Terminologiförvirring i praktiken
Riskhantering är centralt i säkerhetsarbetet. Det kräver ISO 27001, NIS2, GDPR och i princip alla ramverk. Men terminologin varierar och skapar förvirring.
Är riskanalys och riskbedömning samma sak? Vad är skillnaden mot riskhantering? Och var kommer riskidentifiering in?
Grundprincipen: Namnen varierar, men processen är densamma. Det viktiga är att göra jobbet, inte att slåss om terminologi. Den här guiden hjälper dig förstå begreppen så du kan kommunicera tydligt.
ISO 31000:s definitioner
Riskhanteringsprocessen enligt ISO 31000:
| Begrepp | Definition | I praktiken |
|---|---|---|
| Riskidentifiering | Hitta, känna igen och beskriva risker | Lista potentiella hot och sårbarheter |
| Riskanalys | Förstå riskens natur och bestämma risknivå | Bedöm sannolikhet × konsekvens |
| Riskbedömning | Jämföra riskanalysens resultat med riskkriterier för att prioritera | Är denna risk acceptabel? Vilka risker är störst? |
| Riskbehandling | Välja och implementera åtgärder för att hantera risken | Reducera, undvika, dela eller acceptera |
Hela processen (identifiering → analys → bedömning → behandling) kallas riskhantering eller risk management.
Visuell översikt
┌─────────────────────────────────────────────────────────────┐
│ RISKHANTERING │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ IDENTIFIERA │→ │ ANALYSERA │→ │ BEDÖMA │ │
│ │ Hitta risker│ │ Sannolikhet │ │ Prioritera │ │
│ │ │ │ Konsekvens │ │ Jämför mot │ │
│ │ │ │ Risknivå │ │ kriterier │ │
│ └──────────────┘ └──────────────┘ └──────────────┘ │
│ ↓ │
│ ┌──────────────┐ │
│ │ BEHANDLA │ │
│ │ Implementera│ │
│ │ åtgärder │ │
│ └──────────────┘ │
└─────────────────────────────────────────────────────────────┘
Riskidentifiering i detalj
Vad gör du? Systematiskt hitta och beskriva risker som kan påverka organisationens mål.
Typiska aktiviteter:
- Inventera tillgångar och deras värde
- Identifiera hotaktörer och hotscenarier
- Kartlägg sårbarheter
- Analysera historiska incidenter
- Genomför workshops med verksamheten
Output: En lista med identifierade risker, varje risk beskriven med:
- Hotaktör (vem/vad)
- Sårbarhet (svaghet som kan utnyttjas)
- Tillgång (vad som påverkas)
- Potentiell konsekvens (vad som kan hända)
Exempel: “Risken att externa angripare (hotaktör) utnyttjar opatchade system (sårbarhet) för att kompromettera kunddata (tillgång), vilket leder till dataläckage och GDPR-böter (konsekvens).”
Riskanalys i detalj
Vad gör du? Förstå riskens natur genom att bedöma sannolikhet och konsekvens för att bestämma risknivå.
Sannolikhetsbedömning:
| Nivå | Beskrivning | Frekvens |
|---|---|---|
| Mycket låg | Osannolikt | <1 gång per 10 år |
| Låg | Kan inträffa | 1 gång per 1-10 år |
| Medel | Troligt | 1 gång per år |
| Hög | Förväntat | Flera gånger per år |
| Mycket hög | Nästan säkert | Månadsvis eller oftare |
Konsekvensbedömning:
| Nivå | Ekonomisk | Rykte | Juridisk |
|---|---|---|---|
| Försumbar | <50 tkr | Ingen påverkan | Ingen |
| Låg | 50-500 tkr | Lokal påverkan | Varning |
| Medel | 500k-5 Mkr | Nationell uppmärksamhet | Böter |
| Hög | 5-50 Mkr | Bestående skada | Allvarliga böter |
| Katastrofal | >50 Mkr | Verksamheten hotas | Åtal |
Risknivå = Sannolikhet × Konsekvens
Riskbedömning i detalj
Vad gör du? Jämför riskanalysens resultat mot organisationens riskkriterier för att avgöra om risken är acceptabel och prioritera åtgärder.
Riskkriterier definierar:
- Vilken risknivå som är acceptabel utan åtgärd
- Vilken risknivå som kräver omedelbar åtgärd
- Vem som fattar beslut vid olika nivåer
Typisk riskmatris:
| Försumbar | Låg | Medel | Hög | Katastrofal | |
|---|---|---|---|---|---|
| Mycket hög | Medel | Hög | Hög | Kritisk | Kritisk |
| Hög | Låg | Medel | Hög | Hög | Kritisk |
| Medel | Låg | Medel | Medel | Hög | Hög |
| Låg | Försumbar | Låg | Medel | Medel | Hög |
| Mycket låg | Försumbar | Försumbar | Låg | Medel | Medel |
Beslut baserat på bedömning:
- Kritisk: Eskalera till ledning, omedelbar åtgärd
- Hög: Planera åtgärd inom kort tid
- Medel: Åtgärda inom rimlig tid, övervaka
- Låg: Acceptabel med övervakning
- Försumbar: Acceptera utan åtgärd
Riskbehandling i detalj
- Undvika risken Ta bort aktiviteten eller tillgången som skapar risken. Exempel: Sluta lagra data du inte behöver. Passar när kostnaden för risken överstiger nyttan av aktiviteten.
