvar og miljø. Å implementere en ISO-standard i en organisasjon innebærer å standardisere prosesser og prosedyrer, noe som sikrer enhetlighet og kvalitet i utførelsen av oppgaver.
ISO 14001
ISO 14001 er en internasjonal standard som hjelper organisasjoner med å etablere og forbedre miljøstyring. Formålet er å redusere miljøpåvirkning og sikre etterlevelse av lovgivning.
Standarden støtter identifisering av miljømessige risikoer og muligheter, samt sikrer overholdelse av relevante miljøforskrifter.
ISO 27001
ISO 27001 er en internasjonal standard som danner grunnlaget for et effektivt ledelsessystem for informasjonssikkerhet. Standardens fokus er på beste praksis og retningslinjer for håndtering av informasjonssikkerhet både internt og eksternt.
Formålet med ISO 27001 er å beskytte konfidensialitet, integritet og tilgjengelighet av organisasjonens informasjon.
ISO 27002
ISO 27002 er en internasjonal standard som gir veiledning om informasjonssikkerhetskontroller og beste praksis for å beskytte organisatorisk informasjon.
Standarden inkluderer 93 anbefalte tiltak som dekker policyer, prosesser, prosedyrer, organisasjonsstrukturer og tekniske løsninger innen organisatorisk, atferdsmessig, fysisk og teknologisk sikkerhet.
ISO 27002 støtter implementeringen av ISO 27001 ved å tilby detaljert veiledning om hvordan man velger og implementerer passende sikkerhetskontroller. Mens ISO 27001 definerer rammeverk og krav for et informasjonssikkerhetsstyringssystem, fungerer ISO 27002 som en praktisk verktøykasse for å omsette kravene til konkrete handlinger og kontroller.
ISO 45001
ISO 45001 er en internasjonal standard for arbeidsmiljø og sikkerhet som hjelper selskaper med å forebygge arbeidsulykker og sykdommer. Den gir et strukturert rammeverk for å redusere risikoer, forbedre ansattes trivsel og øke sikkerheten på arbeidsplassen.
ISO 9001
ISO 9001 er en internasjonal standard for kvalitetsstyring som hjelper organisasjoner med å forbedre effektivitet og sikre at produkter og tjenester møter kundens forventninger. Standarden bygger på en strukturert tilnærming til planlegging, kontroll og kontinuerlig forbedring av prosesser for å redusere feil og øke kvaliteten.
Den bygger på syv prinsipper, inkludert kundefokus, lederskap, medarbeiderengasjement, prosessoptimalisering og kontinuerlig forbedring – alle med mål om å styrke organisasjonens evne til å levere høy kvalitet og forbli konkurransedyktig.
IT-sikkerhetspolicy
IT-sikkerhetspolicy er grunnlaget for organisasjonens samlede sikkerhetsarbeid. Den setter tydelige retningslinjer, prosedyrer og sikkerhetstiltak for å beskytte organisasjonens eiendeler og informasjon.
Policyen dekker teknologi, atferd og organisatoriske initiativer, og definerer ansvar slik at alle ansatte er engasjert i å oppnå organisasjonens IT-sikkerhetsmål.
Kontraktshåndtering
Kontraktshåndtering – eller contract management på engelsk – er den overordnede prosessen for å administrere en organisasjons kontrakter fra start til slutt. Dette inkluderer blant annet utarbeidelse av kontrakter, forhandlinger, oppfyllelse av kontraktsforpliktelser, reforhandling og avslutning av de juridisk bindende dokumentene. Målet er å optimalisere håndteringen og øke verdiskapingen, slik at organisasjonens kontrakter er i tråd med dens virksomhet og mål.
Leverandørstyring
Leverandørstyring handler om å evaluere, administrere og overvåke organisasjonens relasjoner med eksterne leverandører for å sikre at deres tjenester og produkter oppfyller de fastsatte standardene for kvalitet og sikkerhet. Det omfatter alt fra innledende due diligence og valg av leverandører til løpende evaluering og risikohåndtering av forretningsrelasjonene.
LIA - Legitimate interests assessment
LIA står for Legitimate Interests Assessment. En LIA gjennomføres for å dokumentere den avveiningen en organisasjon er forpliktet til å gjøre når den ønsker å behandle personopplysninger basert på interesseavveiingsregelen.
Lov om styrket beredskap (NIS2)
Lov om styrket beredskap dekker Danmarks energisektor og implementerer EU’s NIS2-direktiv og CER-direktiv. Den setter strengere krav til cybersikkerhet, fysisk sikkerhet, risikovurdering, hendelseshåndtering og beredskapsplanlegging for strømnettoperatører, varmeleverandører og gassdistributører. Målet er å sikre forsyningssikkerhet og beskytte mot økende cyber- og fysiske trusler i denne kritiske sektoren.
