| Västra Götalandsregionens riskanalysmodell - säkerhet | |
| Västra Götalandsregionens riskanalysmodell - säkerhet | |
| Arbetsprocess | |
| Steg 1 Identifiera skyddsvärda tillgångar och hot | Om riskanalysen utgår ifrån skyddsvärda tillgångar som t.ex. informationstillgångar eller processer kan dessa dokumenteras. Identifiera hot inom riskanalysens avgränsning. Hot kan med fördel identiferas kopplat till olika processer eller aktiviteter eller skyddsvärda tillgångar. |
| Steg 2 Riskbedömning | Beskriv de troliga konsekvenserna av hoten. Bedöm hur allvarliga konsekvenserna blir om hoten skulle inträffa samt hur sannolikt det är att hoten realiseras. Gör denna bedömning med hjälp av bedömningskriterierna på fliken (bedömningskriterier). Välj där en sannolikhetstabell som passar aktuell riskanalys. |
| Steg 3 Riskhantering | Identifera de sårbarheter som finns kopplat till varje hot. Identifiera också de åtgärder som krävs för att eliminera eller reducera riskerna Här finns även möjlighet att genomföra en ny riskbedömning som visar uppskattade konsekvenser och sannolikhet efter att föreslagna åtgärder genomförts. |
| Riskmatris | Välj med stöd av matrisen ut vilka risker som ska analyseras vidare. Matriserna visar förhållandet mellan sannolikhet och konsekvens samt de acceptansnivåer som gäller. Här kan riskmatrisen före åtgärder och efter åtgärder jämföras för uppskattat resultat av åtgärder. |
| Terminologi | |
| Hot | Möjlig, oönskad händelse med negativa konsekvenser för organisationen. |
| Ägare risk | Vem äger risken och har övergripande ansvar för att åtgärderna kopplat till risken genomförs? |
| Konsekvens | Resultat av en händelse med negativ inverkan. Kan vara ekonomisk, dåligt anseende eller t ex legal påverkan. |
| Sannolikhet | Ett mått på hur troligt det är att ett hot realiseras. |
| Riskhantering | Samordnade aktiviteter för att leda och styra en organisation med avseende på risk. |
| Risk | Produkten av sannolikhet och konsekvens för att ett hot realiseras. |
| Sårbarhet | Bristande förmåga hos en organisation, en process eller ett IT-system, att motstå och återhämta sig från olika former av påfrestningar. |
| Åtgärdsförslag | Vad kan göras för att eliminera, begränsa eller bevaka riskerna och dess sårbarheter? |
| Ansvarig för åtgärd | Vem/vilka ansvarar för att åtgärderna genomförs? |
| Revisionslogg | |
| 2012-06-29: Christoffer Eskilsson | Skapat |
| 2014-10-01: SSE | Låst rubrikrader Lagt till kolumn id+hot i steg 2 & 3 Ifyllda värden skall inte behöva skapas om/kopieras. Färgbotten skiljer editerbara celler från skyddade Använd skydda fält, så bara ifyllnadsceller kan redigeras Radhöjd ska anpassas/expandera med textmängd Anpassat utskriftsformat Lagt färger på flikarna Ändra flik Bedömningskriterier så att konsekvenserna kommer överst, samt ändrat medborgare till Invånare, och lagt till färgsymbolik i skalorna. |
| 2015-05-13: Christoffer Eskilsson | Tillägg av kolumn för ägare av hot enligt uppdatering i ISO 27001:2014 Uppdatering makroknappar Uppdatering av makron Uppdatering av flik/cell-färger |
| 2015-06-02: Christoffer Eskilsson | Förändrat riskanalysflöde till en flik och borttagning av makron Tillägg av riskbedömning efter åtgärd Tillägg av riskmatris efter åtgärd Uppdatering av terminologi |
| 2015-06-24: Christoffer Eskilsson | Förändring av acceptansnivå K4 S1 till Gul Tillagd kolumn för tidplan för åtgärd |
