Syftet med att göra en riskanalys är skapa ett underlag för beslut om vilka säkerhetsåtgärder som ska införas men också att höja medvetenheten om hot, sårbarheter och risker hos de som deltar i analysen. En riskanalys går ut på att besvara de tre frågorna;
- Vad kan hända?
- Hur sannolikt är det?
- Vad blir konsekvenserna?
Innan ni påbörjar analysen
Innan riskanalysen påbörjas bör analysobjektet ha identifierats och informationen klassats. Använd er av vägledningen för informationsklassning.
Vägledning informationsklassning
Förbered workshop
Utse analysledare och bjud in deltagare till en workshop där ni ska genomföra analysen. Beskriv syfte och vilken information som ska analyseras. Lämpliga deltagare kan exempelvis vara systemägare, systemförvaltare, informationsägare, IT-systemadministratör.
Förbered så mycket som möjligt när det gäller beskrivning av tillgången
Finns ett resultat från en klassificering bör den finnas som en grund för den fortsatta riskanalysen. Finns systembeskrivningar över befintlig IT-miljö? Ta reda på vilka lagar och krav som kan påverka.
- Bestäm avgränsningar
- Identifiera eventuella externa och interna krav
- Beskriv informationstillgången (hämta från informationsklassningen) finns det särskild skyddsvärd data?
- GDPR: Finns personuppgifter, integritetskänsliga personuppgifter eller känsliga personuppgifter?
- Finns forskningsdata? Eventuell data/information som senare kan leda till patentansökan?
- Finns ett syfte? Informationsmängd? Ta hänsyn till informationstillgångens livscykel.
- Hotbild – använd generella och aktuella beskrivningar av hotbilder i exempelvis trend och årsrapporter (internationella, nationella och sektorsspecifika). Finns tidigare incidentsammanställningar inom organisationen att ta del av?
Genomför riskanalysen
1. Identifiera hot och sårbarheter
Nu är det dags att besvara frågan "Vad kan hända?". Vilka hot och sårbarheter har identifierats som kan medföra att en oönskad händelse kan inträffa och ge negativa konsekvenser?
Använd Excelmallen "Risk- och sårbarhetsanalys mall". Den innefattar själva riskanalysen och ger även stöd för fortsatt arbete med hantering av de identifierade riskerna. Du hittar den i kolumnen till höger.
2. Bedöm riskerna
Nu ska ni bedöma hur sannolik varje risk är och hur stora konsekvenserna är om de inträffar.
Konsekvens |
Sannolikhet |
Intervall sannolikhet |
(1) Försumbar |
(1) Osannolikt eller mycket sällan |
< 0,05 ggr/år |
(2) Måttlig |
(2) Liten sannolikhet eller sällan |
0,05-0,5 ggr/år |
(3) Betydande |
(3) Stor sannolikhet eller regelbundet |
0,5–1 ggr/år |
(4) Allvarlig |
(4) Mycket stor sannolikhet eller ofta |
1–10 ggr/år |
Konsekvens
Ta del av exempel på specifika konsekvensnivåer i riskanalysens mall för värdering och beskriv konsekvensen kortfattat.
Tänk på att Dataskyddsförordningen ställer krav på att en specifik konsekvensbedömning ska göras om riskanalysen visar att en viss personuppgiftsbehandling bedöms leda till en hög risk för
fysiska personers rättigheter och friheter. I sådana fall ska Dataskyddsombudet vid Umeå universitet kontaktas. Detta utesluter inte att i andra fall göra en generell konsekvensbedömning
utifrån ett verksamhets-, ekonomiskt-, förtroende- och individperspektiv.
Sannolikhet
Använd sannolikheter eller frekvens för att skatta sannolikheten att händelsen kommer inträffa.
För in värdet för sannolikhet och konsekvens i riskbedömningen.
Bestäm vilka risker som ska vidare till steg 3.
3. Hantera riskerna
Bedöm vilken säkerhetsåtgärd som kan införas för att eliminera eller reducera risken.
Beakta eventuella nuvarande skydd. Ta stöd i ISO 27001 tabell A för att hitta lämpliga tekniska och organisatoriska säkerhetsåtgärder.
- Prioritera och tilldela en riskägare samt vem som är ansvarig för att säkerhetsåtgärden realiseras.
- Sätt tidplan och följ upp.
- Ange riskbedömning efter att åtgärden är införd.