Riskanalys vid informationshantering
En riskanalys är ett strukturerat sätt att identifiera och värdera risker samt eventuellt vidta åtgärder kopplat till ett visst område, som en organisation, en verksamhet, en process, ett projekt. Till hjälp finns ett metodstöd och mall att använda.
Inom ramen för intern styrning och kontroll identifieras och hanteras risker för att KI ska kunna fullgöra sina uppgifter, uppnå verksamhetens mål och uppfylla verksamhetskraven.
Genom att göra riskanalyser kan vi identifiera och värdera risker, hantera dem genom att acceptera eller vidta åtgärder, samt följa upp och bedöma om riskerna är aktuella och åtgärderna ändamålsenliga. Detta är grundläggande i ett riskbaserat och systematiskt informationssäkerhetsarbete.
I det dagliga arbetet
I det dagliga arbetet behöver vi bedöma risker och välja vilka krav- eller säkerhetsåtgärder som är lämpliga, till exempel vid inköp och upphandling, utveckling, drift och förvaltning, forskningsprojekt och vid etablering av nya samverkansorgan.
Konsistoriet fastställer årligen vilka övergripande risker som ska åtgärdas inom organisationen.
Metodstöd
Vägledning
Mall för riskanalys
Varför genomföra en riskanalys?
En riskanalys är ett strukturerat sätt att identifiera och värdera risker som kan förknippas med ett visst område - analysobjekt - som exempelvis en organisation, en verksamhet, en process, ett projekt eller ett it-system.
Syftet med en riskanalys är att:
- Identifiera förhållanden där organisationen riskerar att inte uppnå sina mål.
- Ta fram underlag för val av säkerhetsåtgärder som behöver vidtas.
- Skapa en medvetenhet om risker kopplade till det aktuella analysobjektet.
En riskanalys går ut på att svara på följande frågor:
- Vilka oönskade händelser kan inträffa?
- Vad blir konsekvenserna?
- Hur troligt är det?
Detta görs genom att beskriva konsekvenserna av och sannolikheten för att en oönskad händelse inträffar.