Riskbedömning är processen för att hantera risker, medan riskanalys är en specifik del av den processen. För organisationer som arbetar med GDPR, ISO 27001 eller NIS2 är skillnaden mellan dessa begrepp avgörande för korrekt efterlevnad och effektiv riskhantering.
Enkelt uttryckt: riskanalys svarar på "hur stor är risken?", medan riskbedömning omfattar hela kedjan från "vilka risker har vi?" till "hur ska vi hantera dem?".
Vad är en riskbedömning?
Riskbedömning är den övergripande processen för att hantera organisationens alla risker. Enligt den internationella standarden ISO 31000 består en riskbedömning av tre huvudsteg:
- Riskidentifiering – Kartlägga och hitta vilka risker som finns.
- Riskanalys – Analysera och beräkna hur stora riskerna är.
- Riskvärdering – Värdera och prioritera vilka risker som kräver åtgärder utifrån organisationens riskaptit.
I en riskbedömning går du igenom hela cykeln: från att kartlägga potentiella hot, via en djupdykning i sannolikhet och konsekvens, till det slutgiltiga beslutet om hur risken ska hanteras.
Det är här organisationens riskaptit kommer in i bilden. Ledningen måste svara på hur stora risker du är villig att acceptera för att nå affärsmålen.
Beroende på resultatet landar du oftast i ett av fyra beslut: att reducera risken, acceptera den som den är, överföra den eller helt undvika den. Resultatet blir en prioriterad åtgärdsplan som ligger till grund för säkerhetsarbetet.
Exempel: Du genomför en riskbedömning av personuppgiftsbehandlingar enligt GDPR. Först identifierar du 47 olika behandlingar (steg 1). Sedan analyserar du varje behandling och beräknar riskpoäng (steg 2). Slutligen beslutar du om åtgärder, som att införa kryptering eller flytta data till en säker leverantör inom EU (steg 3).
Vad är en riskanalys?
Riskanalys är det andra steget i processen. Det är här du kvantifierar eller bedömer kvalitativt de risker du hittat för att kunna prioritera dem rätt.
Här bedömer du sannolikheten för att ett hot faktiskt ska materialiseras och analyserar de potentiella konsekvenserna. En kritisk del är att ta hänsyn till befintliga kontroller – de skyddsåtgärder du redan har på plats sänker den reella risknivån, även om hotet i sig är vanligt. Resultatet av en riskanalys är ofta en riskmatris eller ett riskvärde som visar riskens allvarlighetsgrad.
Exempel: Du har identifierat molnlagring av kunddata som en risk. Du tittar på statistik över intrång i liknande miljöer, bedömer påverkan på de registrerade och konstaterar att din MFA och kryptering minskar exponeringen avsevärt. Slutresultatet blir ett riskvärde – till exempel "Medel".
Jämförelse mellan riskbedömning och riskanalys
| Aspekt | Riskbedömning | Riskanalys |
|---|---|---|
| Omfattning | Hela processen (steg 1-3) | En specifik del (steg 2) |
| Fokus | Beslut och åtgärdsplaner | Beräkning av sannolikhet och konsekvens |
| Standard | ISO 31000: Risk Assessment | ISO 31000: Risk Analysis |
| Resultat | Prioriterad åtgärdslista | Riskvärde eller poäng |
Så genomför du en riskbedömning i praktiken
Teorin är en sak – att faktiskt sätta igång är en annan. Här är en konkret genomgång av hur du arbetar dig igenom de tre stegen.
Steg 1: Identifiera riskerna
Börja med att samla in underlag från hela verksamheten: processbeskrivningar, systemdokumentation, tidigare incidenter och intervjuer med ansvariga. Målet är en så komplett risklista som möjligt innan ni går vidare.
Vanliga tekniker för riskidentifiering:
- Workshops med representanter från IT, legal och verksamhet
- Hotkatalog baserad på ramverk som ISO 27005 eller MSB:s vägledningar
- Genomgång av tidigare incidenter och avvikelserapporter
Var specifik när du formulerar riskerna. "Dataintrång" är för vagt – "obehörig åtkomst till kundregister via komprometterade inloggningsuppgifter" är ett hanterbart riskscenario som går att analysera och åtgärda.