Lovlige behandlingsgrunnlag
Lovlige behandlingsgrunnlag er de lovlige grunnene en organisasjon kan basere seg på når den behandler personopplysninger under GDPR. For at databehandlingen skal være lovlig, må minst ett gyldig behandlingsgrunnlag gjelde og passe til den spesifikke behandlingsaktiviteten.
GDPR definerer seks hovedgrunnlag for behandling:
-
Samtykke
-
Kontrakt
-
Lovpålagt forpliktelse
-
Vitale interesser
-
Allment interesse eller utøvelse av offentlig myndighet
-
Berettigede interesser
NFRD - Non-financial Reporting Directive
NFRD står for Non-Financial Reporting Directive og var et EU-direktiv som krevde at større EU-selskaper med over 500 ansatte – inkludert børsnoterte selskaper, forsikringsselskaper og banker – offentliggjorde ikke-finansiell informasjon og mangfoldsdata knyttet til ESG (miljø, sosialt ansvar og god selskapsstyring).
NFRD er siden blitt erstattet av CSRD (Corporate Sustainability Reporting Directive), som endrer og skjerper de gjeldende kravene for selskapers bærekraftsrapportering.
NIS2 - Network and Information Security 2
NIS2 er en oppdatert versjon av det opprinnelige NIS-direktivet (også kalt direktivet for nettverks- og informasjonssikkerhet). Med fokus på å styrke cybersikkerheten og beskytte kritisk infrastruktur og tjenester, utvider NIS2 virkeområdet til å omfatte et bredere spekter av sektorer og virksomheter.
NIS2 pålegger både offentlige myndigheter og private selskaper å implementere tekniske, operasjonelle og organisatoriske sikkerhetstiltak for å sikre en effektiv håndtering av risikoer som truer deres informasjonssystemer og nettverk.
Omnibus
Omnibuspakken er et EU-lovgivningspakke fra 2025 som konsoliderer og justerer eksisterende bærekraftsregler som CSRD, CSDDD, taksonomiforordningen og ESRS. Formålet er å gjøre kravene mer praktiske og redusere administrativ byrde, spesielt for mindre selskaper. Pakken endrer ikke EU’s overordnede bærekraftsmål, men forenkler rapportering, due diligence og tekniske standarder, noe som gjør det enklere for selskaper å overholde reglene.
Lovgivningspakken har som mål å:
-
Forenkle og harmonisere kravene i eksisterende bærekraftsregler
-
Utsette rapporteringskrav for visse typer selskaper
-
Redusere dobbeltarbeid ved datainnsamling og rapportering
-
Gjøre tekniske standarder mer praktiske og anvendelige
-
Koordinere krav på tvers av CSRD, CSDDD og taksonomiforordningen
OHS - Occupational Health and Safety
OHS, eller Occupational Health and Safety, refererer til praksiser og retningslinjer som har som mål å sikre et trygt og sunt arbeidsmiljø for ansatte ved å forebygge arbeidsrelaterte skader og sykdommer.
Personopplysningsansvarlig
Den personopplysningsansvarlige (Data Controller) er personen eller organisasjonen som har det primære ansvaret for de personopplysningene som samles inn og behandles. Dette betyr at den personopplysningsansvarlige har ansvar for å sikre at behandlingen skjer i samsvar med GDPR.
Den personopplysningsansvarlige bestemmer blant annet:
-
Formålet med innsamling og bruk av personopplysninger
-
Hvordan opplysningene behandles i praksis
-
Hvem som har tilgang til å behandle opplysningene
-
Hvis en registrert ønsker å utøve sine rettigheter, som tilgang eller sletting, rettes forespørselen til den personopplysningsansvarlige
Personopplysningsloven
Personopplysningsloven er den norske loven som regulerer behandlingen av personopplysninger og implementerer EUs personvernforordning (GDPR) i norsk rett. Loven trådte i kraft 20. juli 2018 og sikrer individers rettigheter og friheter ved behandling av deres personopplysninger.
Personopplysningsloven stiller krav til blant annet åpenhet, samtykke, sikkerhet og innsynsrett, og gir enkeltpersoner mulighet til å få sine opplysninger rettet eller slettet. Den gjelder for alle virksomheter i Norge som behandler personopplysninger, samt for utenlandske virksomheter som tilbyr varer eller tjenester til personer i Norge.
Policy management
Policy management er prosessen med å utvikle, opprettholde og sikre etterlevelse av retningslinjer og regler innen en organisasjon. Hensikten er å sørge for at virksomheten følger organisasjonens verdier, mål, lovkrav og bransjestandarder.
Privacy by Design
Privacy by Design er en tilnærming der beskyttelse av personopplysninger vurderes fra starten i systemer, prosesser og policyer. Målet er å gjøre databeskyttelse til en integrert del av organisasjonens kultur og drift.
Privacy by Design er et kjernekrav under GDPR, og pålegger organisasjoner å beskytte personopplysninger proaktivt og systematisk.
QMS - Quality Management System
QMS, eller Quality Management System, er et strukturert system av prosedyrer og prosesser som er utformet for å forbedre effektiviteten og kvaliteten på en organisasjons produkter, tjenester og virksomhet.