| 2015-12-03: Christoffer Eskilsson | Flytt av kolumnen sårbarheter från efter riskbedömning till innan riskbedömning. |
| 2018-04-21: Rose-Mharie Åhlfeldt | Revidering av konsekvensnivåer, borttag av H i hotnumrering. Tillägg av kolumn uppföljning riskanalys. |
| 2020-06-07: Rose-Mharie Åhlfeldt | Editoriella justeringar. |
| Steg 1 - Identifiering av hot & sårbarheter | Steg 2 - Riskbedömning | Steg 3 - Riskhantering | |||||||||||||||||||||||||||||||
| Skyddsvärt Skyddsvärda tillgångar relevanta för analysen | Hot Möjlig, oönskad händelse med negativa konsekvenser | Sårbarheter Problem/brister/orsaker som ligger till grund för hoten | Konsekvensbeskrivning Beskrivning av de troliga konsekvenserna om hotet inträffar. | Riskbedömning innan åtgärd | Fortsatt analys? Vilka risker som ska vidare till steg 3? | Åtgärdsförslag Vad kan göras för att eliminera, begränsa eller bevaka riskerna och dess sårbarheter? | Ansvarig för åtgärd Vem/vilka ansvarar för åtgärderna? | Ägare risk Vem äger risken och har övergripande ansvar för att åtgärderna genomförs? | Tidplan | Uppföljning | Riskbedömning efter åtgärd | ||||||||||||||||||||||
| Konsekvens | Sannolikhet | Riskvärde | När ska åtgärden vara genomförd | Åtgärd genomförd? | Konsekvens | Sannolikhet | Riskvärde | ||||||||||||||||||||||||||
| ID | Tillgång | ID | Hot | Sårbarhet | Konsekvens | ||||||||||||||||||||||||||||
| 1 | E-postsystem | 1 | Attack där lösenord läcker ut | Otillräcklig uppdaterad server. | Känsliga personuppgifter om hälsa läcker ut | 4 | 3.3 | 2 | 1.5 | 8 | Ja - Hantera risk | Rutiner på systematisk uppdatering av servar | IT-chef | Informationsägaren till känsliga personuppgifter | Inom 30 dagar | Inom 90 dagar | 4 | 3.6 | 1 | 0.7 | 4 | ||||||||||||
| 2 | Använder skickar bilder och annan hälsoinfo på e-post | Bristande utbildning och okunskap kring regelverket | Känsliga personuppgifter om hälsa kan läcka ut. | 3 | 2.6 | 4 | 3.7 | 12 | Ja - Hantera risk | Utbildning för hantering av känsliga personuppgifter. Samt införa SDK eller annan säker hantering för distribution | Verksamhetschef | Informationsägaren till känsliga personuppgifter | Inom 30 dagar | Inom 90 dagar | 3 | 2.4 | 2 | 1.3 | 6 | ||||||||||||||
| 3 | -0.8 | -0.2 | 0 | -0.7 | -0.5 | 0 | |||||||||||||||||||||||||||
| 4 | -0.7 | -0.6 | 0 | -0.5 | -0.6 | 0 | |||||||||||||||||||||||||||
| 5 | -0.4 | -0.8 | 0 | -0.5 | -0.2 | 0 | |||||||||||||||||||||||||||
| 6 | -0.3 | -0.7 | 0 | -0.8 | -0.7 | 0 | |||||||||||||||||||||||||||
| 7 | -0.4 | | -0.2 | 0 | -0.4 | | -0.8 | 0 | |||||||||||||||||||||||||
| 8 | -0.7 | -0.5 | 0 | -0.1 | -0.8 | 0 | |||||||||||||||||||||||||||
| 9 | -0.7 | -0.8 | 0 | -0.2 | -0.9 | 0 | |||||||||||||||||||||||||||
| 10 | -0.7 | -0.1 | 0 | -0.8 | -0.5 | 0 | |||||||||||||||||||||||||||
| 11 | -0.8 | -0.2 | 0 | -0.1 | -0.1 | 0 | |||||||||||||||||||||||||||
| 12 | -0.5 | -0.6 | 0 | -0.8 | -0.4 | 0 | |||||||||||||||||||||||||||
| 13 | -0.1 | | -0.7 | 0 | -0.5 | | -0.3 | 0 | |||||||||||||||||||||||||
| 14 | -0.3 | -0.6 | 0 | -0.2 | -0.1 | 0 | |||||||||||||||||||||||||||
| 15 | -0.9 | -0.8 | 0 | -0.3 | -0.6 | 0 | |||||||||||||||||||||||||||
| 16 | -0.9 | -0.5 | 0 | -0.5 | -0.1 | 0 | |||||||||||||||||||||||||||
| 17 | -0.8 | -0.5 | 0 | -0.2 | -0.7 | 0 | |||||||||||||||||||||||||||
| 18 | -0.1 | -0.7 | 0 | -0.8 | -0.8 | 0 | |||||||||||||||||||||||||||