- Reducera risken Implementera kontroller som minskar sannolikhet eller konsekvens. Vanligast. Exempel: Brandvägg, utbildning, backup, kryptering.
- Dela risken Överför hela eller delar av risken till annan part. Exempel: Cyberförsäkring, outsourcing till specialist. Juridiskt ansvar kvarstår ofta.
- Acceptera risken Medvetet beslut att inte vidta åtgärd. Dokumenteras med motivering och godkännande av rätt nivå. Passar för låga risker där åtgärd kostar mer än risken.
Svenska vs engelska termer
Vanlig översättningsförvirring:
| Engelska | Svenska (ISO 31000) | Svenska (ofta använt) |
|---|---|---|
| Risk identification | Riskidentifiering | - |
| Risk analysis | Riskanalys | Riskanalys |
| Risk evaluation | Riskbedömning | Riskutvärdering |
| Risk assessment | Riskbedömning* | Riskanalys* |
| Risk treatment | Riskbehandling | Riskhantering* |
| Risk management | Riskhantering | - |
*“Risk assessment” översätts ofta till “riskanalys” eller “riskbedömning” beroende på kontext. I ISO 27001 inkluderar “risk assessment” hela processen identifiering → analys → bedömning.
Praktisk regel: Fråga vad personen menar. Terminologin varierar. Processen är densamma.
Hur NIS2 och ISO 27001 använder begreppen
NIS2
NIS2 Artikel 21 kräver “riskbaserade åtgärder” och nämner “riskanalys” specifikt. Direktivet definierar inte exakt process utan kräver att organisationer:
- Identifierar risker mot nätverks- och informationssystem
- Bedömer riskernas allvar
- Implementerar lämpliga åtgärder
ISO 27001
ISO 27001 kräver en dokumenterad process för “information security risk assessment” som inkluderar:
- Fastställa riskkriterier
- Identifiera informationssäkerhetsrisker
- Analysera och bedöma risker
- Välja riskbehandlingsalternativ
Praktiskt exempel: Ransomware-scenario
Identifiering: Risk: Ransomware-attack som krypterar verksamhetskritiska system och data.
- Hotaktör: Cyberkriminella
- Sårbarhet: Bristande e-postsäkerhet, opatchade system
- Tillgång: ERP-system, kunddatabas
- Konsekvens: Verksamhetsstopp, lösensumma, rykteskada
Analys:
- Sannolikhet: Hög (branschen är utsatt, liknande företag har drabbats)
- Konsekvens: Hög (1-2 veckors stopp, ~5 Mkr i direkta kostnader)
- Risknivå: Hög (Hög × Hög)
Bedömning:
- Riskkriterier säger: Hög risk kräver åtgärd inom 30 dagar
- Prioritering: Topp 3 av identifierade risker
- Beslut: Eskalera till ledning, allokera resurser
Behandling:
- Reducera: Implementera e-postsäkerhet, patchhantering, backup
- Dela: Teckna cyberförsäkring
- Kvarvarande risk: Acceptera efter åtgärder (sänkt till Medel)
Vanliga fallgropar
Använda "riskanalys" när man menar hela processen. Otydlig kommunikation skapar förvirring.
Går direkt till att bedöma risker utan systematisk identifiering. Missar risker man inte tänkt på.
Bedömer risker utan definierade kriterier. Subjektivt och inkonsekvent.
Gör analysen men implementerar aldrig åtgärder. Pappersprodukt utan värde.
Dokumentationskrav
Vad ska dokumenteras?
| Steg | Dokumentation |
|---|---|
| Identifiering | Riskregister med alla identifierade risker |
| Analys | Bedömning av sannolikhet och konsekvens per risk |
| Bedömning | Riskkriterier, prioritering, beslut |
| Behandling | Åtgärdsplan, ansvarig, deadline, status |
För revision:
- Visa att processen är systematisk och upprepad
- Dokumentera vem som deltog och när
- Spara historik för att visa förbättring över tid
- Koppla risker till åtgärder och bevis
Så kan Securapilot hjälpa
Securapilot strukturerar hela riskhanteringsprocessen:
- Riskregister: Identifiera och dokumentera risker
- Riskanalys: Bedöm sannolikhet och konsekvens
- Riskbedömning: Definierade kriterier och prioritering
- Åtgärdshantering: Spåra behandling och status
- Rapportering: Överblick för ledning och revision
Boka en demo och se hur vi kan stödja ert riskarbete.
Vanliga frågor
Är riskanalys och riskbedömning samma sak?
Nej, men de överlappar. Riskanalys fokuserar på att förstå sannolikhet och konsekvens. Riskbedömning inkluderar analysen men adderar jämförelse mot riskkriterier och prioritering.
Vad kommer först: analys eller bedömning?
Enligt ISO 31000: Riskidentifiering → Riskanalys → Riskbedömning. Analysen ger data, bedömningen värderar och prioriterar baserat på den datan.
Vad är riskbehandling?
Riskbehandling är steget efter bedömning: att välja och implementera åtgärder. Alternativen är: undvika, reducera, dela (försäkra/outsourca), eller acceptera risken.
Måste jag följa ISO 31000?
ISO 31000 är vägledande, inte certifieringsbar. Men terminologin används i ISO 27001, NIS2 och de flesta ramverk. Det underlättar att tala samma språk.