Risikoappetitt
Risikoappetitt beskriver hvor mye risiko en organisasjon er villig til å akseptere for å oppnå sine mål. Begrepet brukes i risikostyring for å definere rammer for beslutningstaking, risikohåndtering og kontrollaktiviteter, noe som gjør det mulig for organisasjonen å balansere muligheter og risiko på en strukturert måte.
Risikovurdering
En risikovurdering er en prosess der organisasjoner kan identifisere, analysere og vurdere risikoer knyttet til deres virksomhet eller en spesifikk aktivitet. Hensikten med å gjennomgå risikoene er å evaluere sannsynligheten for at uønskede hendelser inntreffer og identifisere hvilke konsekvenser det ville ha dersom organisasjonen ikke kan unngå dem.
Risk Management - Risikostyring
Risikostyring handler om å oppdage risikoer, vurdere deres potensial og bestemme hvordan de best kan håndteres av organisasjonen. Dette gir organisasjonen strategier for å balansere risikotaking mot risikoreduksjon, med det overordnede målet å forebygge eller minimere potensielle hendelser som kan redusere inntektene, føre til konkurs eller skade organisasjonens omdømme.
Security by Design
Security by Design innebærer å integrere sikkerhet fra starten som en grunnleggende del av systemdesign, arbeidsflyter og beslutningsprosesser. Dette omfatter alt fra utvikling av IT-systemer til tilgangskontroll og risikovurderinger.
SFDR - Sustainable Finance Disclosure Regulation
SFDR står for Sustainable Finance Disclosure Regulation og er en EU-forordning som inneholder spesifikke retningslinjer for finansmarkedaktører og finansielle rådgiveres informasjonsplikt i forbindelse med integrering av miljømessige, sosiale og styringsrelaterte faktorer (ESG).
Informasjonskravene skal hjelpe investorer å forstå hvordan finansinstitusjoner arbeider med bærekraft, for å sikre et sterkere beslutningsgrunnlag før investeringer.
SFP - The Sustainable Finance Package
EUs Sustainable Finance Package (SFP) er et sett med tiltak som har som mål å støtte bærekraftig finansiering og investeringer i Europa. SFP er en integrert del av EUs strategi for å nå sine klimamål og bør sees på som et skritt mot å transformere den finansielle sektoren til en sentral drivkraft for vekst innen den bærekraftige økonomien i EU.
SoA - Statement of Applicability
SoA betyr "Statement of Applicability" og er en integrert og avgjørende del av ISO 27001-standarden for informasjonssikkerhet. SoA-dokumentet utgjør en obligatorisk liste over kontrolltiltak som spesifiseres i standarden. SoA fungerer som en kobling mellom risikovurdering og risikohåndtering ved å dokumentere organisasjonens aktive informasjonssikkerhetsnivå samt de valgene og unntakene som er gjort i prosessen.
Slettingspolicy
En slettingspolicy er et sett med retningslinjer og prosedyrer som skal følges hver gang personopplysninger samles inn. Allerede når personopplysningene gjøres tilgjengelige, bør organisasjonen ha en plan for når de skal slettes, samt hvordan det skal gjøres og bekreftes i systemet.
TIA - Transfer Impact Assessment
TIA står for Transfer Impact Assessment. I praksis er det en vurdering som må gjøres av partene ved en overføring av personopplysninger fra et land innenfor EU/EØS til et land utenfor EU/EØS. Partene kalles dataimportør og dataeksportør.
Third Party Risk Management - Sikkerhet i leverandørkjeden
Third Party Risk Management (TPRM) er en integrert del av organisasjonens overordnede risikostyringsstrategi og bidrar til forsyningskjedenes sikkerhet. Denne prosessen fokuserer på å identifisere, vurdere og håndtere de risikoene som er forbundet med å inngå forretningsforhold med tredjepart, som leverandører, distributører, underleverandører, tjenesteleverandører og partnere.
VSME (Voluntary Sustainability Reporting Standard)
VSME står for "Voluntary Sustainability Reporting Standard for SMEs" og er en frivillig standard for bærekraftsrapportering, spesielt utviklet for små og mellomstore bedrifter. Den ble utviklet av EFRAG for å hjelpe bedrifter med å dokumentere sine bærekraftstiltak, forbedre ESG-prestasjoner og tilpasse seg fremtidige reguleringer. VSME tilbyr et strukturert, men fleksibelt rammeverk som letter rapporteringen uten å skape en urimelig administrativ byrde.
Åpenhetsloven
Åpenhetsloven er en lov i Norge som gir forbrukerne rett til å be om dokumentasjon for at menneskerettighetene og arbeidsvilkårene for alle arbeidstakere i produksjonskjeden blir respektert og opprettholdt. Denne norske loven forplikter virksomheter til å redegjøre for de forholdene som ligger til grunn for produksjonen av varene forbrukerne kjøper.