Steg 2: Genomför riskanalysen
För varje identifierad risk bedömer du två faktorer:
- Sannolikhet – Hur troligt är det att risken materialiseras? (t.ex. skala 1–5)
- Konsekvens – Hur stor är påverkan om det inträffar? (ekonomisk, operationell, rättslig)
Multiplicera värdena för att få ett riskvärde. En risk med sannolikhet 4 och konsekvens 5 ger riskvärde 20 och prioriteras före en risk med värde 6. Kom ihåg att dra av för kontroller du redan har – som beskrivs ovan sänker befintliga skyddsåtgärder det slutliga riskvärdet.
Steg 3: Värdera och besluta om åtgärd
Jämför riskvärdet mot din fastställda riskaptit. Risker över gränsvärdet kräver åtgärd. Risker under gränsvärdet kan accepteras, men ska dokumenteras med ett motiverat beslut.
För varje risk som kräver åtgärd väljer du ett av fyra spår:
- Reducera – Inför kontroller för att sänka sannolikhet eller konsekvens
- Acceptera – Dokumenterat beslut att leva med risken som den är
- Överföra – Via försäkring eller kontraktuella klausuler med leverantör
- Undvika – Avbryt aktiviteten som skapar risken
Resultatet är en riskbehandlingsplan med ägare, åtgärd, deadline och uppföljningsdatum. Det är detta dokument som ISO 27001, NIS2 och GDPR kräver att du kan visa upp vid en revision.
Tillämpning på leverantörshantering och tredjepartsrisk
I arbetet med leverantörshantering och tredjepartsrisk (TPRM) blir uppdelningen särskilt tydlig. Vid onboarding av en ny leverantör börjar du med att identifiera vilka risker samarbetet medför.
I själva riskanalysen går du sedan på djupet genom att granska leverantörens egna skydd. Det kan innebära att du analyserar deras SOC2-rapporter, ISO-certifieringar eller genomför en säkerhetsintervju.
Slutligen landar du i en riskvärdering där du beslutar om den kvarstående risken är acceptabel.
Terminologi och nationella standarder
Många svenska organisationer, inklusive MSB, använder ibland begreppen synonymt i dagligt tal. För korrekt efterlevnad och tydlig kommunikation bör du dock hålla isär dem.
- Riskbedömning = Hela arbetet från att hitta risker till att besluta om åtgärd.
- Riskanalys = Analysen av sannolikhet och konsekvens för att mäta risk.
- Riskvärdering = Beslutet om en risk kräver åtgärd utifrån riskaptit.
Genom att använda rätt begrepp säkerställer du att alla – från IT-tekniker till ledningsgrupp – pratar samma språk och utgår från samma ramverk.
Vanliga frågor
Vilken ska jag börja med - riskanalys eller riskbedömning?
Börja med en riskbedömning. Eftersom riskanalysen är ett steg i bedömningen kommer du naturligt att gå från identifiering till analys och slutligen värdering.
Hur ofta ska vi göra riskbedömning?
Minst årligen enligt ISO 27001 eller vid större förändringar i verksamheten. GDPR ställer även krav på löpande bedömningar vid hantering av personuppgifter.
Behöver vi göra riskanalys för alla identifierade risker?
Ja, men djupet på analysen bör anpassas. Enkla risker kan analyseras snabbt, medan komplexa hot kan kräva djupare metodik som scenariomodellering.
Vem ska genomföra riskbedömning och riskanalys?
Arbetet bör ske tvärfunktionellt med representanter från ledning, IT, säkerhet och berörda verksamhetsområden.
Hur dokumenterar vi riskarbetet?
Genom en risklista eller i ett GRC-verktyg. Dokumentationen ska vara spårbar och visa hur ni kom fram till era slutsatser.
Vilka verktyg används i riskanalys och riskbedömning?
Utöver ramverk som ISO 31000 används ofta riskmatriser för visualisering. För mer avancerad riskanalys kan man använda metoder som Bow-tie.