| 19 | -0.2 | -0.5 | 0 | -0.1 | -0.3 | 0 | |||||||||||||||||||||||||||
| 20 | -0.3 | -0.4 | 0 | -0.9 | -0.2 | 0 | |||||||||||||||||||||||||||
| 21 | -0.5 | -0.7 | 0 | -0.4 | -0.3 | 0 | |||||||||||||||||||||||||||
| 22 | -0.3 | -0.3 | 0 | -0.7 | -0.4 | 0 | |||||||||||||||||||||||||||
| 23 | -0.6 | -0.6 | 0 | -0.2 | -0.7 | 0 | |||||||||||||||||||||||||||
| 24 | -0.2 | -0.1 | 0 | -0.3 | -0.2 | 0 | |||||||||||||||||||||||||||
| 25 | -0.7 | -0.5 | 0 | -0.3 | -0.4 | 0 | |||||||||||||||||||||||||||
| 26 | -0.2 | -0.6 | 0 | -0.1 | -0.2 | 0 | |||||||||||||||||||||||||||
| 27 | -0.3 | -0.2 | 0 | -0.3 | -0.2 | 0 | |||||||||||||||||||||||||||
| 28 | -0.5 | -0.1 | 0 | -0.4 | -0.5 | 0 | |||||||||||||||||||||||||||
| 29 | -0.2 | -0.7 | 0 | -0.8 | -0.3 | 0 | |||||||||||||||||||||||||||
| 30 | -0.3 | -0.8 | 0 | -0.2 | -0.8 | 0 | |||||||||||||||||||||||||||
| 31 | -0.8 | -0.4 | 0 | -0.5 | -0.3 | 0 | |||||||||||||||||||||||||||
| 32 | -0.5 | -0.3 | 0 | -0.9 | -0.1 | 0 | |||||||||||||||||||||||||||
| 33 | -0.3 | -0.4 | 0 | -0.4 | -0.2 | 0 | |||||||||||||||||||||||||||
| 34 | -0.8 | -0.8 | 0 | -0.3 | -0.6 | 0 | |||||||||||||||||||||||||||
| 35 | -0.7 | -0.3 | 0 | -0.7 | -0.6 | 0 | |||||||||||||||||||||||||||
| 36 | -0.8 | -0.8 | 0 | -0.6 | -0.4 | 0 | |||||||||||||||||||||||||||
| 37 | -0.3 | -0.8 | 0 | -0.1 | -0.9 | 0 | |||||||||||||||||||||||||||
| 38 | -0.6 | -0.5 | 0 | -0.3 | -0.7 | 0 | |||||||||||||||||||||||||||
| 39 | -0.1 | -0.7 | 0 | -0.8 | -0.3 | 0 | |||||||||||||||||||||||||||
| 40 | -0.5 | | -0.8 | 0 | -0.6 | | -0.5 | 0 | |||||||||||||||||||||||||
| Riskmatris innan åtgärd | Riskmatris efter åtgärder | |||||||||||
| Gul | Röd | Röd | Röd | Gul | Röd | Röd | Röd | |||||
| Gul | Röd | Röd | Röd |  | Gul | Röd | Röd | Röd | ||||
 | Allvarlig | Gul | Röd | Röd | Röd | Allvarlig | Gul | Röd | Röd | Röd | ||
| Gul | Röd | Röd | Röd | Gul | Röd | Röd | Röd | |||||
| Gul | Röd | Röd | Röd | Gul | Röd | Röd | Röd | |||||
| Gul | Gul | Röd | Röd | Gul | Gul | Röd | Röd | |||||
| Gul | Gul | Röd | Röd | Gul | Gul | Röd | Röd | |||||
| Betydande | Gul | Gul | Röd | Röd | Betydande | Gul | Gul | Röd | Röd | |||
| Gul | Gul | Röd | Röd | Gul | Gul | Röd | Röd | |||||
| Gul | Gul | Röd | Röd | Gul | Gul | Röd | Röd | |||||
| Grön | Grön | Gul | Gul | Grön | Grön | Gul | Gul | |||||
| Grön | Grön | Gul | Gul | Grön | Grön | Gul | Gul | |||||
| Måttlig | Grön | Grön | Gul | Gul | Måttlig | Grön | Grön | Gul | Gul | |||
| Grön | Grön | Gul | Gul | Grön | Grön | Gul | Gul | |||||
| Grön | Grön | Gul | Gul | Grön | Grön | Gul | Gul | |||||
| Grön | Grön | Grön | Gul | Grön | Grön | Grön | Gul | |||||
| Grön | Grön | Grön | Gul | Grön | Grön | Grön | Gul | |||||
| Försumbar | Grön | Grön | Grön | Gul | Försumbar | Grön | Grön | Grön | Gul | |||
| Grön | Grön | Grön | Gul | Grön | Grön | Grön | Gul | |||||
| Grön | Grön | Grön | Gul | Grön | Grön | Grön | Gul | |||||
| Osannolikt | Liten sannolikhet | Stor sannolikhet | Mycket stor sannolikhet | Osannolikt | Liten sannolikhet | Stor sannolikhet | Mycket stor sannolikhet | |||||
 | | |||||||||||
| Redigering av acceptansnivåer | ||||||||||||
| Acceptabel nivå | Risker som inte kräver någon åtgärd. Risken har värderats lågt och det har bedömts att den inte medför störningar i organisationen. Risk som kan accepteras men som ska bevakas. Dessa risker kan hanteras i den löpande verksamheten. | Gul | Röd | Röd | Röd | |||||||
