Arbetet med risker är liksom klassning viktigt för att komma fram till nödvändiga säkerhetsåtgärder som kan ge informationstillgångar rätt skydd.
Den som ansvarar för en verksamhet behöver se till att informationssäkerhetsrisker analyseras, bedöms, hanteras och följs upp enligt den riskhanteringsprocess som finns beskriven i Stödanvisning för riskhantering. Riskarbetet görs för att begränsa och förebygga risker så att verksamheten med rimlig säkerhet kan fullgöra sina uppgifter och nå uppsatta mål. Det är även ett sätt att förebygga IT-attacker, bedrägerier och andra oegentligheter.
Riskanalys som grund för åtgärder och uppföljning
Riskanalysen är central, där identifieras och värderas risker. I analysen fokuserar man på sannolika händelser med konsekvens för konfidentialitet, riktighet och tillgänglighet (KRT). Med ledning av riskanalysen görs sedan en bedömning av vilka åtgärder som behöver vidtas om risken inte accepteras. Åtgärder tilldelas alltid en ”riskåtgärdsansvarig” som ser till att åtgärden blir genomförd och återrapporterad. Riskanalyser behöver följas upp och uppdateras årligen och vid större förändringar.
Risker bedöms utifrån sannolikhet och konsekvens
Riskbedömningar inkluderar all informationshantering och alla IT-tjänster och system som används. Riskerna bedöms utifrån hur sannolikt det är att de inträffar och vilken konsekvens det skulle få om de inträffade. Skalan är 1-4. När man multiplicerar sannolikhet med konsekvens får man fram ett riskvärde. Ett högt riskvärde följs av skarpare säkerhetsåtgärder som kan upprätthålla rätt skyddsnivå för informationen. Risker som inte kan undvikas, överföras eller accepteras behöver minskas så att antingen sannolikheten eller konsekvensen reduceras till nivåer som gör risken tolerabel.
Konsekvenskategorier att ta hänsyn till: ekonomisk förlust, verksamhetsavbrott, överträdelse eller bristande lagefterlevnad, personskada, skada för miljö- och hälsa, negativ påverkan på kommunen (t.ex. minskat förtroende), skada på annan organisation eller samhället i stort.
Beslut och dokumentation av riskacceptans
Riskacceptans: Acceptans av risker med högt riskvärde, allvarliga skadekonsekvenser och kostsamma skyddsåtgärder bör beslutas av ansvarig nämnd eller kommunstyrelsen (om flera verksamheter berörs). Beslut kan även delegeras till kontorschef. Chefer kan acceptera risker inom ramen för den egna verksamheten. Riskacceptans ska dokumenteras.
Exempel på säkerhetsåtgärder
Säkerhetsåtgärder kan vara:
-
Organisatoriska; exempelvis tydliga roller, ansvar och mandat för att skydda information. Rutiner, handlings-och kontinuitetsplaner samt utbildningsinsatser för säker informationshantering är exempel på organisatoriska, administrativa åtgärder.
-
Personrelaterade; omfattar t.ex. rutiner och processer för behörighetsstyrning när medarbetare börjar, slutar eller byter tjänst samt disciplinära åtgärder för om någon avsiktligt bryter mot styrdokumenten för informationssäkerhet.
-
Fysiska; säkerställa att det finns lås, larm, dörrar och fönster som skyddar information och informationssystem mot obehörig fysisk åtkomst.
-
Tekniska; säkerställa ändamålsenliga IT-lösningar som kan skydda information, t.ex. antivirus, säkerhetskopiering, behörighetssystem och loggning.
Informationssäkerhetsteamet kan ge stöd genom hela processen.
Stöddokument vid riskarbete
- Stödanvisning för riskhantering
- Mall för riskhantering
- Mall för utökad riskanalys
- Riskmatris
- Konsekvensmatris
- Sannolikhetsmatris
Har du frågor eller funderingar?
Informationssäkerhetsteamet finns här för att hjälpa dig! Mejla oss gärna för stöd och vägledning i hur du kan lägga upp arbetet på ett effektivt och strukturerat sätt.