Riskhantering

Carl Angervall

Grunden i ett Ledningssystem för Informationssäkerhet (LIS) är en effektiv riskhantering. Riskhantering är en process som syftar till att identifiera, analysera, bedöma, hantera och övervaka risker för att minska deras negativa effekter och maximera möjligheterna att uppnå mål.

Riskhantering handlar om att systematiskt identifiera, bedöma och hantera de risker som din verksamhet ställs inför. Målet är att minimera de negativa konsekvenserna om, eller sannolikheten för att en av riskerna faller ut och därmed maximera möjligheterna att uppnå era verksamhetsmål.

Första steget är att genomföra en verksamhetsanalys. Den innefattar identifiering av verksamhetens väsentliga tillgångar samt kartläggning av interna intressenter (stakeholders), förutsättningar och interna krav.

Efter verksamhetsanalysen går vi vidare med en kravanalys. Den innefattar identifiering av externa krav, inklusive legala krav, samt kartläggning av externa intressenter (stakeholders) och förutsättningar.

Med verksamhetsanalysen och kravanalysen som grund genomför vi sedan en riskanalys där potentiella säkerhetsrisker identifieras och värderas. Riskerna mot informationssäkerheten tas fram genom en systematisk och kreativ process där riskerna värderas genom kvantitativa eller kvalitativa metoder. Riskanalysen kan genomföras verksamhetsövergripande eller för ett enskilt analysobjekt. Riskanalysen ligger sedan till grund för införande av kompletterande säkerhetskontroller i syfte att minska sannolikheten eller konsekvensen för en viss risk.