| Övervakningsnivå | Risker som behöver analyseras djupare. Riskerna ska bevakas i syfte att snabbt kunna sätta in åtgärd om händelsen inträffar. | Gul | Gul | Röd | Röd | |||||||
| Oacceptabel nivå | Allvarliga risker som behöver åtgärdas snarast. Riskerna har värderats med hög sannolikhet eller hög konsekvens. Dessa risker kräver åtgärder från ansvarig chef och ska rapporteras till ledningen. | Grön | Grön | Gul | Gul | |||||||
| Matrisen är förinställd på Västra Götalandsregionens gällande acceptansnivåer. Vid behov kan nivåerna ändras med hjälp av matrisen nedan. | Grön | Grön | Grön | Gul | ||||||||
| Konsekvens | ||||
| 1. | Försumbar | Medborgare/medarbetare | Liten påverkan på liv, hälsa, rättigheter. | Ingen eller obetydlig skada eller kränkning för verksamheten, annan myndighet eller enskild fysisk eller juridisk person om den inträffar. Ingen eller obetydlig förtroendeskada för verksamheten. |
| Process | Liten negativ effekt på verksamhetens förmåga att uppnå sina mål eller fullgöra sina primära uppgifter. | |||
| Ekonomi | Ingen märkbar skadekostnad för verksamheten. | |||
| 2. | Måttlig | Medborgare/medarbetare | Påverkan på liv, hälsa, rättigheter. | Begränsad skada eller kränkning för verksamheten, annan myndighet eller enskild fysisk eller juridisk person om den inträffar. (Kan hanteras i det löpande arbetet.) Begränsad förtroendeskada för verksamheten. |
| Process | Begränsad negativ effekt på verksamhetens förmåga att uppnå sina mål eller fullgöra sina primära uppgifter. | |||
| Ekonomi | Viss skadekostnad för verksamheten. | |||
| 3. | Betydande | Medborgare/medarbetare | Stor påverkan på liv, hälsa, rättigheter. | Allvarlig skada eller kränkning för verksamheten, annan myndighet eller enskild fysisk eller juridisk person om den inträffar. Allvarlig förtroendeskada för verksamheten. |
| Process | Stor negativ effekt på verksamhetens förmåga att uppnå sina mål eller fullgöra sina primära uppgifter. | |||
| Ekonomi | Stor skadekostnad för verksamheten. | |||
| 4. | Allvarlig | Medborgare/medarbetare | Mycket stor påverkan på liv, hälsa, rättigheter (skadade eller dödsfall). | Mycket allvarlig skada eller kränkning för verksamheten, annan myndighet eller enskild fysisk eller juridisk person om den inträffar. Mycket allvarlig förtroendeskada för verksamheten. |
| Process | Mycket stor negativ effekt på verksamhetens förmåga att uppnå sina mål eller fullgöra sina primära uppgifter. | |||
| Ekonomi | Mycket stor skadekostnad för verk-samheten. | |||
| Sannolikhet | Tabell 1 | Tabell 2 | ||
| 1. | Osannolikt | Inträffar en gång per år | Det finns mycket få eller inga tecken på att hotet är verklighet i dag. | |
| 2. | Liten sannolikhet | Inträffar en gång på per månad | Inträffar sannolikt inte under normala omständigheter och i vart fall inte frekvent. Det finns vissa tecken på att hotet är verklighet i mindre omfattning i dag. | |
| 3. | Stor sannolikhet | Inträffar en gång per vecka | Kan mycket väl inträffa men troligtvis inte särskilt frekvent. Det finns tydliga tecken på att hotet är verklighet i vissa delar av verksamheten redan i dag. | |
| 4. | Mycket stor sannolikhet | Inträffar en gång dygn | Sannolikheten är stor att det ska inträffa. Det är bekräftat att hotet är verklighet i väsentliga delar av verksamheten redan i dag eller att den väntas bli det i närtid. | |
